CONTENTS
- 1. 개인정보법위반, 국외이전 규정 위반이 문제 된 사건
- - 전체 이용자의 개인저보를 동의 없이 제공한 K사
- - 개인정보 처리 위탁 및 국외이전 사실을 고지하지 않은 A사
- 2. 개인정보법위반으로 과징금 처분
- - K사, 합법적 처리 위탁이라며 반박
- 3. 개인정보법위반, 대륜의 전략은?
1. 개인정보법위반, 국외이전 규정 위반이 문제 된 사건
개인정보법위반으로 약 83억 과징금 및 시정명령 처분을 받은 K사와 A사입니다.
개인정보보호위원회(이하 개인정보위)는 지난 1월 22일 개인정보보호법 상 국외이전 규정을 위반한 국내 핀테크 서비스 업체 K사에게 과징금 59억 6,800만원을, 글로벌 빅테크 기업 A사에게는 과징금 24억 500만원과 과태료 220만원을 각각 부과했습니다.
개인정보위는 K사와 A사가 고객 동의 없이 개인정보를 중국 기업 A사에 넘겼다는 언론보도에 따라 조사에 착수를 했고, 아래와 같은 법 위반 사실 및 처분 내용을 발표했습니다.
전체 이용자의 개인저보를 동의 없이 제공한 K사
K사는 A사 내 결제 시스템 통합 서비스를 제공하는 중국 A페이의 중계망을 통해 결제정보 등을 A사에 전송하고 있었습니다.
A사는 결제 처리 과정에서 이용자의 NSF 점수(이용자 계정 내 자금 부족 가능성 예측에 활용되는 점수) 산출을 포함한 개인정보 처리 업무를 중국 A페이에 위탁하고 있었는데요.
이 과정에서 K사는 A사의 수탁사인 중국 A페이가 NSF 점수 산출 모델을 구축할 수 있도록, 2018년부터 총 3차례에 걸쳐 K사 전체 이용자의 개인정보를 이용자 동의 없이 중국 A페이에 전송했습니다.
또한, 2019년 6월 27일부터 2024년 5월 21일까지 매일, 중국 A페이가 이용자별 NSF 점수를 산출할 수 있도록 K사 전체 이용자 약 4천만 명의 개인정보를 별도의 동의 없이 지속적으로 중국 A페이에 전송해 왔습니다.
전송한 정보에는 암호화된 휴대폰 번호, 이메일 주소, 충전 잔고, 최근 일주일 간의 결제 및 충전, 송금 건수 등이 포함된 것으로 나타났습니다.
개인정보 처리 위탁 및 국외이전 사실을 고지하지 않은 A사
글로벌 빅테크 기업 A사는 결제수단 연동을 위한 통신 API 개발 등 시스템 통합 업무(NSF)를 중국 A페이에 위탁하면서, K사 이용자의 결제정보 전송 및 NSF 점수 산출을 위한 개인정보를 처리하도록 하였습니다.
그러나 개인정보 처리방침 등에서 이러한 개인정보 처리 위탁 및 국외 이전 사실을 이용자에게 고지하지 않았습니다.
2. 개인정보법위반으로 과징금 처분
개인정보법위반에 대해 개인정보위는 K사와 A사에게 과징금과 시정명령을 내렸습니다.
개인정보위는 NSF 모델 구축 및 점수 산출 등을 위해 전체 이용자의 개인정보를 동의없이 제공한 행위에 대해 적법 처리 근거 없는 국외이전으로 판단했습니다.
이에 K사에게 과징금 59억 6,800만원을 부과하고 국외 이전 적법 요건을 갖추도록 시정명령했습니다.
또한 개인정보를 국외로 처리 위탁하면서 국외 수탁자 등을 개인정보처리방침 등을 통해 정보주체에게 공개하거나 고지하지 않은 A사의 행위에 대해서는 과징금 24억 500만 원을, 위탁 사실을 밝히지 않은 행위에 대해서는 과태료 220만원 처분을 내렸습니다.
K사, 합법적 처리 위탁이라며 반박
그러나 K사 측은 지난 4월 18일 열린 과징금 집행정지 사건의 심문 기일에서 “해당 개인정보 이전은 합법적 처리 위탁"이라고 주장했습니다.
합법적인 처리위탁이며 업무 수행을 위해 필요한 절차였으며, 결제 서비스의 편의성 및 보안성을 높이기 위해 부정 결제 방지 시스템이 필요했기 때문이라는 것입니다.
대법원 판례에 따라 제3자 제공과 처리 위탁 여부는 ‘누구의 업무 처리와 이익을 위한 것인지’, 개인정보 지배 및 관리권이 누구에게 있는지를 기준으로 판단해야 한다며, 개인정보 소유권은 K사에게 있고, 중국 A페이는 수탁자로 명시되어 있어 개인정보 국외 이전이 처리 위탁에 해당한다고 주장했습니다.
반대로 개인정보위 측은 정보의 자동 전송 자체가 제3자 제공이므로, 사용자 정보의 국외 이전을 위해서는 정보 주체의 동의가 필수적이라는 입장입니다.
3. 개인정보법위반, 대륜의 전략은?
총 83억원의 과징금 부과 명령이 내려진 본 개인정보법위반 사건은 글로벌 플랫폼 서비스의 확산으로 개인정보의 국외 이전이 증가하고 있는 상황에서, 국외 이전의 범위를 명확히 하고, 사업자가 국외 이전 시 반드시 적법 요건을 준수해야 함을 재확인해야한다는 점에서 의미 있는 사례입니다.
사업자는 개인정보의 국외 이전이 수반되는 서비스를 제공할 경우, 정보주체로부터 별도의 동의를 받거나, 국외 수탁자에게 개인정보 처리를 위탁하는 경우에는 개인정보 처리방침 등을 통해 개인정보가 국경을 넘어 이전된다는 사실을 명확히 고지해야 합니다.
또한 개인정보 처리 업무를 외부에 위탁하는 경우, 위탁자는 정보주체에 대한 책임을 부담해야 합니다. 개인정보가 위탁자의 책임 범위를 벗어나 제3자의 책임 영역으로 이전되는 경우에는 '제3자 제공'에 해당하므로, 정보주체의 동의 등 법적 근거를 반드시 갖추어야 합니다.
개인정보보호법은 조항이 많고, 외 이전·제3자 제공·위탁 처리 등 각각의 개념과 요건이 복잡하게 얽혀 있기 때문에 전문 변호사의 도움을 받아 리스크 예방에 나서는 것이 좋습니다.
법무법인 대륜은 전문 변호사가 팀을 이루어 ▲개인정보법위반 컨설팅 ▲국외 이전 및 제3자 제공 관련 자문 ▲법률 리스크 사전 점검 ▲조사 및 행정 대응 ▲개인정보 유출 사고 대응 등에 나서고 있습니다.
