이용자 동의 없이 542억 건 개인정보 전송
개인정보위 조사 결과 카카오페이는 약 4000만 명인 전체 이용자 개인정보를 본인 동의 없이 애플의 서비스 이용자 평가를 목적으로 알리페이에 제공한 사실이 확인됐다. 또 개인정보위는 애플이 제3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않은 사실도 확인했다.
카카오페이는 이용자의 개인정보를 2018년 4∼7월 총 3회에 걸쳐 동의 없이 알리페이에 전송했다.
이어 카카오페이는 2019년 6월 27일~2024년 5월 21일까지 매일 알리페이가 이용자별 NSF점수를 산출할 수 있도록 카카오페이 전체 이용자 약 4000만 명의 개인정보를 동의없이 알리페이에 전송했다고 개인정보보호위원회는 판단했다. NSF란 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄청구할 때 자금부족 가능성 등을 판단하기 위한 고객별 점수를 뜻한다.
전송된 개인정보에는 이용자의 휴대전화번호, 이메일주소, 자금부족 가능성과 관련된 정보(카카오페이 가입일, 충전 잔고 등) 총 24개 항목이 포함됐다. 이 기간 누적 전송 건수는 약 542억 건으로, 중복제거 시 4000만 명으로 추산된다.
카카오페이 전체 이용자 가운데 애플에 결제수단을 등록한 비율은 20% 미만이었음에도, 카카오페이는 애플 이용자뿐만 아니라 안드로이드 사용자 등 애플 미이용자까지 포함된 전체 이용자의 정보를 알리페이에 전송했다.
이 과정에서 카카오페이는 전체 이용자의 개인정보를 동의 없이 애플에 제공했다. 당시 기준 전체 이용자인 최고 1590만 명의 개인정보가 2018년 4월~7월 총 3회에 걸쳐 동의 없이 알리페이에 전송됐다. 이에 개인정보위는 ‘적법 처리 근거 없는 국외이전’으로 판단해 과징금 59억 6800만 원을 부과했다.
또 국외 이전에 대한 적법성을 갖추도록 시정명령하고, 홈페이지와 애플리케이션에 관련 사실을 공표하도록 했다.
애플은 개인정보의 국외 처리 위탁 정보 주체에게 고지하지 않아 과징금 24억 500만 원을, 위탁 사실을 밝히지 않은 행위에 대해서는 과태료 220만 원을 부과 받았다.
개인정보위는 국외 이전 사실을 명시하도록 시정명령하고, 홈페이지와 애플리케이션에 관련 사실을 공표하도록 했다. 이어 알리페이에는 NSF 점수 산출 모델을 파기하도록 시정명령했다.
전승재 개인정보위 조사3팀장은 “이번 조사는 최근 글로벌 플랫폼 서비스의 확대로 개인정보 국외이전이 증가하고 있는 상황에서, 개인정보 국외 이전의 범위를 명확히 하고, 사업자가 국외 이전의 적법한 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있다”고 말했다.
이어 “이 사건의 처분은 국외 이전과 관련된 부분에 한정된다”며 “데이터의 무단 제공 사안에 대해서는 주무 부처인 금융감독원과 금융위원회가 조만간 처분할 것으로 예상된다”고 덧붙였다.
한편 개인정보보호위원회의 이 같은 조치에 대해 카카오페이는 “이번 사안에 대해 안전한 결제 환경을 제공하기 위해 꼭 필요한 절차라는 점과 그 처리 근거를 성실히 소명했으나 이런 결과를 맞게 돼 매우 안타깝게 생각한다”며 향후 대응 방안을 신중히 검토해 계속해서 소명해 나가겠다“고 밝혔다.
김정아 기자 ja.kim@ilyo.co.kr