제안된 데이터 보호법이 귀하의 스타트업에 어떤 영향을 미칩니까?

합동 의회 위원회(JPC) 는 최근 2019년 개인 데이터 보호 법안(2019년 법안)에 대한 보고서를 제출하여 비개인 데이터(NPD)를 범위 내로 가져오고 알고리즘의 공정성을 공개하는 법의 범위를 확대할 것을 권고했습니다. 일단 법이 도입되면 스타트업은 상당한 규정 준수 비용을 고려하여 데이터 처리 관행을 재고해야 합니다.

스타트업 생태계의 플레이어가 제안된 데이터 보호법의 영향을 해독할 수 있도록 Ikigai Law는 2월 24일 ' Unscramble: Impact of India's Data Protection Law on Startups ' 대화형 가상 토론을 조직했습니다.

토론에는 선도적인 핀테크, 에드테크, 헬스테크, 전자상거래 및 AI 서비스 회사의 대표자들과 함께 스타트업 커뮤니티의 폭넓은 참여가 있었습니다.

Ikigai Law의 수석 어소시에이트인 Sreenidhi Srinivasan이 이끄는 토론에서는 2019년 법안이 스타트업에 미치는 영향을 설명했습니다. 데이터 세트를 개인 데이터 및 NPD로 분류하는 문제, 법률 준수가 스타트업의 확장을 방해할 수 있는 방법, 특정 공개의 IPR 영향 등을 다루었습니다.

NPD 및 기타 독점 데이터를 규제하는 것은 콜라에 '비밀' 공식을 공개하도록 요청하는 것과 같습니다.

개인정보보호법이 시행된 지 5년이 조금 넘었습니다. 그 과정에서 정부는 NPD(익명 데이터/비즈니스 정보)를 활용하여 경제적 가치를 창출한다는 아이디어를 얻었습니다. 현재 이 법은 개인 데이터와 NPD를 모두 규제할 것을 제안합니다. 이를 통해 중앙 정부는 정책 결정 목적으로 기업이 NPD를 공유하도록 지시할 수 있습니다. Sreenidhi는 법의 확대된 범위, NPD 규제의 필요성, 경쟁 우위를 위해 데이터 해자에 의존하는 신생 기업에 미치는 영향에 대한 견해를 구했습니다.

Florence Capital(대출 플랫폼)의 수석 고문 Ashutosh Senger는 NPD를 포함하는 것이 데이터 액세스의 균형을 유지하기 위한 단계이지만 독점 데이터 자산이 제공하는 경쟁 우위를 무시할 수 없는 방법에 대해 말했습니다. 그는 NPD를 사회 경제적 목적으로 사용하는 정부의 이익과 기업의 지적 재산권(IP) 권리 사이의 균형을 맞출 필요가 있음을 시사하며 “국가와 전체 생태계 또는 전체 생태계의 이익을 어떻게 증진할 것인가? 기업가 정신과 혁신의 환경.”

MyUpchar(의료 플랫폼)의 공동 설립자인 Manuj Garg는 데이터가 모든 스타트업의 '기축 통화'라고 덧붙였습니다. “당신이 한 작업에서 생성하는 모든 것은 당신의 지적 재산입니다. 그것은 시장에서 당신에게 이점을 제공하고 당신이하고있는 일을 할 수있게 해줍니다. 그런 다음 이 데이터를 공개해야 한다고 말하는 것은 본질적으로 비즈니스를 죽이는 것입니다.”

제안된 법률에는 알고리즘의 '공정성'을 공개하도록 요구하는 것과 같이 기업의 지적 재산권을 침해할 수 있는 다른 조항이 있습니다. 아직 '공정성'을 정의할 수 있는 문턱은 없고, 앞으로 그런 해명이 나온다 해도 알고리즘에 대한 기술적 노하우는 대중이 아는 지식이 아니다.

Garg는 “코카콜라에게 그들의 비밀 공식을 공개하도록 요구하는 것과 같습니다.

