Loading…
DPDPA는 GDPR로부터 목적 제한, 정보주체 권리, 침해 통지, 데이터 보호 책임자라는 개념 자체에 이르기까지 많은 부분을 차용합니다. 그러나 인도의 체계는 더 간결하고 동의 중심적이며, '정당한 이익' 적법 근거를 두지 않고, 매출 비율 기반 과징금 대신 위반 건당 크로르 단위 상한을 사용합니다. 전 세계 어디에서든 인도 정보주체에게 서비스를 제공한다면 두 가지 관점을 모두 갖추어야 합니다.
| 항목 | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| 법적 문서 | 2023년 디지털 개인정보 보호법 + 2025년 DPDP 규칙(G.S.R. 846(E)) | 규정(EU) 2016/679 |
| 시행일 | 법률: 2023년 8월 11일; 규칙: 2025~2026년에 걸쳐 단계적 시행 | 2018년 5월 25일 |
| 적용 지역 범위 | 인도 정보주체의 디지털 개인정보 처리 — 전 세계 어디에서든(제3조) | EU/EEA + 제3조에 따른 역외 적용 |
| 적법 근거 | 동의 또는 "특정한 정당한 이용"(제7조) — 좁게 정의됨 | 6가지 근거(제6조); 정당한 이익을 폭넓게 활용 가능 |
| 동의 요건 | 자유롭고 구체적이며 정보에 입각하고 무조건적이며 명확함 — 명확한 통지 포함(제6조) | 자유롭게 제공되고 구체적이며 정보에 입각하고 명확함 — 철회 가능(제7조) |
| 데이터 보호 책임자 | 중요 데이터 수탁자(SDF) — 인도 내 DPO 지정 의무(제10조) | 특정 경우 의무(제37조) |
| 현지 대리인 | 법령상 요구되지는 않음(다만 이사회 상호작용에 있어 운영상 매우 중요함) | 비EU 컨트롤러의 경우 제27조 EU 대리인 의무 |
| 최대 과징금(건당) | 2억 5천만 루피(약 3,000만 미국 달러) — 보안 안전조치(규칙 6) | 2,000만 유로 또는 전 세계 매출의 4%(제83조 제5항) |
| 단계별 과징금 구조 | 보안 2억 5천만 루피 · 침해 통지 2억 루피 · 아동 데이터 1억 5천만 루피 · 기타 5천만 루피 | 두 단계: 1,000만 유로/2%(하위)와 2,000만 유로/4%(상위) |
| 침해 통지 | 72시간 내 인도 데이터 보호 위원회 및 영향을 받은 정보주체에게 통지(규칙 7) | 72시간 내 감독기관에 통지(제33조), 고위험 시 정보주체에게 통지(제34조) |
| 규제기관 | 인도 데이터 보호 위원회(DPBI) | 27개 EU 회원국 DPA + EDPB |
| 아동 데이터 | 18세 미만은 검증 가능한 부모 동의 필요(제9조). 행동 추적 금지, 타겟 광고 금지. | 기본 동의 연령 16세(회원국은 13세까지 낮출 수 있음) |
| 정보주체 권리 | 열람, 정정, 삭제, 고충 처리, 지명, 동의 철회(제11~14조) | 이동권, 자동화된 의사결정에 대한 이의 제기를 포함한 8가지 권리(제15~22조) |
| 이동권 | DPDPA에서는 부여되지 않음 | 예 — 제20조 |
| 자동화된 의사결정에 대한 이의 제기권 | DPDPA에서는 부여되지 않음 | 예 — 제22조 |
| 국경 간 이전 | 중앙정부가 특정 목적지를 제한하지 않는 한 허용(제16조) | 제한됨 — SCC/BCR/적정성 필요(제5장) |
| 데이터 현지화 | 법률상 전면적 현지화 요건은 없음; RBI 규칙은 결제 데이터 현지화를 요구 | GDPR상 현지화 요건 없음; 일부 회원국은 분야별 규칙을 부과 |
| 민감 데이터 범주 | 명시적으로 분류되지 않음(개인정보 단일 계층) | 명시적 동의 요건이 있는 특수 범주 데이터(제9조) |
| DPIA 상응 요건 | SDF에 대해 의무(제10조 제2항) | 고위험 처리에 대해 의무(제35조) |
| 독립 감독기관 항소 | 통신 분쟁 해결 및 항소 심판소(TDSAT) | 직접적 사법 구제 + DPA 진정권(제77~79조) |
아닙니다 — GDPR의 용어를 차용하기는 합니다. DPDPA는 동의를 우선하며, "정당한 이용"의 범위가 더 좁고, 데이터 이동권과 자동화된 의사결정에 대한 이의 제기권을 두지 않으며, 매출 비율 기반 과징금 대신 위반 건당 크로르 단위 상한을 사용합니다. 그럼에도 체계적 위반의 경우 과징금 노출은 5억 루피에 달할 수 있습니다.
아닙니다 — 매핑된 단일 프로그램을 운영하십시오. GDPR의 더 엄격한 요건(DPIA, 동의 철회, 72시간 침해 통지)을 기준선으로 사용하고, DPDPA 고유의 추가 요소(위원회 통지, SDF를 위한 인도 DPO, 아동 데이터 제한)를 덧붙이십시오.
예, 인도 내 정보주체에게 상품이나 서비스를 제공하는 경우 적용됩니다(제3조 (b)). 서버나 법인의 소재지와 관계없이 이 법률은 역외로 적용됩니다.
법률은 발효되었으나, 규칙은 2025~2026년에 걸쳐 단계적으로 시행되고 있습니다. 데이터 보호 위원회는 운영 중입니다. 집행은 2026년에 걸쳐 강화될 것으로 예상되므로 — 지금 준비하십시오.
인도가 더 엄격합니다: 18세 미만은 검증 가능한 부모 동의를 요구하고 행동 추적이나 타겟 광고를 금지합니다. GDPR의 기본 동의 연령은 16세이며 13세까지 낮출 수 있고, 동의와 DPIA가 있으면 행동 추적이 허용됩니다.
법률에는 없으나, 실무적으로 인도 데이터 보호 위원회는 중요 데이터 수탁자에 대해 인도 거주 지정 연락 창구를 기대합니다. 그것이 당사의 인도 대리 서비스가 수행하는 역할입니다.
통제 항목을 한 번 매핑하면 두 번 준수합니다. RegulatoryBridge는 단일 DSAR 파이프라인, 단일 DPO, 단일 침해 대응 매뉴얼을 제공하여 — 두 프레임워크를 모두 커버합니다.