카카오페이 개인신용정보 제공 논란, 개인정보 전문 변호사의 의견

로그인/가입

첫 상담 100% 지원!

카카오페이 개인신용정보 제공 논란, 개인정보 전문 변호사의 의견
법률가이드
기업법무IT/개인정보

카카오페이 개인신용정보 제공 논란, 개인정보 전문 변호사의 의견 

임주영 변호사

카카오페이가 중국 간편 결제업체인 알리페이에, 국내 고객들의 개인신용정보를 제공한 사실이 금융감독원(금감원) 점검으로 알려져 논란이 되었습니다.

관련 언론 보도, 카카오페이 공식 입장, 금감원의 보도 자료는 아래 포스팅 정리 내용을 참고해 주세요.

↓↓↓↓↓

https://www.lawtalk.co.kr/posts/87256

이번 포스팅에서는, 개인신용정보 제공을 두고 팽팽하게 대립하는 카카오페이와 금감원의 입장에 대하여, 개인정보 전문 변호사인 저의 의견을 이야기해보려 합니다.

[우선 검토 사항 : 적용 법률]

카카오페이는 신용정보법*의 적용을 받는 금융회사입니다.

(*신용정보의 이용 및 보호에 관한 법률)

개인신용정보*에 관하여는, 신용정보법을 우선 적용하고, 신용정보법에서 정하지 않는 사항은 개인정보 보호법을 적용합니다.

​(*살아 있는 개인에 관한 정보로서, 개인의 신용도와 신용거래능력을 판단할 때 필요한 정보. (예시) 성명, 주소, 주민등록번호, 대출/보증/연체/부도 내역, 신용카드 거래 내역, 재산/채무/소득 금액, 납세 내역, 체납정보 등)

따라서 개인신용정보의 처리에 관하여는 개인정보 보호법에 우선하여 신용정보법이 적용됩니다.

※ 신용정보법 제3조의2(다른 법률과의 관계) ② 개인정보의 보호에 관하여 이 법에 특별한 규정이 있는 경우를 제외하고는 「개인정보 보호법」에서 정하는 바에 따른다.

[신용정보 처리 위탁인가? 신용정보 제3자 제공인가?]

1. 카카오페이가 NSF 스코어를 산출하여 애플에 제공하는 목적으로 알리페이에 고객 개인신용정보를 넘긴 행위가 신용정보 처리 업무 위탁을 위해서인지, 신용정보의 제3자 제공인지 판단하기 위해서는, 우선 사실관계를 정확히 파악해야 합니다.

언론에서 보도한 내용을 종합하면, 아래와 같은 사실관계를 추측할 수 있습니다.

  • 카카오페이는 애플 앱스토어에 카카오페이 결제 기능을 추가하기로 함

  • 이미 알리페이의 결제 인프라를 보유하고 있던 애플이 카카오페이에 알리페이 시스템 활용을 권고함

  • 위와 같은 내용을 바탕으로 카카오페이, 알리페이, 애플 3자 간 업무 협약을 체결함

  • 카카오페이는 NSF 스코어(애플 일괄결제 시스템 운영시 필요한 고객별 신용점수) 산출을 위하여 알리페이에 국내 고객들의 개인신용정보를 이전함

(※ 카카오페이와 금감원이 공식적으로 사실관계를 자세히 알리지 않았기 때문에, 언론 보도 내용을 토대로 추측해 봤습니다. 하지만 정확한 사실관계는 위 내용과 다를 수도 있습니다.)

2. 판단 기준

개인정보 처리 업무 위탁이란, 위탁사 본인의 업무에 속하는 개인정보 처리 업무(또는 개인정보 처리가 수반되는 일반 업무)를 제3자에게 맡기는 것을 말합니다.

반면 개인정보 제3자 제공은 개인정보를 제공받는 자의 업무를 위하여 개인정보를 이전하는 것으로서, 제공으로 제3자에게 개인정보의 지배·관리권이 이전됩니다.

[관련 법 조항]

  • 개인신용정보 처리 위탁 : 신용정보법 제17조 제2항, 제32조 제6항 - 정보주체 동의 불필요

  • 개인신용정보 제공 : 신용정보법 제32조, 제34조 - 정보주체 동의 필요

[관련 판례]

개인(신용)정보 처리 위탁과 제3자 제공의 구별이 쉬운 케이스도 있지만, 쉽지 않은 케이스도 많습니다. 법정 공방까지 간 사례가 있었고, 대법원은 아래와 같이 구별 기준을 제시하였습니다.

