[동아시아포럼] 인도 '데이터 주권'의 현재와 미래

[동아시아포럼]은 EAST ASIA FORUM에서 전하는 동아시아 정책 동향을 담았습니다. EAST ASIA FORUM은 오스트레일리아 국립대학교(Australia National University) 크로퍼드 공공정책대학(Crawford School of Public Policy) 산하의 공공정책과 관련된 정치, 경제, 비즈니스, 법률, 안보, 국제관계에 대한 연구·분석 플랫폼입니다.

저희 폴리시코리아(The Policy Korea)와 영어 원문 공개 조건으로 콘텐츠 제휴가 진행 중입니다.

사진=동아시아포럼

인도에서 데이터는 국내 전용이자 외부 유출로부터 보호돼야 할 전략적 자원으로 취급된다. 심지어 나렌드라 모디(Narendra Modi) 인도 총리는 “데이터가 새로운 금”이라는 발언을 하기도 했다. 이는 인도 당국의 데이터에 대한 인식을 극명하게 보여준다.

인도의 ‘데이터 현지화 조치’로 대표되는 데이터 보호 움직임

그간 데이터는 국경을 넘는 데 제한이 없고 정보 교환을 용이하게 해줄 뿐만 아니라, 전례 없이 빠른 속도로 거래를 촉진하는 차원에서 통화와 같은 역할을 해 왔다. 그러나 최근 들어 데이터의 사용 범위와 더불어 데이터가 국가 건설에 미치는 영향력이 점차 증가함에 따라 프라이버시 침해 및 보안 관련 문제가 대두됐다. 때문에 일각에서는 국가 차원의 보호를 요구하는 목소리도 꾸준히 제기되고 있다.

이와 관련해 인도 정부는 2016년부터 데이터 및 복제본이 국경을 넘지 못하도록 방지하는 이른바 ‘데이터 현지화 조치(Data Localisation measures)’를 시행하고 있다. 이는 구글, 아마존, 애플 등 글로벌 빅테크 기업들의 민감한 데이터의 남용을 방지하고 책임 소재를 명확하게 하기 위함이다.

아시아 최고 부호인 무케시 암바니(Mukesh Ambani) 릴라이언스 인더스트리(Reliance Industries) 이사회 의장이 “인도의 데이터는 자국민이 소유해야 한다”고 역설한 것도, 수브라마냠 자이샨카르(Subrahmanyam Jaishankar) 인도 외교부 장관이 “인도가 데이터 보호를 주도하는 국가”가 돼야 한다고 천명한 것도 같은 맥락이다. 이는 외국 기업들의 ‘데이터 식민주의(데이터를 특정 국가·기업이 사실상 독점하면서 패권을 형성하고, 데이터를 확보하지 못하는 국가·기업은 종속되는 현상)’를 비난하고 경계하던 민간 영역의 입장을 정부 역시 공유하고 있음을 시사한다.

인도 데이터 정책의 비일관성

국제 사회에서 ‘데이터 주권(data sovereignty)’이라는 개념이 새롭게 등장하면서 해당 용어가 세계적으로 통용되고 있음에도 아직 인도 데이터 정책의 본질을 꿰뚫는 공식적인 내러티브는 없는 실정이다. 주권 및 뉴테크 영역과 관련된 인도 정부 인사들의 각종 발언만이 인도의 데이터 정책을 이해하는 부가 자료로 활용되고 있을 뿐이다. 비니트 고엔카(Vinit Goenka) 인도국민당(BJP) 대변인이 “이진법으로 변환되고 디지털 형식으로 저장된 정보는 해당 데이터를 보유한 국가의 법에 종속된다”고 발언한 것 역시 혼란을 더욱 가중시키고 있다.

현재 인도의 데이터 주권에 대한 비전은 △규제 감독을 통해 데이터가 자국의 경제 성장에 전용(專用)되도록 보호하는 것 △지정학적 안보 위협에 대응해 안보 체제를 확립하는 것 △공정한 디지털 무역 규칙의 구축을 위한 국제 외교 참여 등으로 요약된다.

디지털 영역에서 괄목할 성장을 기록한 인도는 자국 기업을 보호하기 위한 데이터 보호 조치의 시행 및 자국 디지털 경제 부흥을 위한 토착 기업의 기술 혁신 장려 등 전반적으로 자유무역보단 보호무역주의를 추구하는 경향을 보인다. 대내적으로는 국민들의 데이터를 관리·통제하는 한편 대외적으로는 ‘글로벌 데이터 센터 허브’ 역할을 자처하는 등 인도는 일종의 ‘기술 권위주의’ 국가로의 행보를 걷고 있는 셈이다. 그러나 이런 모순적인 태도는 심각한 결과를 초래할 수도 있는 만큼 우려의 목소리도 적지 않다. 예컨대 독점 기업을 견제하기 위한 특정 데이터 공유의 의무화는 특히 소규모 기업들에 부담으로 작용해 오히려 이들을 시장에서 퇴출하는 결과를 낳는 등 자칫 공정한 경쟁과 혁신을 저해하게 될 위험성을 노정한다.

