2023년 디지털 개인 데이터 보호 규칙 초안 공지, 아동 데이터 처리에 대한 부모 동의 의무화

전자정보기술부는 지난 1월 3일 금요일 2023년 디지털 개인정보 보호법에 따른 규칙 초안을 공개 의견 수렴 대상으로 공지했습니다.

The Ministry of Electronics and Information Technology on Friday notified the draft rules under the Digital Personal Data Protection Act 2023 for public comments.

전자정보기술부는 지난 금요일 2023년 디지털 개인정보 보호법에 따른 규칙 초안을 공개 의견으로 통보했습니다.

The draft rules, among others, propose to mandate parental consent for data-fiduciaries to process the personal data of children. Data-fiduciaries include social media intermediaries, e-commerce companies, gaming platforms etc.

초안 규칙은 특히 데이터 수탁자가 아동의 개인 데이터를 처리할 때 부모의 동의를 의무화하도록 제안합니다. 데이터 수탁자에는 소셜 미디어 중개자, 전자상거래 회사, 게임 플랫폼 등이 포함됩니다.

The rules state :

규칙 상태는 다음과 같습니다.

"A Data Fiduciary shall adopt appropriate technical and organisational measures to ensure that verifiable consent of the parent is obtained before the processing of any personal data of a child and shall observe due diligence, for checking that the individual identifying herself as the parent is an adult who is identifiable if required in connection with compliance with any law for the time being in force in India, by reference to—

"데이터 수탁자는 아동의 개인 데이터를 처리하기 전에 부모의 검증 가능한 동의를 얻을 수 있도록 적절한 기술 및 조직적 조치를 채택해야 하며, 자신을 부모라고 밝힌 개인이 성인인지 확인하기 위한 실사를 준수해야 합니다. 인도에서 현재 시행 중인 법률 준수와 관련하여 필요한 경우 다음을 참조하여 식별할 수 있는 사람입니다.

(a) reliable details of identity and age available with the Data Fiduciary; or

(a) 데이터 수탁자가 확인할 수 있는 신원 및 연령에 대한 신뢰할 수 있는 세부 정보 또는

(b) voluntarily provided details of identity and age or a virtual token mapped to the same, which is issued by an entity entrusted by law or the Central Government or a State Government with the maintenance of such details or a person appointed or permitted by such entity for such issuance, and includes such details or token verified and made available by a Digital Locker service provider."

(b) 법률이나 중앙 정부 또는 주 정부에 의해 해당 세부 정보의 유지 관리를 위임받은 기관 또는 그러한 기관이 임명하거나 허용한 사람이 발행한 신원 및 연령에 대한 세부 정보 또는 이에 매핑된 가상 토큰을 자발적으로 제공한 경우 이러한 발행을 위한 주체이며 Digital Locker 서비스 제공업체가 확인하고 제공한 해당 세부 정보 또는 토큰을 포함합니다."

The rules give out the following illustrations:

규칙은 다음 그림을 제공합니다.

C is a child, P is her parent, and DF is a Data Fiduciary. A user account of C is sought to be created on the online platform of DF, by processing the personal data of C.

C는 자녀이고, P는 그녀의 부모이며, DF는 데이터 수탁자입니다. C의 개인정보를 처리하여 DF 온라인 플랫폼에서 C의 사용자 계정을 생성하려고 합니다.

Case 1: C informs DF that she is a child. DF shall enable C's parent to identify herself through its website, app or other appropriate means. P identifies herself as the parent and informs DF that she is a registered user on DF's platform and has previously made available her identity and age details to DF. Before processing C's personal data for the creation of her user account, DF shall check to confirm that it holds reliable identity and age details of P.

사례 1: C는 DF에게 자신이 아동임을 알립니다. DF는 C의 부모가 웹사이트, 앱 또는 기타 적절한 수단을 통해 자신을 식별할 수 있도록 해야 합니다. P는 자신을 부모로 식별하고 자신이 DF 플랫폼에 등록된 사용자이며 이전에 자신의 신원 및 연령 세부 정보를 DF에 제공했음을 DF에 알립니다. 사용자 계정 생성을 위해 C의 개인 데이터를 처리하기 전에 DF는 P의 신원과 연령 정보가 신뢰할 수 있는지 확인해야 합니다.

Case 2: C informs DF that she is a child. DF shall enable C's parent to identify herself through its website, app or other appropriate means. P identifies herself as the parent and informs DF that she herself is not a registered user on DF's platform. Before processing C's personal data for the creation of her user account, DF shall, by reference to identity and age details issued by an entity entrusted by law or the Government with maintenance of the said details or to a virtual token mapped to the same, check that P is an identifiable adult. P may voluntarily make such details available using the services of a Digital Locker service provider.

