개인정보위, 개인정보 무단 국외 이전한 카카오페이·애플에 총 83억 7,520만 원 과징금·과태료 부과

- 알리페이에는 동의없는 이용자 정보로 구축된 NSF 점수 산출 모델 파기 명령 

  개인정보보호위원회(위원장 고학수, 이하 '개인정보위')는 1월 22일(수) 제2회 전체회의를 열고, ｢개인정보 보호법｣(이하 '보호법') 상 국외이전 규정을 위반한 ㈜카카오페이(이하 '카카오페이')에 과징금 59억 6,800만 원, Apple Distribution International Limited(이하 '애플')에 과징금 24억 500만 원과 과태료 220만 원을 각각 부과하였다. 

  또한, 이들 2개 사업자에 대해 적법한 국외이전 요건을 갖추도록 시정명령 하는 한편, 애플과 위수탁 관계인 Alipay Singapore E-Commerce Private Limited(이하 '알리페이')에는 카카오페이 이용자의 NSF 점수* 산출 모델을 파기하도록 시정명령하였다. 

   * NSF 점수(Non Sufficient Funds Score) : 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄청구하는 경우 자금부족 가능성 등을 판단하기 위한 고객별 점수

  개인정보위는 카카오페이가 고객 동의 없이 개인정보를 알리페이에 넘겼다는 언론보도에 따라 조사에 착수하였으며, 

  그 결과 카카오페이가 전체 이용자(약 4천만 명)의 개인정보를 이용자 본인들의 동의 없이, 애플의 서비스 이용자 평가 목적으로 알리페이로 제공하였음을 확인하였다. 이 경우 이용자는 본인의 어떤 개인정보가 왜 국외로 이전되고 있었는지 알 수 없다. 또한, 개인정보위는 애플이 제3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전하여 처리하는 사실을 이용자에게 알리지 않은 사실도 확인하였다. 

  구체적인 법 위반 사실 및 처분내용은 다음과 같다.

  <조사 결과> 

  ① 카카오페이 : 전체 이용자의 개인정보를 동의 없이 애플(알리페이)에 제공

  카카오페이는 애플 내 결제시스템 통합서비스를 제공하는 알리페이의 중계를 통해 결제정보 등을 애플에 전송하고 있었으며, 애플은 NSF 점수 산출을 포함한 결제 처리에 수반된 개인정보 처리 업무를 알리페이에 위탁하고 있었다. 

  이 과정에서 카카오페이는 애플의 수탁사인 알리페이가 NSF 점수 산출 모델 구축을 할 수 있도록 전체 카카오페이 이용자의 개인정보*를 2018년 4월~7월간 총 3회**에 걸쳐 동의(제3자 제공 및 국외이전 별도 동의) 없이 알리페이에 전송하였으며,

   * 이용자별 고유번호(내부고객번호(해시), 휴대전화번호(해시), 이메일주소(해시)) 및 자금부족 가능성과 상관관계 있는 정보(카카오페이 가입일, 신분증 확인된 계정여부, 충전잔고, 최근 7일간 충전·결제·송금 건수 등) 총 24개 항목

  ** 카카오페이는 알리페이가 요청하는 형식으로 추출('18.2.28.~3.31.)한 이용자 정보(최소 1,590만 명)를 총 3회(4/27, 6/5, 7/11) 알리페이에 전송

  '19.6.27.부터 '24.5.21.까지 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자 약 4천만 명*의 개인정보를 동의 없이 알리페이에 전송하였다. 

   * 해당 기간 누적 전송 건수는 약 542억 건으로, 중복제거 시 약 4천만 명에 해당

   ※ 알리페이는 매일 카카오페이로부터 고객정보를 전송받아 이용자별 NSF 점수(0~100점, 가령 일괄청구 시 자금부족 가능성이 높다고 예측되면 50~100점 산출)를 미리 산출해 두었다가, 애플이 결제 이용자의 NSF 점수 조회 시 즉시 회신

  특히 카카오페이 전체 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자는 20% 미만에 불과함에도 카카오페이는 애플 이용자뿐만 아니라 애플 미이용자(예: 안드로이드 이용자)까지 포함된 전체 이용자의 정보를 알리페이에게 전송하였으며, 애플과 연동된 국내 결제수단 중 알리페이에서 NSF 점수를 산출하는 곳은 카카오페이가 유일하였다.

