카카오페이 제공카카오페이가 이용자 4천만명의 결제정보와 전화번호 등 개인정보를 애플에 넘긴 것으로 드러났다.
또 카카오페이로부터 개인정보를 넘겨받은 애플은 이용자가 여러 건의 소액결제를 한 건으로 묶어 일괄청구하는 경우 자금부족 가능성 등을 판단하기 위한 고객별 점수(NSF)를 매겨 활용한 것으로 파악됐다.
이에 따라 개인정보보호위원회는 22일 전체회의를 열고 개인정보 국외이전 규정을 위반한 카카오페이에 과징금 59억 6800만원, 애플에 과징금 24억 500만원과 과태료 220만원을 부과하고 애플과 위수탁 관계인 알리페이는 이용자의 점수를 매긴 NSF 점수 모델을 파기하도록 시정명령을 내렸다고 23일 밝혔다.
개인정보위의 조사 결과 카카오페이는 애플의 수탁사인 알리페이가 고객별 점수를 매길 수 있는 NSF 점수 산출 모델을 구축할 수 있도록 전체 카카오페이 이용자의 4천만명의 개인정보를 2018년 4월부터 7월까지 총 3회에 걸쳐 이용자 동의 없이 전송했다.
넘겨진 개인정보는 이용자별 고유번호와 휴대전화번호, 이메일주소는 물론 자금부족 가능성과 상관관계 있는 정보였다.
카카오페이 가입일과 신분증 확인된 계정여부, 충전잔고, 최근 7일간 충전·결제·송금 건수 등 무려 총 24개 항목에 달했다.
이 기간 누적 전송 건수는 약 542억 건으로, 중복제거 시 약 4천만 명에 해당하는 정보였다.
알리페이는 매일 카카오페이로부터 고객정보를 전송받아 이용자별 NSF 점수(0~100점, 가령 일괄청구 시 자금부족 가능성이 높다고 예측되면 50~100점 산출)를 미리 산출해 뒀다가 애플이 결제 이용자의 NSF 점수 조회 시 즉시 회신했다.
개인정보위는 "특히 카카오페이 전체 이용자 중 애플에 카카오페이를 결제수단으로 등록한 이용자는 20% 미만이었지만 카카오페이는 애플 이용자뿐만 아니라 애플 미이용자까지 포함된 전체 이용자의 정보를 알리페이에게 전송했다"고 밝혔다.
애플과 연동된 국내 결제수단 중 알리페이에서 NSF 점수를 산출하는 곳은 카카오페이가 유일했다.
따라서 카카오페이 전체 이용자(약 4천만 명)는 본인의 정보가 국내 개인정보보호 체계를 벗어나 국외로 이전·처리되고 있다는 사실을 알기 어려웠다고 개인정보위는 전했다.
개인정보위는 애플이 개인정보를 국외로 처리 위탁하면서 정보주체에게 공개하거나 고지하지 않은 행위에 대해서는 과징금 24억 500만 원을, 위탁 사실을 밝히지 않은 행위에 대해서는 과태료 220만 원을 부과했다.
개인정보위는 "사업자가 개인정보 국외 이전이 수반되는 서비스 제공 시 정보주체의 별도 동의를 받거나, 국외 수탁자에게 개인정보 처리를 위탁하는 경우 개인정보처리방침 등을 통해 개인정보가 국경을 넘어 이전되는 사실을 반드시 알려야 한다"고 강조했다.
또 개인정보 처리를 외부에 위탁하는 경우 위탁자가 정보주체에 대한 책임을 부담해야 하며 위탁자의 책임 영역을 떠나 제3자의 책임 영역으로개인정보를 이전하는 것은 제3자 제공에 해당하므로 정보주체의 동의 등 적법근거를 구비해야 한다고 밝혔다.