“개인정보 보호법상 국외 이전 규정을 위반”
[서울이코노미뉴스 김준희 기자] 고객의 동의를 받지 않고 약 4000만명의 개인정보를 중국의 알리페이에 넘긴 카카오페이와 애플페이가 총 83억여원의 과징금이 부과됐다.
개인정보보호위원회는 23일 개인정보 보호법상 국외 이전 규정을 위반한 카카오페이에 과징금 59억6800만원, 애플에 과징금 24억500만원과 과태료 220만원을 각각 부과했다고 발표했다.
이들로부터 개인정보를 받아 이용자의 자금 부족 가능성을 판단하기 위한 고객별 점수(NSF)를 산출한 알리페이는 점수 산출 모델을 파기하도록 했다.
개인정보위는 전날 열린 제2회 전체 회의에서 이 같이 결정했다.
개인정보위 조사 결과 카카오페이는 약 4000만명인 전체 이용자 개인정보를 동의 없이 애플의 서비스 이용자 평가를 위해 알리페이에 제공했다. 당시 카카오페이는 알리페이의 중계를 통해 애플에 고객의 결제정보를 전송하고 있었다.
애플은 'NSF 점수' 산출을 포함한 결제 처리와 관련된 개인정보 처리 업무를 알리페이에 위탁했다. NSF 점수란 고객이 애플 서비스 내 여러 건의 소액결제를 한 데 묶어 일괄 청구할 경우 자금 부족 가능성을 판단하기 위해 이용자별로 0∼100점을 매기는 고객별 점수를 뜻한다.
이 과정에서 카카오페이는 애플의 수탁사인 알리페이가 NSF 점수 산출 모델을 구축할 수 있도록 전체 카카오페이 이용자의 개인정보를 2018년 4∼7월 총 3회에 걸쳐 이용자의 동의 없이 알리페이에 전송했다.
전송된 개인정보에는 이용자의 휴대전화번호, 이메일주소, 자금부족 가능성과 관련된 정보(카카오페이 가입일, 충전 잔고 등) 모두 24개 항목이 포함됐다.
이 기간 누적 전송 건수는 약 542억건으로, 중복을 제거하면 해당자는 4000만명으로 추산됐다.
카카오페이 전체 이용자 가운데 애플에 결제수단을 등록한 비율은 20% 미만이었는데도 카카오페이는 애플 이용자뿐만 아니라 안드로이드 사용자 등 전체 이용자의 정보를 알리페이에 전송했다.
애플은 알리페이에 개인정보 처리를 위탁한 사실과 함께 정보의 국외 이전 내용을 이용자에게 알리지 않았다.
이에 따라 약 4000만명의 카카오페이 전체 이용자는 본인의 정보가 국외로 이전돼 처리되고 있다는 사실을 알지 못했다.
개인정보위 관계자는 "카카오페이는 수탁자인 알리페이에 대해 관리·감독상의 과실은 있더라도 (본 처분보다는) 위법성 정도가 가볍다고 항변했으나, 그 주장을 수용하지 않았다"면서 "데이터가 카카오페이의 책임 영역을 떠나서 제3자인 애플과 그 수탁자인 알리페이에 제공됐기 때문"이라고 설명했다.
'개인정보 처리 위탁'은 위탁자의 책임 하에 아웃소싱을 주는 것인데, 위탁자가 계속 책임을 부담한다는 약정이나 안전장치가 존재해야만 처리 위탁으로 볼 수가 있다는 것이다.
관계자는 "이번 처분은 국외 이전과 관련된 부분에 한정되며, 데이터의 무단 제공 사안에 대해서는 주무 부처인 금융감독원과 금융위원회가 조만간 처분할 것으로 예상된다"고 말했다.