개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 개인정보보호법상 국외이전 규정을 위반한 ㈜카카오페이에 과징금 59억6800만 원, 애플에 과징금 24억500만 원과 과태료 220만 원을 각각 부과했다고 23일 밝혔다..
이들 사업자에 대해 적법한 국외이전 요건을 갖추도록 시정명령 하는 한편, 애플과 위수탁 관계인 알리페이에는 카카오페이 이용자의 NSF 점수 산출 모델을 파기하도록 시정명령했다.
NSF 점수(Non Sufficient Funds Score)란 애플 서비스 내 여러 건의 소액결제를 한 건으로 묶어 일괄청구하는 경우 자금부족 가능성 등을 판단하기 위한 고객별 점수다.
개인정보위는 카카오페이가 고객 동의 없이 개인정보를 알리페이에 넘겼다는 언론보도에 따라 조사에 착수했다. 그 결과 2019년 6월부터 지난 2024년 5월까지 전체 이용자 약 4000만 명의 개인정보가 본인 동의 없이 애플의 서비스 이용자 평가 목적으로 알리페이로 제공했음이 확인됐다.
이 경우 이용자는 본인의 어떤 개인정보가 왜 국외로 이전되고 있었는지 알 수 없다. 또한 개인정보위는 애플이 제3국의 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않은 사실도 확인됐다.
특히 카카오페이 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자는 20% 미만에 불과함에도 애플 미이용자(안드로이드 이용자 등)까지 포함된 전체 정보를 알리페이에게 전송했다.
개인정보위에 따르면 애플과 연동된 국내 결제수단 중 알리페이에서 NSF 점수를 산출하는 곳은 카카오페이가 유일했다.
애플은 결제수단 연동을 위한 통신 API 개발 등 시스템통합 업무(NSF 점수 산출 업무 포함)를 알리페이에 위탁해 카카오페이 이용자의 결제정보 전송 및 NSF 점수 산출을 위한 개인정보를 처리하도록 하면서, 개인정보처리방침 등을 통해 개인정보 처리 위탁 및 국외이전에 관한 사실을 이용자에게 고지하지 않았다.
개인정보위 관계자는 "사업자는 개인정보 국외 이전이 수반되는 서비스 제공 시 정보주체의 별도 동의를 받거나, 국외 수탁자에게 개인정보 처리를 위탁하는 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 반드시 알려야 한다"고 강조했다.
[소비자가만드는신문=조윤주 기자]
