해외콘텐츠 법령정보
인도의 게임 정책과 법제 VI - 개인정보의 수집과 동의 (1)
요약 정보
| 국가 | 인도 | 장르 | 게임 |
|---|---|---|---|
| 기관 | (-) | 구분 | 기타 |
| 제정일 | (-) | 개정일 | (-) |
상세 정보
인도의 게임 정책과 법제 VI
- 개인정보의 수집과 동의 (1)
1. 개인정보의 수집과 동의
※ 참고사항
인도의 정보보호 법령이 개정 중임.
개인정보보호법이 발효되는 시점까지 개인정보 처리는 정보기술법 및 이에 따라 발행된 민감한 개인정보 규칙(이하 “현행 데이터 법”)에 따름.
민감한 개인정보 규칙은 민감한 개인 데이터 또는 정보를 수집하고 처리하는 인도 내 법인의 준수사항을 규정함.
정보기술법은 역외 적용되며, 기술적 연관성 요건이 충족되는 경우 인도가 아닌 외국에서 발생한 위반행위에도 적용됨.
이는 위반행위나 범죄행위와 관련된 행위나 거동이 인도에 위치한 컴퓨터, 컴퓨터 시스템, 또는 컴퓨터 네트워크와 연관되어야 한다는
요건을 가리킴.
이에 따라 정보기술법상 법인이 합리적인 보안 관행과 절차를 실행하고 유지하지 못한 과실로 인해 피해자에게 부당한 손실·이익을 초래한
경우 법인은 피해자에게 손해 배상 책임을 짐. 여기서 과실이란 법인이 소유, 관리 또는 운영하는 컴퓨터 자원에서 보유, 취급 또는 처리하는
민감한 개인정보와 관련된 것을 말함. 배상 금액은 다음 각 사항을 근거로 부처에서 정함.
(i) 위반으로 인해 얻은 부당이득 금액(측정 가능한 경우) (ii) 초래된 손실 금액 (iii) 위반의 반복성.
이와 별도로, 개인정보(민감한 개인정보 포함) 무단 공개로 인해 법적 계약에 따라 보호된 개인정보의 부당한 손실 또는 부당이득이 발생한
경우 정보기술법에 따라 3년 이하의 징역형 또는 500,000 인도 루피(약 5,900 미국 달러)이하의 벌금, 또는 양자 모두에 처함.
1-1. 개인정보보호법 적용 대상
Q. 자국 내 사업장이 없는 해외사업자에게 해당 국가의 개인정보보호법률이 적용되는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보 규칙의 주요 조항은 인도에 위치한 법인 또는 개인에게만 적용됨. 인도가 아닌 외국에 위치한 단체는
민감한 개인정보 규칙을 준수할 의무를 지지 않음. 그러나 정보기술법의 벌칙이 적용될 수 있음. 따라서 인도와의 기술적 연관성 요건이
충족되는 경우, 예를 들어 외국 주체가 개인정보를 인도 내의 서버, 클라우드 또는 데이터 센터에 수집하고 저장하며, 그러한 데이터가
무단으로 부당하게 공개되거나 민감한 개인정보에 대한 합리적인 보안 관행이나 절차가 시행되지 않은 경우, 처벌이 부과될 수 있음.
이와 같이 해외 사업자는 제한적인 상황에서 책임을 지게 될 수 있는 점에 유의해야 함. 또한, 위에서 논의한 것과 같은 기술 연관성 요건이
충족되는 한, 인도 국내 사업장이 없는 해외 사업자에게도 처벌을 부과할 수 있음. 개인정보보호법은 인도 영토 내에서 정보주체(인도 법률
에서는 데이터 주체라고 함)에게 제공되는 상품이나 서비스와 관련된 데이터 처리 활동을 수행하는 외국 기업에도 적용됨. 따라서 해외
사업자가 인도 사용자 데이터를 인도가 아닌 외국 영토에서 처리하고 인도 정보주체를 대상으로 하는 경우 개인정보보호법이 적용됨.
1-2. 해외 사업자의 국내 대리인 지정
Q. 해외사업자의 경우 국내 대리인을 지정해야 하는지, 지정해야 한다면 그 사실을 관계 당국에 보고해야 하는 의무가 있는지?
개인정보처리방침에 공개만 해 두어도 되는지?
