규정 준수2026년 5월 8일 | FlexyConsent

2026년 인도 DPDP법: 동의 관리자, 국경 간 데이터 이전 및 데이터 보호위원회에 대한 퍼블리셔 및 광고주 가이드

인도의 디지털 개인정보보호법(DPDPA, 2023)은 2023년 8월에 제정되어 2024년과 2025년의 대부분을 느린 단계적 롤아웃에 소비하면서 많은 해외 퍼블리셔들을 대기 상태에 놓았습니다. 그 시기는 끝났습니다. DPDP 규칙은 2025년 동안 완전히 고시되었고, 인도 데이터 보호위원회(DPBI)는 현재 운영 중이며 불만 사항을 처리하고 있으며, 동의 관리자 프레임워크 — 글로벌 개인정보 보호법에 대한 인도의 독특한 건축적 기여 — 는 프로덕션 환경에서 운영 중입니다. 2026년에 인도 사용자의 개인정보를 처리하는 모든 퍼블리셔, 광고주 또는 플랫폼에게 DPDPA는 더 이상 미래의 우려 사항이 아닙니다. 이것이 현재의 컴플라이언스 기준선이며, CMP, 국경 간 데이터 흐름 및 정보 주체의 권리가 설계되는 방식에 있어 GDPR과 중요한 차이가 있습니다. 이 가이드는 DPDPA를 롤아웃된 형태로, 인도 동의가 실제로 무엇을 요구하는지, 동의 관리자 생태계가 CMP 환경을 어떻게 변화시키는지, 그리고 DPBI의 2026년 집행 태도가 실제로 어떻게 나타나는지를 설명합니다.

2026년 DPDPA의 구조

DPDPA는 은행, 통신, 의료에 관한 인도의 분야별 법률과는 별개인 독립적인 데이터 보호 법령입니다. 동의 관리자 생태계, DPBI 및 국경 간 이전 체제가 각각 순서대로 온라인 상태가 될 수 있도록 롤아웃이 의도적으로 단계적으로 이루어졌습니다.

2023년 통과 및 2024-2025년 롤아웃

DPDPA는 2023년 8월 의회를 통과하여 곧이어 대통령의 재가를 받았습니다. 전자정보기술부(MeitY)는 2024년을 구현 규칙 협의에 사용했으며, 최종 규칙은 2025년에 여러 트랑셰로 고시되었습니다: 먼저 동의 관리자 등록 프레임워크, 그 다음 정보 주체 권리 절차, 그 다음 국경 간 이전 고지, 그 다음 중요한 데이터 수탁자 임계값. 2026년 초까지 완전한 프레임워크가 시행 중이었습니다.

누가 규제받는가

DPDPA는 인도 내 개인의 디지털 개인정보 처리에 적용됩니다. 또한 처리가 인도의 데이터 주체(data principal)에게 상품이나 서비스를 제공하는 것과 관련된 경우 역외 적용됩니다. 현지화된 사이트, 인도어 버전 또는 인도 IP 주소를 대상으로 구매한 프로그래매틱 재고를 통해 인도 사용자에게 서비스를 제공하는 미국 기반 퍼블리셔는 적용 범위에 포함됩니다. 이 역외 적용은 법령에서 명확하며 DPBI의 초기 지침에서도 강조되었습니다.

용어 차이

DPDPA는 GDPR 및 대부분의 최신 아시아 프레임워크와 다른 자체 어휘를 사용합니다. 데이터 수탁자(data fiduciary)는 GDPR이 컨트롤러라고 부르는 것입니다. 데이터 처리자(data processor)는 GDPR의 프로세서에 명확히 대응합니다. 데이터 주체(data principal)는 정보 주체입니다. 중요한 데이터 수탁자(significant data fiduciary)는 중앙 정부가 고지한 규모 또는 민감도 임계값을 초과한 컨트롤러입니다. DPDPA를 처음 접하는 해외 퍼블리셔들은 종종 이러한 용어들을 잘못 매핑하는데, 초기에 올바른 매핑을 수립하면 나중의 혼란을 줄일 수 있습니다.

