개인정보 보호위원회

인도, 개인정보 국외이전 통제 및 국내 저장 의무 요건 강화 추진

인도는 디지털 개인정보 보호법 및 2025년 초안 규칙을 통해 개인정보의 국외이전 규제와 중요 수탁자의 데이터 국내 저장 의무를 명확히 하며, 부문별 규제를 반영한 통합적 데이터 관리체계를 구축

-인도 전자정보기술부(Ministry of Electronics and Information Technology, MeitY)는 2025년 1월, 2023년 디지털 개인정보 보호법(Digital Personal Data Protection Act, 2023)의 시행을 위한 세부 규칙 초안을 발표함.

-본 법은 개인정보의 수집, 처리, 전송 전반을 규율하며, 정부가 명시적으로 금지하지 않는 한 지정된 국가로의 국외이전이 가능하도록 규정됨.

-다만, 특정 국가나 기관으로의 정보 전송은 정부가 별도로 정한 기준을 충족해야 하며, 외국 정부 또는 이에 준하는 기관에 대한 정보 제공 시에는 추가 조건이 부과될 수 있음.

-초안은 일정 규모 이상으로 개인정보를 처리하는 ‘중요 데이터 수탁자(Significant Data Fiduciaries)’에게 일부 정보 및 통신 트래픽 데이터를 인도 국내에 저장할 것을 요구함. 구체적인 대상 정보는 추후 정부 고시를 통해 별도로 지정될 예정임.

-한편, 개별 법률 또는 부문 규제에서 결제 데이터, 보험 기록, 회계장부, 보안 로그 등 특정 데이터를 인도 내에 저장하도록 규정한 고도화된 저장 요건이 존재하는 경우, 해당 요건이 본 법보다 우선 적용됨.

-즉, 본 법은 일반적인 데이터 국지화 의무를 직접 부과하지 않으며, 각 부문의 강화된 규제를 포괄적으로 수용하는 체계로 설계됨.

-종합적으로, 인도는 개인정보 보호 강화를 추진하는 동시에 글로벌 데이터 흐름과의 조화를 모색하고 있음. 이에 따라 다국적 기업 및 플랫폼 사업자는 부문별 규제의 적용 여부 및 중복 가능성에 대해 면밀한 검토가 필요함.

출처: India: Draft Digital Personal Data Protection Rules, 2025 - cross-border transfers (Dataguidance, 2025.05.15.)