A. 현행 데이터 법상 해외 기관은 인도 내에 국내 대리인을 임명할 의무가 없음.
부연 설명
개인정보보호법에 따르면 인도 내에 국내 대리인인 정보보호 담당자를 임명할 의무를 지는 것은 인도 중앙정부가 주요 데이터 관리자
(Significant Data Fiduciary)로 지정한 일정한 데이터 관리자(데이터 처리자와 유사)뿐임. 정보보호 담당자는 (i) 주요 데이터 관리자의
이사회 또는 유사한 경영진에 책임을 지며, (ii) 개인정보보호법 조항에 따라 설립해야 하는 민원 해결 체계의 연락 담당자 역할을 함.
데이터 관리자는 다음 기준에 따라 주요 데이터 관리자로 지정됨.
(a) 처리되는 개인 데이터의 양과 민감도 (b) 데이터 주체의 권리에 대한 위험의 정도 (c) 인도의 주권과 온전성에 영향을 미칠 가능성
(d) 선거민주주의에 대한 위험 (e) 국가 안보 (f) 공공 질서.
주요 데이터 관리자로 지정되어 고시될 수 있는 기관의 종류나 성격에 관한 명확한 정보는 현재 없음. 개인정보보호법 하위규칙을 기다리는
상황이므로, 이들 규칙이 제정되면 명확해질 것임.
1-3. 개인정보 수집 방법 (동의, 고지 등)
Q. 개인정보를 적법하게 수집(처리)하기 위한 방법(근거)은 어떠한 것들이 있는지?
※ 동의, 고지, 정보주체와의 계약 처리 및 이행을 위한 경우 등
A. 부연 설명 참고.
부연 설명
현행 데이터법
민감한 개인정보 규칙은 특수한 범주의 개인정보인 민감한 개인정보 수집과 처리에만 적용됨. 민감한 개인정보를 수집하는 합법적 근거는
정보주체로부터 서면, 팩스 또는 이메일로 받은 동의서뿐임. 정보를 수집하는 법인(body corporate)은 정보주체에게 정보 수집 사실, 수집
목적, 정보의 예정 수신자 등을 알리도록 합리적인 조치를 취해야 함. 또한, 민감한 개인정보를 수집하거나 처리하는 법인은 웹사이트에
개인정보 처리 방침을 게시해야 함.
개인정보보호법
개인정보보호법에 따른 개인정보처리(수집 포함)의 법적 근거는 다음의 어느 하나임.
(i) 정보주체에게 받은 동의 (ii) 합법적 용도.
또한 개인정보보호법상의 대부분의 준수사항이 면제되는 상황에서 데이터를 처리할 수 있는 일정한 예외조항도 있음.
그러나 면제 대상이 되는 이와 같은 목적은 정부 기관, 연구 목적 등에 의한 개인 정보 수집 및 처리가 대부분임.
동의 기반 처리
유효한 동의: 정보주체로부터 자유롭고, 구체적이며, 통지에 근거한 무조건적이고 분명한 동의를 받아야 하며, 이는 명확한 긍정적 행동을
통해 이루어져야 함. 동의는 개인정보를 지정된 목적으로 처리한다는 것으로서 해당 목적으로 한정됨.
통지: 정보주체의 동의를 얻기 전 또는 동의를 얻는 시점에 정보주체에게 통지해야 함. 통지를 통하여 정보주체에게 다음 각 사항을
알려야 함. (a) 데이터 수집 목적 (b) 동의만큼 쉬운 수단으로 철회할 정보주체의 동의 철회권 및 민원 처리 청구권 (c) 개인정보보호법에
따라 설립된 데이터 보호위원회에 정보주체가 민원을 제기하는 방법.
합법적 용도
두 번째 처리 근거는 합법적 용도로서, 이 요건을 갖추었을 경우 정보주체의 명시적 동의 없이 개인정보를 수집할 수 있음.