HyperVerge(신원 확인 및 사기 탐지 플랫폼)의 선임 법률 고문인 Megha Nambiar는 NPD를 포함하면 "기본적으로 침해되고 있는 개인 데이터이기 때문에 혼합에 많은 불확실성이 추가된다는 데 동의했습니다. 그리고 다시 문제가 되는 데이터 공유에는 필수 요소가 있습니다.” 그녀는 데이터 공유를 촉진할 인센티브가 부족하다고 언급했습니다.

Nambiar는 방에 몇 가지 질문을 던지고 그러한 데이터 공유가 자발적일 수 있는지, 그리고 어떻게 가격이 책정되고, 가치가 있고, 공유되는지 궁금해했습니다.

Uni Cards의 법률 고문인 Sruthi Srinivasan은 이전 발표자들의 의견에 동의했으며 파생/익명 데이터 세트를 규제할 필요성에 대해 의문을 제기했습니다.

신생 기업은 제안된 법률이 구조화되는 방식에서 엄청난 도전에 직면할 것입니다

법이 시행되면 기업은 데이터 관련 정책을 다시 검토하고 법을 준수하도록 예산을 조정해야 합니다. Sreenidhi는 기업이 예상하는 규정 준수 문제에 대한 견해를 구했습니다.

Zeta(핀테크 스타트업)의 법률 책임자인 Aditya Shamlal은 현재 형태의 법률이 '컴플라이언스 중대'라고 말했습니다. 그리고 “이 법의 진정한 의미는 설계에 의한 프라이버시, 잊혀질 권리 등과 같은 사항에 대해 발행된 규정 및 실행 강령에 표시될 것입니다. 이러한 규정이 나올 때까지 GDPR과 같은 유럽의 경험을 바탕으로 교육받은 추측을 하는 모호한 공간에서 작업하고 있습니다.” 그는 새로운 데이터 중심 신생 기업이 법이 시행되면 시장에 진입하고 확장하는 것이 어렵다는 것을 알게 될 것이라고 믿었습니다.

당신을 위해 추천 된:

자원

인도에서 핀테크를 혁신하기 위해 RBI의 Account Aggregator Framework를 설정하는 방법

아밋 다스

2022년 7월 31일

소식

기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...

재스프리트 K.

2022년 7월 31일

자원

메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?

바이바브 S.

2022년 7월 31일

자원

인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?

차라냐 L.

2022년 7월 31일

자원

Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...

안쿠시 S.

2022년 7월 31일

소식

이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...

타판자나 R.

2022년 7월 31일

참가자들은 또한 부문별 규제 기관과 향후 데이터 규제 기관 간의 상호 작용에 대해서도 논의했습니다. Uni Cards의 Sruthi는 핀테크 분야의 많은 규제 대상이 이미 표준 데이터 관행에 동의를 철회할 수 있는 권리(제안된 데이터 보호법에 따라 상정됨)를 통합하고 있다고 언급했습니다. 그녀는 플레이어가 감사 목적으로 표시하기 위해 데이터 세트를 시스템의 데이터 로그로 유지해야 하는 규제된 공간에서 동의 철회가 어떻게 진행되는지 궁금했습니다.

Sruthi는 규제 기관이 철회 및 보유할 수 있는 정보의 양에 대한 질문을 처리해야 한다고 말했습니다. “미래에 고객은 규제 대상에 접근하여 시스템에서 자신의 정보를 완전히 삭제하도록 요청할 수 있습니다. 그러나 대출 플랫폼인 RBI에서는 이 고객을 온보딩했다는 사실을 확인하기 위해 해당 정보를 유지해야 합니다.”라고 그녀는 말했습니다.

Urban Company(하이퍼로컬 전문가 서비스 플랫폼)의 법률 책임자인 Vinita Varghese는 Sruthi의 의견에 동의하고 “현재 초안이 작성되는 방식으로 법률을 시행하는 것에 대해 이야기할 때 이는 스타트업에 비용과 시간을 투자하는 것입니다. 소규모 조직인 반면, 이 프로세스를 시작하지 않은 대규모 조직의 경우 이는 완전히 괴물 같은 작업입니다.”

