인도 DPDPA 2023: 글로벌 팀을 위한 기술적 컴플라이언스
인도의 디지털 개인정보 보호법(DPDPA)은 14억 명을 적용 대상으로 합니다. 세계에서 인구 기준 가장 큰 개인정보 보호법입니다. 개인정보 보호위원회(Data Protection Board)가 2025년부터 활동을 시작했습니다. 법 집행이 시작된 것입니다. 인도 사용자에게 서비스를 제공하거나, 인도 직원 파일을 보유하거나, 인도 IT 벤더와 협력하는 기업이라면 이 법은 이미 현실적인 의무입니다.
DPDPA 적용 범위
영토적 범위: 인도 내 처리 및 인도 이용자에게 상품 또는 서비스를 제공할 목적의 역외 처리에 적용됩니다. GDPR처럼 서버 위치가 아니라 데이터 주체를 따릅니다.
최대 제재금: 위반 건당 최대 ₹250크로어. 현행 환율로 약 €2,700만 수준입니다. 제재 수준은 위반의 심각성과 지속 기간에 따라 결정됩니다.
법적 근거: 동의는 자유롭고, 충분한 정보에 기반하며, 명확해야 합니다. 그 외 유효한 근거로는 고용, 법적 의무, 긴급 필요, 공공 이익, 연구 목적이 있습니다.
개인의 권리: 자신의 기록이 어떻게 사용되는지 알 수 있고, 정정 또는 삭제를 요청할 수 있으며, 불만을 제기하고, 행위 능력 상실 시 대리인을 지정할 수 있습니다.
데이터 수탁자(Data Fiduciary): DPDPA에서 개인정보 처리자를 지칭하는 용어입니다. 개인 기록을 보호하고, 72시간 이내에 위원회에 위반 사실을 신고해야 합니다. 중요 데이터 수탁자(Significant Data Fiduciary)로 지정된 경우 개인정보 보호 책임자(DPO)를 임명해야 합니다.
아다르(Aadhaar): 고유한 감지 과제
아다르는 인도의 국가 생체 인식 ID 시스템입니다. 보유자에게 지문 및 홍채와 연결된 12자리 번호가 부여됩니다. 약 13억 6천만 명의 주민이 아다르를 보유하고 있습니다. 은행, 정부 기관, 이동통신사, 의료기관 모두 이를 사용합니다.
아다르 번호는 금융, 의료, 행정 파일에서 등장합니다. 아다르법(Aadhaar Act) 2016은 그 사용을 제한합니다. 민간 서비스는 아다르를 필수 ID로 요구할 수 없으며, 보관은 특정 인가된 경우에만 허용됩니다.
감지가 어려운 이유: 아다르는 검사 자릿수(check digit)에 Verhoeff 방식을 사용합니다. 단순히 12자리 숫자를 스캔하는 도구는 어떤 12자리 숫자라도 감지하여 오탐(false positive)이 발생합니다. 정확한 감지를 위해서는 Verhoeff 검사 로직이 필요합니다. 단순 패턴 매칭으로는 충분하지 않습니다.
기타 인도 PII 형식
PAN(영구계정번호): 10자리 세금 ID. 형식: 알파벳 5자 + 숫자 4자 + 알파벳 1자. 네 번째 문자는 납세자 유형을, 다섯 번째는 납세자 이름의 첫 글자를 나타냅니다. PAN은 ₹50,000 이상의 거래에 필요하며, 인도 금융 파일에서 자주 등장합니다.
인도 여권: X로 시작하고 7자리 숫자가 이어집니다. 이 형식은 인도 고유입니다.
운전면허증: 각 주마다 형식이 다릅니다. 예를 들어 델리 면허증은 DL-0420110149646 형태일 수 있습니다.
은행 계좌: 국가 표준이 없습니다. 계좌번호는 9~18자리로 다양합니다. IFSC 코드(11자리 은행 지점 코드)가 결제 파일에서 계좌번호와 함께 나타납니다.
휴대폰 번호: 국가 코드 +91과 함께 10자리입니다. 인도에는 12억 명의 이동통신 가입자가 있으며, 전화번호는 상업 문서에 자주 등장합니다.
anonym.legal이 모든 인도 PII 형식을 처리하는 방법은 /blog/apac-pii-detection-thai-indonesian-vietnamese-2025에서 확인하세요.
DPDPA 기술적 요구사항
보안 안전조치: DPDPA는 위험에 상응하는 "합리적인 보안 안전조치"를 요구합니다. 법은 구체적인 단계 목록 대신 결과 기준으로 정의합니다. 최소 기술 기준은 2025년 이후 DPDPA 규정에서 명시될 예정입니다.
위반 신고: 개인 기록 침해 발생 시 72시간 이내에 위원회에 신고해야 합니다. GDPR의 경우 신고 대상이 감독기관뿐이지만, DPDPA는 주요 위반에 대해 위원회와 피해 당사자 모두에게 72시간 이내 통지해야 합니다.
현지화: 정부는 기업을 중요 데이터 수탁자로 지정할 수 있으며, 해당 기업은 인도 내 기록 사본을 보관해야 할 수 있습니다. 최종 규정은 아직 확정되지 않았습니다.
국경 간 이전: 승인된 국가 목록에 포함되지 않은 국가로의 이전을 금지합니다. 이 목록은 2025년 기준 아직 확정되지 않았습니다. EU-인도 간 적정성 결정(adequacy decision)도 없습니다. EU-인도 간 데이터 흐름이 있는 기업은 지금 바로 계약을 체결해야 합니다.
법률 간 국경 간 규정 비교는 /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn을 참조하세요.
기본 기술 체크리스트
인도 개인 기록을 처리하는 경우 다음 사항부터 시작하세요:
- Verhoeff 검사 자릿수 로직을 갖춘 아다르 감지.
- 납세자 유형 문자 검사를 포함한 PAN 감지.
- 인도 여권 및 주별 운전면허증 지원.
- IFSC 코드와 함께 9~18자리 길이의 은행 계좌 감지.
- DPDPA 법적 근거에 부합하는 처리 목적 기록.
- 72시간 창을 충족하는 위반 대응 계획.
단일 프리셋으로 모든 인도 PII 유형을 처리하는 방법은 /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025에서 확인하세요.