해당 조항은 합법적 용도로 분류해야 하는 다음 등의 근거를 나열하고 있음. (i) 정보주체가 특정 목적을 달성하기 위해 데이터 관리자에게
자발적으로 개인 정보를 제공하고, 개인정보 공유에 반대한다는 의사표시가 없었던 경우 (ii) 당시의 현행 법령에 따른 기능을 수행하기
위하여 국가 또는 그 기관이 개인정보를 수집하는 경우 (iii) 고용 목적이나 고용주를 손실 또는 책임으로부터 보호하기 위해 개인정보를
수집하는 경우. 이번 조사의 목적상, 합법적 용도 중에는 정보주체와 데이터 관리자 간에 체결된 계약 언급은 없다는 점에 유의해야 함.
1-4. 아동의 개인정보 수집
Q1. 한국의 경우처럼 아동(한국의 경우 만 14세 미만)의 개인정보를 수집ㆍ이용ㆍ제공하려면, 법정대리인의 동의를 받아야 하는 규제가
존재하는지? 혹 동의가 불필요한 경우, 어떠한 방법을 적법 처리 근거로 활용할 수 있는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 인도 계약법에 따르면 18세 미만의 미성년자가 체결한 계약은 법적으로 무효이며 집행 불가능함.
따라서, 인도 현행 법에 따르면 미성년자는 계약을 체결하거나 동의를 할 능력이 없음. 따라서 기본 후견인 또는 후견인이 자녀를 대신하여
계약을 체결하고 동의를 하게 됨.
개인정보 보호법: 개인정보보호법에 따르면 데이터 관리자는 아동의 부모나 법정대리인의 확인 가능한 동의를 받아야 아동의 개인정보를
처리할 수 있음. 확인 가능한 동의를 얻는 형식과 방법은 규칙에서 규정하게 되어 있으며 이러한 규칙은 아직 공개된 것이 없음.
개인정보보호법은 아동의 복지에 해로운 영향을 미칠 가능성이 있는 개인정보 처리, 아동 추적이나 행동 모니터링 및 아동을 대상으로 하는
추천 광고를 금지함. 정부는 일정한 범주의 데이터 관리자에게 다음 각 준수 사항을 면제해줄 수 있음. (i) 아동을 대상으로 하는 추적,
행동 모니터링 또는 추천 광고 제한 (ii) 아동의 개인정보 처리 목적으로 확인 가능한 동의를 받아야 하는 의무. 또한, 데이터 관리자가 아동의
개인정보 처리를 확인 가능한 안전한 방식으로 수행하도록 보장한 사실을 정부가 확인한 경우, 특정 연령 이상의 아동에 대한 이러한
준수사항도 면제할 수 있음.
Q2. 법정대리인의 동의를 받아야 한다면, 그 방법이 구체적으로 규정되어 있는지(이메일 인증, 전사서명, 서면 동의, 전화 동의 등)?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 현행 데이터 법령은 동의 획득 방법이나 방식을 명시하지 않음. 그러나 위에서 논했듯 유효하게 계약을 체결하고 동의를
얻는 것과 관련된 일반 원칙은 적용될 것임.
개인정보보호법: 개인정보보호법은 부모 또는 법정 후견인에게 확인 가능한 동의를 얻어야 한다고 규정하지만, 동의를 얻는 방식은 하위
규칙에 따르며 이러한 규칙은 아직 고시된 것이 없음.
Q3. 개인정보보호법 상 아동의 연령은 어떻게 되는지?
A. 인도 법상 만 18세 미만의 자연인은 아동이라고 봄.
Q4. 사업자는 아동의 개인정보 관련 권리를 어떻게 보장해야 하는지(법정 대리인이 권리행사를 대신할 수 있는지 여부 등)?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 앞서 언급하였듯 미성년자와의 계약에는 일반 계약 원칙이 적용됨. 인도 계약법에 따르면 미성년자가 체결한 계약은
원천적으로 무효임. 그러나 인도 법원은 일정한 상황에서는 미성년자의 후견인이 미성년자를 대리하거나, 미성년자를 수혜자로 하거나
필요에 의해 계약을 체결할 수 있다고 인정했음. 미성년자가 성년이 된 후 후견인이나 행위능력 대리인을 통해, 또는 스스로 그러한 계약의
이행을 요구할 수 있다는 인도 법원 판결례도 있음. 따라서 사업자는 후견인의 동의에 기대어 각 당사자의 권리를 규정하는 계약을 체결할
수 있음. 그러나 아동의 이익을 위한 계약이나 법적 요건을 충족하기 위한 계약만 효력이 인정됨.
