일반 데이터 보호 규정은 2018년 5월 25일 이래 유럽 경제 지역 전역에서 직접 적용되어 왔다. 인도의 디지털 개인정보보호법 2023은 2023년 8월에 대통령 재가를 받았으나, 하위 규칙을 기다리는 동안 휴면 상태에 있었다. 그 규칙, 즉 디지털 개인정보보호 규칙 2025는 2025년 11월 13일에 고시되어 단계적 시행을 촉발했다. 데이터 보호 위원회 규정은 즉시 발효되었고, 동의 관리자의 등록 의무는 1년 시점에 뒤따르며, 실체적 의무와 정보주체 권리는 2027년 5월 13일부터 집행 가능해진다(전자정보기술부 2025년; Shardul Amarchand Mangaldas 2025년). 따라서 이하에 이어지는 것은, 성숙하고 완전히 집행되는 법체계와, 법적으로는 완결되었으나 운용상으로는 여전히 준수의 활주로 안에 있는 젊은 법체계의 대비다. 법의 현황은 2026년 6월 6일 기준으로 서술되며, 이는 DPDP의 실체적 의무와 정보주체 권리가 2027년 5월 13일에 집행 가능해지기까지 약 11개월을 남긴다. 적법한 처리를 동의 위에 재정초하고, 동의 관리자를 통합하며, 18세 미만 체제를 세워야 하는 프로그램에게 11개월은 단일한 계획 지평이지, 편안한 여유가 아니다.
공통의 계보, 그리고 중요한 세 가지 차이
두 법은 공통의 계보를 나눈다. 인도의 기초자들은 GDPR의 책임성, 목적 제한, 데이터 최소화, 동의라는 어휘를 차용했으며, 그 유사성은 가동 중인 GDPR 프로그램을 보유한 다국적 기업이 이미 DPDP가 요구하는 것의 약 70%를 손에 쥐고 있다고 할 만큼 가깝다. 남은 30%야말로 돈과 위험이 자리한 곳이다. 그 차이는 표면적인 것이 아니라 구조적인 것이기 때문이다.
세 가지 차이가 다른 모든 것을 압도한다. 첫째, 적법한 처리다. GDPR은 신축적인 정당한 이익 비교형량 테스트를 포함하여 여섯 가지 적법한 근거를 제공하는 반면, DPDP는 동의와 열거된 적법한 이용의 닫힌 목록만을 인정하며, 동의가 비현실적일 때의 범용적 대체 수단을 남기지 않는다. 둘째, 권리의 목록이다. GDPR은 이동성, 반대, 순수하게 자동화된 결정에 대한 보호를 포함한 여덟 가지 정보주체 권리를 부여하는 반면, DPDP는 더 좁은 일군을 부여하고 독특한 지명 권리를 더한다. 셋째, 집행의 경제학이다. GDPR은 제재금을 2천만 유로 또는 전 세계 연간 매출의 4퍼센트 중 더 큰 금액으로 상한하고 개인에게 보상을 구할 사적 권리를 주는 반면, DPDP는 매출 연동 없이 2억 5천만 루피(250 crore)까지의 고정 금전 제재를 부과하며, 형사 책임도 사적 소권도 없다.
두 법의 적용을 받는 조직에게 실무적 교훈은, GDPR 준수는 필요하지만 충분하지 않다는 것이다. GDPR 수준의 프로그램은 DPDP의 동의 우선 아키텍처, 18세 미만 아동 체제, 국경 간 이전에 대한 네거티브 리스트 방식, 그리고 어떠한 위험 임계값도 용인하지 않는 침해 통보 규칙을 흡수하기 위해 단순히 복제되는 것이 아니라 확장되어야 한다.
두 개의 숫자가 이 판돈을 틀 짓는다. GDPR은 유럽 경제 지역 전역의 약 4억 5천만 명의 개인정보를 통치한다. DPDP는 인도의 거의 15억에 이르는 정보주체, 즉 약 세 배의 정보를 통치한다. 따라서 DPDP의 건당 제재 상한이 더 낮고 고정되어 있다 하더라도, 그것이 부과하는 운용상 부하, 즉 동의의 취득과 철회, 권리 대응, 임계값 없는 침해 통보는 훨씬 더 큰 인구 규모에서 작동한다. 유럽의 이용자 기반에게 편안한 처리 능력도 인도의 기반에 의해 압도될 수 있으며, 그 능력은 시계가 다하기 전에 구축되어야 한다. 실체적 의무가 2027년 5월 13일, 즉 집필 시점으로부터 약 11개월 후에 집행 가능해지는 가운데, 10억이 넘는 주체를 위한 동의, 권리, 침해 파이프라인을 설계할 창은 좁다.
