AI 앱의 데이터 거주성: DPDP와 GDPR 라우팅 가이드
요약
본 글은 AI 앱 개발 시 데이터 거주성(Data Residency)과 관련된 주요 규제인 인도의 DPDP와 GDPR을 비교 분석합니다. 인도 법은 포괄적 현지화 의무가 없으나, 부문별 규칙이나 중요 데이터 신뢰 주체에 대한 특정 제한이 존재함을 강조합니다. 반면 EU/UK의 GDPR은 물리적 위치보다 적정성(adequacy)과 합법적인 전송 메커니즘을 중시합니다.
핵심 포인트
- 인도 DPDP는 포괄적 현지화 의무가 없으며, 블랙리스트에 없는 곳으로 전송이 가능함.
- 실질적인 제한은 부문별 규칙이나 중요 데이터 신뢰 주체(SDF) 관련 규정에서 발생할 수 있음.
- GDPR/UK GDPR은 물리적 위치보다 적정성 결정 및 합법적인 전송 메커니즘을 요구함.
- 데이터 거주성은 저장 시점(At-rest residency)과 지역 내 처리 방식에 대한 이해가 필요함.
Originally published on AI Tech Connect.
라우터에 손대기 전에 빌더들이 알아야 할 것: 인도의 DPDP 법은 포괄적인 현지화(localisation)를 의무화하지 않습니다. 섹션 16은 부정 목록(negative list)입니다. 중앙 정부가 통보로 블랙리스트에 올리지 않은 모든 국가로의 전송이 허용되며, 2026년 7월 현재 그러한 목록은 통보되지 않았습니다. 날카로운 부분은 다른 곳에 있습니다: 부문별 규칙(예: RBI의 결제 데이터 지침)과 중요 데이터 신뢰 주체(Significant Data Fiduciaries)를 위해 특정 데이터 카테고리를 인도 내에 고정할 수 있는 DPDP Rules, 2025 권한입니다. UK GDPR과 EU GDPR은 우편번호가 아니라 메커니즘을 신경 씁니다. 둘 다 데이터가 집에 머물러야 한다고 요구하지 않으며, 적정성(adequacy), SCCs (UK Addendum 포함) 또는 ICO의 IDTA, 또는 BCRs와 같은 합법적인 전송 경로와 목적지가 실제로 서류와 일치한다는 증거를 요구합니다. 저장 시 거주성(At-rest residency)과 지역 내(in-region)…
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기