무엇이 개인정보로 간주되는가

DPDPA의 개인정보 정의는 광범위하며 국제 관행을 면밀히 따릅니다. 개인정보란 해당 정보에 의해 또는 그와 관련하여 식별 가능한 개인에 관한 모든 데이터입니다. DPBI는 초기 지침을 통해 온라인 식별자 — 쿠키, 광고 ID, IP 주소, 기기 지문, 행동 프로파일 — 가 직접적으로 또는 합리적인 수단을 통해 식별 가능한 개인과 연결될 수 있는 경우 개인정보임을 나타냈습니다.

민감 범주는 없지만 중요한 데이터 수탁자 규칙은 있음

GDPR, LGPD 및 PIPA와 달리, DPDPA는 민감한 개인정보 범주를 공식적으로 정의하지 않습니다. 대신 법률은 중요한 데이터 수탁자 지정에 의존하며, 이는 대규모로 데이터를 처리하는 컨트롤러, 아동 데이터를 처리하는 컨트롤러, 선거 무결성에 영향을 미칠 수 있는 데이터를 처리하는 컨트롤러, 또는 국가 안보에 영향을 미칠 수 있는 데이터를 처리하는 컨트롤러에게 추가 의무를 부과합니다. 최종 결과는 가장 크고 민감한 처리자에 대한 GDPR 민감 범주 규칙과 유사하지만 구조가 다릅니다.

이것이 쿠키에 중요한 이유

일반적인 광고 식별자를 수집하는 쿠키는 개인정보이지만, 단지 민감해 보이는 타겟 세그먼트에 데이터를 제공한다는 이유만으로 강화된 의무의 대상이 되지 않습니다. 그러나 중요한 데이터 수탁자 임계값에 도달하는 퍼블리셔 — 예를 들어 수천만 명의 인도 사용자를 보유한 대형 플랫폼 — 는 필수 데이터 보호 책임자, 정기 감사, 데이터 보호 영향 평가를 포함한 추가 의무를 집니다. 규모 임계값은 2025년에 고시되었으며, 대부분의 글로벌 플랫폼이 현재 적용 범위에 포함됩니다.

DPDPA에 따른 동의

DPDPA는 동의를 프레임워크의 중심에 두지만, GDPR 동의와 일대일로 매핑되지 않는 독특한 요건 세트로 정의합니다.

유효한 동의 기준

DPDPA에 따른 동의는 다음을 충족해야 합니다:

자유로운 — 사용자가 본래 받을 권리가 있는 서비스의 제공을 조건으로 하지 않으며, 강요받지 않음
구체적인 — 일반적인 포괄적 동의가 아닌 명확하게 식별된 목적에 연결됨
정보에 기반한 — 데이터 주체는 어떤 데이터가 처리되고 어떤 목적으로 처리되는지 이해함
무조건적인 — 동의는 무관한 조건에 연결되지 않음
명확한 — 침묵이나 비활동에서 추론되지 않고 명확한 긍정적 행동을 통해 표현됨

항목별 고지 요건

DPDPA는 처리될 개인정보, 처리 목적, 데이터 주체가 권리를 행사할 수 있는 방법, 데이터 주체가 위원회에 불만을 제기할 수 있는 방법을 설명하는 동의 시점 또는 그 이전의 고지를 요구합니다. 고지는 영어와 데이터 주체가 요청하는 인도의 22개 지정 언어 중 하나로 이용 가능해야 합니다.

