[아이티데일리] 개인정보보호위원회(위원장 고학수)는 개인정보 보호법상 국외이전 규정을 위반한 카카오페이에 과징금 59억 6,800만 원, 애플에 과징금 24억 500만 원과 과태료 220만 원을 각각 부과했다고 23일 밝혔다.

개인정보위는 카카오페이가 고객 동의 없이 개인정보를 알리페이에 넘겼다는 언론보도에 따라 조사에 착수했다. 그 결과 카카오페이가 약 4천만 명에 이르는 전체 이용자의 개인정보를 이용자 동의 없이 애플의 서비스 이용자 평가 목적으로 알리페이에 제공했음을 확인했다.

애플이 제3국 수탁자인 알리페이를 통해 개인정보를 국외로 이전해 처리하는 사실을 이용자에게 알리지 않은 점도 파악했다.

카카오페이는 애플 내 결제시스템 통합서비스를 제공하는 알리페이의 중계를 통해 결제 정보 등을 애플에 전송하고 있었다. 애플은 NSF(Non Sufficient Funds Score) 점수 산출을 포함한 결제 처리에 수반된 개인정보 처리 업무를 알리페이에 위탁했다.

NSF 점수는 애플 서비스 내 여러 건의 소액결제를 하나로 묶어 일괄 청구할 시 자금 부족 가능성을 판단하는 고객별 점수를 의미한다.

카카오페이는 애플의 수탁사인 알리페이가 NSF 점수 산출 모델을 구축할 수 있도록 전체 카카오페이 이용자의 개인정보를 2018년 4월~7월간 총 3회에 걸쳐 동의 없이 알리페이에 전송했다. 이 과정에서 전송된 개인정보에는 △이용자별 고유번호 △휴대전화번호 △이메일 주소 및 자금 부족 가능성과 관계있는 △카카오페이 가입일 △충전잔고 등 총 24개 항목에 이른다.

2019년 6월 27일부터 2024년 5월 21일까지 5년여간 매일 알리페이가 이용자별 NSF 점수를 산출할 수 있도록 카카오페이 전체 이용자의 개인정보를 동의 없이 전송했다. 이 기간 누적 전송 건수는 542억여 건으로 중복 제거 시 약 4천만 명으로 추산된다.

특히 카카오페이 전체 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자는 20% 미만에 불과함에도 애플 이용자뿐 아니라 안드로이드 이용자까지 포함된 전체 이용자 정보를 알리페이에 전달했다.

개인정보위는 애플과 연동된 국내 결제수단 중 알리페이에서 NSF 점수를 산출하는 곳을 카카오페이가 유일하다고 설명했다.

애플은 카카오페이 이용자 NSF 점수 산출을 위한 개인정보를 처리하도록 알리페이에 위탁하면서, 개인정보처리방침 등을 통해 해당 사실을 이용자에게 고지하지 않았다.

이에 개인정보위는 카카오페이에 과징금 59억 6,800만 원을 부과하고, 국외 이전에 대한 적법성을 갖추도록 시정명령을 내렸다.

애플에는 과징금 24억 500만 원과 과태료 220만 원을 부과하고, 개인정보처리방침에 국외 이전 사실을 명시하도록 시정명령하고, 홈페이지와 애플리케이션에 관련 사실을 공표토록 했다. 더불어 알리페이에는 NSF 점수 산출 모델을 파기하도록 시정 명령했다.

개인정보위 측은 “이번 조사는 개인정보 국외 이전의 범위를 명확히 하고, 사업자가 국외 이전의 적법 요건을 반드시 준수해야 함을 재확인한 점에서 의의가 있다”며 “개인정보 국외 이전이 수반되는 서비스 제공 시 정보 주체의 별도 동의를 받거나, 개인정보가 국경을 넘어 이전되는 사실을 알려야 한다”고 강조했다.