PDP 법안이 제정된 후 TRAI 권장 사항과 RBI 회람의 운명은 어떻게 될까요?

약 10일 전, 작년에 전자정보기술부(MeitY)가 임명한 Srikrishna 판사(Srikrishna Committee)가 위원장을 맡은 전문가 위원회는 인도의 데이터 보호 프레임워크가 어떤 모습이어야 하는지에 대한 최종 권고안을 발표했습니다. 또한 2018년 개인 데이터 보호 법안(PDP Bill) 초안을 발표했습니다.

이 글에서 저는 PDP 법안을 개인 정보 보호 및 데이터 소유권에 대한 TRAI(Telecom Regulatory Authority of India)의 권장 사항과 결제 시스템 데이터의 현지화에 대한 RBI(Reserve Bank of India)의 정책을 나란히 놓고 있습니다. (PDP 법안의 다른 측면에 대한 기사의 대조 목록은 여기 및 여기를 참조하십시오).

그렇다면 PDP 법안이 (어떤 버전이든) 제정될 때 RBI 회람과 TRAI 권고에 어떤 일이 일어날 것이라고 생각하십니까? 최근의 역사부터 시작하겠습니다.

2017년 7월, 인도 정부는 Srikrishna 위원회에 인도에 대한 포괄적인 데이터 보호법을 개발하도록 지시했습니다. 그 후 위원회는 공개 의견 수렴을 위한 백서를 발표했으며, 이후 2018년 1월에 델리, 방갈로르, 하이데라바드, 뭄바이에서 각각 하나씩 4회의 공개 협의를 실시했습니다. 6개월 후, 발표 시점에 대한 모든 추측을 끝내고 위원회는 최종 권고 사항과 PDP 법안을 발표했습니다. 한편, TRAI는 2017년 8월 통신 부문의 개인 정보 보호, 데이터 보안 및 데이터 소유권에 대한 자체 컨설팅을 시작했습니다. TRAI의 심의는 Srikrishna 위원회의 자체 실행과 병행하여 진행되었으며 Srikrishna 위원회가 자체적인 권고를 발표하기 2주도 채 되지 않은 2018년 7월 16일 통신 규제 기관이 개인 정보 보호 권장 사항을 발표하면서 절정에 달했습니다.

TRAI는 Srikrishna 위원회의 최종 권고 사항이 발표될 때까지 데이터 보호에 뛰어든 유일한 규제 기관은 아닙니다. 올해 초인 4월에 인도의 금융 규제 기관인 RBI는 결제 시스템 데이터를 현지화하도록 명령했습니다. 즉, 인도 에만 저장해야 합니다. TRAI의 권장 사항은 권장 사항에 불과하지만 RBI의 권한은 즉시 발효되었습니다. 지불 시스템 제공자는 2018년 10월 15일까지 규범을 준수하고 RBI에 준수 사실을 알려야 합니다.

TRAI와 RBI의 행동은 Srikrishna 위원회와 잘 맞지 않았습니다. TRAI가 권고 사항을 발표한 직후, 위원회는 통신 규제 기관의 이동 시기에 대해 자신의 최종 권고 사항의 발표를 연기할 것이라는 점에 대해 화가 난 것으로 보고되었습니다. RBI의 움직임과 관련하여 위원회의 최종 권고 사항을 발표하기 위한 기자 회견에서 Srikrishna 판사는 금융 규제 기관이 회람으로 총을 쐈다고 말했습니다. TRAI와 RBI에 대한 위원회의 불만은 차치하고, 부문별 규제 기관은 인도의 데이터 보호 프레임워크를 추진하는 데 핵심적인 역할을 할 것입니다. Srikrishna 판사는 이전에 이를 인정했습니다.

당신을 위해 추천 된:

소식

기업가는 'Jugaad'를 통해 지속 가능하고 확장 가능한 스타트업을 만들 수 없습니다: Cit...

재스프리트 K.

2022년 7월 31일

자원

메타버스가 인도 자동차 산업을 어떻게 변화시킬 것인가?

바이바브 S.

2022년 7월 31일

자원

인도 스타트업에 대한 반 영리 조항은 무엇을 의미합니까?

차라냐 L.

2022년 7월 31일

자원

Edtech Startup이 인도 인력의 기술 향상 및 미래 준비를 돕는 방법...

안쿠시 S.

2022년 7월 31일

소식

이번 주 새로운 시대의 기술 주식: Zomato의 문제는 계속되고 EaseMyTrip은 Str...