동의 관리자 아키텍처

여기서 DPDPA가 다른 프레임워크와 가장 날카롭게 갈립니다. 법률은 동의 관리자(Consent Manager)라고 불리는 라이선스 역할을 확립합니다 — DPBI에 등록된 제3자 기관으로, 데이터 주체가 단일 인터페이스에서 여러 데이터 수탁자에 걸쳐 동의를 부여, 검토, 관리 및 철회할 수 있도록 하는 상호 운용 가능한 동의 대시보드를 제공합니다. 동의 관리자는 위원회에 등록되어 있어야 하며 기술적 상호 운용성 사양을 충족해야 합니다. 실제로, 데이터 수탁자는 자체 CMP를 통해 직접 또는 등록된 동의 관리자를 통해 동의를 얻을 수 있으며, 많은 경우 데이터 주체는 각 사이트의 배너를 별도로 관리하기보다 동의 관리자를 통해 동의를 중앙화하기를 선택합니다.

규정 준수 CMP의 모습

2026년 인도 트래픽용으로 구성된 CMP는 다음을 제시해야 합니다:

비필수 쿠키나 트래커가 실행되기 전에 표시되는 가시적인 배너로, 수락, 거부 및 사용자 지정 동작이 동등한 시각적 부각도로 제공됨
영어와 사용자가 요청하는 지정 언어로 이용 가능
분석, 광고, 개인화 및 국경 간 이전을 포함한 목적별 세분화된 동의 토글
권리와 DPBI 불만 채널을 포함한 전체 항목별 고지에 대한 명확한 링크
동의를 부여하는 것만큼 쉬운 동의 철회를 위한 지속적이고 찾기 쉬운 메커니즘
데이터 주체가 선택한 동의 관리자와 동의 상태가 동기화될 수 있도록 등록된 동의 관리자와의 기술적 상호 운용성

동의 기록

데이터 수탁자는 누가, 언제, 어떤 인터페이스를 통해, 어떤 목적에 동의했는지, 그리고 이후의 변경 사항을 포함한 동의 기록을 유지해야 합니다. DPBI는 여러 초기 절차에서 부적절한 동의 로그를 인용했으며, 내보내기 가능하고 타임스탬프가 있는 동의 기록이 기본 기대치입니다.

국경 간 데이터 이전

DPDPA의 국경 간 이전 프레임워크는 인도 체제의 가장 독특한 요소 중 하나이며, GDPR, PIPA 및 개정된 KVKK에서 사용하는 적정성-플러스-안전장치 패턴과 의미 있게 다릅니다.

고지 프레임워크

DPDPA는 네거티브 리스트 접근 방식으로 운영됩니다: 목적지 국가가 중앙 정부가 고지한 제한된 관할권 목록에 표시되지 않는 한, 국경 간 이전은 일반적으로 허용됩니다. 이는 GDPR 적정성 모델의 역방향으로, GDPR은 긍정적 적정성 결정이나 안전장치가 없는 경우 이전을 금지된 것으로 취급합니다. DPDPA 접근 방식은 표면적으로 더 허용적이지만, 네거티브 리스트는 정부의 재량으로 확장될 수 있으며, 2025년 동안 특정 데이터 범주에 대해 여러 관할권이 목록에 추가되었습니다.

운영상의 의미

2026년의 대부분의 프로그래매틱 광고 흐름에 대해, 목적지 국가가 제한 목록에 없는 한 주요 애드테크 목적지로의 국경 간 이전이 허용된다는 것이 답입니다. 퍼블리셔는 현재 고지된 목록을 확인하고, 이전 및 그 목적의 문서를 보관하며, 목적지가 추가될 경우 흐름을 재라우팅하거나 일시 중지할 준비를 해야 합니다. 이는 대부분의 흐름에 대해 GDPR 이전 메커니즘보다 의미 있게 단순하지만, 주의 요건은 실제입니다.

