[한스경제=김태형 기자] 개인정보보호위원회(이하 ‘개인정보위’)는 22일 제2회 전체회의를 열고 ‘개인정보 보호법’(이하 ‘보호법’)상 국외이전 규정을 위반한 카카오페이(이하 ‘카카오페이’)에 과징금 59억6800만원, Apple Distribution International Limited(이하 ‘애플’)에 과징금 24억500만원과 과태료 220만원을 각각 부과했다고 23일 밝혔다.
또한 이들 2개 사업자에 대해 적법한 국외이전 요건을 갖추도록 시정명령 하는 한편 애플과 위수탁 관계인 Alipay Singapore E-Commerce Private Limited(이하 ‘알리페이’)에는 카카오페이 이용자의 NSF 점수 산출 모델을 파기하도록 시정명령했다.
‘NSF 점수(Non Sufficient Funds Score)’는 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄 청구하는 경우 자금부족 가능성 등을 판단하기 위한 고객별 점수다.
개인정보위는 카카오페이가 고객 동의 없이 개인정보를 알리페이에 넘겼다는 언론보도에 따라 조사에 착수했으며 그 결과 카카오페이가 전체 이용자(약 4000만명)의 개인정보를 이용자 본인들의 동의 없이 애플의 서비스 이용자 평가 목적으로 알리페이로 제공했음을 확인했다. 이 경우 이용자는 본인의 어떤 개인정보가 왜 국외로 이전되고 있었는지 알 수 없다.
또 개인정보위는 애플이 제3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않은 사실도 확인했다.
구체적으로 살펴보면 카카오페이는 전체 이용자의 개인정보를 동의 없이 애플(알리페이)에 제공했다. 카카오페이는 애플 내 결제시스템 통합서비스를 제공하는 알리페이의 중계를 통해 결제정보 등을 애플에 전송하고 있었으며 애플은 NSF 점수 산출을 포함한 결제 처리에 수반된 개인정보 처리 업무를 알리페이에 위탁하고 있었다.
이 과정에서 카카오페이는 애플의 수탁사인 알리페이가 NSF 점수 산출 모델 구축을 할 수 있도록 전체 카카오페이 이용자의 개인정보를 지난 2018년 4월~7월간 총 3회에 걸쳐 동의(제3자 제공 및 국외이전 별도 동의) 없이 알리페이에 전송했으며 2019년 6월 27일부터 2024년 5월 21일까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자 약 4000만명의 개인정보를 동의 없이 알리페이에 전송했다.
전송된 개인정보에는 이용자의 휴대전화번호, 이메일주소, 자금부족 가능성과 관련된 정보(카카오페이 가입일, 충전 잔고 등) 총 24개 항목이 포함됐다.
카카오페이 전체 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자는 20% 미만에 불과함에도 카카오페이는 애플 이용자뿐만 아니라 애플 미이용자까지 포함된 전체 이용자의 정보를 알리페이에게 전송했으며 애플과 연동된 국내 결제수단 중 알리페이에서 NSF 점수를 산출하는 곳은 카카오페이가 유일했다.
이에 따라 카카오페이 전체 이용자(약 4000만명)는 본인의 정보가 국내 개인정보보호 체계를 벗어나 국외로 이전·처리되고 있다는 사실을 알기 어려웠다.
애플은 개인정보 처리 위탁 및 국외이전 사실을 고지하지 않았다. 애플은 결제수단 연동을 위한 통신 API 개발 등 시스템통합 업무(NSF 점수 산출 업무 포함)를 알리페이에 위탁해 카카오페이 이용자의 결제정보 전송 및 NSF 점수 산출을 위한 개인정보를 처리하도록 하면서 개인정보 처리방침 등을 통해 개인정보 처리 위탁 및 국외이전에 관한 사실을 이용자에게 고지하지 않았다.
또 알리페이는 동의 없이 제공된 개인정보로 NSF 모델 구축과 점수를 산출했다. 알리페이는 매일 카카오페이로부터 전체 이용자의 정보를 자동 전송받아 이용자별 NSF 점수를 산출하고 산출 모델을 현행화했으며 애플이 조회를 요청하는 이용자의 NSF 점수를 회신했다.
개인정보위는 카카오페이가 애플이 사용하는 NSF 모델 구축 및 점수 산출 등을 위해 전체 이용자의 개인정보를 동의(제3자 제공 동의 및 국외이전 동의) 없이 애플(수탁자 알리페이)에 제공한 행위에 대해 적법 처리 근거 없는 국외이전으로 보아 과징금 59억6800만원을 부과하고 국외 이전 적법 요건을 갖추도록 시정명령했다. 또한 홈페이지(모바일 애플리케이션 포함)에 관련 사실을 공표하도록 명했다.
또한 애플이 개인정보를 국외로 처리 위탁하면서 국외 수탁자 등을 개인정보처리방침 등을 통해 정보주체에게 공개하거나 고지하지 않은 행위에 대해서는 과징금 24억500만원을, 위탁 사실을 밝히지 않은 행위에 대해서는 과태료 220만원을 부과하고 개인정보 처리 수탁자인 알리페이에 대한 국외이전(위탁) 사실을 개인정보처리방침 등에 공개하도록 시정명령 했다. 애플의 홈페이지(모바일 애플리케이션 포함)에 관련 사실을 공표하도록 명했다.
한편 알리페이가 구축한 카카오페이 이용자의 NSF 점수 산출 모델은 위법하게 제공 및 국외 이전된 개인정보를 활용해 구축된 것으로 개인정보의 침해 상태를 근본적으로 해소하기 위해 알리페이에는 NSF 점수 산출 모델을 파기하도록 시정명령했다.
이번 조사는 최근 글로벌 플랫폼 서비스의 확대로 개인정보 국외이전이 증가하고 있는 상황에서 개인정보 국외 이전의 범위를 명확히 하고 사업자가 국외 이전의 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있다.
개인정보위는 "사업자는 개인정보 국외 이전이 수반되는 서비스 제공 시 정보주체의 별도 동의를 받거나 국외 수탁자에게 개인정보 처리를 위탁하는 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 반드시 알려야 한다"고 강조했다.
또 "개인정보 처리를 외부에 위탁하는 경우 위탁자가 정보주체에 대한 책임을 부담해야 한다"며 "위탁자의 책임 영역을 떠나 제3자의 책임 영역으로 개인정보를 이전하는 것은 제3자 제공에 해당하므로 정보주체의 동의 등 적법 근거를 구비해야 한다"고 덧붙였다.
Copyright ⓒ 한스경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
