카카오페이가 알리페이에 고객의 동의 없이 개인신용정보를 제공했다는 내용이 보도된 후, 연일 뜨거운 이슈가 되고 있습니다.
금융감독원(금감원)은 이례적으로 연달아 2차례 보도자료를 내면서, 이번 이슈에 대한 금감원의 입장을 상세히 밝히고 있는데요.
이번 카카오페이의 알리페이 개인정보 제공 이슈의 쟁점이 무엇인지, 이슈를 두고 정면 대립하고 있는 금감원과 카카오페이의 입장, 그리고 이번 이슈에 대한 개인정보 전문 변호사로서 제 의견을 이야기해보려 합니다.
[카카오페이 개인정보 불법 제공 이슈 진행 과정, 금감원과 카카오페이 입장 정리]
1. 2024년 8월 13일, 중앙일보는 카카오페이가 알리페이에 고객정보를 넘겼다는 단독 기사를 내보냈습니다.
[보도 주요 내용]
카카오페이가 알리페이(중국 최대 핀테크 업체인 앤트그룹의 계열사)에게 고객들의 개인신용정보를 고객 동의 없이 불법으로 넘긴 사실을 금감원이 적발함
카카오페이가 알리페이에 고객 개인신용정보를 넘긴 것은 애플 앱스토어 결제 서비스를 제공하기 위해서임
애플은 자사 앱스토어 입점을 원하는 결제업체에게 고객 관련 데이터 요구, 해당 데이터는 고객 개인정보를 바탕으로 재가공해서 생성되는데, 카카오페이가 이 업무를 알리페이 계열사에 맡기면서 개인신용정보가 넘어감
카카오페이는 알리페이 측과 업무 위수탁 계약 관계에서 개인신용정보를 제공한 것으로서, 신용정보법에 따르면 개인신용정보의 처리위탁으로 정보 이전시 정보주체의 동의를 요구하지 않으므로 법 위반 아니라고 주장함
카카오페이는 해당 정보들을 암호화해서 제공했고, 알리페이 측에서 암호를 풀거나 제공한 정보를 마케팅에 이용하지 않은 사실 확인하였다고 함
카카오페이가 알리페이 측에 개인정보를 제공한 이유는, 애플이 세계 최고 핀테크 업체인 알리페이를 통해 애플이 원하는 방식으로 고객 정보를 재가공해 달라고 권유했기 때문이라고 함
2. 카카오페이는, 같은 날 자사 홈페이지에 이러한 언론 보도에 대한 입장문을 게시하였습니다.
[주요 내용]
애플 앱스토어 결제 시 안전한 결제 환경 구축을 위하여 애플, 알리페이, 카카오페이는 3자 협력으로 부정 결제 방지 절차를 마련해 두었음
이를 통해 ID 도용으로 부정 결제나 이상 거래를 사전 차단하여 안전하고 편리하게 카카오페이를 이용할 수 있도록 최선을 다하고 있음
카카오페이는 알리페이와 업무 위수탁 관계에 따라 비식별화된 정보를 제공하고, 애플에서 해당 데이터를 활용해 부정 결제 여부 등을 판단할 수 있도록 함
원문 데이터를 유추하거나 복호화* 될 수 없는 방식으로 보내고 있어, 알리페이나 애플이 원래 목적과 관계없는 용도로 활용은 불가능함
* 복호화: 부호화된 정보를 부호화되기 전의 상태로 되돌리는 것
3. 금감원 역시 같은 날 보도자료를 배포하면서, 카카오페이가 알리페이에 개인신용정보를 제공한 내용에 대하여 자세히 설명하였습니다.
