정부가 처음으로 Srikrishna 법무부 위원회에 데이터 보호법 도입을 지시한 지 거의 4년이 지난 지금, 인도는 마침내 이를 달성하기 위해 조금씩 다가가고 있습니다. 합동 의회 위원회( JPC)는 최근 오랫동안 기다려온 개인 데이터 보호 법안, 2019(2019 법안)에 대한 보고서를 발표했습니다. 또한 제안된 법률의 자체 버전을 공식화하여 데이터 보호 법안(DP Bill)이라고 명명했습니다. 이름 변경은 해당 범위 내에서 비개인 데이터를 포함하도록 법의 범위를 확장하기로 한 JPC의 결정을 반영합니다.

제안된 법률은 데이터를 처리하는 모든 회사에 대해 해야 할 일과 하지 말아야 할 일을 명시하고 있습니다. 따라서 법을 준수하려면 스타트업이 데이터를 수집, 저장, 사용 및 공유하는 방법을 재고해야 합니다. 그들은 '프라이버시 바이 디자인' 접근 방식을 채택해야 합니다. 즉, 시스템 설계에 프라이버시를 포함하고 보안을 보장해야 합니다. 또한 데이터와 관련하여 특정 권한을 행사하려는 사용자의 요청을 처리하는 프로세스를 만들어야 합니다. 이 외에도 정책 결정을 위해 정부와 데이터를 공유하고, 하드웨어 및 소프트웨어에 대한 인증을 획득하고, 민감한 데이터를 로컬에 저장하는 등의 기술적 역량을 구축해야 합니다. 이러한 변화는 기업이 고려해야 하는 상당한 규정 준수 비용을 수반하며, 신생 기업이 제안된 법률을 준수할 충분한 시간을 갖는 것이 중요합니다.

2019년 법안의 텍스트 변경 외에도 JPC는 소셜 미디어 플랫폼을 콘텐츠 게시자로 취급, 소셜 미디어 사용자에 대한 의무적 검증 시행, 엄격한 데이터 현지화 정책 수립 등과 같은 일반적인 권장 사항도 제시합니다. 일반적인 권장 사항이 즉각적인 규제 조치로 이어지지는 않을 수도 있지만 장기적으로 정부의 생각을 주도할 수 있습니다. 신생 기업이 이러한 권장 사항에 참여하여 규제의 미래에 대한 감각을 갖는 것이 중요합니다.

신생 기업이 제안된 법률의 영향을 이해하는 데 도움을 주기 위해 Ikigai Law는 2022년 2월 24일 오후 3시(IST)에 " Unscramble: Impact Of India's Data Protection Law on Startups "라는 가상 원탁 토론회를 주최합니다. 세션 동안 탐구되는 주제 중 일부는 정부와 비개인 데이터의 의무 공유, 국경 간 데이터 흐름에 대한 제한, 알고리즘의 공정성 공개 및 스타트업에 대한 전반적인 규정 준수 문제를 포함합니다.

참석하려면 여기에서 신청하십시오

개인 정보 보호법에 비개인 데이터 포함의 영향

DP 법안은 개인 데이터 보호 프레임워크의 범위 내에서 비개인 데이터(NPD)를 규제하려고 합니다 . 이는 중앙 정부가 디지털 경제를 위한 정책을 공식화하기 위해 NPD에 액세스할 수 있는 광범위한 권한을 부여하고 데이터 보호 기관(DPA)이 NPD 위반을 조사할 수 있는 권한을 부여합니다.

그러나 이것이 왜 스타트업에 중요해야 합니까?

NPD에는 개인 식별 정보가 제거된 데이터, 익명화된 데이터 및 날씨 데이터, 지리 공간 데이터, 원격 측정 데이터, 여행 데이터와 같이 개인 데이터와 연결되지 않은 데이터를 포함하여 다양한 데이터가 포함될 것으로 예상됩니다. 등. 회사는 NPD를 처리 및 데이터 분석 도구에 적용하여 NPD에서 가치를 도출하기 위해 기술 및 재정 자원을 투자합니다. 이러한 데이터에는 원시 데이터(소스에서 수집된 데이터), 추론된 데이터, 주요 비즈니스 통찰력(본질적으로 독점적임)이 포함됩니다.

