
카카오페이와 애플이 약 4천만 명의 개인정보를 이용자 동의 없이 해외로 이전한 사실이 드러났다. 개인정보보호위원회는 1월 22일 열린 제2회 전체회의에서 카카오페이와 애플의 개인정보보호법 위반에 대해 각각 59억 6,800만 원과 24억 500만 원의 과징금을 부과하기로 결정했다.
이는 한국 내 개인정보 국외 이전 규정 위반과 관련해 가장 심각한 사례 중 하나로 평가된다.
카카오페이는 2018년 4월부터 7월까지 세 차례에 걸쳐 약 4천만 명의 개인 정보를 애플의 수탁사인 알리페이에 제공했다. 이 정보는 애플의 NSF 점수 산출과 결제 처리 목적으로 사용됐다.
NSF(Non Sufficient Funds) 점수는 사용자가 결제에 실패할 가능성을 평가하는 지표이다. 애플은 이를 통해 특정 사용자에게 결제를 막거나 다른 조처까지 취할 수 있었다.
문제는 이 과정에서 이용자 동의가 전혀 없었다는 점이다. 심지어 애플 서비스를 이용하지 않는 카카오페이 사용자들의 정보까지 알리페이에 제공된 사실이 확인됐다.
카카오페이 이용자 중 애플 서비스를 사용하는 비율은 20% 미만에 불과했다. 하지만 전체 사용자 데이터가 무단으로 공유된 것이다. 개인정보보호위원회는 이를 "적법한 처리 근거 없는 국외 이전"으로 규정하며 시정 명령을 내렸다.
애플은 알리페이로부터 제공받은 개인정보를 통해 NSF 점수를 산출했다. 하지만 이 과정에서 개인정보의 국외 이전 및 처리 위탁 사실을 이용자에게 알리지 않았다.
개인정보 처리방침에서도 관련 내용을 명시하지 않았으며, 알리페이를 수탁자로 지정한 사실조차 공개하지 않았다.
알리페이는 카카오페이로부터 매일 개인정보를 자동 전송받아 NSF 점수를 산출했으며 이를 다시 애플에 전달했다. 이와 같은 과정에서 개인정보보호법이 규정한 고지의무와 동의 절차가 전혀 이루어지지 않았다.
개인정보보호위원회는 이러한 위반 사항을 이유로 애플에 과징금과 과태료를 부과하고 관련 사실을 홈페이지에 공표하도록 명령했다.
개인정보보호위원회는 카카오페이에 과징금 59억 6,800만 원을 부과하며, 국외 이전 적법 요건을 갖출 것을 명령했다. 또한, 홈페이지에 이번 사건과 관련한 사실을 공개하도록 지시했다.
애플 역시 24억 500만 원의 과징금과 220만 원의 과태료를 부과받았다. 알리페이에 대한 국외 이전 사실을 개인정보처리방침에 명시하고 홈페이지에 관련 정보를 공표해야 한다는 시정 명령도 내려졌다.
특히 개인정보보호위원회는 알리페이에 구축된 NSF 점수 산출 모델을 파기하도록 명령했다. 이는 위법하게 수집된 개인정보를 기반으로 구축된 모델이기 때문에 개인정보 침해 상태를 근본적으로 해소하기 위해 파기가 필요하다는 설명이다.
이번 사건은 개인정보 보호의 기본 원칙이 기업들에 의해 심각하게 훼손된 사례다. 카카오페이는 동의 없는 대규모 개인정보 제공이라는 중대한 과오를 저질렀으며, 애플은 국제적 기업으로서 책임 있는 개인정보 관리를 전혀 수행하지 않았다.
특히 애플의 행위는 글로벌 플랫폼 기업으로서 개인정보 보호에 대한 신뢰를 저버린 결정적 사례로 남을 가능성이 크다.
개인정보보호위원회의 이번 조치는 이용자 동의 없는 개인정보 국외 이전에 대해 강력히 경고하는 선례가 될 것이다. 최근 글로벌 플랫폼 서비스가 확대됨에 따라 개인정보 국외 이전이 빈번해지고 있는 상황에서, 기업들이 개인정보보호법 준수를 철저히 이행하지 않으면 심각한 제재를 받을 수 있음을 보여줬다.
개인정보보호위원회는 이번 사건을 통해 개인정보 국외 이전 문제를 명확히 하고 기업들에게 법적 준수 의무를 상기시켰다. 특히, 이용자 동의를 별도로 받거나 개인정보 처리 방침을 투명하게 공개하는 등 법적 요건을 충족해야 함을 강조했다.
더 나아가, 개인정보보호법 위반 행위가 반복되지 않도록 국외 이전 관련 규제를 강화하고, 국제적 협력을 통해 개인정보 보호 체계를 한층 더 보완할 필요가 있다.
개인정보 보호는 단순히 국내 규제를 넘어 글로벌 기업의 책임 있는 경영의 필수 요소임을 인식해야 한다.