EU의 GDPR부터 미국 캘리포니아주의 CCPA, 그리고 최근 인도의 Digital Personal Data Protection Act(DPDPA) 2023에 이르기까지 글로벌 데이터 프라이버시 기준은 지속적으로 진화하고 있습니다. 이에 따라 다국적 기업들은 국경을 넘어 컴플라이언스를 유지하면서도 운영 민첩성을 확보해야 하는 공통 과제에 직면하고 있습니다.
EU의 GDPR부터 미국 캘리포니아주의 CCPA, 그리고 최근 인도의 Digital Personal Data Protection Act(DPDPA) 2023에 이르기까지 글로벌 데이터 프라이버시 기준은 지속적으로 진화하고 있습니다. 이에 따라 다국적 기업들은 국경을 넘어 컴플라이언스를 유지하면서도 운영 민첩성을 확보해야 하는 공통 과제에 직면하고 있습니다.
인도의 새로운 프레임워크는 이러한 글로벌 프라이버시 전환의 중요한 분기점이 됩니다. DPDPA와 Draft Rules 2025는 인도의 첫 포괄적 데이터 보호법으로, 인도 내 데이터 사용과 저장뿐 아니라 국경 간 이전·처리·관리 방식까지 규율합니다.
SAP와 같은 글로벌 통합 시스템을 운영하는 기업에게 이는 광범위한 영향을 미칩니다. DPDPA는 역외 적용(extraterritorial reach)을 갖고 있어, 인도 기업뿐 아니라 인도 거주자의 데이터를 처리하는 모든 기업에 적용됩니다. 시스템이나 운영 조직이 어디에 위치하든 관계없이 적용 대상이 될 수 있습니다.
이 글에서는 DPDPA가 국경 간 비즈니스 운영에 어떤 의미를 갖는지 살펴봅니다. 특히 다음 내용을 다룹니다:
- 인도의 디지털 주권 강화 정책이 글로벌 데이터 환경을 어떻게 변화시키고 있는가
- DPDPA의 적용 범위와 대상, GDPR과의 비교
- 동의, 침해 통지, 데이터 로컬라이제이션 등 주요 컴플라이언스 영역
- 다수 국가에서 SAP 기반 시스템을 운영하는 기업을 위한 실질적 대응 방안
이 글을 통해 귀사는 컴플라이언스 준비를 위한 시스템 및 거버넌스 정비 방향을 명확히 이해하고, 세계에서 가장 빠르게 성장하는 디지털 경제 중 한 곳에서 경쟁력을 확보할 수 있을 것입니다.
왜 인도는 디지털 주권을 우선시하는가
인도의 디지털 경제는 클라우드 도입 확대, 대규모 정부 디지털화 프로그램, 세계 최대 규모의 모바일 사용자 기반을 중심으로 빠르게 성장해 왔습니다. 그러나 이러한 성장 이면에는 민감 데이터가 실제로 어디에 저장되어 있는지에 대한 구조적 취약성이 존재합니다.
2024년 인도 전자정보기술부 보고서에 따르면, 인도 기업의 70% 이상이 핵심 데이터를 해외 서버에 저장하고 있으며, 이는 국가 안보 및 규제 리스크를 동시에 초래할 수 있습니다(Financial Express, 2025).
동시에 인도의 클라우드 컴퓨팅 시장은 2030년까지 764억 달러 규모에 이를 것으로 전망되며, 연평균 26.5% 성장할 것으로 예상됩니다(Grand View Research, 2025). 이와 함께 개인 및 기업 데이터의 국경 간 이동과 보호 방식에 대한 규제 감시도 강화되고 있습니다.
정책적 대응: DPDPA
이러한 과제에 대응하기 위해 인도 정부는 DPDPA를 도입했습니다. 이는 시민 보호와 경제 성장을 균형 있게 달성하기 위한 원칙 기반의 데이터 보호법입니다.
DPDPA는 기존의 파편화된 규제 체계를 대체하며, 개인정보 수집·처리·이전 방식 전반을 포괄적으로 규율합니다. GDPR과 유사한 구조를 갖추고 있으면서도, 빠르게 진화하는 인도 디지털 생태계의 특성을 반영해 유연성을 확보했습니다. 글로벌 기업에게 이는 전환점입니다. 인도의 성장하는 디지털 시장은 이제 세계 최고 수준의 데이터 보호 기준에 부합하는 명확한 컴플라이언스 요구사항을 동반하게 되었습니다.
DPDPA의 적용 범위와 대상
2023년 8월 제정된 DPDPA는 인도 내 모든 디지털 개인정보 처리 행위를 규율하며, 인도 외 기업이라 하더라도 인도 내 개인에게 상품이나 서비스를 제공하는 경우 적용됩니다(Mintz, 2025).
다만, 개인적·가정적 활동이나 개인이 자발적으로 공개한 정보는 적용 대상에서 제외됩니다. 국가 안보, 법 집행, 연구, 사법 명령 이행 목적의 처리 역시 일부 예외가 인정됩니다.
따라서 인도에 물리적 법인이 없는 기업이라 하더라도, 마케팅 데이터베이스, SAP HR 시스템, 전자상거래 거래 데이터 등을 통해 인도 거주자 데이터를 처리하고 있다면 법 적용 여부를 검토해야 합니다.
주요 의무 및 컴플라이언스 영역
동의 및 투명성
DPDPA는 명확하고 적극적인 동의를 핵심 원칙으로 합니다. 데이터 수집 또는 처리 전에 자유롭고, 구체적이며, 충분히 고지된 명시적 동의를 받아야 합니다. 프라이버시 고지에는 처리 목적, 수집 데이터 범주, 동의 철회 방법, 불만 처리 절차 등이 포함되어야 하며, 영어 또는 인도의 22개 공식 언어 중 하나로 제공되어야 합니다(American Bar Association, 2025).