대법원 2017. 4. 7. 선고 2016도13263 판결 요지

  • 개인정보의 ‘제3자 제공’은 본래의 개인정보 수집·이용 목적의 범위를 넘어 그 정보를 제공받는 자의 업무처리와 이익을 위하여 개인정보가 이전되는 경우임

  • 반면 개인정보의 ‘처리위탁’은 본래의 개인정보 수집·이용 목적과 관련된 위탁자 본인의 업무 처리와 이익을 위하여 개인정보가 이전되는 경우를 의미함

  • 어떠한 행위가 개인정보의 제공인지 아니면 처리 위탁인지는 1) 개인정보의 취득 목적과 방법, 2) 대가 수수 여부, 3) 수탁자에 대한 실질적인 관리·감독 여부, 4) 정보주체 또는 이용자의 개인정보 보호 필요성에 미치는 영향, 5) 이러한 개인정보를 이용할 필요가 있는 자가 실질적으로 누구인지 등을 종합하여 판단하여야 함

3. 검토

카카오페이는 애플 앱스토어에 입점하기를 원했는데, NSF 스코어를 산출하여 애플에 제공하는 게 입점 선결 조건이었습니다. 그렇다면 NSF 스코어 산출 및 제공은 카카오페이 자신의 업무에 해당한다고 생각합니다.

​​

다만 카카오페이는 애플의 권유에 따라 간편 결제 업체인 알리페이에 해당 업무를 맡겼고, 알리페이가 NSF 스코어를 산출할 수 있도록 국내 고객들의 개인신용정보를 이전한 것으로 보입니다.

그래서 저는 카카오페이가 알리페이에 국내 고객들의 개인신용정보를 이전한 것은, 개인신용정보 처리 업무 위탁에 따른 것이라고 생각합니다.

카카오페이는 알리페이와의 업무 협약에 따라, 국내 고객이 알리페이의 해외 가맹점에서 결제할 때 간편 결제 서비스를 제공하고 있습니다(반대로 중국 고객이 국내에서 결제할 때에도 간편 결제 서비스를 제공합니다).

따라서 애플, 알리페이 3자 간 업무 협약에 따라, 알리페이가 NSF 스코어를 산출하여 애플에게 제공하면 결과적으로 카카오페이와 알리페이 모두에게 이익이 됩니다.

​​

금감원은 NSF 스코어 산출 및 제공 업무 수행 결과, 카카오페이와 알리페이 모두에게 이익(PG 업무 수수료 귀속)이 되므로, 개인신용정보 처리 위탁이 아닌 제3자 제공으로 판단하였습니다.

그러나 그 이익이 알리페이에게도 귀속된다 하더라도, 이는 결과에 따른 반사적 이익이라고 생각합니다.

본래 NSF 스코어 산출 및 제공 업무는 애플 앱스토어에 결제 기능을 추가하기 위해서 카카오페이가 해야 하는 업무였습니다. 카카오페이가 자체적으로 수행할 능력이 없어서 알리페이에게 맡겼는지, 자체 수행 능력이 있었음에도 애플의 권고에 따라 알리페이에 맡겼는지는 모르겠습니다.

하지만 원래 그 업무를 해야 할 주체가 카카오페이였다면, 업무 수행 결과 알리페이도 이익을 얻었더라도 신용정보 처리 위탁으로 볼 여지가 있습니다. 다만 카카오페이는 개인신용정보 처리 위수탁에 수반되는 법령 사항을 준수하지 않은 것으로 보입니다(아래 자세히 설명).

[카카오페이 위반 사항]

  • 신용정보 처리 업무를 위탁할 때는 문서(통상 위수탁 계약서)로 해야 함

    → 금감원 조사 결과 업무 위수탁을 위한 계약서 등 문서는 존재하지 않는다고 합니다.

  • 위탁하는 업무의 내용 및 수탁자를 정보주체가 쉽게 알 수 있도록 개인정보 처리방침에 공개해야 함(신용정보법 제17조 제1항, 개인정보 보호법 제26조 제1항 내지 제3항)

    → 카카오페이는 자사 홈페이지에 공개한 개인정보 처리방침업무 위탁에 관한 조항을 두었으나, 업무 수탁업체에 알리페이 계열사는 없었습니다.

    → 개인정보 처리방침 중 '개인정보 처리 위탁 현황(상세보기)'를 클릭하면 수탁 업체 리스트가 나오는데, 그곳에 'NSF 스코어 산출 및 제공 업무 목적'으로 알리페이에 업무를 위탁한다는 내용은 없었습니다.

  • 특정 신용정보주체를 식별할 수 있는 정보를 암호화 보호 조치를 해야 함(신용정보법 제17조 제4항)

    → 카카오페이는 원문 데이터를 유추하거나 복호화 불가능한 방식을 사용하였고 주장하였습니다. 그러나 금감원은 가장 일반적인 암호화 프로그램을 사용하여 일반인 누구나 복호화 할 수 있고 원문 데이터도 유추 가능하다고 판단하였습니다.

    → 현재로서 누구의 주장이 맞는지 판단이 어렵습니다. 어떤 암호화 프로그램을 사용하였는지, 실제 복호화 가능한지에 대한 추가 조사 및 검토가 필요할 것 같습니다.

