데이터 보호 규칙이 통보되면 스타트업은 근본적인 전환을 준비해야 합니다.

향후 12~18개월은 인도의 디지털 스타트업 생태계를 결정짓는 기간이 될 것입니다. 8년이 넘는 토론과 협의 끝에 디지털 개인정보 보호 프레임워크(DPDP)가 마침내 구현 단계에 진입했습니다. 규칙 및 전환 일정에 대한 정부 통지는 기업이 운영을 사용자에게 보다 명확하게 조정해야 함을 의미합니다. 즉, 핵심 데이터 권리를 준수하고 프레임워크에 따른 책임을 명확하게 식별해야 합니다.

무엇보다도 최종 규칙은 더 많은 디지털 기업이 규정을 준수하도록 보장하기 위해 사용자 보호와 유연성의 균형을 맞추려는 시도입니다. 그러나 스타트업은 의무 사항을 계획하고, 규정 준수를 위해 내부 자원을 할당하고, 외부 파트너십과 정부 조정이 필요한 영역을 식별하기 시작해야 합니다. 스타트업은 긴밀한 팀, 빠르게 진화하는 제품 주기, 제한된 정책 및 규제 대역폭으로 운영되므로 이러한 전환을 탐색하는 데 도움이 될 수 있는 몇 가지 내부 및 외부 단계를 간략하게 설명합니다.

1. 귀하는 “데이터 수탁자”입니까, 아니면 “데이터 처리자”입니까?

DPDP 법 2023에 따라 데이터 수탁자는 개인 데이터 처리의 목적과 수단을 결정하는 사람이며, 특정 거래에는 데이터 수탁자가 두 명 이상 있을 수 있습니다. 데이터 처리자는 데이터 수탁자를 대신하여 행동하는 제3자입니다. 데이터 수탁자는 DPDP 프레임워크에 따라 일차적인 책임을 지며 사용자와 감독 데이터 보호 위원회에 직접 책임을 집니다.

기업은 상황을 평가하고 자신이 수탁자인지 데이터 처리자인지 결정해야 합니다. 각 회사에 대해 이러한 결정은 상황에 따라 다를 수 있으며 정보 주체와의 상호 작용 성격에 따라 달라집니다. 예를 들어, 동일한 회사가 직원 데이터를 처리할 때는 데이터 수탁자가 될 수 있고, 다른 회사를 대신하여 백엔드 호스팅 서비스를 제공할 때는 데이터 처리자가 될 수 있습니다.

데이터 수탁자는 DPDP 프레임워크에 따라 직접적인 규정 준수를 모색해야 하지만, 데이터 처리자의 운영 현실은 정권의 보다 폭넓은 기대에 부합하는 쌍방 서비스 계약의 영향을 받을 것입니다.

2. 중요 데이터의 수탁자에 대한 모니터링 임계값

빠르게 성장하는 스타트업은 기업을 중요한 데이터 수탁자(SDF)로 지정하기 위해 정부가 설정한 공식적인 기준을 면밀히 모니터링해야 합니다. SDF 지정에 대한 정확한 기준은 아직 발표되지 않았지만 DPDP 법에 따르면 처리되는 개인 데이터의 양과 민감도, 사용자 권리에 대한 위험, 국가 안보 또는 공공 질서에 대한 위험을 기준으로 지정됩니다.

SDF는 특정 데이터 보호 대리인을 임명해야 합니다. 연간 감사 및 데이터 보호 영향 평가를 수행합니다. 알고리즘에 대한 보다 엄격한 보안 기대치를 따르십시오. 국가 간 데이터 전송에 대한 제한 사항을 잠재적으로 준수합니다. 중요한 것은 민감도를 기준으로 언급하기 때문에 아주 작은 기업이라도 범위에 들어갈 수 있다는 점이다. 예를 들어, 건강 추적 또는 재무 데이터와 관련된 소규모 기업도 SDF 자격을 얻을 수 있습니다.

3. 통지 및 동의 기대에 대한 준비

스타트업은 법과 규칙에 설명된 통지 및 동의 조항을 준수해야 합니다. 통지는 긴 서비스 계약에 묻히지 않고 독립적이고 명확하고 쉬운 언어로 제공되어야 합니다. 이 통지는 처리되는 개인 데이터의 다양한 범주를 설명해야 하며 각 범주에 대해 목적을 명시해야 합니다. 또한 프레임워크는 사용자가 동의를 철회할 수 있는 명확한 기회를 요구합니다.

또한 스타트업은 등록된 동의 관리자가 관리하는 플랫폼에 가입할 수 있는 옵션도 갖게 됩니다. 이 플랫폼에서 사용자는 여러 플랫폼에 걸쳐 제공된 동의를 쉽게 검토하고 철회할 수 있습니다. 이를 통해 스타트업의 사용자 상호 작용 프로세스가 더 쉬워질 수 있습니다.