법령, 현황, 규제 아키텍처
GDPR은 규정으로, 이는 국내법으로의 전환 없이 모든 회원국에서 직접 적용됨을 의미한다. 다만 회원국은 디지털 동의 연령과 고용 데이터 같은 특정 쟁점에 관해 입법할 제한된 여지를 유지한다. GDPR은 유럽 데이터 보호 위원회를 통해 조정되는 독립적인 각국 감독 당국의 네트워크에 의해 집행되며, 일관성 메커니즘과 원스톱숍이 국경 간 사건을 해결한다. 따라서 규칙 제정, 지침, 집행은 독립적인 규제 당국, 그리고 궁극적으로는 법원과 유럽 연합 사법재판소에 맡겨진다(당사의 GDPR 프레임워크 페이지가 그 의무, 누구를 구속하는지, 공식 출처를 간략히 요약한다).
DPDP 아키텍처는 더 중앙집권적이고 더 행정 주도적이다. DPDP법은 기본법이며, 운용상의 세부는 DPDP 규칙에 자리한다. 이는 중앙정부가 정하고 개정할 수 있다(당사의 DPDP 프레임워크 페이지가 동법의 주요 의무, 누구를 구속하는지, 공식 출처를 간략히 제시한다). 인도 데이터 보호 위원회는 재결 기관이지만, 유럽 감독 당국보다 좁다. 침해를 조사하고 제재를 부과하나 구속력 있는 강령이나 지침을 발하지 않으며, 실체적 규칙 제정 권한은 위원회가 아니라 중앙정부에 있다. 위원회로부터의 불복은 전기통신 분쟁 해결 및 항소 심판소로 향한다. 설계상의 귀결로, 인도에서는 유럽에서 독립적인 당국이나 법원에 맡겨진 지렛대(적용 면제, 이전 제한, 규칙 개정)를 정치적 행정부가 보유하는 것이다.
적용 범위와 미치는 손길
GDPR은 전부 또는 일부가 자동화된 수단으로 처리되는 개인정보, 그리고 데이터가 파일링 시스템의 일부를 구성하거나 구성할 의도가 있는 비자동화 처리를 통치한다. GDPR은 제9조에 따라 특별한 범주의 민감 데이터를 가려낸다. 즉 인종 또는 민족적 출신, 정치적 견해, 종교적 신념, 노동조합 가입, 유전 및 생체 데이터, 건강, 성생활 또는 성적 지향이며, 각각이 강화된 조건에 따른다. DPDP는 한 측면에서 더 좁고 다른 측면에서 더 평평하다. DPDP는 디지털 개인정보만을 통치한다. 즉 디지털화된 형태의 데이터, 또는 종이로 수집된 후 디지털화된 데이터이며, 순수하게 비디지털 기록은 규율하지 않는다. 결정적으로, DPDP는 일반 개인정보와 민감 개인정보 사이에 법정 구별을 두지 않는다. 특별 범주 계층은 존재하지 않는다. 건강 기록과 쇼핑 이력은 같은 기준선 규칙 아래 놓이며, 추가 보호는 중요 데이터 수탁자 메커니즘과 아동 규정을 통해 간접적으로만 도달한다. 두 법의 적용을 받는 조직에게 이 비대칭성은 양날이다. 인도법은 제9조 조건을 부과하지 않지만, 성숙한 관리자는 보통 두 개의 데이터 분류 체계를 유지하기보다 GDPR의 민감 데이터 통제를 전 세계적으로 유지할 것이다.
두 법 모두 자국 영역을 넘어 미친다. GDPR은 제3조에 따라, 처리가 어디서 이루어지든 EU 사업장의 맥락에서의 처리에, 또 연합 내 개인에게 상품이나 서비스를 제공하거나 그 행동을 모니터링하는 연합 외부의 관리자에게 적용된다. DPDP는 제3조에 따라, 인도 내 디지털 개인정보의 처리에, 또 인도 내 정보주체에게 상품이나 서비스를 제공하는 것과 관련된 인도 외부의 처리에 적용된다. DPDP는 GDPR의 명시적 행동 모니터링 갈래를 생략하므로, 상품이나 서비스의 제공 없이 인도 거주자를 순수하게 프로파일링하는 것은 그 유럽의 대응물보다 더 회색 지대에 자리한다.