  • 개인(신용)정보 국외 이전(업무 위탁)시 해당 내용을 개인정보 처리방침에 공개하거나, 정보주체의 별도 동의를 받아야 함(개인정보 보호법 제28조의8)

    → 카카오페이의 개인정보 처리방침 제5조에 개인정보의 국외 이전에 관한 사항이 있으나, 국외 이전 현황(상세보기)을 클릭해서 보면, 이용 목적에 'NSF 스코어 산출 및 제공'은 적혀 있지 않습니다.

    → 개인정보 처리방침에 '이용 목적'을 정확히 공개하지 않았다면, 개인(신용)정보 국외 이전에 대한 정보주체의 별도 동의를 받아야 하는데, 이 부분 역시 없었던 것 같습니다.

※ 참고로, 카카오페이는 해외결제서비스를 제공하기 전 고객의 동의서를 받긴 했습니다.

  • 그러나 카카오페이가 해외결제 고객에게 동의 받은 목적은 'PG업무(결제승인 및 정산)'였습니다.​

  • 고객에게 동의를 받을 때 '목적'을 구체적이고 명확하게 기재해야 하고, 동의 받은 목적 외로 이용하거나 제공해서는 안 됩니다.​

  • 카카오페이가 동의를 받지 않은 목적인 'NSF 스코어 산출 및 제공'을 위하여 고객 개인신용정보를 알리페이에 제공하려면, 고객의 동의를 다시 받아야 합니다.

[결론]

카카오페이가 알리페이에 국내 고객의 개인신용정보를 이전한 행위가, NSF 스코어 산출 및 제공 업무 위탁을 위한 것(신용정보 처리 위탁)이라고 하더라도, 카카오페이는 법 위반의 책임에서 자유롭지 못할 것입니다.

개인신용정보 처리 위탁에 따른 법령 의무 사항을 준수하지 않았기 때문입니다.

물론 카카오페이의 행위가 알리페이의 이익을 위한 신용정보 제3자 제공이라고 하더라도, 고객의 동의를 받지 않은 불법을 저질렀으므로 응당 책임을 져야 할 것입니다.

이번 논란을 보면서 개인적으로 많이 놀랐습니다. 대한민국 국민 대부분이 이용하는 카카오톡 메신저 서비스를 운영하는 카카오의 계열사인 카카오페이의 고객 개인정보 보호에 이렇게나 빈틈이 많았다는 사실이 이해되지 않았습니다.​

이런 법적인 빈틈 발생 이유가 카카오페이 내부 통제 시스템 부재인지, 다른 이유가 있는지 알 수 없지만, 이런 일을 계기로 카카오페이의 준법 시스템이 제대로 갖춰 지길 바라봅니다. : )

로톡의 모든 콘텐츠는 저작권법의 보호를 받습니다.

콘텐츠 내용에 대한 무단 복제 및 전재를 금지하며, 위반 시 민형사상 책임을 질 수 있습니다.

임주영 변호사 작성한 다른 포스트
조회수 148
관련 사례를 확인해보세요

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.

공지사항

마이페이지

로톡상담

고객센터

회사소개
(주)로앤컴퍼니 사업자번호: 통신판매번호: 대표자명: 대표번호: 이메일:
로톡 이야기로톡 이야기

로톡 브랜드 스토리를 들려드립니다.

실시간 AI 모니터링 시스템

허위·과장문구를 모니터링하고 있습니다.

(주)로앤컴퍼니 사업자번호: 통신판매번호: 대표자명: 대표번호: 이메일:
(주)로앤컴퍼니는 대한민국 법률시장의 정보비대칭과 불법 법조브로커를 해소하여 투명하고 공정한 법률시장을 만들기 위해 로톡(LawTalk) 서비스를 제공하고 있습니다. 로톡은 의뢰인회원의 법률상담 내용 및 상담 여부, 법률사건 내용 및 수임 여부, 변호사회원의 선택 등에 대해 일절 관여하지 않아 변호사법 및 기타 관련규정을 준수하고 있으며, 변호사회원이 의뢰인회원에게 제공하는 서비스의 내용과 질에 대해 어떠한 법적책임도 부담하지 않습니다. 또한 회원간의 예약 및 결제정보의 중개서비스 또는 통신판매중개 시스템을 제공할 뿐, 통신판매의 당사자가 아닙니다. 모든 법률상담은 각 변호사회원이 직접 수행하며, 모든 변호사회원은 각 소속 법률사무소, 로펌에서 독립적으로 법률업무를 수행합니다. 그리고 로톡에 가입한 변호사들 상호간에는 어떠한 조직적인 관계가 없음을 밝힙니다. 로톡에 표시된 변호사회원의 정보는 해당 변호사가 직접 제공한 것이며 무단으로 복제, 편집, 전시, 전송, 배포, 판매, 방송, 공연 등에 이용할 수 없습니다.

(C) Law&Company Co., Ltd. ALL RIGHTS RESERVED.