최근 글로벌 플랫폼 서비스 확대로 개인정보 국외이전이 증가하는 상황에서, 개인정보보호위원회는 관련 범위를 명확히 한 사례라고 밝혔다.
|
개인정보보호위원회는 23일 서울 종로구 정부서울청사에서 브리핑을 열고, 전날 전체회의 결과 개인정보 보호법상 국외이전 규정을 위반한 카카오페이에 과징금 59억6800만원을 부과했다고 밝혔다. 애플엔 과징금 24억500만원과 과태료 220만원을 부과했다. 아울러 양사에 공표명령과 함께 적법한 국외이전 요건을 갖추도록 시정명령을 했다.
또한 애플의 위수탁 사업자 알리페이에는 카카오페이 이용자의 ‘NSF(Non Sufficient Funds Score) 점수 산출 모델’을 파기하도록 시정명령했다. NSF는 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄 청구하는 경우, 자금부족 가능성 등을 판단하기 위한 이용자별 점수다.
개인정보위는 카카오페이가 전체 이용자 약 4000만명의 결제정보 등 개인정보를 당사자 동의 없이 애플의 서비스 이용자 평가 목적으로 알리페이에 제공했다는 입장이다.
애플은 NSF 점수 산출을 포함한 결제 처리에 수반된 개인정보 처리 업무를 제3국 수탁자인 알리페이에 위탁하면서, 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않았다고도 했다.
|
개인정보위에 따르면 카카오페이는 2018년 4월부터 7월까지 이용자 동의 없이 3차례에 걸쳐 1590만명 이상의 개인정보를 알리페이에 전송했다.
전송된 개인정보 항목은 이용자별 내부고객번호, 휴대전화번호, 이메일, 가입일, 신분증 확인 여부, 충전 잔고 등 24개 항목이었다.
또한 2019년 6월부터 2024년 5월까지 카카오페이는 약 4000만명의 개인정보를 동의 없이 매일 알리페이에 전송했으며, 전송 건수는 542억건에 달했다.
금융위원회는 이와 관련해 신용정보법을 근거로 처분할 예정이다. 특히 카카오페이는 애플뿐만 아니라 안드로이드 이용자까지 포함된 전체 이용자의 정보를 알리페이에 제공한 것으로 파악했다.
이 밖에도 개인정보위는 애플이 결제수단 연동을 위한 통신 응용 프로그램 인터페이스(API) 개발 등 시스템 통합 업무를 알리페이에 위탁해 카카오페이 이용자의 결제정보 전송 및 NSF 점수 산출을 위한 개인정보를 처리하도록 하면서, 개인정보처리방침 등을 통해 위탁 및 국외이전에 관한 사실을 이용자에게 고지하지 않았다고 봤다.
개인정보위는 “사업자는 개인정보 국외 이전이 수반되는 서비스 제공 시 정보주체의 별도 동의를 받거나, 국외 수탁자에게 개인정보 처리를 위탁하는 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 반드시 알려야 한다”며 “제3자의 책임 영역으로 개인정보를 이전하는 것은 제3자 제공에 해당하므로 정보주체 동의 등 적법근거를 구비해야 한다”고 당부했다.