| 차원 | GDPR | DPDP |
|---|---|---|
| 대상 데이터 형식 | 자동화 및 구조화된 수기 파일링 시스템 | 디지털만(태생적 디지털 또는 이후 디지털화) |
| 민감 데이터 계층 | 있음(제9조 특별 범주) | 법정 계층 없음 |
| 역외 적용 발동 | 사업장, 제공, 행동 모니터링 | 인도 내 주체에게 상품 또는 서비스 제공 |
| 제외되는 처리 | 순수하게 개인적 또는 가정적, 별도 지침에 따른 법 집행 | 개인적 또는 가정적, 특정 공개 데이터, 광범위한 국가 면제 |
행위자와 어휘
역할 아키텍처는 번역이 대체로 일대일이 될 만큼 정연하게 대응하며, 이는 이중 언어 정책을 기초할 때 도움이 된다. GDPR의 관리자는 DPDP의 데이터 수탁자가 된다. 이는 신탁 기반의 틀 짓기이나, 그 작동상 의무는 관리자의 것과 유사하다. GDPR의 처리자는 데이터 처리자가 되나, DPDP는 많은 직접적 법정 의무를 부과하기보다 대부분의 처리자 의무를 수탁자의 계약을 통해 경로화한다. 정보주체는 정보주체가 되며, 아동의 경우 아동이 주체이고 동의는 부모 또는 법정 후견인이 행사한다. 감독 당국은, 재결하고 제재하나 구속력 있는 지침을 발하지 않으며 따라서 전 영역에 걸친 규제 당국이 아닌 인도 데이터 보호 위원회에서 그 유사물을 찾는다. 두 DPDP 역할에는 GDPR의 대응물이 없다. 즉 강화된 의무를 지는 정부 지정 부류인 중요 데이터 수탁자와, 주체가 동의를 부여하고 검토하며 철회하는 인도 고유의 등록 중개자인 동의 관리자다.
적법한 처리: 중심적 차이
여기가 두 법체계가 가장 결과를 동반하는 방식으로 갈라서는 곳이다. GDPR은 제6조에 따라 여섯 가지 적법한 근거를 제공한다. 즉 동의, 계약의 이행, 법적 의무의 준수, 생명에 관계된 이익의 보호, 공익적 임무의 수행, 그리고 정보주체의 권리와의 비교형량 테스트에 따르는 관리자 또는 제3자의 정당한 이익이다. 정당한 이익 근거는 의도적으로 열린 질감을 지닌다. 그것은 조직이 사기 방지, 네트워크 보안, 다이렉트 마케팅, 그룹 내 관리를 위해 모든 작업에 대해 동의를 구하지 않고 데이터를 처리하게 하는 일꾼이다.
DPDP는 적법성으로 가는 두 경로만을 인정한다. 즉 제6조에 따른 동의와, 제7조에 따른 특정 적법한 이용의 닫힌 목록이다. 적법한 이용 목록은 열거되어 있고 유한하다. 즉 특정된 목적을 위한 주체의 자발적 데이터 제공, 국가 기능 및 보조금이나 서비스의 제공, 법률 또는 법원 명령의 준수, 의료 응급 상황, 고용 관련 목적, 재난 또는 공공질서 상황 등이 소수의 다른 것들과 함께 포함된다. 잔여적 비교형량 테스트는 없다. 어떤 처리 활동이 목록상의 항목에 대응하지 않으면, 유일한 적법한 길은 동의다. 이것이 다국적 기업에게 단일하게 가장 중요한 운용상 차이다. 유럽이 정당한 이익으로 편안히 다루는 데이터 흐름, 예컨대 광범위한 분석, 마케팅 강화, 또는 국경 간 그룹 보고가 인도에서는 명시적 동의 아키텍처를 필요로 할 수 있기 때문이다.
동의 기준 자체는 문서상으로는 유사하다. 양쪽 모두 동의가 자유롭고, 특정적이며, 정보에 기반하고, 명확하며, 명시적인 긍정적 행위로 표시될 것을 요구하고, 또 양쪽 모두 철회가 부여만큼 쉬울 것을 요구한다. DPDP는 그 위에 두 가지 인도 고유의 특징을 더한다. 첫째, 동의 요청에 수반되는 통지는 항목화되어야 하고, 요청 시 영어 또는 헌법 제8부칙의 언어 중 하나로 이용 가능해야 한다. 둘째, 동의는 동의 관리자를 통해 매개될 수 있다. 이는 주체가 수탁자들을 가로질러 허가를 부여하고 철회하기 위한 단일 대시보드를 주는 등록된 플랫폼으로, GDPR에 대응물이 없는 제도적 구축물이다.