데이터 보안 및 침해 통지
Data Fiduciary(데이터 관리자)는 암호화 및 접근 통제 등 합리적인 보안 조치를 시행해야 합니다. 데이터 무결성, 기밀성 또는 가용성에 영향을 미치는 모든 침해 사고는 발견 후 72시간 이내에 당사자와 인도 데이터 보호 위원회(Data Protection Board of India)에 통지해야 합니다. GDPR과 달리 중요도 기준(materiality threshold)이 없기 때문에 모든 침해가 보고 대상입니다.
보관 기간 및 목적 제한
데이터는 수집 목적 달성에 필요한 기간 동안만 보관할 수 있으며, 동의 철회 시 삭제해야 합니다. Draft Rules에 따르면 일부 산업(전자상거래, 온라인 게임, 소셜미디어 등)에 대해 3년 보관 제한이 제안되고 있습니다(Squire Patton Boggs, 2025).
아동 데이터 및 부모 동의
18세 미만 아동의 개인정보 처리에는 검증 가능한 부모 동의가 필요합니다. 타겟 광고 및 행동 기반 모니터링은 금지됩니다.
국경 간 데이터 이전
DPDPA는 전면적 데이터 로컬라이제이션을 요구하지는 않지만, 정부가 특정 국가로의 이전을 제한할 수 있는 권한을 갖습니다. 따라서 다국적 기업은 데이터 흐름을 명확히 파악하고 잠재적 이전 제한에 대비해야 합니다(DLA Piper, 2025).
Significant Data Fiduciaries (SDFs)
대량의 민감 데이터를 처리하거나 국가 안보·개인 프라이버시에 중대한 영향을 미칠 수 있다고 판단되는 기업은 SDF로 지정될 수 있습니다. 이 경우 인도 내 DPO 지정, 정기 감사 및 DPIA 수행, 처리 기록 유지 의무가 부과됩니다(Cockroach Labs, 2025).
벌칙 및 집행
중대한 위반 시 최대 250 crore INR(약 400억)의 과징금이 부과될 수 있습니다. 집행은 Data Protection Board of India가 담당하며, 시정 조치 및 조사 명령 권한을 갖습니다.
글로벌 기업에 미치는 영향
국경을 넘어 통합 시스템을 운영하는 기업의 경우, 인도의 DPDPA는 기존 프레임워크 내에 새로운 컴플라이언스 접점을 도입합니다. 이미 GDPR 또는 APAC 개인정보 보호 기준을 준수하고 있는 글로벌 기업이라면 동의, 목적 제한, 책임성과 같은 익숙한 원칙을 발견할 수 있을 것입니다. 그러나 다음과 같은 인도 고유의 요소에 유의해야 합니다:
- 광범위한 역외 적용 범위(공유 시스템을 통한 간접적인 데이터 흐름 포함)
- 모든 데이터 침해에 대한 의무적 보고
- 사용자 고지에 대한 언어 및 로컬라이제이션 요구사항
- Consent Manager 및 SDF 지정과 같은 새로운 책임 구조
효과적으로 대비하기 위해 기업은 다음과 같은 조치부터 시작해야 합니다:
- 인도 거주자 또는 인도 자회사와 관련된 데이터 흐름 매핑
- 명확성과 접근성을 기준으로 동의 및 고지 체계 검토
- 72시간 보고 요건을 반영하여 침해 대응 절차 업데이트
- DPDPA에 부합하는 조항이 반영되었는지 벤더 및 프로세서 계약 검토
- 제한 국가 지정 및 산업별 지침에 대한 정부 업데이트 모니터링
앞으로의 방향
DPDPA는 도전이자 기회입니다. 인도가 디지털 강국으로 도약하는 과정에서, 이 법은 데이터 보호의 예측 가능성을 제공합니다. 글로벌 기업에게 컴플라이언스는 단순한 법적 의무가 아니라 신뢰, 투명성, 그리고 빠르게 성장하는 인도 시장에서의 경쟁력을 입증하는 수단이 될 것입니다. 결국 준비된 거버넌스와 통제 체계를 갖춘 기업만이 새로운 글로벌 데이터 질서 속에서 우위를 확보할 수 있습니다.
레퍼런스
면책 조항:
본 글은 2025년 11월 기준 공개 자료를 기반으로 작성된 일반 정보 제공 목적의 콘텐츠입니다. 정확성을 위해 노력했으나, EPI-USE Labs는 내용의 완전성 또는 신뢰성을 보장하지 않으며 법률 자문을 대체하지 않습니다. Digital Personal Data Protection Act 2023 및 관련 법령에 대한 준수 여부는 전문 법률 자문을 통해 검토하시기 바랍니다.
Kat Haigh
Kat Haigh는 EPI-USE Labs의 호주 및 뉴질랜드 지역 마케팅 총괄(Head of Marketing)로, 15년 이상의 전략적 마케팅 및 데이터 기반 최적화 경험을 보유하고 있습니다.
기업가적 정신과 협업 중심의 접근 방식으로 잘 알려진 Kat은 Martech와 AI를 활용해 실질적인 성과를 창출하는 데 열정을 가지고 있습니다. 혁신을 즐기며, 빠르게 진화하는 마케팅 산업의 변화에 지속적으로 매료되어 있으며, 새로운 방식으로 한계를 확장하고 가치를 창출하기 위해 끊임없이 도전하고 있습니다.
