인도의 개인정보 보호 소송

소송은 종종 고된 과정으로 여겨진다. 인도의 법원은 일반적으로 수십 년에 걸친 적체와 미결 사건으로 인해 비판받고 있다. 그러나 이러한 소송 과정을 통해 법과 변화하는 비즈니스 환경 간의 격차가 메워진다.

2023년 제정된 인도의 디지털 개인정보 보호법(DPDP)이 마침내 현실이 되었으므로, 이 새로운 법률에 따른 소송은 불가피하다. 따라서 기업들은 앞으로 닥칠 수 있는 어려움에 대비하는 것이 필수적이다.

프라이버시 v 데이터 보호

개인정보를 보호할 권리는 많은 권리와 가치를 포함한다. 반면, 데이터 보호는 법령에 따라 규정된 권리로, 개인의 디지털 정체성과 관련이 있다.

인도의 헌법 제21조에 따라 개인정보 보호 권리가 기본권으로 인정된 점을 고려할 때, 이 기본권 침해를 주장하는 많은 사건이 제226조에 따라 여러 고등법원에 제기되거나, 제32조에 따라 직접 대법원에 제기되는 경우가 많을 것으로 추정할 수 있다.

데이터 보호 권리와 기본적인 개인정보 보호 권리의 침해는 ‘국가에 의한 개인정보 처리의 정당한 사용’이 문제 될 때만 국가를 상대로 제기될 수 있다. 예를 들어, 보조금 및 혜택 제공 목적으로 수집된 개인정보가 선거 기간 동안 시민들의 피드백을 받아 유권자에게 영향을 미치기 위해 사용된 경우, 이에 대한 구제책은 관할 고등법원 또는 대법원에 제기될 수 있다.

그러나 이러한 명령 관할권은 기본적인 개인정보 보호 권리를 집행하기 위해 사적 기관에 적용될 수 없다. 사적 기관에 대한 구제책은 DPDP에 따라 보장된 법적 권리를 집행해야 하며, 따라서 해당 법에 제공된 메커니즘을 준수해야 한다.

데이터 보호 위원회

데이터 보호 위원회(DPB)는 개인 데이터 침해를 조사하고 완화 및 구제 조치를 지시하며 벌금을 부과할 수 있는 제한된 권한을 가지고 있다. 그러나 DPB는 다음과 같은 상황에서만 사건을 처리할 수 있습니다: (i) 개인 데이터 침해 통보를 받은 경우 (ii) 데이터 주체가 준수할 경우 (iii) 중앙 정부 또는 주 정부의 추천을 받은 경우 (iv) 법원의 지시를 받은 경우 (v) 중개인이 중앙 정부의 지시를 준수하지 않은 경우.

상황을 단순하게 읽어보면 DPB는 자발적 권한, 즉 DPDP 조항을 위반하는 관행을 발견할 경우 스스로 사건을 처리할 수 있는 권한이 부족하다는 것을 알 수 있다. 인도 경쟁위원회(CCI)와 중앙 소비자 보호 당국과 같은 기관은 공공 또는 특정 부문/시장을 광범위하게 영향을 미치는 특정 관행에 대해 자발적으로 처리할 수 있는 권한을 부여받은 바 있다.

자발적 권한은 DPB와 같은 기관이 법과 기술 간의 격차를 해소할 수 있게 하며, DPB의 사전 예방적인 기능을 보여줄 것이다. 이는 혁신을 억제하는 등의 단점이 있을 수 있지만, DPDP를 효과적으로 구현할 수 있는 기회를 놓친 것이다.

항소 법원

DPDP에 따라 항소 법원으로 통신 분쟁 해결 및 항소 법원(TDSAT)이 지정됐다. 특정 법률 분야를 다루는 별도의 법원이 있는 다른 법률과 달리, TDSAT는 통신, 공항 요금, Aadhar(개인 식별 번호) 및 사이버 범죄 등을 다루며 이제 항소 기관으로서 DPDP에 따른 분쟁도 처리한다.

인도의 재판소 구조는 전문가가 참여해 분쟁을 신속하게 해결하려는 최선의 의도에도 불구하고, 증가하는 공석과 미결 사건으로 인해 엄청난 반대에 직면해 왔다.

분쟁 전략

DPDP는 특수한 법률이기 때문에 대부분의 분쟁은 해당 법률에 따라 제공되는 메커니즘, 즉 DPB를 거치게 되며, 그 후에는 재판소와 대법원의 항소 절차를 따르게 된다.

그러나 DPDP 내에서 데이터 신탁자/데이터 처리자가 고등법원이나 심지어 대법원에 지침을 요청하는 등 다양한 상황과 다양한 이해관계자에 따라 혼합 모델이 존재할 수도 있다.

다른 상황으로는 데이터 주체/데이터 수탁자가 DPB의 명령에 대해 고등법원 또는 대법원의 명령 관할권을 직접 발동할 수 있는 경우로, 자연 정의 원칙의 위반이 포함된 사례가 있다. 아래 표는 DPDP에 따른 일반적인 메커니즘과 대체 분쟁 해결 경로를 보여준다.