정부가 독점 데이터에 액세스하도록 허용하면 데이터 세트에 대한 기업의 지적 재산권(IP) 권리를 방해할 수 있습니다. 이는 시장에서 경쟁 우위를 확보하기 위해 데이터의 통찰력에 의존하는 스타트업에도 영향을 미칠 수 있습니다. 기업이 NPD를 포기하도록 요구하면 데이터 수집, 집계, 저장 및 분석에 대한 투자를 꺼릴 수 있습니다. 혁신을 방해하고 데이터 시장의 발전을 방해하며 기업이 데이터 및 기타 데이터 관련 자산을 실험하는 것을 방해할 수 있습니다.

개인정보를 규제하는 목적은 개인의 프라이버시를 확보하는 것이고, NPD를 규제하는 목적은 경제적 가치를 추출하는 것이다. 하나의 우산 아래에서 개인 데이터와 NPD를 규제하면 두 가지 목표가 모두 희석될 수 있습니다.

불확실성 및 규정 준수 문제

DP 법안은 2019년 법안과 마찬가지로 데이터를 민감한 개인 데이터와 중요한 개인 데이터로 분류합니다. 민감한 데이터에는 금융 데이터, 건강 데이터, 유전 데이터 등과 같이 일상적으로 처리되는 정보의 전체 목록이 포함됩니다. 중요한 개인 데이터는 아직 정부에서 정의하지 않았습니다. 민감한 데이터를 처리하려면 사용자로부터 명시적 동의를 받아야 하는 요구 사항을 포함하여 더 엄격한 규정 준수 의무가 따릅니다.

민감한 데이터와 중요한 데이터 모두의 지나치게 광범위한 특성과 추가 범주를 알리는 정부의 능력으로 인해 불확실성이 발생할 수 있습니다. 이는 스타트업이 데이터를 분류하는 방법과 다양한 범주에 대한 규정 준수를 페깅하는 방법을 평가하는 것을 어렵게 만들 수 있습니다.

다른 관할 지역의 데이터 보호법과 달리 제안된 인도법 은 데이터 처리를 위한 법적 근거로서 사용자 동의에 크게 중점 을 둡니다. 제안된 법률은 제품 개선, 버그 수정 등과 같은 일상적인 작업에 대해서도 기업이 동의를 받아야 하므로 사용자에게 과도한 알림과 동의 피로를 초래할 수 있습니다. 또한 두 표준 간의 차이점에 대한 명확한 설명 없이 동의와 명시적 동의라는 두 가지 표준을 만들어 불확실성을 가중시킵니다.

제안된 데이터 규제 기관은 특정 기준에 따라 모든 데이터 수탁자(GDPR이 "데이터 컨트롤러"라고 부르는 것과 동일하며 데이터 수집 목적과 수단을 결정하는 주체)를 중요한 데이터 수탁자(SDF)로 지정할 수 있습니다. . 여기에는 처리되는 데이터의 양과 민감도, 신기술 사용, 아동 데이터 처리, 특정 사용자 임계값 이상의 소셜 미디어 회사 등이 포함됩니다.

SDF는 데이터 보호 영향 평가 수행 및 데이터 보호 담당자 임명과 같은 규정 준수 요구 사항을 강화했습니다. 금융 데이터를 처리하는 핀테크와 새로운 기술을 사용하는 모든 스타트업은 SDF 분류에 대해 여전히 우위를 점할 것입니다.

또한, 어린이 데이터를 보호하기 위한 추가 보호 장치를 구축하기 위한 노력의 일환으로 이 법은 모든 온라인 비즈니스가 어떤 방식으로든 서비스에 연령 제한을 적용하도록 효과적으로 요구하고 있습니다. 그러나 연령 제한 기술 표준에 대한 지침은 이후 단계에서 규제 기관에서만 제공되므로 규정 준수 계획을 세우기가 어렵습니다.

로컬 스토리지 요구 사항이 스타트업의 경쟁력에 영향을 줄 수 있음

많은 인도 스타트업이 예를 들어 인도 외부에 위치한 클라우드 서비스 제공업체의 서비스를 사용하기 위해 국경을 넘는 데이터 전송에 의존하고 있습니다. 데이터의 자유로운 흐름을 방해하는 조항은 비용 효율적이고 동급 최고의 기술 및 인프라에 액세스할 수 없는 신생 기업에게 어려움을 초래할 것입니다. 또한 로컬 스토리지 요구 사항은 전 세계 소비자를 수용하려는 야망을 가진 딥 테크(AI/ML, 데이터 분석) 스타트업에 장애물이 될 수 있습니다.