GDPR 준수는 필요하지만 충분하지 않다. GDPR 수준의 프로그램은 DPDP의 동의 우선 아키텍처를 흡수하기 위해 단순히 복제되는 것이 아니라 확장되어야 한다.
권리, 의무, 아동
GDPR은 광범위한 권리의 일군을 부여한다. 즉 접근, 정정, 삭제, 처리의 제한, 데이터 이동성, 다이렉트 마케팅을 포함한 반대, 그리고 제22조에 따라 법적 또는 그에 유사하게 중대한 효과를 낳는 순수하게 자동화된 결정에 따르지 않을 권리다. DPDP는 더 좁은 일군을 부여한다. 즉 개인정보 및 처리의 요약에 대한 접근, 정정 및 삭제, 고충 구제, 그리고 주체가 사망 또는 무능력의 경우 자신의 권리를 행사할 다른 개인을 지정할 수 있는 독특한 지명 권리다. 이 간극들은 중요하다. DPDP에는 독립적인 데이터 이동성 권리가 없고, 일반적 반대 권리가 없으며, 제한 권리가 없고, 제22조형 자동화된 의사결정에 대한 보호가 없다. 반대로 지명 권리에는 유럽의 대응물이 없다.
| 권리 | GDPR | DPDP |
|---|---|---|
| 접근 | 있음(제15조) | 있음(데이터 및 처리의 요약) |
| 정정 | 있음(제16조) | 있음 |
| 삭제 | 있음(제17조) | 있음(철회 또는 목적 완료 시) |
| 처리의 제한 | 있음(제18조) | 없음 |
| 데이터 이동성 | 있음(제20조) | 없음 |
| 반대 | 있음(제21조) | 없음 |
| 자동화된 결정에 대한 보호조치 | 있음(제22조) | 없음 |
| 고충 구제 | 감독 당국에 대한 진정을 통해 | 있음(수탁자에 대한 법정 권리) |
| 지명 | 없음 | 있음 |
두 법체계 모두 책임성 위에 세워졌으나, 더 무거운 의무의 배분은 다르다. GDPR에서는 모든 관리자가 책임성 문서화의 기준선을 진다. 즉 소규모 조직 면제를 동반한 제30조의 처리 활동 기록, 제25조의 설계 기반 및 기본 설정 데이터 보호, 제35조의 고위험 처리에 대한 데이터 보호 영향 평가, 제28조의 구속력 있는 처리자 계약이다. 데이터 보호 책임자는 핵심 활동이 대규모 체계적 모니터링 또는 특별 범주 데이터의 대규모 처리를 수반할 경우 제37조에 따라 의무화되며, 연합 외부의 관리자는 제27조에 따라 EU 대리인을 임명해야 한다. DPDP는 더 가벼운 보편적 기준선을 적용하고 무거운 의무를 중요 데이터 수탁자에게 집중시킨다. 모든 수탁자는 합리적인 보안 조치를 시행하고, 통지와 동의를 존중하며, 철회 시 또는 목적이 달성되면 데이터를 삭제하고, 계약을 통해 처리자의 준수를 확보해야 한다. 중앙정부가 중요 데이터 수탁자로 지정하는 주체만이 추가로 인도에 기반한 데이터 보호 책임자를 임명하고, 독립적인 데이터 감사인을 선임하며, 정기적인 영향 평가와 감사를 수행해야 한다. 따라서 발동 요건은 GDPR의 자기 평가에 의한 위험 테스트가 아니라 정부의 지정인 것이다.
두 법체계 모두 아동을 특별히 가려내며, 여기서는 DPDP가 더 엄격하다. GDPR은 제8조에 따라 정보사회 서비스에서 유효한 동의 연령을 16세로 설정하고, 회원국이 13세 미만으로 낮추지 않는 범위에서 이를 낮추는 것을 허용한다. DPDP는 18세 미만의 누구든 아동으로 취급하며, 아동의 데이터를 처리하기 전에 검증 가능한 부모 또는 법정 후견인의 동의를 요구한다. 나아가 DPDP는 아동의 복리에 해로운 영향을 미칠 가능성이 있는 처리를 금지하고, 아동을 겨냥한 행동 추적, 행동 모니터링, 타깃 광고를, 정부가 고시할 수 있는 제한적 면제에 따르되, 전면적으로 금지함으로써 한 걸음 더 나아간다. 글로벌 디지털 서비스에게 이는 의미 있는 설계상 제약이다. 13세에서 16세의 유럽 임계값에 맞춰 조정된 연령 확인과 부모 동의 계층은 인도의 18세 미만 규칙을 충족하지 못하며, 광고 기술 스택은 인구 규모에서 인도의 미성년자에 대한 행동 타깃팅을 끌 수 있어야 한다.
