개인정보위, 카카오페이·애플에 총 83억7520만원 과징금·과태료 부과
알리페이에는 동의없는 이용자 정보로 구축된 NSF 점수 산출 모델 파기 명령
"개인정보 국외이전 범위 명확히 하고 적법 요건 준수해야"
![]() |
카카오페이 이미지 *재판매 및 DB 금지 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
[서울=뉴시스]송혜리 기자 = 카카오페이가 약 4000만 이용자의 금융·개인정보를 이용자 본인 동의 없이 알리페이에 전송했다는 이유로 과징금 약 60억원을 물게 됐다. 애플은 싱가포르에 있는 알리페이에 고객 점수 산출용 개인정보를 처리토록 위탁하면서, 이를 이용자에게 알리지 않아 24억원의 과징금 처분을 받았다.
23일 개인정보보호위원회는 개인정보보호법 상 국외이전 규정을 위반한 카카오페이에 과징금 59억6800만원, 애플에 과징금 24억500만원과 과태료 220만원을 각각 부과했다.
또 이들 2개 사업자에 대해 적법한 국외이전 요건을 갖추도록 시정명령 하는 한편, 애플과 위수탁 관계인 알리페이에는 카카오페이 이용자의 NSF(Non Sufficient Funds Score) 점수 산출 모델을 파기하도록 시정명령했다. NSF란 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄청구하는 경우, 자금부족 가능성 등을 판단하기 위한 고객별 점수를 말한다.
개인정보위는 조사를 통해 카카오페이가 전체 이용자 약 4000만명의 개인정보를 이용자 본인 동의 없이, 애플의 이용자 평가 목적으로 알리페이에게 제공한 사실을 확인했다. 또 개인정보위는 애플이 제3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않은 사실도 확인했다.
동의 없이 4000만명 충전잔고·최근 7일간 송금 건수 알리페이에 보냈다
애플은 국내 인앱 결제 서비스를 위해 NSF 점수 산출을 포함한 결제 처리에 수반된 개인정보 처리 업무를 알리페이에 위탁하고 있었다.
이에 따라 카카오페이도 사용자 결제 지원을 위해 알리페이의 중계를 거치고 있었다. 알리페이는 매일 카카오페이로부터 고객정보를 전송받아 이용자별 NSF 점수(0~100점, 가령 일괄청구 시 자금부족 가능성이 높다고 예측되면 50~100점 산출)를 미리 산출해 뒀다가, 애플이 결제 이용자의 NSF 점수 조회 시 즉시 회신했다.
이 과정에서 카카오페이는 애플의 수탁사인 알리페이가 NSF 점수 산출 모델 구축을 할 수 있도록, 당시 기준 전체 이용자인 최소 1590만명의 개인정보를 2018년 4월부터 7월까지 총 3회에 걸쳐 동의 없이 알리페이에 전송했다.
이어 카카오페이는 2019년 6월 27일부터 지난해 5월 21일까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자 약 4000만명의 개인정보를 동의 없이 알리페이에 전송했다고 개인정보위는 판단했다.
알리페이에 보내진 개인정보에는 이용자별 고유번호(내부고객번호(해시), 휴대전화번호(해시), 이메일주소(해시)) 및 자금부족 가능성과 상관관계 있는 정보(카카오페이 가입일, 신분증 확인된 계정여부, 충전잔고, 최근 7일간 충전·결제·송금 건수 등) 총 24개 항목이 포함됐다.
카카오페이 전체 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자는 20% 미만에 불과함에도 카카오페이는 애플 이용자뿐만 아니라 안드로이드 이용자까지 포함된 전체 이용자의 정보를 알리페이에게 전송했다. 또 애플과 연동된 국내 결제수단 중 알리페이에서 NSF 점수를 산출하는 곳은 카카오페이가 유일했다.
국내 이용자 개인정보 해외로 이전하면서 고지 않아
애플은 결제수단 연동을 위한 통신 애플리케이션프로그래밍인터페이스(API) 개발 등 시스템통합 업무를 알리페이에 위탁해 카카오페이 이용자의 결제정보 전송과 NSF 점수 산출을 위한 개인정보를 처리하도록 하면서, 개인정보 처리 위탁 및 국외이전에 관한 사실을 이용자에게 고지하지 않았다.
개인정보위에 따르면 애플은 개인정보처리방침에 국외 수탁자로 시스템통합 및 결제정보 등 중계 역할을 하는 NHN KCP만 공개하고 알리페이는 공개하지 않았다.
전승재 개인정보위 조사3팀장은 "애플은 결제 처리 관련해 NHN KCP와 약간의 차이가 있어 고지를 하지 않았다고 설명했다"면서 "그러나 위원회 판단에서는 그 차이점이 개인정보 처리상의 차이는 아니라고 봤다"고 말했다.
개인정보위는 "이번 조사는 최근 글로벌 플랫폼 서비스의 확대로 개인정보 국외이전이 증가하고 있는 상황에서, 개인정보 국외 이전의 범위를 명확히 하고, 사업자가 국외 이전의 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있다"고 강조했다.
☞공감언론 뉴시스 chewoo@newsis.com
▶ 네이버에서 뉴시스 구독하기
▶ K-Artprice, 유명 미술작품 가격 공개
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.