2019년 법안은 이미 국경 간 데이터 전송에 대해 몇 가지 제한을 부과했습니다. JPC는 DP 법안에서 계약 또는 그룹 내 계획에 따른 전송에 대해 중앙 정부의 승인을 요구하는 것과 같은 데이터 전송에 대한 추가 관료적 장애물을 제안했습니다.

데이터의 자유로운 흐름은 균등화 역할을 하여 스타트업이 규모에 관계없이 가격과 품질에서 전 세계적으로 경쟁할 수 있도록 합니다. 반면에 데이터 전송에 대한 과도한 제한은 글로벌 클라우드 플랫폼과 스타트업을 위한 국제 시장에서 제공하는 더 저렴한 서비스와 최첨단 기술에 대한 액세스를 차단할 수 있습니다.

알고리즘과 영업비밀의 '공정성' 공개는 스타트업의 지적재산권에 영향을 미칠 수 있다

제안된 법률은 엔터티가 데이터 규제 기관과 '알고리즘의 공정성'에 대한 정보를 공유할 것을 요구합니다. 이는 처리의 투명성을 보장하고 알고리즘의 오용을 방지하기 위한 것입니다. '공정성'이 무엇을 의미하는지, 얼마나 많은 정보를 공개해야 하는지 명확하지 않습니다. 또한 규제 기관이 알고리즘을 알고리즘 소스 코드를 의미하는 것으로 해석하는 경우 비즈니스의 IP 권리에 영향을 미칠 수도 있습니다.

DP 법안은 또한 개인이 회사에 자신의 개인 데이터를 자신이나 다른 회사에 이전하도록 요청할 수 있도록 허용합니다. 전송할 수 있는 개인 데이터의 범위는 사용자에게 서비스를 제공하는 과정에서 생성된 데이터와 사용자 프로필의 일부를 구성하는 모든 데이터를 포함하기 때문에 광범위합니다. 여기에는 기밀 비즈니스 통찰력이 포함될 수 있습니다.

2019년 법안은 기업이 영업 비밀을 보호하기 위해 필요한 경우 이러한 요청을 거부할 수 있도록 허용했지만 JPC는 영업 비밀 면제를 제거하고 기업의 기밀 비즈니스 정보를 경쟁업체에 노출할 것을 제안합니다. 스타트업은 경쟁력을 유지하기 위해 데이터 해자에 크게 의존하기 때문에 성장 전망에 해가 될 수 있습니다.

더 많은 인증

DP 법안은 또한 디지털 장치의 데이터 유출 또는 국가 안보 위협을 방지하기 위해 컴퓨팅 장치의 소프트웨어 및 하드웨어에 대한 인증 및 테스트 체제를 구축할 것을 제안합니다. 이는 기존의 지역 및 글로벌 표준에 추가하여 새로운 하드웨어/소프트웨어 표준의 생성으로 이어질 수 있습니다. 이는 생산 운영을 방해할 수 있으며 하드웨어 및 소프트웨어 시스템을 변경해야 하는 스타트업에게만 부담을 주어 비용을 증가시킬 수 있습니다.

다음은 무엇입니까?

JPC의 보고서는 데이터 규제 기관이 혁신을 장려하기 위해 신생 기업과 중소기업의 이익을 염두에 둘 것을 권장하지만 무엇보다도 불확실한 규정 준수, 엄격한 로컬 스토리지 요구 사항 등이 이러한 의도를 무산시킬 수 있습니다. 따라서 정부가 민주당의 법안을 심의하는 만큼 스타트업의 고민을 정부에 전달하는 것이 중요하다.

이를 위해 Ikigai Law는 2022년 2월 24일 오후 3시(IST)에 가상 라운드테이블인 Unscramble: Impact Of India's Data Protection Framework For Startups 에서 제안된 개인 데이터 보호 프레임워크의 영향에 대해 논의하기 위해 생태계의 모든 이해 관계자를 초대합니다.

지금 슬롯을 예약하세요