국경 간 이전: 거울상의 기본값
이전 모델은 그 기본 자세에서 거의 거울상이다. GDPR은 제5장에서 금지로부터 출발한다. 개인정보는 적정성 결정, 표준 계약 조항이나 구속력 있는 기업 규칙 같은 적절한 보호조치, 또는 좁은 일군의 예외에 따라서만 EEA를 떠날 수 있다. 부담은 적법한 이전 메커니즘을 확립할 수출자에게 있으며, Schrems II 판례는 목적지 국가의 감시 환경에 대한 이전 영향 평가를 요구한다. 이것이 화이트리스트 방식이다. 즉 원칙적 금지이며, 메커니즘이 갖춰진 경우에만 허용된다.
DPDP는 허용으로부터 출발한다. 이전은 기본적으로 어느 나라로든 허용되며, 중앙정부는 특정 관할로의 이전을 제한하는 네거티브 리스트를 발할 수 있다. 이것이 블랙리스트 방식이다. 즉 원칙적 허용이며, 목적지가 지명된 경우에만 차단된다. 원칙적으로는 훨씬 더 관대하나, 두 가지 단서가 그것을 누그러뜨린다. 첫째, 네거티브 리스트는 아직 채워지지 않았으므로 실무상의 윤곽은 불확실한 채로 남는다. 둘째, 부문별 데이터 현지화 규칙, 특히 결제 데이터에 관한 인도 준비은행의 규칙이 DPDP 위에 겹쳐 적용되며 일반 체제보다 엄격할 수 있다. 다국적 기업에게 이 비대칭성은 뚜렷하다. EU 데이터를 인도로 옮기려면 문서화된 제46조 메커니즘이 필요한 반면, 인도 데이터를 EU로 옮기는 것은 현재로서는 DPDP 자체로는 아무것도 필요로 하지 않는다. 다만 신중한 거버넌스는 어느 쪽이든 계약상 보호조치를 유지한다.
침해 통보: 사라진 중대성 필터
두 법체계는 72시간 시계로 수렴하나, 임계값과 통보 대상에서 날카롭게 갈린다. GDPR은 부당한 지체 없이, 그리고 실행 가능한 경우 인지로부터 72시간 이내에 감독 당국에 통보할 것을 요구하나, 이는 침해가 개인의 권리와 자유에 위험을 초래할 가능성이 있는 경우에 한한다. 영향을 받은 개인에 대한 통보는 위험이 높은 경우에 한한다. 위험 임계값이 사소한 사고를 걸러낸다. DPDP 규칙은 위험 임계값을 전혀 부과하지 않는다. 어떤 개인정보 침해든 인지한 시점에, 수탁자는 영향을 받은 정보주체에게 지체 없이 통지해야 하며, 또 초기 통보에 이어 72시간 이내에 침해, 그 정황, 완화, 책임 있는 당사자의 신원을 망라하는 상세 보고를 데이터 보호 위원회에 제출해야 한다(MediaNama 2025년; 전자정보기술부 2025년). 중대성 필터의 부재는 인도의 침해 보고 건수가 그 유럽의 대응물보다 높게 작동함을 의미하며, 거의 15억에 이르는 주체의 인구에 대해 통보 기제는 그에 맞게 확장되어야 한다. GDPR의 위험 관문에 맞춰 조정된 사고 대응 매뉴얼은 요건을 충족하는 모든 침해를 위원회와 영향을 받은 개인 양쪽에 통보하도록 다시 써야 한다.