개인정보 보호법: 앞서 언급하였듯 사업자는 아동의 부모 또는 법정 후견인의 확인 가능한 동의를 받아야 아동의 개인정보를 처리할 수
있음.
Q5. 해당 법률을 위반 했을 때 벌칙 조항은 어떻게 구성되어 있는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 인도 계약법상 미성년자와 체결된 계약은 무효이며 집행할 수 없음. 따라서 동의는 인정되지 않으며, 이는 민감한 개인정보
규칙의 목적상 무단으로 데이터를 수집하고 처리하는 것으로 봄. 중개인, 회사 또는 법인이 이를 위반할 경우 정보기술법에 따라 1락 인도
루피(약 1,197 미국 달러) 이하의 벌금에 처하며, 피해자에게 10락 인도 루피(약 11,970 미국 달러)의 보상을 제공하도록 규정하고 있음.
개인정보보호법: 아동의 개인정보를 확인 가능한 동의 없이 처리하거나, 데이터 관리자가 다음의 어느 하나에 해당하는 방식으로 아동의
개인정보를 처리할 경우 개인정보보호법에 따라 200억 인도 루피(약 240,000,000 미국 달러) 이하의 벌금에 처함. (i) 아동의 복지에 해를
끼치는 방식으로 처리 (ii) 아동 추적 또는 행동 모니터링을 수행 (iii) 아동을 대상으로 추천 광고를 송신. 추적 또는 행동 모니터링,
맞춤형 광고 송신 목적으로 아동의 개인정보를 처리하지 못하게 하는 금지사항에는 개인정보보호법에 따라 제정되는 하위규칙에 예외가
규정될 수 있음. 개인정보보호법에 따라 구성될 예정인 데이터 보호위원회는 위반의 성격, 중대성, 지속 기간, 개인정보의 유형 및 성격,
반복적 위반 여부 등 여러 요인을 고려하여 벌금 액수를 결정함. 금전적 벌금이 2회 이상 부과된 경우 데이터 관리자의 웹사이트를 차단하는
조치도 취할 수 있음.
1-5. 개인정보 제3자 제공 방법 (동의, 고지 등)
Q. 개인정보를 제3자에게 적법하게 제공하기 위한 방법(근거)은 어떠한 것들이 있는지(동의, 고지, 정보주체와의 계약 처리 및 이행을 위한
경우 등)?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보를 이전하려면 정보주체의 동의를 받아야 함. 동의는 민감한 개인정보 수집 당시(예: 개인정보 처리 방침에
따라) 또는 수집 이후(예: 이전 동의서를 통해) 받을 수 있음. 법적 의무를 준수하기 위해 필요한 경우, 예를 들어 범죄 수사 또는 기소를 목적
으로 하는 정부 기관의 요청에 의하는 상황에는 동의 없이도 정보 공개가 허용됨. 해당 법인으로부터 이러한 민감한 개인정보를 이전 받은
제3자는 이를 추가로 공개해서는 안 됨.
개인정보보호법: 위에서 명시된 수집 기준과 동일한 법적 근거에 따라 개인정보를 이전할 수 있음.
1-6. 개인정보 처리 위탁 (동의, 고지, 수탁업체 계약방법)
Q1. 개인정보 처리를 외부 업체에게 위탁하려는 경우 정보주체의 동의를 얻어야 하는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 일반 개인정보 이전에는 민감한 개인정보 규칙이 적용되지 않음. 민감한 개인정보 규칙은 특수한 개인정보인 민감한
개인정보만을 규제하기 때문임. 민감한 개인정보를 외부 회사로 이전하여 위탁하려면 정보주체의 동의를 받아야 함.
앞서 언급하였듯 이러한 동의는 민감한 개인정보 수집 시점(예: 개인정보 보호정책) 또는 수집 이후(예: 이전 동의서)에 받을 수 있음.
개인정보보호법: 위에서 언급하였듯 개인정보 이전을 수반하는 위탁은 동의를 포함하여 위에서 명시한 근거에 따라 할 수 있음.