인도의 전략적 이익에 위배되는 해외 감시나 정보전과 같은 지정학적 이슈도 데이터를 포함한 대내 안보 체제에 대한 논쟁을 불러일으켰다. 텔랑가나의 스리크리슈나 위원회는 2018년 보고서를 통해 민간 데이터베이스와 시스템에 대한 안전 장치가 부재할 경우 △건강 △사회 기반 시설 △정부 서비스 등 핵심 데이터가 외국인 혹은 잠재적 반역자에 의해 오용될 위험성이 높다고 역설하는 등 보안에 대한 우려를 표명한 바 있다.

민족주의적 데이터 정책

인도의 데이터 정책은 일관성이 상당 부분 결여돼 있긴 하나, 일종의 글로벌 스탠다드로서 세계 디지털 거버넌스에 영향을 미치고자 하는 의도는 분명한 것으로 보인다. 그도 그럴 것이 14억 명에 육박하는 인구와 꾸준히 증가하는 인터넷 보급률로 미뤄볼 때 인도는 자국 데이터 주권의 효과가 증명될 경우 선도적인 세계 모델로 자리매김할 수 있을 것으로 전망된다.

일례로 2010년 디지털 ID 프로젝트 아다르(Aadhaar)로 시작된 ‘인디아 스택(India Stack)’은 전 국민을 대상으로 지문과 홍채 정보를 디지털화하는 인도의 국가 프로젝트로, 대표적인 디지털 정책 우수사례로 평가되고 있다. 인디아 스택의 초국경적 확장의 성패는 인도 정부가 다른 나라들과 디지털 협력을 촉진하고 기술·법률적 전문 지식을 공유할 정치적 의지가 있는지 여부에 달려 있다.

인도 데이터 정책의 민족주의적 특성은 대외 무역 정책에서도 여실히 드러난다. 그동안 인도는 세계무역기구(WTO)의 전자상거래에 대한 규칙과 관련된 논의는 거부하고, 대신 세수 확보를 위해 전자 거래에 세금을 부과하려는 개발도상국의 의견을 옹호하는 등 다소 폐쇄적인 입장을 보여왔다. 그러나 이런 와중에도 전략적 고려에 따라 종종 정책을 재조정하곤 했는데 지난해 11월 ‘데이터 개인정보 보호법(Digital personal Data Protection Bill)’ 4차 수정안을 공개하면서 데이터 현지화 조치를 한층 완화한 것이 대표적이다. 이는 이후 개최된 WTO 포럼에서 국경 간 데이터 흐름에 대한 논의의 초석을 다지는 계기가 됐다.

개발도상국과 협력을 통한 거버넌스를 구축해야 할 때

인도에 대한 대내적인 경제·안보적 위협은 인도의 데이터 정책 수립에 상당 부분 영향을 미친 것으로 평가된다. 최근 아시아·태평양 지역의 지정학적 긴장이 고조되고 있는 가운데, 인도 정부는 경제 협력의 문은 활짝 열어 놓은 데 반해 외교적으로는 다소 수동적인 움직임만 보이고 있다. 하지만 인도가 미·중 간 패권 경쟁에서 한 발짝 물러서기로 한 지금, 인도는 디지털 산업화 프로젝트에서 개발도상국과 협력할 수 있는 최적의 위치에 서 있다고 해도 과언이 아니다.

더불어 지난해 12월부터 오는 11월 30일까지 G20 의장국 지위를 맡은 만큼 올해는 인도가 남반구 신흥 개발도상국의 대표로서 데이터 거버넌스에 대한 논의를 주도할 수 있는 적기기도 하다. 이데올로기보다는 원칙 중심 접근에 기반을 둔 디지털 외교에 참여함으로써 인도는 인권 보호를 추구하는 자국의 입장을 재확인하고 모든 참여국에 데이터가 공평하게 분배되는 거버넌스 체제를 촉진할 수 있을 것으로 기대된다.

India’s search for data sovereignty

In India, data is being treated as a strategic resource that needs to be safeguarded from external exploitation and made available for domestic requirements. Prime Minister Narendra Modi even went so far as to say that ‘data is the new gold’.