| 측면 | GDPR | DPDP |
|---|---|---|
| 당국 통보 | 위험이 있을 경우 72시간 이내 | 초기 통보, 이어 72시간 이내 상세 보고, 임계값 없음 |
| 개인 통보 | 고위험인 경우에만 | 항상, 지체 없이 |
| 중대성 필터 | 있음(위험 기반) | 없음 |
집행의 경제학
집행의 경제학은 정도뿐 아니라 종류에서 다르다. GDPR의 행정 제재금은 하위 계층에서는 1천만 유로 또는 전 세계 연간 매출의 2퍼센트, 상위 계층에서는 2천만 유로 또는 전 세계 연간 매출의 4퍼센트 중 더 큰 금액까지 작동한다. 매출 연동이 억제력을 사업체의 규모에 맞춰 확대 축소한다. GDPR은 또 사적 권리를 만든다. 정보주체는 제82조에 따라 물질적 및 비물질적 손해에 대한 보상을 구할 수 있고, 진정을 제기하며 사법적 구제를 추구할 수 있다. DPDP는 매출에 묶이지 않은 고정 금전 제재를 부과하며, 부칙을 참조하여 정해지고 건당 상한이 설정된다. 즉 합리적인 보안 조치를 취하지 않은 경우 2억 5천만 루피(250 crore)까지, 침해 통보 또는 아동 데이터 의무의 불이행은 2억 루피(200 crore)까지, 그 밖의 불이행에는 더 낮은 상한이다. DPDP에는 형사 책임이 없으며, 중요하게도, 사적 소권도 개인에 대한 법정 보상도 없다. 집행은 데이터 보호 위원회를 통해 작동하며, 제재금은 국가에 납부된다. DPDP는 또 허위 또는 경솔한 진정을 제기한 정보주체에 대한 제재를 도입하며, 이에는 GDPR의 대응물이 없다. 순효과로, 매우 큰 기업에게는 GDPR의 매출 기반 상한이 DPDP의 고정 상한을 압도할 수 있는 반면, 같은 기업에게 DPDP는 유럽에서 GDPR 준수에 그림자를 드리우는 집단 소송 및 개인 소송 노출을 제거한다.
적용 면제
GDPR은 면제를 좁고 규칙에 묶인 것으로 유지한다. 제23조는 회원국 법이 열거된 공익 목적을 위해 필요하고 비례적인 경우에 한해서만 권리를 제한하는 것을 허용하며, 언론, 학술, 예술, 문학적 표현, 그리고 보호조치에 따르는 연구와 보존을 위한 특정한 가려냄이 있다. DPDP는 더 넓고 더 행정에 의해 통제되는 면제를 부여한다. 제17조는 중앙정부가 주권, 안보, 공공질서, 우호 관계의 이익에서 국가 기관을 동법의 대부분으로부터 면제하는 것을 허용하고, 연구, 보존, 통계 목적을 위해 필요한 처리, 고시에 의한 특정 스타트업, 법적 권리의 집행을 위한 면제를 정한다. 국가를 향한 면제의 넓이, 그리고 그것이 독립적인 당국이나 법원이 아니라 행정부에 의해 부여되고 한계 지어진다는 사실은, 인도 체제의 가장 논쟁적인 특징 중 하나이며 시민사회 논평에서 반복되는 주제다(Internet Freedom Foundation 2025년).
두 법의 적용을 받는 프로그램이 추가해야 할 통제
두 법체계의 내부에 있는 조직에게 운용 모델은 의도적인 분기를 동반한 수렴이다. 실용적인 아키텍처는 단일한 GDPR 수준의 글로벌 기준선을 운용하고 그 위에 인도 고유의 모듈을 더하는 것이지, 두 개의 독립된 프로그램을 유지하는 것이 아니다. 재사용 가능한 GDPR 자산은 상당하다. 즉 처리 기록, 보안 및 침해 대응 통제, 접근, 정정, 삭제를 위한 정보주체 권리 도구, 처리자 계약 템플릿, 설계 기반 프라이버시 규율은 모두 경미한 적응으로 DPDP로 이전된다. 인도 고유의 추가야말로 노력이 집중되는 곳이며, 그것들은 바로 GDPR만의 프로그램이 2027년 5월 13일 집행일에 결여하고 있을 통제다. 즉 정당한 이익에 기대지 않는 동의 우선 적법 근거 설계, 동의 관리자와의 통합 또는 그에 대한 준비, 검증 가능한 부모 동의와 행동 광고 억제를 동반한 18세 미만 아동 체제, 지명 워크플로, 어떠한 위험 관문도 없이 요건을 충족하는 모든 사고를 통보하는 침해 프로세스, 그리고 정부의 국경 간 네거티브 리스트와 부문별 현지화 규칙에 대한 감시다. 반대로 조직은 어떠한 GDPR 기제도 퇴역시킬 수 없다. DPDP의 더 좁은 권리 일군과 관대한 이전 모델은 유럽의 의무를 완화하지 않기 때문이다.
CCI의 도구가 무엇을 바꾸는가
두 법체계에 걸친 프로그램이 실패하는 것은, 가장 흔히 정책에서가 아니라, 증거의 관점에서 개인정보가 어디에 자리하는지, 어느 흐름이 어느 적법한 근거에 의존하는지, 그리고 집행 사건이 무슨 대가를 치르게 할지를 알지 못하는 데서다. CCI의 프리미티브는 바로 그 간극들을 공략한다. 그리고 아래의 각 주장은 보증이 아니라, 기존 제품에 의해 뒷받침되는 발생 가능성의 저감이다.
