4천만 고객 개인정보 이용자 동의 없이 알리페이에 넘겨
전화번호·충전잔고 등 542억건 전공
[보안뉴스 박은주 기자] 고객 동의 없이 약 4천만명 개인정보를 알리페이로 넘긴 카카오페이와 애플에 83억 과징금이 부과됐다.
▲사건 개념도, 카카오페이-애플(제3자 제공 관계), 애플-알리페이(위수탁 관계)[자료=개인정보위]
22일 개인정보보호위원회(위원장 고학수)는 제2회 전체회의를 열고, 개인정보보호법상 국외이전 규정을 위반한 ‘카카오페이’에 과징금 59억 6800만원, ‘애플(Apple Distribution International Limited)’에 과징금 24억 500만원과 과태료 220만원을 부과했다고 23일 밝혔다.
개인정보위 조사에 따르면 카카오페이는 전체 이용자 약 4000만명 개인정보를 본인 동의 없이 국외로 이전했다. 전송된 개인정보는 이용자 휴대전화번호와 이메일주소, 자금부족 가능성과 관련된 정보(카카오페이 가입일. 충전 잔고 등) 총 24개 항목이다.
카카오페이가 애플의 서비스 이용자 평가 목적으로 중국에 본사를 둔 알리페이로 개인정보를 넘긴 것이다. 카카오페이 이용자는 본인 정보가 해외로 넘어가는 것을 알지 못했다.
카카오페이, 개인정보 이용자 동의 없이 애플(알리페이)에 제공
카카오페이는 알리페이의 중계로 애플에 고객 결제정보를 전송했다. 이때 애플은 ‘NFS 점수’ 산출을 포함한 결제 및 개인정보 처리 업무를 알리페이에 위탁했다. NFS 점수는 애플 서비스에서 여러 건 소액결제를 한 건으로 묶어 일괄청구하는 경우 자금 부족 가능성 등을 판단하기 위해 고객별로 매기는 점수다.
위탁 과정에서 카카오페이는 애플 수탁사인 알리페이가 NSF 점수 산출 모델을 구축할 수 있도록 카카오페이 이용자 개인정보를 2018년 4~7월 총 3회에 걸쳐 동의 없이 알리페이에 전송한 것이다. 누적 전송 건수는 약 542억건으로, 중복 데이터를 제거라면 4000만명으로 추산된다.
카카오페이 전체 이용자 중 애플 결제수단을 등록한 비율은 20% 미만이다. 카카오페이는 애플 이용자뿐만 아니라 전체 이용자 정보를 알리페이에 보냈다. 이에 개인정보위는 과징금과 함께 시정·공표명령을 내렸다.
애플, 개인정보 처리 위탁·국외이전 사실 고지X
애플은 알리페이에 카카오페이 이용자 결제정보를 보내고 NSF 점수 산출을 위한 개인정보를 처리하도록 위탁하면서, 이 사실과 정보 국외이전 내용을 이용자에게 알리지 않은 것으로 조사됐다. 따라서 개인정보위는 과징금과 과태료, 시정·공표명령을 내렸다.
알리페이, 동의없이 제공된 정보 이용
알리페이는 동의 없이 제공된 개인정보로 NSF 모델을 구축하고 점수를 산출했다. 매일 카카오페이로부터 전체 이용자 정보를 자동으로 받았고, 산출한 NFS 점수를 애플 조회 요청에 따라 회신했다. 알리페이에는 시정명령이 내려졌다.
개인정보위는 “개인정보 처리를 외부에 위탁할 때, 위탁자가 정보주체 대한 책임을 져야 한다”며 “제3자 책임 영역으로 개인정보를 이전하는 것은 제3자 제공해 해당해 정보주체에게 동의를 구하거나 적법 근거를 마련해야 한다”고 말했다.
[박은주 기자(boan5@boannews.com)]
전화번호·충전잔고 등 542억건 전공
[보안뉴스 박은주 기자] 고객 동의 없이 약 4천만명 개인정보를 알리페이로 넘긴 카카오페이와 애플에 83억 과징금이 부과됐다.
▲사건 개념도, 카카오페이-애플(제3자 제공 관계), 애플-알리페이(위수탁 관계)[자료=개인정보위]
22일 개인정보보호위원회(위원장 고학수)는 제2회 전체회의를 열고, 개인정보보호법상 국외이전 규정을 위반한 ‘카카오페이’에 과징금 59억 6800만원, ‘애플(Apple Distribution International Limited)’에 과징금 24억 500만원과 과태료 220만원을 부과했다고 23일 밝혔다.
개인정보위 조사에 따르면 카카오페이는 전체 이용자 약 4000만명 개인정보를 본인 동의 없이 국외로 이전했다. 전송된 개인정보는 이용자 휴대전화번호와 이메일주소, 자금부족 가능성과 관련된 정보(카카오페이 가입일. 충전 잔고 등) 총 24개 항목이다.
카카오페이가 애플의 서비스 이용자 평가 목적으로 중국에 본사를 둔 알리페이로 개인정보를 넘긴 것이다. 카카오페이 이용자는 본인 정보가 해외로 넘어가는 것을 알지 못했다.
카카오페이, 개인정보 이용자 동의 없이 애플(알리페이)에 제공
카카오페이는 알리페이의 중계로 애플에 고객 결제정보를 전송했다. 이때 애플은 ‘NFS 점수’ 산출을 포함한 결제 및 개인정보 처리 업무를 알리페이에 위탁했다. NFS 점수는 애플 서비스에서 여러 건 소액결제를 한 건으로 묶어 일괄청구하는 경우 자금 부족 가능성 등을 판단하기 위해 고객별로 매기는 점수다.
위탁 과정에서 카카오페이는 애플 수탁사인 알리페이가 NSF 점수 산출 모델을 구축할 수 있도록 카카오페이 이용자 개인정보를 2018년 4~7월 총 3회에 걸쳐 동의 없이 알리페이에 전송한 것이다. 누적 전송 건수는 약 542억건으로, 중복 데이터를 제거라면 4000만명으로 추산된다.
카카오페이 전체 이용자 중 애플 결제수단을 등록한 비율은 20% 미만이다. 카카오페이는 애플 이용자뿐만 아니라 전체 이용자 정보를 알리페이에 보냈다. 이에 개인정보위는 과징금과 함께 시정·공표명령을 내렸다.
애플, 개인정보 처리 위탁·국외이전 사실 고지X
애플은 알리페이에 카카오페이 이용자 결제정보를 보내고 NSF 점수 산출을 위한 개인정보를 처리하도록 위탁하면서, 이 사실과 정보 국외이전 내용을 이용자에게 알리지 않은 것으로 조사됐다. 따라서 개인정보위는 과징금과 과태료, 시정·공표명령을 내렸다.
알리페이, 동의없이 제공된 정보 이용
알리페이는 동의 없이 제공된 개인정보로 NSF 모델을 구축하고 점수를 산출했다. 매일 카카오페이로부터 전체 이용자 정보를 자동으로 받았고, 산출한 NFS 점수를 애플 조회 요청에 따라 회신했다. 알리페이에는 시정명령이 내려졌다.
개인정보위는 “개인정보 처리를 외부에 위탁할 때, 위탁자가 정보주체 대한 책임을 져야 한다”며 “제3자 책임 영역으로 개인정보를 이전하는 것은 제3자 제공해 해당해 정보주체에게 동의를 구하거나 적법 근거를 마련해야 한다”고 말했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