그녀는 제안된 법률에 따라 규모에 관계없이 기업이 데이터를 다양한 범주로 묶을 수 있도록 데이터 인벤토리를 생성해야 한다고 말했습니다. 이것은 조직의 모든 직종을 포함하기 때문에 엄격한 법적 행사가 아닙니다. Varghese는 또한 신생 기업이 법을 준수할 수 있도록 하려면 교차 기능 수준에서 인식과 교육이 필요하다고 말했습니다.

이 문제를 바탕으로 Garg는 법률 전문 지식이 없는 평범한 공동 창립자가 개인 데이터, 민감하고 중요한 개인 데이터가 의미하고 포함하는 내용을 푸는 데 어려움을 겪는 방법에 대해 논의했습니다. 데이터 범주가 다르면 동의 임계값도 다릅니다(민감한 데이터의 경우 명시적 동의를 받아야 하는 의무가 강화됨). 그는 원격 의료 지침에 따라 환자가 상담을 시작하면 앱이 환자의 명시적 동의를 받을 필요가 없다고 언급했습니다. 그러나 제안된 데이터 법에 따르면 "명시적 동의가 어떻게 관리될지는 불분명합니다." Garg는 또한 데이터 무결성을 유지하기 위해 도입된 하드웨어 소프트웨어 인증 획득의 모호성과 소프트웨어가 업데이트될 때 이러한 인증을 재검토해야 할 필요성을 지적했습니다.

Girnarsoft.com(IT 솔루션 제공업체)의 법률 고문인 Panduranga Acharya는 "규정 준수는 어려울 수 있으며 비용이 많이 들 수 있습니다."라고 말했습니다.

그는 더 비싼 규정 준수 요구 사항에서 중소기업을 제외하기 위한 임계값을 포함할 것을 요구했습니다. Acharya는 또한 다양한 데이터 범주에 대해 서로 다른 동의 표준의 어려움을 확인했습니다. 그는 "민감하고 중요하며 민감하지 않은 데이터와 같은 범주화는 다양한 동의로 이어지거나 양극성 비율 동의 메커니즘을 취하게 될 것입니다. 그러한 동의 메커니즘을 배포하는 것은 모든 비즈니스에 매우 어려울 수 있습니다.”

아동 데이터에 대한 강화된 보호 장치는 Edtech 비즈니스에 막대한 비용을 초래합니다.

Qshala(edtech 플랫폼)의 공동 설립자인 Sachin Ravi는 중국과 인도가 교육 기술 부문을 규제하기 위한 정책에 대해 어떻게 노력하고 있는지에 대해 말했습니다. 그는 어린이를 18세 미만으로 정의하는 것은 해당 분야의 여러 참여자에게 우려되는 일이라고 지적했습니다. 그는 "데이터를 어떻게 사용할 수 있는지에 대한 교육 기술에 대한 정부의 지침"이 도움이 될 수 있다고 말했습니다.

KidsChaupal(에드테크 플랫폼)의 법률 고문인 Shatakrutu Saha는 18세를 18세로 설정한 근거가 인도 계약법 및 다수결법의 조항에서 나온 것이기 때문에 변경될 가능성이 없다고 말했습니다. 그러나 그는 소년법이 성년 연령을 다르게 이해하고 있다는 점에 주목했다.

Saha는 16세 인디언이 세계 체스 챔피언 Magnus Carlsen을 이긴 방법에 대한 흥미로운 통찰력을 공유했습니다. 문제가 있는 시나리오”라고 말했다. 그는 또한 어린이를 13-16세 사이로 정의하는 EU와 같은 다른 글로벌 프레임워크와 인도 간의 접근 방식의 차이점에 대해서도 말했습니다.