그러나 외부 회사에서 개인정보를 처리하는 경우에도 데이터 제공자인 데이터 관리자는 개인정보보호법과 동법에 따른 하위규칙을
준수해야 함. 외부 회사가 개인정보 처리의 목적과 수단을 결정하는 경우, 데이터 관리자(data fiduciary) 또는 공동 데이터 관리자(joint
data fiduciary)로 분류될 가능성이 높음. 중앙정부는 개인정보 이전이 제한되는 국가 또는 영토를 고지할 수 있음.
외부 기업이 이렇게 제한 고지된 국가나 영토에 위치한 경우 동의를 얻었다 하더라도 개인정보를 이전해서는 안됨.
이와 같이 제한 국가를 고지한 예는 현재 없음. 더불어 개인정보보호법에 따라 다음의 어느 하나에 해당하는 모든 법은 개인정보법에
우선함. (i) 더 높은 수준의 개인정보 보호를 규정한 법 (ii) 인도 외부로 개인정보를 이전하는 것을 제한하는 법. 따라서 데이터 현지화를
규정하는 부문별 법률이 개인정보보호법보다 우선하며, 이러한 데이터는 인도가 아닌 외국 영토에 본부를 둔 외부 회사에 위탁할 수 없음.
Q2. 동의를 얻지 않아도 된다면, 그 적법성을 어떻게 확보할 수 있는지(정보주체에게 고지, 개인정보처리방침 공개 등)?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 앞서 언급하였듯 민감한 개인정보를 이전하려면 정보주체의 동의를 받아야 함. 이러한 동의는 민감한 개인정보 수집 당시
(예: 개인정보 처리 방침에 따라) 또는 수집 이후 (예: 이전 동의서 등을 통해) 받을 수 있음. 또한, 정보주체로부터 동의를 얻을 때,
법인(즉, 민감한 개인정보 이전자)는 정보주체에게 다음 각 사항을 알리도록 합리적인 조치를 취해야 함. (i) 민감한 개인정보의 예정 수신자,
(ii) 민감한 개인정보를 보유할 기관의 명칭과 주소.
개인정보보호법: 동의를 근거로 처리하는 경우 개인정보 이전은 정보주체가 동의한 목적에 따라 이루어져야 함. 반면 합법적 용도를 근거로
개인정보를 처리하는 경우 합법적 용도와 관련하여 개인정보를 이전한다는 소명 문서를 갖추어야 함. 예를 들어, 합법적 용도의 하나인
고용 목적은 영업비밀 유지, 기밀 정보, 지식재산 등을 포함함. 이에 고용의 성격을 증명하고 해당 정보를 기밀이라고 식별하는 유효한 문서
증거를 갖추어야 함.
Q3. 개인정보 처리를 위탁받아 수행하는 자(수탁업체)와 체결해야 하는 문서가 있는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보가 합법적인 계약에 따라 외주 수탁자에게 이전되는 경우, 체결 원칙에 따라 체결한 계약만 인정됨.
민감한 개인정보 이전의 근거는 정보주체의 동의이므로 이러한 동의를 기록한 계약 체결 기록이 있어야 함.
개인정보보호법: 데이터 관리자와 데이터 처리자, 즉 외주 수탁자 간에 유효한 계약을 체결해야 함. 계약에 관한 명확한 세부 규정은 규칙
제정을 기다려야 할 것임.
Q4. 위탁업체가 수탁업체를 관리감독할 의무가 있는지? 있다면, 그 관리감독 방법은 무엇인지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 외주 위탁 업체가 외주 수탁 업체를 관리하거나 감독할 의무는 없음. 그러나 민감한 개인정보 규칙상 데이터 처리자가
민감한 개인정보를 공개하거나 추가로 공개하는 것은 금지됨. 데이터 처리자가 인도가 아닌 외국에 위치한 경우, 민감한 개인정보 규칙에서
제공하는 것과 같은 수준의 데이터 보호를 보장해야 함. 이를 이행하는 데 필요한 한도 내에 서는 계약상의 감독을 해야함.
개인정보보호법: 데이터 관리자(외주 위탁 업체)와 데이터 처리자(외주 수탁 업체) 간의 관계에서 데이터 관리자는 데이터 처리에 관한 개인
정보보호법에 따른 준수사항을 담당함. 이는 데이터 관리자와 데이터 처리자 간에 이와 충돌하는 내용의 합의를 했더라도 마찬가지임.