타판자나 R.

2022년 7월 31일

특징

인도 스타트업, 자금 조달을 위해 지름길 선택

니킬 S.

2022년 7월 31일

PDP 법안은 인도를 위한 포괄적인 데이터 보호 프레임워크를 개발하기 위한 첫 번째 단계일 뿐입니다. 부문별 규제 기관인 TRAI와 RBI는 PDP 법안을 운영하고 해당 부문의 개인정보 보호 원칙과 규범을 개발하는 데 중요한 역할을 할 것입니다. PDP 법안은 법의 시행을 감독하기 위해 새로운 기관인 데이터 보호 기관의 창설을 구상하고 있지만, 이 기관이 다른 부문 규제 기관과 협의하고 협력할 것을 요구하고 있습니다.

PDP 법안이 모법이 될 것이라는 점을 감안할 때 TRAI, RBI 또는 기타 규제 기관이 데이터 보호에 대해 취하는 모든 조치는 해당 조항에 따라야 합니다. 모법이 시행될 때 모법과 일치하지 않는 모든 규제 기관의 조치는 재검토되어야 합니다. 이를 염두에 두고 관할권을 통신 너머까지 확대하는 TRAI의 포괄적인 개인 정보 보호 권장 사항이 현재 형태의 구체적인 규제로 전환될 가능성은 거의 없습니다. 통신 규제 기관이 규제에 대해 이야기하는 "디지털 생태계"는 어떤 경우에도 해당 국가의 데이터 보호법의 적용을 받습니다.

TRAI는 관할권을 확장하고 있습니까?

관할권을 확장하려는 TRAI의 시도는 새로운 것이 아니며, "부가가치 서비스"를 처음으로 규제하려고 시도한 2008년으로 거슬러 올라갈 수 있습니다. 지난 10년 동안 "부가가치 서비스"는 "애플리케이션 서비스", "오버톱 서비스", 그리고 지금은 "디지털 서비스"가 되었습니다. 생태계”.

TRAI의 개인 정보 보호 권장 사항(과도한 규제에 대한 최근 시도)은 특정 핵심 영역에서 PDP 법안과 다릅니다.

TRAI의 관점에서 사용자는 자신의 개인 정보를 소유하고 데이터 컨트롤러(PDP 법안에 따라 데이터 수탁자라고 함)는 이 데이터의 "단순한 관리자"입니다. PDP 법안은 사용자에게 소유권을 부여하지 않지만 데이터 수탁자와 사용자 사이에 수탁자 관계를 만들어 전자가 후자의 최선의 이익을 위해 행동해야 합니다.

또한, PDP 법안은 법률에 따라 데이터 수탁자에게만 책임이 있고 특정 조건에서만 데이터 처리자는 책임을 지는 반면, TRAI는 컨트롤러와 처리자 모두가 책임을 져야 한다고 생각합니다. TRAI의 권장 사항과 PDP 법안도 데이터 현지화에서 다릅니다. 통신 규제 기관은 이 문제에 대해 구체적인 권장 사항을 제시하지 않았으며 Srikrishna 위원회에 전달했습니다.

한편, PDP 법안은 다양한 데이터 범주에 대해 서로 다른 수준의 데이터 현지화를 지정하고 중요한 개인 데이터는 인도에서만 저장 및 처리되도록 규정하고 있습니다. 흥미롭게도 초안은 중요한 개인 데이터가 무엇인지 명시하지 않고 중앙 정부가 정의하도록 합니다. 정부는 통신 데이터를 중요한 개인 데이터로 지정할 가능성이 높습니다.

TRAI 권고와 달리 RBI 회보는 PDP 법안과 대체로 일치하는 것으로 보입니다. 그러나 중요한 개인 데이터를 구성하는 요소가 무엇인지 명확하지 않은 것은 재무 정보에도 문제가 됩니다. 통신 데이터와 마찬가지로 정부는 금융 데이터를 중요한 개인 데이터로 지정할 가능성이 높습니다. 그렇다면 결제 시스템 데이터뿐만 아니라 모든 금융 데이터는 인도에서만 로컬로 저장되고 처리되어야 합니다.

PDP 법안은 입법화되기 전에 수정될 가능성이 있습니다. 그러나 법률의 최종 형태와 상관없이 부문별 규제 기관이 인도의 데이터 보호법을 형성하는 데 중요한 역할을 한다는 사실은 변함이 없습니다.