PDP 법안에 따른 데이터 분류: 스타트업에 대한 시사점

게시 됨: 2020-03-13

2019년 12월 의회에 제출된 PDP 법안은 개인, 민감한 개인 및 중요한 개인 데이터의 범주에 대한 명확성이 부족합니다.

이러한 불분명한 분류로 인해 사용자를 더 큰 개인 정보 위험에 노출시킬 뿐만 아니라 인도 스타트업의 데이터 처리 활동에도 영향을 미칠 수 있습니다.

현재 이 법안은 국회 합동위원회에서 심의 중이다.

2019년 12월 11일 의회에 제출된 개인 데이터 보호(PDP) 법안은 인도 디지털 경제의 미래와 시민의 개인 정보 보호를 위한 초석이 될 예정입니다.

그러나 데이터를 개인 데이터(PD), 민감한 개인 데이터(SPD) 및 중요 개인 데이터(CPD)로 분류하는 것은 이러한 기대와 일치하지 않습니다. 이러한 우려는 데이터가 각 범주에 해당하는지에 대한 명확성이 부족하여 필요한 예방 조치를 취하는 데 필요한 가시성이 부족한 회사에 불확실성과 어려움을 야기하는 데서 비롯됩니다.

결과적으로, 데이터의 불명확한 분류는 데이터 보호에 적합한 보안 제어의 결정을 방해함으로써 사용자를 개인 정보 위험에 노출시킵니다. 특히 신생 기업에 대한 이 범주의 의미는 의회 의원의 합동 위원회가 법안을 검토할 때 신중하게 고려해야 합니다.

민감한 개인 데이터에 대한 광범위한 정의

개인 데이터 SPD의 하위 집합은 금융 데이터, 건강 데이터, 생체 인식 데이터, 유전 데이터, 종교적/정치적 신념/성적 성향 또는 카스트/부족 상태를 나타내는 데이터로 구성됩니다. 이 목록에 의해 생성된 규제 불확실성은 문제를 야기할 수 있습니다. 예를 들어 모든 금융 데이터/데이터 공개 카스트 또는 종교를 SPD가 국경 간 전송 및 데이터 처리에 대한 추가 제한을 유발할 수 있다고 취급할 수 있습니다.

'재무 데이터'는 PDP 법안에서 계속 광범위하게 정의됩니다. 예를 들어, 금융 서비스를 제공하는 회사에서 수집한 이름은 SPD로 분류될 수 있습니다. 또한 '재무 데이터' 범위 내에서 P2P 거래에 필요한 지불 식별자를 포함하려면 사용자가 해당 법안의 SPD 의무를 준수해야 합니다. 또한 위험 관리 및 사기 탐지와 같은 운영에 문제를 일으킬 수 있습니다. 또한 건강 데이터와 생체 데이터를 포함하는 것도 문제가 됩니다.

표면적으로는 생체 인식 데이터의 정의가 음성 인식 보조 서비스에 영향을 미칠 수 있는 반면 건강 데이터는 진단 서비스를 제공하고 영양 조언을 제공하는 스타트업의 관행을 바꿀 수밖에 없습니다.

SPD 분류는 또한 성 또는 정치적/종교적 정보를 드러내는 정보와 같이 공개적으로 이용 가능한 정보의 일상적인 사용에 비현실적인 영향을 미칠 수 있습니다. 예를 들어, 회사는 SPD를 처리하기 위해 사용자의 명시적인 동의를 요구합니다. 즉, 정기적인 통지 및 동의 요구 사항과 함께 데이터 처리의 결과를 알려야 합니다.

당신을 위해 추천 된:

인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator 프레임워크 설정 방법
자원

인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator Framework를 설정하는 방법

기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: CitiusTech CEO
소식

기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...

메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?
자원

메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?

인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?
자원

인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?

Edtech Startup이 기술 향상 및 인력을 미래에 대비할 수 있도록 지원하는 방법
자원

Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...