구체적으로, 데이터 관리자는 다음 각 의무를 부담함. (i) 데이터 처리자가 개인정보 침해를 방지하기 위해 합리적인 보안 조치를 채택하도록
보장함. (ii) 개인정보 처리 동의를 철회한 사람의 개인정보나 개인정보 수집 목적이 달성되었다고 합리적으로 판단되는 개인정보를
삭제하도록 요청함.
Q5. 개인정보 수탁업체가 개인정보 관련 사고를 발생시킬 경우 그 책임은 누가 지는지? (수탁업체가 온전히 그 책임을 지는지 또는 위탁업체가
그 책임을 지는지)?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보 규칙에 따르면 법인과 수탁 처리자는 각자 독자적으로 합리적인 보안 기준을 시행하고 관련 정책을 문서로
기록할 책임을 짐. 민감한 개인정보와 관련하여 정보 보안 침해가 발생한 경우, 정부의 관련 기관은 침해가 발생한 단체가 보안 관리 조치를
정보 보안 계획과 정보 보안 정책에 기록하여 시행한 사실을 증명하도록 요구할 수 있음. 또한, 조직(법인 또는 수탁 처리자)은 합리적인
보안 관행과 절차를 구축하고 유지하는 것과 관련된 과실로 인해 타인에게 부당한 손실·이득이 발생한 경우 배상할 의무가 있음.
배상금의 액수는 제47조에 명시된 요소들에 따라 계산된다(위반으로 인해 발생한 부당이득 금액, 손실 금액, 위반의 반복성 등).
그러나 법인은 계약을 통해 처리자의 비준수나 위반으로 인하여 발생한 배상책임은 처리자가 면책하도록 하여 자신의 이익을 보호할 수
있음.
개인정보보호법: 개인정보보호법에 따르면 데이터 관리자는 자신이 보유하거나 통제하는 데이터뿐만 아니라 데이터 처리자가 대신
처리하는 데이터의 보호에도 궁극적인 책임을 짐. 데이터 관리자는 또한 데이터 보호위원회 및 피해를 입은 데이터 주체에게 침해 사실을
규정에 따라 통지해야 함. 그러나 데이터 관리자는 데이터 처리자에게 관련 의무를 부과할 수 있음. 또한, 사이버 보안 사건이 발생할 경우
정보기술 인도 컴퓨터 비상대응기관 및 기능과 의무 수행 방식 규칙 2013(Information Technology (The Indian Computer
Emergency Response Team and Manner of Performing Functions and Duties) Rules, 2013, 이하 “비상대응기관 규칙”)에 따른
일정한 보고 의무를 부담함. 비상대응기관 규칙에 따르면 사이버 보안 사건을 인도 컴퓨터 비상대응기관(Indian Computer Emergency
Response Team, 이하 “비상대응기관”)에 보고해야 함. 사이버 보안 사건으로 여러 당사자가 영향을 받는 경우, 사건을 인지한 당사자는
비상대응기관에 이를 보고해야 함. 따라서 외주 위탁 업체와 외주 수탁 업체 모두 보고 책임을 질 수 있음.
1-7. 쿠키 수집
Q1. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있는지?
A. 쿠키 수집 및 사용에 관한 구체적인 규정은 없으나, 쿠키를 이용하여 수집된 개인정보가 있을 경우, 일반 데이터 보호 법령,
즉 민감한 개인정보 규칙 또는 제정 이후의 개인정보보호법이 적용됨.
Q2. 쿠키를 수집(동의 등) 및 이용과 관련하여 규제가 있다면, 해당 법을 만족시키기 위한 적법한 쿠키 수집(동의 등) 방법은 무엇인지?
A. 민감한 개인정보 규칙 및 개인정보보호법에 따른 데이터 수집의 법적 근거에 대한 답변은 위의 개인정보 수집 방법(동의, 고지 등) 참고.
Q3. 만약 동의를 받아야 한다면, 쿠키 동의가 면제될 수 있는 조건은 무엇이 있는지?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 쿠키를 이용하여 민감한 개인정보를 수집하는 유일한 법적 근거 이용자 동의임. 민감한 개인정보를 수집하지 않고
개인정보만 수집하는 경우 쿠키 수집에 동의를 받을 의무는 면제될 수 있음. 개인정보 수집 방법(동의, 고지 등) 참고.