[보도자료 주요 내용]
2024년 5월 ~ 7월 카카오페이 해외 결제 부문에 대한 현장검사 실시함
고객 동의 없이 고객신용정보를 제3자(알리페이)에게 제공한 사실 확인함
<이슈 1 : 고객 동의 없이 카카오페이 전체 고객의 개인신용정보 제공>
① 해외 결제를 이용하지 않는 고객을 포함하여 '카카오페이에 가입한 전체 고객의 개인신용정보'를 고객 동의 없이 알리페이에 제공함
2018년 4월 ~ 현재, 매일 1회, 총 542억 건(누적 인원 4,045만 명)
제공 항목 : 카카오계정 ID, 핸드폰번호, 이메일, 카카오페이 가입내역 및 거래내역(잔고, 충전, 출금, 결제, 송금 등)
② 카카오페이는 알리페이가 NSF 스코어(애플에서 일괄결제시스템 운영시 필요한 고객별 신용점수) 산출 목적으로 전체 고객 신용정보 요청하자
해외 결제 이용하지 않은 고객 포함 카카오페이에 가입한 전체 고객의 개인신용정보를 고객 동의 없이 제공함
NSF 스코어 산출 목적이라면, 관련 모형 구축(`19.6월) 이후에는 스코어 산출 대상 고객 정보만 제공해야 함에도 전체 고객의 정보를 계속 제공하여 고객정보 오남용 우려
<이슈 2 : 고객 개인신용정보 과다 제공>
① 카카오페이가 알리페이에 해외결제대금 정산을 위해서는 고객 신용정보 제공이 필요하지 않음에도 알리페이에 제공함
제공 항목 : 카카오계정 ID, 주문정보(시간, 통화, 금액, 거래유형 등), 결제정보(시간, 통화, 금액, 결제수단 등)
2019년 11월 ~ 현재, 해외결제 이용시마다, 총 5.5억 건
② 카카오페이는 국내 고객이 해외가맹점에서 카카오페이로 결제한 금액을 알리페이에 정산하면서, 주문·결제정보만 제공해도 되는데도
해외결제고객의 신용정보를 불필요하게 과다하게 제공함
제3자 제공 동의서의 이용목적을 'PG업무(결제승인, 정산)수행'으로 사실과 다르게 기재함(즉 제3자의 실제 이용목적을 고객에게 제대로 고지하지 않음)
고객이 제3자 제공에 동의하지 않아도 해외결제 가능함에도, '선택적' 동의가 아닌 '필수적' 동의 사항으로 잘못 동의 받음
▶ 금감원은, 카카오페이의 입장문에 대해서도 반박하였습니다.
① 카카오페이가 알리페이에 'NSF 스코어 산출하여 애플에 제공' 목적으로 고객의 개인신용정보를 넘긴 것은 업무 위수탁 관계에 따른 개인신용정보 처리 위탁에 해당하지 않음(따라서 개인신용정보를 넘기려면 고객의 동의가 필요함)
② 랜덤값 없이 단순하게 암호화(해시처리)하면서 함수구조를 지금까지 변경하지 않아 일반인도 복호화 가능한 수준임
원본 데이터 유추할 수 없다는 카카오페이 주장은 사실과 다름
(카카오페이 주장에 따라) 해시처리를 하더라도 가명정보이므로 알리페이 측에 넘기려면 고객 동의 필요하고, 동의 없는 정보 제공은 법 위반임
4. 위와 같이 금감원과 카카오페이의 첨예한 대립이 있은 날 다음 날인 2024. 8. 14. 한국경제가 카카오페이 입장을 담아 보도하였습니다.
[보도 주요 내용]
고객 동의 없이 불법으로 정보를 했다는 것은 사실이 아님
신용정보법 제17조 제1항에 따르면 개인신용정보의 처리 위탁으로 정보가 이전되는 경우 정보 주체의 동의가 요구되지 않음
고객 정보는 알리페이나 애플이 마케팅에 활용할 수 없으며, 암호화 방식을 적용해 비식별조치해 전달하고 있음
5. 금감원은 위 한국경제의 보도에 대하여, 같은 날 또 보도자료를 배포하면서, 기사 속 카카오페이 입장에 대하여 반박하였습니다.