  이에 따라 카카오페이 전체 이용자(약 4천만 명)는 본인의 정보가 국내 개인정보보호 체계를 벗어나 국외로 이전·처리되고 있다는 사실을 알기 어려웠다. 

  ② 애플 : 개인정보 처리 위탁 및 국외이전 사실을 고지하지 않음

  애플은 결제수단 연동을 위한 통신 API 개발 등 시스템통합 업무(NSF 점수 산출 업무 포함)를 알리페이에 위탁하여 카카오페이 이용자의 결제정보 전송 및 NSF 점수 산출을 위한 개인정보를 처리하도록 하면서, 개인정보처리방침 등을 통해 개인정보 처리 위탁 및 국외이전에 관한 사실을 이용자에게 고지하지 않았다. 

   ※ 애플은 개인정보처리방침에 국외 수탁자로 시스템통합 및 결제정보 등 중계 역할을 하는 NHN KCP만 공개하고 알리페이는 공개하지 않았으며, 구글은 개인정보처리방침에 알리페이를 국외 수탁자로 공개하고 있음

  ③ 알리페이 : 동의 없이 제공된 개인정보로 NSF 모델 구축 및 점수 산출 

  알리페이는 매일 카카오페이로부터 전체 이용자의 정보를 자동 전송받아 이용자별 NSF 점수를 산출하고 산출 모델을 현행화하였으며, 애플이 조회를 요청하는 이용자의 NSF 점수를 회신하였다. 

  <제재 처분> 

  ① 카카오페이 : 과징금 59억 6,800만 원, 시정명령, 공표명령

  개인정보위는 카카오페이가 애플이 사용하는 NSF 모델 구축 및 점수 산출 등을 위해 전체 이용자의 개인정보를 동의(제3자 제공 동의 및 국외이전 동의) 없이 애플(수탁자 알리페이)에 제공한 행위에 대하여* 적법 처리 근거 없는 국외이전으로 보아 과징금 59억 6,800만 원을 부과하고, 국외 이전 적법 요건을 갖추도록 시정명령하였다. 또한, 홈페이지(모바일 애플리케이션 포함)에 관련 사실을 공표하도록 명하였다.

   * 동의 없는 제3자 제공 부분은 금융위원회가 신용정보법에 따라 별도 처분 예정

  ② 애플 : 과징금 24억 500만 원, 과태료 220만 원, 시정명령, 공표명령

  또한, 애플이 개인정보를 국외로 처리 위탁하면서 국외 수탁자 등을 개인정보처리방침 등을 통해 정보주체에게 공개하거나 고지하지 않은 행위에 대해서는 과징금 24억 500만 원을, 위탁 사실을 밝히지 않은 행위에 대해서는 과태료 220만 원을 부과하고, 개인정보 처리 수탁자인 알리페이에 대한 국외이전(위탁) 사실을 개인정보처리방침 등에 공개하도록 시정명령하였다. 또한, 애플의 홈페이지(모바일 애플리케이션 포함)에 관련 사실을 공표하도록 명하였다.

  ③ 알리페이 : 시정명령

  한편, 알리페이가 구축한 카카오페이 이용자의 NSF 점수 산출 모델은 위법하게 제공 및 국외이전된 개인정보를 활용해 구축된 것으로, 개인정보의 침해 상태를 근본적으로 해소하기 위해 알리페이에는 NSF 점수 산출 모델을 파기하도록 시정명령하였다. 

  <이번 조사·처분의 의의>

  이번 조사는 최근 글로벌 플랫폼 서비스의 확대로 개인정보 국외이전이 증가하고 있는 상황에서, 개인정보 국외 이전의 범위를 명확히 하고, 사업자가 국외 이전의 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있다. 

  사업자는 개인정보 국외 이전이 수반되는 서비스 제공 시 정보주체의 별도 동의를 받거나, 국외 수탁자에게 개인정보 처리를 위탁하는 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 반드시 알려야 한다.

  또한, 개인정보 처리를 외부에 위탁하는 경우 위탁자가 정보주체에 대한 책임을 부담해야 한다. 위탁자의 책임 영역을 떠나 제3자의 책임 영역으로 개인정보를 이전하는 것은 제3자 제공에 해당하므로 정보주체의 동의 등 적법근거를 구비해야 한다.

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사3팀 서인숙(02-2100-3154), 채리(02-2100-3153)

“이 자료는 개인정보보호위원회의 보도자료를 전재하여 제공함을 알려드립니다.”