부문 간 조화

일부 불공정 거래 관행, 예를 들어 강제 동의와 취소 속임수는 DPDP를 위반한다. 이러한 관행을 소비자 보호 관점을 넘어 규제할 필요가 있다. 이러한 상황에서는 소비자 보호 당국과 DPB가 협력하는 것이 필수적이다. 2019년 소비자 보호법에 따라 설립된 중앙 소비자 보호 당국은 데이터 주체가 자신의 권리를 보호할 수 있는 플랫폼을 제공한다. 이 당국은 단순히 소비자의 권리 보호에만 국한되지 않고, 소비자에게 발생한 손해에 대한 보상도 제공한다.

이러한 구제책은 현재 DPDP(따라서 DPB) 하에서는 제공되지 않으므로, 데이터 주체(소비자)는 불만 해결을 위해 소비자 보호 당국에 접근해야 한다. 부문 간 조화는 소비자/데이터 주체가 적절한 구제책 없이 남겨지지 않도록 보장할 것이다.

크로스보더 분쟁

DPB가 크로스보더 분쟁을 판결하는 데 어떤 방식과 방법을 채택할지는 불분명하지만, 국제적으로 다양한 관할권에서는 준수를 보장하기 위한 방법을 채택하였으며, 이러한 준수 위반은 그러한 위반을 목적으로 구성된 당국의 표적이 될 예정이다.

크로스보더 데이터 전송의 준수 비용을 완화하기 위해, 인도는 영국과 미국의 데이터 프라이버시 프레임워크를 확장하여 유사한 접근 방식을 채택할 수 있다. 영국과 EU는 많은 기업이 있는 다른 국가들과 국가별 데이터 프라이버시 프레임워크를 구현했다. 이 프레임워크는 추가적인 준수 사항을 포함하여 크로스보더 데이터가 양국의 요구 사항을 충족하도록 하여 추가적인 소송을 방지한다.

변호

변호는 일반 대중뿐만 아니라 기업에도 DPDP 하에서 DPB의 권리, 의무 및 기능에 대한 인식을 높이는 효과적인 방법 중 하나다. CCI와 인도 통신 규제 기관(TRAI)과 같은 특정 전문 기관들은 법에 대한 캠페인을 진행하고 인식을 높이기 위한 별도의 부서를 두고 있다.

또한, 데이터 보호 준수에 관한 자문 문서는 기업이 법률을 더 잘 이해하고 데이터를 처리하는 데 도움이 될 것이다. DPDP 및 그 규칙에 대한 교육 프로그램과 인증 과정을 실시하면 더 나은 준수를 보장할 수 있다. 마지막으로, TRAI의 소비자 홍보 프로그램에 맞춰, 데이터 주체의 불만을 해결하기 위해 DPDP 법에 따라 유사한 홍보 이니셔티브를 도입하는 것이 매우 유익할 것이다. 이러한 프로그램은 준수를 크게 개선하고 개인의 데이터 권리 보호를 강화할 수 있다.

권장 사항 10가지

• DPDP 관련 사안을 처리하기 위한 별도의 재판소를 설립해야 한다. 그렇지 않으면 정부는 DPB 명령에 대한 직접 항소를 위한 특별 고등 법원 재판부를 만드는 것을 고려해야 할 것이다.
• 혁신과 개인정보 보호 사이의 균형을 맞추기 위해 DPB에 제한된 자발적 권한을 부여해야 한다.
• 특정 관할권에 대한 크로스보더 데이터 전송의 경우 추가 준수를 포함하는 프라이버시 프레임워크를 마련해야 한다.
• 인도에 기반을 두고 인도에만 존재하는 기업들은 데이터 보호 개념에 비교적 익숙하지 않다. 따라서 적극적인 옹호 없이 DPDP를 엄격히 시행하는 것은 법을 시행하는 최선의 전략이 아닐 수 있다. 지속적인 모니터링, 준수 메커니즘 및 보고가 위반에 대한 처벌로 이어지는 것이 더 효과적일 수 있다.
• 벌금만으로는 대규모로 운영되는 기업에 대한 효과적인 억제책이 되지 않을 수 있다. 반복적인 위반에 대해 중지 명령, 애플리케이션/웹사이트 금지 및 라이선스 취소는 법의 효과적인 시행과 궁극적인 목적 달성으로 이어질 수 있다.
• 산업에 도전이 되는 법적 질문이나 문제에 대해 사전 판결을 내릴 수 있도록 DPB에 권한을 부여해야 한다.
• 비물질적 손해를 청구하기 위한 최소 심각성 기준에 대한 지침을 제공할 수 있도록 DPB를 활성화해야 한다.
• 정부의 데이터 현지화 의무화가 현지 데이터 저장 센터를 설립하는 비용으로 인해 기업의 운영 및 재정 효율성을 저해해서는 안 된다. 엄격한 데이터 보호법이 없는 경우에만 정부가 데이터 현지화를 의무화하는 것이 합리적일 것이다.
• DPDP는 데이터 주체에 대한 보상을 제공하지 않는다. 이는 법의 일부로 포함되어야 한다.
• 지침 및 명확성을 발행할 수 있는 권한이 DPB에 제공되어야 한다. 이 권한은 법 자체에서 비롯되어야 할 것이다.