[주요 내용]
신용정보의 처리 위탁에 해당하지 않음
▶ 카카오페이와 알리페이와 체결한 일체의 계약서 확인 결과, 카카오페이가 알리페이에 'NSF 스코어 산출·제공 업무'를 위탁하는 내용 존재하지 않음
▶ 카카오페이의 '회원 가입 약관', 해외결제 서비스 이용 시 고객에게 받는 '개인신용정보 제3자 동의서'에서도 'NSF 스코어 관련 고객정보 제공'을 유추할 수 있는 내용 존재하지 않음
(※ 위 동의서는 'PG 업무(결제승인, 정산 등) 목적'으로 고객식별정보와 결제정보를 알리페이에 제공하는데 동의 하는 내용임 → 대금정산 목적에 필요하지 않음 개인정보(고객식별정보)까지 제공하는 동의서이므로, 역시 관련 법령 위반임.)
▶ 카카오페이가 홈페이지에 공시한(개인정보 처리방침) '개인신용정보 처리업무 위탁'사항에도 'NSF 스코어 산출, 제공 업무'는 포함되어 있지 않음
▶ 대법원 판례(2016도13263)에 비춰볼 때, 본건은 신용정보의 처리 위탁에 해당하지 않음
원본 데이터 유추 가능함
▶ 카카오페이는 가장 일반적인 암호화 프로그램을 사용하여 일반인도 복호화 가능한 수준으로 원본 데이터 유추 가능함
▶ 알리페이가 개인신용정보(핸드폰, 이메일 등)를 요청한 이유는 이를 애플 ID에 매칭하기 위한 것이었음. 매칭을 위해서는 개인식별정보를 복호화 해야 함. 특정 고객의 NSF 스코어를 제공하면서 개인신용정보를 식별하지 않는다는 주장은 모순임
6. 한편 이 이슈에 대해 개인정보보호위원회도 나섰습니다.
중앙일보의 보도 중, 카카오페이가 알리페이에 개인신용정보를 넘긴 것은 국외 이전이므로 별도 동의를 받아야 하는데, 이를 지키지 않았다는 내용이 있었습니다.
개인정보보호위원회도 보도 자료를 내며, 카카오페이의 개인정보 국외 이전 의무 준수 관련 사실관계를 확인하기 위하여 자료 제출을 요구할 것이고, 자료 검토 후 조사 착수 여부를 결정할 것이라는 입장을 밝혔습니다.
카카오페이의 알리페이에 개인신용정보 제공 이슈가 관련 정부 기관 전체에 확산되는 분위기입니다.
[금감원의 카카오페이에 대한 제재 여부]
금감원은 면밀한 법률 검토를 거쳐 제재 절차를 '신속히' 진행할 것이고, 유사 사례에 대한 점검을 실시할 계획이라고 밝혔습니다.
금감원은 현재 네이버페이와 토스에 대해서 서면 점검을 실시하고 있습니다.
양사가 해외 결제대행(PG) 업무를 하면서 카카오페이와 유사하게 고객 동의 없이 개인신용정보를 과다하게 제3자에게 제공한 사실이 있는지 살펴보고, 필요시 현장 점검에 나설 계획이라고 합니다.
또한 해외결제업무를 하는 다른 결제대행업체까지 점검을 확대할 수 있다고 합니다.
금감원은 조만간 카카오페이에 검사 결과 드러난 내용을 적시한 검사의견서를 보내 카카오페이의 공식 소명을 요구할 계획이라고 합니다.
-------------------------
이번 이슈에 대하여 금감원과 카카오페이가 언론을 통해 각자의 입장을 강력히 피력하면서 1차 대립을 하였죠.
카카오페이가 금감원의 정식 검사의견서를 받으면, 쌍방 서면 공방으로 더 치열하게 2차 대립을 할 것 같습니다.
카카오페이는 벌써 법무법인이나 변호사 선임 절차를 마치고 금감원과의 2차 대립을 준비하고 있을 것입니다
지난주 언론을 뜨겁게 달궜던 카카오페이의 알리페이 개인신용정보 제공 이슈 진행 과정, 그리고 대립하는 두 당사자인 금감원과 카카오페이의 입장을 살펴봤습니다.
다음에는 이번 이슈에 대하여 개인정보 전문 변호사로서 제 의견을 이야기 해보려 합니다.
로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.
콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.