NetDiagramer는 실제 데이터 자산, 시스템 간 흐름, 그리고 각 흐름이 가로지르는 관할을 지도화한다. 이전 문제에 이는 기초적이다. 어느 흐름이 EEA를 떠나거나 인도에 착지하는지 볼 수 없다면, GDPR의 제46조 메커니즘 화이트리스트를 적용할 수도, DPDP의 블랙리스트를 감시할 수도 없다. 같은 토폴로지는 현재 정당한 이익에 기대고 있는 모든 흐름을 떠오르게 한다. 그것은 바로 DPDP가 물기 전에 동의 위에 재정초되어야 할 모집단이다.
EviGen은 책임성을 문서화 작업에서 자동화된 증거로 바꾼다. 제30조의 처리 기록, 동의 원장, 그리고 중요 데이터 수탁자가 작성해야 할 영향 평가 및 감사 산출물은, 감사 시점에 스프레드시트로부터 재구성되는 것이 아니라 살아 있는 자산으로부터 생성되고 최신으로 유지된다. 하나의 증거 파이프라인이 유럽의 기록 의무와 인도의 책임성 및 감사 의무 양쪽에 기여한다.
Evidence Vault는 침해 프로세스에, DPDP의 임계값 없는 규칙을 견디기 위해 필요한, 변조가 드러나는 타임라인을 준다. 요건을 충족하는 모든 사고가 72시간 이내에 위원회에, 또 영향을 받은 모든 주체에게 지체 없이 도달해야 할 때, 제약은 의지가 아니라, 무엇이, 언제, 누구에게 일어났는지에 대한 변호 가능한 설명을 신속히 조립하는 능력이다. 같은 볼트가 GDPR의 제33조 및 제34조 기록 보존을 충족한다.
cVaR는 갈라지는 집행의 경제학을 돈으로 값 매긴다. 그것은 양쪽 상한, 즉 GDPR의 매출 연동 4퍼센트와 DPDP의 건당 고정 2억 5천만 루피(250 crore)에 따른 노출을 정량화하여, 이사회가 두 개의 법적 추상이 아니라 단일한 숫자로 자사의 두 법역에 걸친 제재 표면을 보게 하고, 시정을 기대 손실 저감으로 순위 매길 수 있게 한다.
Domain Separation은 유럽과 인도의 데이터 자산을 논리적으로 분리 가능하게 유지한다. 그리하여 현지화 요건, 미래의 네거티브 리스트, 서로 다른 적법 근거 체제가 프로그램 전체를 둘로 갈라내지 않고 관할별로 집행될 수 있다. 그것은 의도적인 분기를 동반한 수렴을 열망이 아니라 운용 가능한 것으로 만드는 통제다.
두 책무를 제때 세우기
DPDP의 실체적 의무는 2027년 5월 13일에 착지한다. 집필 시점으로부터 그것은 약 11개월이며, 멀게 읽히지만 그렇지 않다. 동의 우선 재설계, 동의 관리자 통합, 18세 미만 체제는 여러 분기에 걸친 프로그램이며, 각각이 대부분의 조직이 아직 보유하지 못한 데이터 자산의 명료한 견취도에 의존하기에, 병렬이 아니라 직렬로 작동하는 일이 더 많다. 2027년 5월에서 거꾸로 세면, 발견과 데이터 지도화 작업은 구축, 시험, 감사 단계가 집행 전에 들어맞도록 이번 분기에 시작되어야 한다. 조직이 그 구축을 영구적인 인력을 더하지 않고 주도할 상급 프라이버시 리더십을 필요로 할 경우, CCI의 서비스형 CISO는 잠정적, 분수적, 온콜, 또는 사고 후 커버를 위해 8명 이상의 CISSP 인증 실무자 풀을 제공한다. CCI는 자신이 이끄는 곳에서는 감사하지 않으므로 독립성이 보전된다. 그 풀은 유럽 전용이 아니다. CCI는 인도에 기반한 CISSP 인증 실무자를 보유한다. 그들은 DPDP, 동의 관리자 모델, 제8부칙 언어 의무를 내부에서 아는 상급 데이터 프라이버시 전문가다. 그것은 실무상 중요하다. 중요 데이터 수탁자는 인도에 거주하는 데이터 보호 책임자를 임명해야 하며, 또 현지 프라이버시 리드는 인도 법률 자문, 데이터 보호 위원회, 그리고 국가 규모에서의 동의의 현실에 이르는 거리도 좁히기 때문이다.
