개인정보 국외 이전에 대한 개인정보보호법 위반 사례 - 카카오페이&알리페이

개인정보의 국외 이전 : 개인의 민감한 정보가 해외로 전달되는 것

https://www.law.go.kr/lsEfInfoP.do?lsiSeq=195062#

개인정보 보호법 | 국가법령정보센터 | 법령 > 본문

정보주체의 동의 없이 개인정보를 해외로 이전하는 것은 법률 위반으로 간주될 수 있다. 

 

카카오페이 및 알리페이의 개인정보보호법 위반 사례

1. 사건 개요

카카오페이가 2018년~2024년 고객 개인정보를 알리페이에 제공했다.

알리페이는 애플과의 제휴를 위한 선결 조건으로 NSF스코어 (애플이 요구하는 고객별 신용점수) 산출을 명목으로 카카오페이에 고객 정보를 요청했다.

하지만 해외 결제를 이용하지 않은 고객까지 포함해 전체 고객의 신용정보가 제공되었다. 이는 정보주체의 동의 없이 이루어져 문제가 되었다.

- 카카오페이 계정 ID, 휴대폰 번호, 이메일, 가입 내역, 거래 내역이 제공되었다.

2. 사건 배경

카카오페이는 애플 앱스토어 결제 서비스를 제공하기 위해 알리페이에 고객 정보를 넘겼다.

애플은 자사 앱스토어에 결제 서비스를 제공하는 업체들에게 고객 관련 데이터를 요구하며, 이 데이터를 기반으로 재가공하여 NSF 스코어를 산출해야 한다.
이에 따라 카카오페이는 알리페이 계열사에 데이터 재가공 작업을 위탁했고, 이 과정에서 고객의 신용정보가 알리페이에 제공되었다. 

그러나 문제는 재가공된 정보가 애플로 제공되지 않았으며, 애플과의 계약 조건을 충족하기 위한 목적 외에도 카카오페이 전체 고객의 신용정보가 지속적으로 제공되었다는 점이 핵심적인 법적 쟁점이 되었다.

3. 법적 위반사항

⭐개인정보보호법 위반⭐

1.    개인정보보호법 제17조

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.

1. 개인정보를 제공받는 자

2. 개인정보를 제공받는 자의 개인정보 이용 목적

3. 제공하는 개인정보의 항목

4. 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

5. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

→ 카카오페이는 2항에서 고객의 동의를 받지 않고 전체 고객의 신용정보를 해외로 이전해 법률을 위반했다.

 

2.    개인정보보호법 제 28조의8

② 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 미리 다음 각 호의 사항을 정보주체에게 알려야 한다.

1. 이전되는 개인정보 항목

2. 개인정보가 이전되는 국가, 시기 및 방법

3. 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭과 연락처를 말한다)

4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유ㆍ이용 기간

5. 개인정보의 이전을 거부하는 방법, 절차 및 거부의 효과

→   카카오페이는 해외결제를 승인하지 않은 고객의 정보도 해외로 이전했다. 2호를 공개하지 않았다.

4. 금융감독원 판결

금융감독원은 카카오페이의 행위를 법 위반으로 판단했다. 그 이유는

• NSF 스코어 산출 명목이라면, 스코어 산출 대상 고객의 신용정보만 제공해야 함에도 불필요한 정보가 지속적으로 제공되었다. 
• 해외 결제 대금을 정산하기 위해서는 주문·결제 정보만 공유하면 되지만, 불필요한 신용정보까지 제공되었다.
• 고객 동의서에 제공받는 자(알리페이)의 이용 목적을 ‘PG업무(결제승인·정산)’으로 허위 기재하여 고객에게 정확히 고지하지 않았다. 
• 선택 동의사항이 아닌 필수 동의사항으로 잘못된 동의를 받아 고객의 선택권을 제한했다. 

금융감독원은 카카오페이의 행위가 단순한 업무위수탁을 넘어선 개인정보 불법 유출로 보고 있으며, 이에 따라 과징금 부과 및 시정 명령 등의 행정 조치 가능성이 높아졌다.

---

기업이 고객 개인정보를 처리,  국외이전 할 때 아래의 항목들이 중요하다. 

1. 고객 동의를 철저히 받기

2 목적을 명확히 고지하기

3. 불필요한 정보 제공을 최소화하기