연령 제한 메커니즘 및 부모 동의 조항에 대한 명확성 부족도 논의되었습니다. Qshala의 Ravi는 부모가 개인 정보를 포기하는 대신 자녀의 가명 계정을 만드는 방법을 모색할 수 있다고 말했습니다. 그러나 익명 데이터를 사용하여 콘텐츠를 만들고 성인 사용자와 어린이 모두에게 서비스를 제공하는 방식에 대한 질문이 남아 있습니다. KidsChaupal의 Saha는 연령 제한이 위험을 기반으로 할 수 있다고 언급하면서 데이트 및 온라인 게임 앱과 같은 특정 연령 그룹 및 인구 통계를 대상으로 하는 제품 및 서비스에 대해 이러한 조치가 시행되고 있다고 설명했습니다. 이러한 앱 및 서비스에서 연령 제한은 해당 서비스와 관련된 위험으로부터 미성년자를 보호하기 위해 수행됩니다.

Saha는 새로운 기능을 구현하면 제안된 법률에서 피해 또는 추적의 정의를 유발할 수 있다고 덧붙였습니다. 아동 데이터 추적/프로파일링에 대한 전면적인 금지와 피해에 대한 광범위한 정의는 에드테크 스타트업의 제품 설계와 법무팀 사이에 마찰을 일으킬 수 있습니다.

제안된 법률은 인도의 데이터 경제를 주도하기 위해 글로벌 프레임워크와 상호 운용 가능해야 합니다.

Sreenidhi는 제안된 법률이 글로벌 데이터 프레임워크와의 상호 운용성을 촉진하고 법률 준수가 글로벌 시장에 대한 액세스에 어떤 영향을 미칠 수 있다고 생각하는지 질문했습니다.

Qure.ai(헬스테크 플랫폼)의 법률 어소시에이트 Neelakshi Gupta는 글로벌 규정 준수와 관련하여 몇 가지 질문을 제기했습니다. 그녀는 “국가 간 데이터 전송이란 무엇입니까? 새로운 표준 계약 조항(SCC)은 언제 적용됩니까? 고객과 SCC에 서명하면 Schrems II 판단을 준수한다고 말할 수 있습니까?”

글로벌 규정 준수 전략의 측면에서 HyperVerge의 Nambiar는 비즈니스가 다른 지역의 공급업체를 포함하기 때문에 전 세계적으로 여러 데이터 보호 프레임워크에서 데이터 현지화로의 이동이 우려된다고 말했습니다. 그녀는 "데이터 현지화가 점점 더 세계적인 추세가 되는 것을 본다면 이러한 각 지역에 로컬 데이터 센터를 보유하는 것은 우리에게 매우 비용이 많이 들 것입니다."라고 말했습니다.

Urban Company의 Varghese는 국가마다 현지화 기준이 다르기 때문에 데이터 현지화 조항이 규정 준수 문제를 야기할 것이라는 데 동의했습니다. 그녀는 비즈니스 친화적이며 여러 관할 구역에서 호환되는 데이터 로컬라이제이션의 황금 표준이 개발될 수 있다고 말했습니다.

스타트업의 우려 사항에 참여하기 위한 다음 단계

규정 준수 비용과 특정 조항에 대한 명확성 부족은 신생 기업의 주요 관심사입니다. 인도를 디지털 경제의 주요 플레이어로 포지셔닝하려는 정부의 목표는 활성화된 데이터 보호 체제를 동반해야 합니다. 이를 통해 스타트업이 규모를 확장하고 글로벌 시장에 진출할 수 있어야 합니다.

현재 IT부는 JPC의 권장 사항에 대해 논의하고 있으며 법률에 따른 규정 준수 문제를 인정하고 있습니다. 이는 신생 기업과 소규모 기업이 정책 입안자들과 교류하고 법률에 대한 광범위한 공개 협의를 요청하고 상호 이익이 되는 솔루션을 위해 노력할 수 있는 좋은 기회입니다.

* 인용문은 기사와 문맥에 맞게 수정 및 수정되었습니다.

*이 기사는 Ikigai Law의 동료인 Shrinidhi Rao와 Kanupriya Grover가 공동으로 작성했습니다.