분야별 현지화

DPDPA와는 별도로, 여러 인도 분야별 규제기관 — 재정 데이터에 대한 인도준비은행과 건강 데이터에 대한 보건부 포함 — 은 DPDPA 위에 자체 현지화 요건을 두고 있습니다. 이러한 규제 분야 중 하나에서 인도 사용자에게 서비스를 제공하는 퍼블리셔는 DPDPA와 해당 분야별 규칙 모두를 준수해야 합니다.

데이터 주체의 권리

DPDPA는 데이터 주체에게 GDPR보다 친숙하지만 약간 더 좁은 권리 묶음을 부여합니다:

범주 및 처리자를 포함하여 처리 중인 개인정보에 접근할 권리
개인정보의 수정, 완성 및 업데이트 권리
명시된 목적에 더 이상 필요하지 않은 개인정보의 삭제 권리
사망 또는 무능력의 경우 데이터 주체를 대신하여 권리를 행사할 다른 개인을 지명할 권리
데이터 수탁자를 통한 고충 구제 권리
고충 구제가 만족스럽지 않은 경우 데이터 보호위원회에 불만을 제기할 권리

권리 목록에 없는 것

주목할 만하게, DPDPA는 독립적인 이동성 권리, 처리에 대한 일반적인 이의 제기 권리, 또는 자동화된 의사결정에 대한 명시적 권리를 포함하지 않습니다 — 하지만 중요한 데이터 수탁자 체제와 동의 철회 메커니즘이 간접적으로 동일한 기반의 많은 부분을 커버합니다.

응답 시간표

데이터 수탁자는 고지된 규칙에서 지정된 기간 내에 데이터 주체의 요청에 응답해야 합니다 — 대부분의 경우 지정된 창을 초과하지 않는 합리적인 기간 내이며, DPBI는 의미 있는 지연을 컴플라이언스 실패로 취급합니다. 고충 구제 시스템이 첫 번째 단계이며, 미해결 고충만 위원회로 에스컬레이션됩니다.

중요한 데이터 수탁자

중요한 데이터 수탁자(SDF) 지정은 DPDPA의 기본 요건을 초과하는 추가 의무를 유발합니다.

추가 의무

인도에 기반을 둔 데이터 보호 책임자 임명
지정된 처리 활동에 대한 정기적인 데이터 보호 영향 평가
정기적인 독립 감사
알고리즘 처리에 대한 추가적인 투명성 의무
더 엄격한 위반 통지 및 기록 보관

누가 해당하는가

규모, 처리되는 개인정보의 양, 데이터 민감도, 데이터 주체에 대한 위험, 선거 민주주의, 안보 및 주권에 대한 잠재적 영향, 공공 질서에 대한 잠재적 영향이 모두 요소입니다. 중앙 정부는 SDF를 개별적으로 또는 클래스별로 고지합니다. 인도에 서비스를 제공하는 대부분의 대형 글로벌 플랫폼은 2026년에 고지된 클래스에 속합니다.

아동 데이터

DPDPA는 아동을 18세 미만의 모든 개인으로 정의합니다 — 이는 GDPR의 기본값인 16세와 다양한 낮은 국가 임계값보다 높은 임계값입니다. 아동의 개인정보 처리에는 검증 가능한 부모의 동의가 필요하며, 동의 상태에 관계없이 아동의 추적, 맞춤형 광고 및 행동 모니터링이 제한됩니다. 타겟 고객에 18세 미만의 상당한 트래픽이 포함된 퍼블리셔는 연령 확인, 부모 동의 흐름 및 미성년자 세그먼트에 대한 제한된 처리가 필요합니다 — 이 모두는 기본적으로 소수의 해외 퍼블리셔만이 완료한 실제 엔지니어링 작업이 필요합니다.

제재 및 집행

DPDPA는 인도의 역사적인 행정 벌금보다 높고 위반의 심각성에 의미 있게 조정된 제재 체제를 도입했습니다.

