Breaking
사이버 보안(Cybersecurity)
페이스북, 마스터카드 등 글로벌 기업, 인도의 데이터 보호법에 불만족
2019-07-30 17:49:28
장희주
▲인도는 2018년부터 새로운 데이터 보호법을 시행해 기술 회사들이 엄격한 규정을 준수하도록 만들고 있다(사진=ⓒ셔터스톡)

[라이헨바흐=장희주 기자] 인도는 2018년부터 데이터 보호법(Data Protection Act of 2018)을 시행했다. 이는 국가 내에서 사업을 하려는 기술 회사들이 반드시 준수해야 하는 엄격한 데이터 규정에 관한 법률이다. 일부 글로벌 기술 대기업들은 인도에서 수집한 인도인들의 개인정보를 다루는 데 이렇게 엄격한 프로세스를 거치지 않아도 된다고 생각한다. 아무튼 인도가 새로운 데이터 보호법을 실시하면서 현지 및 외국계 기업들이 데이터를 저장 및 취급하는 데 어려움을 겪고 있다.

인도의 데이터 보호법에 협조해야 하는 글로벌 조직의 부담

이 법안은 인도인의 개인정보를 중요시 여기는 보호법이다. 국가 안팎의 조직들은 인도 정부의 감시에 따라 이 프로세스를 준수해야 한다. 데이터 보호법을 위반한다면 벌금으로 매일 최소 5,000루피(약 8만 원)를 지불해야 한다.

페이스북(Facebook)과 마스터카드(Mastercard)와 같은 일부 글로벌 기업들은 이 보호법에 반대하고 있다. 법안에 따라 데이터 흐름이 제한된다면 현지 및 해외 기업의 조직 운영이 큰 타격을 받으리라는 주장이다.

예를 들어 이 법안은 '중요한 개인 데이터'를 개인 데이터 범주와 관련된 모든 데이터로 간주하고 인도 중앙 정부가 이 데이터의 중요성 여부를 결정해야 한다고 규정한다. 그런 다음 이런 데이터는 인도 내에 있는 서버나 데이터 센터에 저장돼야 한다. 즉 국제적인 기업들이 인도 내에서 비즈니스를 하려면 최소한 하나 이상의 데이터 센터를 인도 내에 설립해 데이터 복사본을 보관해야 하는 것이다.

또한 인도의 데이터 보호 당국(DPAI)은 기업이 개인들로부터 데이터 액세스, 수정, 저장 등에 대한 권리를 받았는지 확인하고 이를 어겼을 시 처벌한다.

이 법안에 따르면 데이터 신탁 회사들은 데이터 보호법이 정한 지침, 특히 인도 중앙 정부가 중요하다고 표기한 내용을 준수하는지 확인받기 위해 추가 의무를 수행해야 한다. 중요한 데이터 수탁자들은 위험도가 높은 활동을 한다고 간주되므로 인도 지사에 데이터 보호 책임자를 고용해야 한다. 이 책임자는 인도의 데이터 보호법에 따라 회사의 모든 데이터 처리 활동을 관리 및 감독한다. 이 내용은 인도 내에 지사를 두지 않았더라도 인도에서 데이터를 수집하고 사업을 진행하는 모든 기업에 적용된다. 여러 글로벌 기업들은 인도 정부를 설득해 법안 초안의 승인을 재고하기 위해 모이기도 했다.

▲인도 중앙 정부는 데이터 보호법을 만들었다(사진=ⓒ셔터스톡)

인도 중앙 정부, 개인 데이터에 액세스할 수 있어 

인도 중앙 정부의 태도는 강경하다. 또한 인도의 국민들도 더 강력한 데이터 보호법을 원하고 있다. 대외관계협의회의 친마이 아룬은 "인도의 데이터 보호법이 글로벌 기업의 운영에 해를 끼칠 것이라는 생각은 부적절하다"고 말했다. 그러나 글로벌 기업 측은 이런 법률이 오히려 인도인 고객들의 데이터를 보호해야 하는 기업의 의무 이행에 해가 될 수 있다고 전했다.

중요한 개인 데이터의 사본을 적어도 하나의 서버 또는 인도의 데이터 센터에 저장해야 한다는 인도 정부의 요구 사항이 완전한 법률로 지정된다면 인도의 법 집행 기관이 이런 데이터에 액세스할 가능성이 생긴다. 데이터가 인도 정부의 관할 하에 보관되기 때문이다. 만약 법 집행 기관이 요구한다면 데이터를 인도 내의 서버에 저장한 회사들은 그 요구에 따라야 한다. 그런 행위가 개인 정보 보호 규칙에 어긋나더라도 말이다.

인도의 중앙 정부는 일부 범주에 속하는 기업에 대해서는 인도 내의 서버 및 데이터 센터에 데이터 사본을 저장해야 한다는 법안에 대한 면제권을 부여할 수 있다. 하지만 인도 정부가 어떤 기준에 따라 범주를 분류할지 알 수 있는 방법은 없다.

데이터 보호법에 대응한 기업들의 모임

앞서 언급한 페이스북과 마스터카드는 물론 구글(Google), 마이크로소프트(Microsoft), 페이팔(PayPal) 등의 대기업은 인도 정부가 이 초안을 법률로 승인할 경우 외국 자본의 투자 흐름에 부정적인 영향을 미칠 수 있다고 주장했다. 로이터 통신에 따르면 이 회사들은 캠페인을 구성해 지난 해 인도 정부에 법안 폐지를 촉구하는 편지를 전달했다.

이 캠페인에 참여한 다른 조직으로는 미국-인도 전략적 파트너십 포럼, 정보 기술 산업 협의회(ITI), 인도의 소프트웨어 및 서비스 기업 협회(NASSCOM) 등이 있다. 이들 가운데 ITI는 인도 정부 관계자들과 만날 계획을 세웠으며 미국-인도 포럼은 국가의 법률을 기반으로 하는 데이터 보호 기준에 관한 세계적인 합의를 모색하고 있다.

2018년에 만들어진 인도의 데이터 보호법은 인도 대법원의 신념 중 하나인 개인의 프라이버시에 대한 기본 권리를 지지하기 위한 첫 번째 단계다. 그런데 만약 인도 정부가 전 세계적인 기술 대기업의 요청을 듣지 않고 데이터 보호법을 법률로 제정한다면 기술 대기업들은 인도 정부에 자신들이 보유한 데이터를 제공해야 할 것이다. 그 결과 인도는 거대 기업들을 조종하는 주요 국가 중 하나로 부상할 것이다.

[라이헨바흐=장희주 기자]