[뉴스토마토 신상민 기자] 개인정보보호위원회(개인정보위)는
카카오페이(377300)와 애플이 개인정보 보호법을 위반한 것으로 확인돼 각각 59억6800만원과 24억700만원의 과징금을 부과했습니다. 카카오페이는 약 4000만명의 이용자 정보를 동의 없이 알리페이에 제공했으며, 애플은 개인정보 국외 이전 사실을 적절히 고지하지 않아 개인정보 보호 의무를 소홀히 한 것으로 드러났습니다.
개인정보위는 22일 제2회 전체회의를 열고 개인정보 보호법상 국외 이전 규정을 위반한 카카오페이에 과징금 59억6800만원, Apple Distribution International Limited(애플)에 과징금 24억500만원과 과태료 220만원을 각각 부과했습니다.
개인정보위는 카카오페이가 고객 동의없이 개인정보를 알리페이에 넘겼다는 언론보도에 따라 조사에 착수했습니다. 그 결과 카카오페이가 전체 이용자(약 4000만명)의 개인정보를 이용자 동의 없이 애플의 서비스 이용자 평가 목적으로 알리페이로 제공한 사실을 확인했습니다. 애플이 제3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않았습니다.
카카오페이는 애플의 수탁사인 알리페이가 NSF(Non Sufficient Funds, 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄 청구할 경우 자금부족 가능성 등을 판단하기 위한 고객별 점수) 점수 산출 모델 구축을 할 수 있도록 전체 카카오페이 이용자 개인정보(총 24개 항목)를 2018년 4월부터 7월까지 총 3회 걸쳐 별도 동의 없이 알리페이에 제공 및 국외 이전했습니다.
또한 카카오페이는 2019년6월27일부터 작년 5월21일까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자 4000만명의 개인정보를 동의없이 알리페이에 전송했습니다. 해당 기간 동안 누적 전송 건수는 약 542억건에 달합니다.
카카오페이 전체 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자가 20% 미만임에도 카카오페이는 애플 비이용자까지 포함된 전체 이용자 정보를 알리페이에 전송했습니다.
애플은 결제수단 연동을 위한 통신 API(애플리케이션 프로그래밍 인터페이스) 개발 등 시스템 통합 업무를 알리페이에 위탁하고 카카오페이 이용자의 결제정보 전송 및 NSF 점수 산출을 위한 개인정보를 처리하도록 하면서도 개인정보 처리방침 등을 통해 개인정보 처리 위탁 및 국외 이전에 관한 사실을 이용자에게 고지하지 않았습니다.
알리페이는 매일 카카오페이로부터 전체 이용자의 정보를 자동 전송받아 이용자별 NSF 점수를 산출하고 산출 모델을 현행화해 애플이 조회를 요청하는 이용자의 NSF 점수를 회신했습니다.
개인정보위는 카카오페이에 적법 처리 근거없는 국외 이전을 진행한 것으로 보고 과징금을 부과하며 국외 이전 적법 요건을 갖추도록 시정명령했습니다. 또한 홈페이지에 관련 사실을 공표하도록 명했습니다. 애플에는 과징금과 과태로를 부과하고 개인정보 처리 수탁자인 알리페이에 대한 위탁 사실을 공개하도록 시정 명령했습니다. 알리페이에 대해서는 카카오페이 이용자의 NSF 점수 산출 모델을 파기하도록 시정명령했습니다.
전승재 조사3팀장은 23일 진행된 프리핑에서 카카오페이 과징금 규모에 대해 "법상 최근 관련 사업 3개년도 평균 매출액의 최대 3% 범위 내에서 과징금을 산정하는데 카카오페이의 결제와 상관없는 다른 사업을 제외한 상태에서 매출액을 상정했다"며 "알리페이나 애플 이외에 다른 곳으로 개인 정보가 유출된 것이 아니라는 점을 고려했다"고 전했습니다.
이어 전 팀장은 "방대한 자료가 매일 넘어가고 있음에도 카카오페이가 효과적으로 관리, 감독, 통제하지 못했다는 점에서 위법성을 상중하로 나눌 때 중 정도로 판단했다"고 말했습니다.
끝으로 전 팀장은 "이번 조사로 최근 글로벌 플랫폼 서비스의 확대로 개인정보 국외이전이 증가하고 있는 상황에서 개인정보 국외 이전의 범위를 명확히 하고 사업자가 국외 이전의 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있다"고 밝혔습니다.
또한 "개인 정보 처리를 외부에 위탁하는 경우 위탁자가 정보주체에 대한 책임을 부담해야 하고 위탁자의 책임 영역을 떠나 제3자의 책임 영역으로 개인정보를 이전하는 것은 제3자 제공에 해당해 정보주체의 동의 등 적법 근거를 구비해야 한다"고 했습니다.
개인정보보호 위원회.(사진=개인정보보호위원회)
신상민 기자 lmez0810@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김나볏 테크지식산업부장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지