행정 제재

DPDPA는 가장 심각한 위반에 대해 위반당 최대 2억 5천만 INR(약 3천만 USD)의 제재를 허용합니다. 동의, 고지, 보안, 위반 통지 및 고충 구제와 관련된 실패에 대해서는 더 낮은 수준의 제재가 적용됩니다. DPBI는 2025년과 2026년 초에 여러 차례 범위의 중간을 사용했으며, 제재 구조는 체계적인 실패와 함께 에스컬레이션되도록 설계되었습니다.

DPBI의 집행 주제

초기 DPBI 결정은 소수의 반복적인 문제를 중심으로 묶입니다: 진정한 거부 옵션이 없는 동의 배너, DPBI 불만 채널을 설명하지 않는 고지, 제한 목록의 목적지로의 국경 간 흐름, 실제로 응답하지 않는 고충 구제 시스템, 동의 관리자 상호 운용성 실패. 해외 퍼블리셔들은 이러한 범주들의 거의 모두에서 인용되었습니다.

평판 차원

DPBI는 수탁자의 이름과 실패 요약을 포함하여 결정을 공개적으로 발행합니다. 규제적 마찰이 빠르게 언론 보도와 정치적 주의로 전환되는 인도 시장에서, 발행된 DPBI 결정의 평판 비용은 재정적 제재 외에도 의미 있습니다.

2026년 인도 트래픽을 위한 감사 체크리스트

CMP 배너가 수락, 거부 및 사용자 지정이 동등한 시각적 부각도로 제공됨
고지가 영어로 그리고 해당하는 경우 데이터 주체가 요청한 지정 언어로 이용 가능
고지가 DPBI 불만 채널과 데이터 주체의 권리를 명시적으로 설명함
동의 목적이 세분화되어 있으며, 국경 간 이전이 별도의 목적으로 포함됨
최소 하나의 등록된 동의 관리자와의 기술적 상호 운용성이 갖추어짐
동의 철회가 동의를 부여하는 것만큼 쉬우며, 다운스트림 삭제 및 활성화 필터링을 트리거함
데이터 주체 권리 워크플로우 — 접근, 수정, 삭제, 지명 — 에 직원이 배치되고 문서화됨
고충 구제 채널에 응답 기한이 추적되는 직원이 배치됨
국경 간 이전 목적지가 현재 제한 목록에 대해 검토되고 문서화됨
임계값이 초과된 경우 중요한 데이터 수탁자 의무 — DPO, DPIA, 감사 — 가 갖추어짐
18세 미만 사용자를 위한 연령 인식 흐름이, 해당하는 경우 검증 가능한 부모 동의와 함께 갖추어짐
퍼블리셔가 규제 분야에서 운영하는 경우 분야별 현지화 및 처리 규칙이 문서화되고 준수됨

2026년 전망

인도의 개인정보 보호 체제는 2년 조금 넘는 기간에 입법적 추상에서 운영적 현실로 이동했습니다. DPDPA의 아키텍처는 독특합니다 — 동의 관리자 생태계는 이동 가능하고 상호 운용 가능한 동의에 대한 가장 눈에 띄는 글로벌 실험이며, 네거티브 리스트 이전 접근 방식은 다른 프레임워크를 지배하는 적정성-플러스-안전장치 패턴과 의미 있게 다릅니다. 이미 GDPR 수준의 동의 스택을 운영하고 있는 퍼블리셔에게, DPDPA 컴플라이언스까지의 격차는 아키텍처적이라기보다 운영적입니다: 동의 관리자 상호 운용성, 지정 언어 고지, DPBI 불만 공시, 18세 미만 임계값, 네거티브 리스트 이전 확인. 우선순위를 정하면 격차는 몇 주 안에 해소될 수 있습니다. DPBI가 문을 두드리기 전에 격차를 해소하는 퍼블리셔들은 전환을 알아채지 못할 것입니다. 기다리는 사람들은 2026년과 2027년이 이전 연도들보다 의미 있게 더 비싸다는 것을 알게 될 것입니다.