소식

이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...

따라서 인도와 같은 국가에서 카스트/종교를 드러내는 개인의 이름을 수집하는 회사는 법안에 따른 모든 SPD 요구 사항을 준수해야 합니다. 반면에 EU의 GDPR에 따라 SPD 목록을 줄이거나 처리의 '목적'이 수반하는 특정 위험을 기반으로 SPD를 분류하면 이러한 우려를 완화할 수 있습니다.

규정의 불확실성으로 인해 규정 준수가 어려워질 수 있음

PDP 법안은 CPD를 정의하거나 이 분류의 기초를 제공하지 않습니다. 또한 중앙 정부가 새로운 범주의 SPD를 알릴 수 있는 권한을 부여합니다. 이 두 조항 모두 규제 불확실성을 만들고 규정 준수를 어렵게 만듭니다. 명확한 기준의 부재는 이러한 불확실성을 더욱 악화시킬 뿐입니다. 특히 법률에 정의되지 않은 데이터 유형을 수집하는 데 불안을 느끼는 소규모 회사의 경우 더 높은 규정 준수가 수반됩니다.

중앙 정부가 특정 지침 없이 CPD를 지정하도록 허용하면 수행하는 데 필요한 전문 지식이 없을 수 있는 과도한 권한이 부여됩니다. 가장 우려되는 점은 분류 과정에서 데이터 보호 당국(DPA) 또는 업계와 협의할 필요가 없어 비즈니스 예측 가능성이 심각하게 저해되고 오용에 대한 우려가 발생한다는 것입니다.

그러나 CPD(및 SPD의 새로운 범주)에 알리기 전에 투명한 DPA 및 업계 협의를 수행하도록 중앙 정부에 명령하면 이러한 문제를 해결할 수 있습니다. 제 동료들이 이전에 쓴 것처럼, 법률 제정의 투명성이 높아짐에 따라 기업은 계획을 세우고 미래에 대비할 수 있으며, 불투명한 법률 제정 프로세스는 시장 진입 장벽으로 작용하여 비용이 많이 드는 소송을 초래하는 경향이 있습니다.

국경 간 송금에 대한 제한 사항

SPD의 광범위한 정의는 사실상 인도에 거의 모든 종류의 데이터를 저장해야 한다는 요구 사항을 초래합니다. 또한 대부분의 데이터가 PD와 SPD로 구성된 혼합 데이터 세트로 수집 및 저장되기 때문에 이러한 데이터 세트에서 SPD 또는 PD를 분리하는 것은 비실용적입니다. 이러한 제한은 해외 기업과 데이터를 공유해야 하는 스타트업 또는 글로벌 확장을 계획하는 스타트업의 운영을 방해하여 이윤을 줄이고 생산성을 낮추며 경쟁력을 약화시킬 수 있습니다.

다만, SPD의 양도가 이미 규제되어 있기 때문에 현지 보관 제한이 희석될 수 있습니다. 또한 PDP 법안이 '허용되는' 국가로의 데이터 이전을 허용한다는 점을 감안할 때 양자 및 다자간 데이터 이전 프레임워크가 권장되어야 합니다.

결론적으로 SPD 및 CPD에 대한 정의의 모호성과 이러한 정의에 따른 제한은 비즈니스 운영 및 규정 준수 조치를 계획하는 회사에 심각한 제약을 제시하며, 이는 다시 사용자 개인 정보의 약화를 초래합니다. 대신, 기존 분류의 개방형 특성을 완화하기 위해 법안은 강력한 업계 협의를 기반으로 분류를 위한 명확한 기준을 개발할 수 있도록 해야 합니다.

또한 SPD 및 CPD의 추가 범주는 이해 관계자의 의견을 받은 후에만 알려야 합니다. 자문 접근 방식은 업계의 신뢰와 동의를 높이고, 정보에 입각한 규제 기관을 설립하고, 전면적인 책임을 증가시킬 것입니다.