개인정보보호법: 개인정보보호법에 따르면 동의 외에도 합법적 용도를 근거로 개인정보를 수집할 수 있음.
개인정보 수집 방법(동의, 고지 등) 참고.
1-8. 국외 이전 방법 (동의, 방법, 동의 시 고지사항)
Q. 해외 이용자의 개인정보를 국외로 이전하기 위한 방법은 무엇이 있는지(동의, 개인정보처리방침 공개, 특별한 규제 없이 자유롭게 이전
가능 등)?
A. 부연 설명 참고.
부연 설명
현행 데이터법: 민감한 개인정보 규칙상 개인정보의 국제 이전에 구체적인 조건을 부과하지는 않음. 민감한 개인정보를 해외로 이전하려면,
외부 제3자에게 이전하는 것에 관한 규정이 적용될 것임.
개인정보보호법: 인도가 아닌 외국으로 개인 데이터를 이전하는 것에 관한 개인정보 수집 방법(동의, 고지 등) 참고.
1-9. 데이터 현지화
Q1. 특정 국가의 경우 자국민의 개인정보를 반드시 특정국가 현지에 저장해야 함을 법률로 규정하고 있음에 따라 유사한 규제가 있는지?
A. 민감한 개인정보 규칙 및 개인정보보호법에는 데이터 현지화 요건이 없음. 그러나 특정 부문별 법률은 특정 범주의 데이터 현지화 요건을
두고 있음. 더 높은 수준의 개인정보 보호를 규정하는 법이나 인도가 아닌 외국으로 데이터를 이전하는 것을 제한하는 법률은
개인정보보호법보다 우선함. 따라서 데이터 현지화를 규정하는 부문별 법률도 개인 정보보호법보다 우선함.
Q2. 현지화 규제가 있다면, 그 대상이 되는 개인정보의 범위가 있는지(모든 개인정보, 특정 정보만 현지에 저장 등)?
A. 은행업, 금융 서비스, 보험, 통신 부문에는 일정한 데이터 현지화 의무가 적용됨. 이러한 의무는 일반적으로 해당 법으로 규제되는 기관에
적용됨. 게임 활동이라는 맥락에서 중요성을 띠는 것은 은행업 부문의 결제 관련 데이터뿐임.
부연 설명
은행 부문의 결제 관련 데이터는 2018년 4월 6일자 인도 준비은행(RBI) 고시 ”결제 시스템 데이터 저장”에 명시된 대로 저장해야 함.
2019년 6월 26일자 결제 시스템 데이터 저장에 관한 자주 묻는 질문에도 동일한 내용을 명시하고 있음. 인도 준비은행 고시에 따르면,
결제 시스템 제공자는 “자신이 운영하는 결제 시스템”과 관련된 “모든 데이터”를 오직 인도 영토 내에 저장해야 함. 거래에 해외 구간이
포함된 경우(외국 당사자가 관련된 경우), 필요 시 데이터를 인도가 아닌 외국에도 저장할 수 있음. 인도 준비은행의 자주 묻는 질문은 또한
필요 시 국제 거래의 국내 구성요소의 사본을 외국에 저장할 수 있음을 명확히 밝히고 있음. 인도 준비은행 회람과 자주 묻는 질문에 명시된
바에 따르면, 위 사항을 준수할 책임은 오직 결제 서비스 제공업체가 부담함. 이를 준수하기 위해 결제 서비스 제공업체는 가맹점(게임
서비스 제공업체)에게 거래와 관련된 모든 데이터를 인도 내에만 저장하도록 계약상 의무를 지울 수 있음. 이러한 준수사항/규정은 현지화와
관련하여 정보주체에게 명시적인 권리를 부여하지는 않음. 그러나 인도에 저장된 데이터는 필요에 따라 고객 분쟁을 처리하기 위해 접근할
수 있음.
링크
(-)
- Helpdesk1566-9984 welcon@kocca.kr
- 본 페이지에 게시된 이메일 주소가 자동 수집되는 것을 거부하며, 이를 위반시 정보통신법에 의해 처벌됨을 유념하시기 바랍니다.
58326 전라남도 나주시 교육길 35 (빛가람동 351) 한국콘텐츠진흥원 사업자등록번호 105-82-17272 - Copyright 2020. Korea Creative Content Agency All rights reserved.