결정적으로 정부는 통지, 동의, 철회 또는 철회에 대한 표준화된 템플릿을 발행하지 않았습니다. 이는 특정 디지털 서비스에 적합한 모델을 선택할 수 있는 더 큰 유연성을 제공하지만 서비스가 올바른 모델을 선택하고 규제 조사를 피하도록 더 큰 책임을 부여한다는 점에서 양날의 검입니다.

4. 병행 규제 의무의 합리화

성숙한 규제 시장의 스타트업은 유사한 주제를 다루는 병행 규제를 간소화해야 합니다. 예를 들어, 금융 서비스 회사는 RBI 및 SEBI와 같은 규제 기관이 정한 기술 보안 표준을 준수해야 하며 DPDP 프레임워크에서도 유사한 표준을 준수해야 합니다. RBI 및 DPDP 계정 집계 프레임워크의 맥락에서 제3자 동의 관리와 관련하여 이중 규정 준수가 발생할 수도 있습니다.

데이터 위반 통지 요구 사항은 정보 기술법에 따라 CERT-In에 대한 사이버 사고 보고 의무와 병행하여 유지됩니다. 기업은 이러한 중복에 대비하고 규제 당국과 적극적으로 협력하여 과도한 중복을 해결해야 합니다. 미래 디지털 시장의 기둥이 되는 이러한 요구 사항을 탐색하려면 내부 및 외부 프로세스에 투자하는 것이 중요합니다.

5. 미성년자와 장애인에 대한 책임 있는 돌봄

스타트업은 18세 이하 어린이에게 서비스를 제공하기 위해 프로세스를 재구상해야 합니다. 법과 규칙은 검증 가능한 부모 동의를 요구하며, 여기서 부모 확인을 위한 기술 프로토콜은 처음부터 설계되어야 합니다. 규칙은 대부분의 디지털 기업이 정부 승인 시스템에서 생성된 토큰을 활용할 것으로 기대합니다. 앞으로 몇 달 안에 DPI 생태계에서 이러한 워크플로에 대해 더 명확해질 것으로 기대합니다. 이는 스타트업이 정책 입안자와 협력하여 VPC 시스템이 원활하고 의도하지 않게 사용자 간에 마찰을 일으키지 않도록 해야 하는 영역일 수 있습니다.

새로운 규칙은 또한 스타트업이 법적 구속력이 있는 결정을 내리기 위해 지원이 필요한 장애인에 대해 검증 가능한 보호자 동의를 얻어야 하는 조건도 제안합니다. 이는 정부의 해명을 구해야 할 또 다른 영역이다.

6. 불만사항의 투명하고 시기적절한 해결

DPDP 규칙에는 또한 기업이 불만 사항 해결 담당자의 연락처 정보를 투명하게 공개해야 한다고 명시되어 있습니다. 또한 데이터 주체의 권리(정확성, 수정, 삭제 등에 관한)와 관련된 문의사항은 90일 이내에 해결되어야 합니다. 이를 위해서는 이 직책에 대한 예산 책정, 고용 및 교육이 필요합니다.

결론

스타트업을 위한 전반적인 메시지는 간단합니다. 규정 준수에 대한 초기 투자는 비용이 아니라 보험입니다. 초기 계획을 통해 기업은 압력을 받아 DPDP 요구 사항을 수정하는 대신 DPDP 요구 사항을 제품 설계에 통합할 수 있습니다. 마찬가지로 중요한 것은 초기 대화입니다. MeitY, 업계 규제 기관 및 기타 주요 이해관계자와의 정기적인 참여는 회색 영역을 명확하게 하고 불확실성을 줄이며 처음부터 규칙에 대한 보다 대응적인 해석을 형성하는 데 도움이 될 수 있습니다.

또한 기업계는 초기 단계 기업에 대해 2023년 DPDP법 17(3)항 및 17(5)항에 따라 정부가 면제 권한을 어떻게 행사하기로 결정했는지 면밀히 모니터링해야 합니다. 현명하고 표적화된 면제는 사용자의 권리를 약화시키지 않으면서 혁신을 지원할 수 있습니다.

목적과 예측을 가지고 실행된다면 인도의 DPDP 체제로의 전환은 원활하고 방해를 최소화할 수 있습니다. 더 중요한 것은 디지털 경제의 지속적인 성장을 위한 필수 자산인 사용자 신뢰 구축에 도움이 될 수 있다는 것입니다.

Aparajita Bharti는 창립 파트너이고 Sidharth Deb는 선도적인 공공 정책 연구 및 자문 회사인 TQH(The Quantum Hub) Consulting의 부이사입니다.