A Jio mobile phone is on display inside a digital store of Reliance Industries Ltd, Mumbai, India, 7 October 2020 (Photo: Reuters/Niharika Kulkarni).

Data is a new currency that flows across borders, enabling information exchange and facilitating transactions at record speeds. While its role in nation-building is unequivocal, its attendant risks to privacy and security have also amplified calls for states to protect the constitutional rights and welfare of its citizens. The Indian government has enacted data localisation measures — such as enforcing a data replica to be retained locally or restricting cross-border data flows — in various jurisdictions to hold big tech companies accountable for misappropriating sensitive data.

Chairman of Indian conglomerate Reliance Industries, Mukesh Ambani, has argued that ‘Indian data should be owned by Indians’, while India’s External Affairs Minister, Subrahmanyam Jaishankar, similarly observed that India has ‘to be a leading power in also harnessing data’. Many citizens and businesses in India have villainised foreign commercial firms for their part in data colonialism — a term synonymous with capitalist appropriation and often used to invoke a sense of economic injustice.

Despite a litany of references to the term ‘data sovereignty’ in mainstream media, there is no compelling narrative that encapsulates India’s official position, except an amalgamation of ‘statements made by government officials on sovereignty in the realm of data and new technologies’. Bharatiya Janata Party politician Vinit Goenka justified that ‘information which has been converted and stored in binary digital form is subject to the laws of the country in which it is located’.

India’s data sovereignty vision works to harness data for economic growth and development through regulatory oversight and develop national defence against geopolitical security challenges. It also seeks to engage in international diplomacy to ensure the equitable construction of digital trade rules.

India is a rapidly rising digital power, but leans on technological self-reliance through protectionist data measures in favour of domestic firms and encouraged indigenous technological innovation to boost its overall digital economy. India behaves like a techno-authoritarian state through its role as a custodian of its citizens’ data while seeking to become a global data centre hub. This is not without its trade-offs. While mandatory sharing of certain datasets is intended to keep a monopoly of power in check, it may stifle fair competition and innovation, especially when smaller businesses find these data regulations onerous.

Geopolitical issues such as foreign surveillance and information warfare intersecting with India’s core strategic interests have also recently intensified domestic debates on securitisation dynamics involving data. As a conservative state, India’s data policies are anything but laissez-faire. A 2018 report released by the Srikrishna Committee flagged that, without adequate safeguards on public databases and systems, critical data comprising health, infrastructure and government services could be compromised by foreign nationals or potential treasonous actors.

While India’s policy on data flows is not cut and dry, the government’s desire to influence the architecture of global data governance by becoming a kind of ‘model for the global world’ is evident. Given India’s sizeable population and increasing internet penetration rate, it has the potential to become a leading world model if its digital initiatives prove successful.

For instance, the India Stack, established as a nationwide digital infrastructure comprising interoperable grids, offers much inspiration for developing countries to emulate. This is contingent on whether the government has the political will to facilitate cross-border digital cooperation and share its techno-legal expertise with the world.

The nationalistic undertones of India’s data governance framework have been apparent in its foreign trade policies. India has consistently rejected negotiating e-commerce rules at the World Trade Organization (WTO), instead advocating for developing countries to impose taxes arising from electronic transactions to boost national revenue. Despite this, India has also demonstrated its willingness to recalibrate in accordance with its dynamic strategic calculus. For example, in November 2022, India relaxed its data localisation measures by releasing an updated draft data privacy bill, paving the way for more constructive discussions on cross-border data flows at subsequent WTO forums.

Socioeconomic and security risks to nation-building have shaped India’s data policymaking to a large extent, even as it tries to navigate a fragmented global digital order and strive for technological self-sufficiency. India’s diplomatic engagements have been characteristically passive, though the government has kept its doors open to economic cooperation amid ongoing geopolitical tensions. By choosing to stay at an arms-length from the ongoing US–China rivalry, India is in a sweet spot to partner with developing countries on digital industrialisation projects as part of its foreign policy ambitions.

As it hosts the G20 presidency, 2023 may be India’s year to burnish its reputation as a trusted broker for the Global South — an opportunity to take the lead in facilitating non-binding discussions about data governance. Engaging in digital diplomacy that is anchored on a principles-driven approach, as opposed to ideological interests, will help India reiterate its commitment to protecting human rights and promote a data governance regime where data dividends are distributed equitably to all stakeholders.

원문의 저자 트로이 한(Troy Han)은 싱가포르 난양공과대학교 S-라자라남 국제문제연구소(S. Rajaratnam School of International Studies·RSIS)에서 아시아학 석사 과정을 밟고 있습니다.