사례 2: C는 DF에게 자신이 아동임을 알립니다. DF는 C의 부모가 웹사이트, 앱 또는 기타 적절한 수단을 통해 자신을 식별할 수 있도록 해야 합니다. P는 자신을 부모라고 밝히고 자신이 DF 플랫폼에 등록된 사용자가 아님을 DF에 알립니다. 사용자 계정 생성을 위해 C의 개인 데이터를 처리하기 전에 DF는 법률 또는 정부가 해당 세부 정보의 유지 관리를 위탁한 기관이 발행한 신원 및 연령 세부 정보 또는 이와 매핑된 가상 토큰을 참조하여 다음을 확인해야 합니다. P는 식별 가능한 성인입니다. P는 Digital Locker 서비스 제공자의 서비스를 이용하여 그러한 세부정보를 자발적으로 제공할 수 있습니다.

Case 3: P identifies herself as C's parent and informs DF that she is a registered user on DF's platform and has previously made available her identity and age details to DF. Before processing C's personal data for the creation of her user account, DF shall check to confirm that it holds reliable identity and age details of P.

사례 3: P는 자신을 C의 부모로 식별하고 자신이 DF 플랫폼에 등록된 사용자이며 이전에 자신의 신원 및 연령 세부 정보를 DF에 제공했음을 DF에 알립니다. 사용자 계정 생성을 위해 C의 개인 데이터를 처리하기 전에 DF는 P의 신원과 연령 정보가 신뢰할 수 있는지 확인해야 합니다.

Case 4: P identifies herself as C's parent and informs DF that she herself is not a registered user on DF's platform. Before processing C's personal data for the creation of her user account, DF shall, by reference to identity and age details issued by an entity entrusted by law or the Government with maintenance of the said details or to a virtual token mapped to the same, check that P is an identifiable adult. P may voluntarily make such details available using the services of a Digital Locker service provider.

사례 4: P는 자신을 C의 부모라고 밝히고 자신이 DF 플랫폼에 등록된 사용자가 아님을 DF에 알립니다. 사용자 계정 생성을 위해 C의 개인 데이터를 처리하기 전에 DF는 법률 또는 정부가 해당 세부 정보의 유지 관리를 위탁한 기관이 발행한 신원 및 연령 세부 정보 또는 이와 매핑된 가상 토큰을 참조하여 다음을 확인해야 합니다. P는 식별 가능한 성인입니다. P는 Digital Locker 서비스 제공자의 서비스를 이용하여 그러한 세부정보를 자발적으로 제공할 수 있습니다.

A Data Fiduciary, while obtaining verifiable consent from an individual identifying herself as the lawful guardian of a person with disability, shall observe due diligence to verify that such guardian is appointed by a court of law, a designated authority or a local level committee, under the law applicable to guardianship.

데이터 수탁자는 자신을 장애인의 법적 후견인이라고 밝히는 개인으로부터 검증 가능한 동의를 얻는 동안 해당 후견인이 법원, 지정된 기관 또는 지역 수준 위원회에 의해 임명되었는지 확인하기 위해 실사를 준수해야 합니다. 후견에 적용되는 법률.

However, the mandate on parental consent are not applicable to data fiduciaries, who are health professionals, mental health professionals, or engaged by educational institutions.

그러나 부모 동의에 대한 의무는 의료 전문가, 정신 건강 전문가 또는 교육 기관에 종사하는 데이터 수탁자에게는 적용되지 않습니다.

The rules also specify the contents of the notice to be given by data fiduciaries to obtain the informed consent of users(data principals) to process their personal data.

또한 이 규칙은 개인 데이터를 처리하기 위해 사용자(데이터 주체)의 사전 동의를 얻기 위해 데이터 수탁자가 제공해야 하는 통지 내용을 명시합니다.

The notice should give, in clear and plain language, a fair account of the details necessary to enable the Data Principal to give specific and informed consent for the processing of her personal data, which shall include, at the minimum,—

통지는 데이터 주체가 자신의 개인 데이터 처리에 대해 구체적이고 고지된 동의를 제공하는 데 필요한 세부 사항을 명확하고 평이한 언어로 공정하게 설명해야 하며, 여기에는 최소한 다음이 포함되어야 합니다.

(i) an itemised description of such personal data; and

(i) 해당 개인 데이터에 대한 항목별 설명; 그리고

(ii) the specified purpose of, and an itemised description of the goods or services to be provided or uses to be enabled by, such processing.

(ii) 해당 처리를 통해 제공되거나 사용되는 상품 또는 서비스에 대한 특정 목적 및 항목별 설명.

A communication link to withdraw consent should also be given.

동의를 철회할 수 있는 커뮤니케이션 링크도 제공되어야 합니다.

Every Data Fiduciary shall prominently publish on its website or app, and mention in every response to a communication for the exercise of the rights of a Data Principal under the Act, the business contact information of the Data Protection Officer, if applicable, or a person who is able to answer on behalf of the Data Fiduciary the questions of the Data Principal about the processing of

모든 데이터 수탁자는 해당 웹사이트나 앱에 눈에 띄게 게시해야 하며, 법에 따른 데이터 주체의 권리 행사를 위한 커뮤니케이션에 대한 모든 응답에는 데이터 보호 책임자(해당되는 경우) 또는 개인의 비즈니스 연락처 정보를 언급해야 합니다. 데이터 수탁자를 대신하여 데이터 처리에 관한 데이터 주체의 질문에 답변할 수 있는 사람