개인정보위, 고객정보 해외에 넘긴 '알리'에 과징금 19.7억 부과
2024-07-25 12:00
정부가 국내 개인정보보호법상 국외이전 규정을 위반한 해외 전자상거래(이커머스) 업체 '알리익스프레스(알리)'에 과징금 19억7800만원을 부과했다.
개인정보보호위원회는 24일 열린 제13회 전체회의에서 개인정보보호 법규를 위반한 알리에 과징금 19억7800만원과 과태료 780만원, 시정명령·개선권고를 부과하기로 의결했다고 25일 밝혔다.
알리는 입점 판매자가 이용자에게 상품을 판매할 수 있도록 플랫폼을 제공하고, 상품 판매 금액의 일정 비율을 중개수수료로 받는 전형적인 '오픈마켓'이다. 이용자가 상품을 구매하면 판매자가 상품을 배송하도록 이용자 개인정보를 국외 판매자에게 제공(이전)하는 구조다.
알리는 개인정보가 이전되는 국가, 개인정보를 이전받는 자의 성명(법인명)·연락처 등 보호법에서 정한 고지사항을 이용자에게 알리지 않았다. 판매자 약관 등에 개인정보 보호에 필요한 조치를 반영하지도 않았다.
국외로 제공되는 개인정보는 보호법에 따른 보호조치를 적용받기 어려워, 우리 보호법은 사업자에 정보 주체가 그 사실을 명확히 알 수 있도록 동의 받도록 하고 있다. 판매자와 계약 내용 등에 안전성 확보 조치, 개인정보 침해에 대한 고충 처리·분쟁 해결에 관한 조치 등도 반영해야 한다.
이에 개인정보위는 알리에 국내기업 수준의 개인정보보호 조치를 취하도록 권고했다. 우선 개인정보를 이전받는 자(국외 판매자 등)에 의한 오남용을 예방하도록 우리 보호법상 요구되는 조치를 계약 등에 반영하고, 회원 탈퇴 절차를 간소화하는 등 이용자가 권리 행사를 쉽게 할 수 있도록 하라고 시정명령했다.
개인정보위는 △개인정보 처리 흐름을 최대한 투명하고 알기 쉽게 정보 주체에게 공개하고 변동 시 신속하게 현행화할 것 △국내 대리인의 단순 지정을 넘어 개인정보 보호를 위한 실질적 운영 노력을 기울일 것도 권고했다. 아울러 △개인정보 처리와 관련한 불만 해결과 피해를 구제할 수 있도록 구체적인 방안을 마련‧시행할 것 △보호법상 원칙에 따라 수집하는 개인정보를 최소화할 것 △국내 이커머스 기업들이 운영 중인 민관협력 자율규약에 참여하거나 그에 준하는 수준의 개인정보 보호를 제공할 것 등도 요구했다.
개인정보위는 "이번 조사‧처분을 통해 해외 이커머스 사업자라 하더라도 국내 이용자 대상의 서비스일 경우 우리 보호법의 적용대상이고, 국내 사업자 수준의 개인정보 보호와 관리가 요구된다는 점을 명확히 했다"고 밝혔다. 이어 "특히 개인정보를 국외로 이전하는 경우 보호법이 정하고 있는 의무사항을 충실히 이행할 필요가 있다"고 강조했다.