또 하나의 반복되는 간극은 법적이라기보다 기초적인 것이다. 즉 대부분의 조직은 증거를 가지고 자사의 개인정보가 실제로 어디에 자리하는지 말할 수 없다. CCI의 데이터 인벤토리 전문가는 레거시 자산, 가동 중 시스템의 핫 데이터, 아카이브와 백업의 콜드 데이터, 데이터베이스 내 구조화 기록, 그리고 문서, 메일박스, 파일 공유, 객체 저장소에서의 훨씬 더 어려운 비구조화 산재의 전역에 걸쳐 바로 그것을 지도화한다. 그 인벤토리는 하류의 모든 것, 즉 동의 재정초, 권리 및 삭제 워크플로, 국경 간 이전 견취도, 침해 범위 평가의 전제 조건이며, 자산의 지도가 불완전하면 그중 어느 것도 신뢰할 수 없다. 간극이 맞춤 도구화에 있을 경우, 사내 연구개발 팀, 즉 NetDiagramer, EviGen, cVaR, DORA-MAST를 구축한 학자, 박사급 연구자, 엔지니어가 그 프리미티브, 즉 인벤토리 수집, 구성 증거, 토폴로지 지도화, 정량화를 신속한 두 법역 대응 준비 도구 세트로 조립할 수 있다. 그것은 스톱워치 약속이 아니라, 출시된 제품을 증거로 하는 능력으로 서술된다. 두 법역 대응 준비 평가의 범위를 정하려면 실무자에게 상담하라.
나란히 보는 마스터 매트릭스
| 차원 | GDPR | DPDP |
|---|---|---|
| 법령 | 규정 (EU) 2016/679 | DPDP법 2023 + DPDP 규칙 2025 |
| 시행 | 2018년 5월 25일 | 단계적, 실체적 의무는 2027년 5월 13일부터 |
| 대상 데이터 | 자동화 및 구조화된 수기, 민감 계층 | 디지털만, 민감 계층 없음 |
| 역외 적용 발동 | 사업장, 제공, 모니터링 | 인도 내 주체에게 상품 또는 서비스 제공 |
| 적법한 근거 | 여섯, 정당한 이익 포함 | 동의에 더해 적법한 이용의 닫힌 목록 |
| 민감 데이터 체제 | 제9조 특별 범주 | 없음(SDF와 아동을 통해 간접적으로) |
| 아동 연령 | 16세(회원국은 13세까지 낮출 수 있음) | 18세 미만, 행동 광고 금지 |
| 권리 | 여덟, 이동성, 반대, 제22조 포함 | 접근, 정정, 삭제, 고충 구제, 지명 |
| 데이터 보호 책임자 | 위험 기반 의무 | 중요 데이터 수탁자만, 인도 기반 |
| 국경 간 모델 | 화이트리스트(원칙적 금지) | 블랙리스트(원칙적 허용) |
| 침해 통보 | 위험이 있으면 72시간 이내 감독 당국에, 고위험이면 개인에 | 72시간 이내 위원회에, 더해 영향을 받은 모든 주체에, 임계값 없음 |
| 최대 제재 | 2,000만 유로 또는 전 세계 매출의 4% | 건당 2억 5,000만 루피(250 crore), 매출 연동 없음 |
| 사적 소권 | 있음(제82조) | 없음 |
| 규제 당국 | 독립적인 감독 당국 | 데이터 보호 위원회(재결만) |
| 규칙 제정 | EDPB, 위원회, 감독 당국 | 중앙정부 |
두문자어
| 약어 | 정식 명칭(영어) | 한국어 번역 |
|---|---|---|
| BCR | Binding Corporate Rules | 구속력 있는 기업 규칙 |
| CJEU | Court of Justice of the European Union | 유럽 연합 사법재판소 |
| DPDP | Digital Personal Data Protection | 디지털 개인정보보호 |
| DPIA | Data Protection Impact Assessment | 데이터 보호 영향 평가 |
| DPO | Data Protection Officer | 데이터 보호 책임자 |
| EDPB | European Data Protection Board | 유럽 데이터 보호 위원회 |
| EEA | European Economic Area | 유럽 경제 지역 |
| GDPR | General Data Protection Regulation | 일반 데이터 보호 규정 |
| MeitY | Ministry of Electronics and Information Technology (India) | 전자정보기술부(인도) |
| RBI | Reserve Bank of India | 인도 준비은행 |
| SA | Supervisory Authority | 감독 당국 |
| SCC | Standard Contractual Clauses | 표준 계약 조항 |
| SDF | Significant Data Fiduciary | 중요 데이터 수탁자 |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | 전기통신 분쟁 해결 및 항소 심판소 |
References
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html