韓 개인정보 쓸어간 알리에 19억 철퇴 놓자, ‘처리방침 개정’ 등 자진 시정 돌입

160X600_GIAI_AIDSNote
알리, 개인정보 이전 국가·판매자 등 이용자 고지 안 해
한국 개인정보 이전 받은 중국 기업 18만 곳 육박
국내 이커머스 개인정보 수집 항목과 대비, 역차별 지적도
ali EX PE 20240726

중국 온라인쇼핑몰 알리익스프레스가 한국의 개인정보 관련 법령을 준수해 개인정보 처리방침을 개정하는 등 자진 시정 조치를 취했다. 앞서 개인정보보호위원회로부터 개인정보보호법을 위반한 혐의로 과징금 부과 및 개선 권고를 받은 데 따른 조처로 풀이된다.

알리익스프레스, 자진 시정 조치

알리는 25일 “한국의 개인정보 관련 법령을 준수하며 소비자의 권익보호를 위해 규제 당국과 적극적으로 협력하며 최선을 다하고 있다”고 밝혔다. 그러면서 “개인정보위와 협력해 법정 요건을 갖춰 보호법상 합법 근거를 마련하고, 미흡 사항을 개선했다”며 “개인정보 처리방침 개정 등 자진 시정 조처도 했다”고 전했다.

알리 측은 또 “이용자가 상품을 구매하면 판매자가 상품을 배송하도록 이용자의 개인정보를 판매자에게 제공하고 있다”면서 “이 과정 중 한국 고객 개인정보 보호를 위해 한국에 소재한 자체 데이터 백업 센터를 보유하고 있다”고 설명했다. 다만 알리는 플랫폼의 개인정보 처리 방침은 엄격히 규정돼 있다고 강조하면서 모든 개인정보는 상품 판매 및 배송 등 전자상거래 서비스를 위한 최소한의 목적으로만 허용될 뿐 그 외에 어떠한 사유로도 개인정보를 수집하거나 이용하지 않는다고 밝혔다. 아울러 “현 시스템에서는 한국 고객분들의 개인정보 보호를 위해, 다양한 보안 조치가 마련돼 있다”며 “거래 완료 후 90일(환불 및 반품 가능 기간)이 지나면 고객의 개인정보는 시스템에 의해 자동으로 익명화 처리된다”고 설명했다.

이어 “알리는 개인정보 보호 방침에 따라 당사자의 허락 없이 개인정보를 제 3자와 공유한 적이 없으며, 앞으로도 공유하지 않을 것”이라며 “앞서 2019년에 알리는 국제표준화기구(ISO) 인증을 받은 개인정보 관리 시스템을 구축해 국제 표준법을 준수하는 데이터 안전 시스템을 확립했다”고 밝혔다. 그러면서 “앞으로도 알리는 소비자의 개인정보 보호를 위해 국내 이해관계자들과 적극적으로 협력해 최상의 고객 서비스 제공을 위해 힘쓸 것”이라고 거듭 강조했다. 현재 알리는 택배 익명 발송 작업을 진행 중이며 해외 크로스보더 주문 건은 이미 대다수 ‘부분 익명’ 처리 기능이 적용되고 있다. 전 상품에 구매자 개인정보 익명 처리(이름·전화번호 등에 마크 처리) 기능을 적용하게 하는 방식이다.

ali EX PE 20240726 002
출처=개인정보보호위원회

‘개인정보 국외이전’ 동의 안 하면 사실상 구매 불가

알리의 이번 자진 시정 발표는 개인정보위로부터 받은 과태료 부과 등에 관한 후속 조치다. 앞서 알리는 24일 개인정보위로부터 개인정보보호법 위반으로 19억7,800만원 과징금과 780만원의 과태료, 시정명령 및 개선 권고를 받았다. 개인정보보호법에서 명시된 국외 이전 절차를 위반해 과징금이 부과된 것은 알리가 처음이다.

개인정보위 조사 결과 알리는 상품의 배송을 위해 구매자들의 개인정보를 국외 판매자에게 제공해 왔다. 이같은 개인정보 이용이 가능했던 배경엔 약관 절차 변경이 있다. 최근 알리는 개인정보부터 결제 정보까지 모두 중국에 보내는 약관에 의무 동의하도록 결제 절차를 바꾼 것으로 파악됐는데, 알리가 명시한 개인정보에는 이름과 연락처 등 구매자 정보는 물론 은행 계좌 정보, 결제 정보 카드 번호 등 민감한 항목까지 모두 포함돼 있었다.

해당 항목에 동의할 경우 ‘Cathay Insurance Company’, ‘ZhongAn Online P&C Insurance’ 등 알리의 중국 소재 개인정보 국외 위탁 회사를 비롯해 중국 판매자에게까지 개인정보를 제공하게 되며, 만약 ‘개인정보 국외이전’ 항목에 동의하지 않을 시 결제가 진행되지 않는다. 사실상 거부할 도리가 없도록 만들어 놓은 셈이다. 개인정보위에 따르면 이 과정에서 알리로부터 한국 이용자의 개인정보를 제공받은 해외 기업은 18만 곳이 넘는 것으로 확인됐다.

국내 이커머스 기업에 대한 역차별 비판도

이렇다 보니 중국 이커머스 업체를 통해 국내 소비자들의 개인정보가 중국으로 유출될 수 있다는 우려가 끊이지 않았다. 공정거래위원회에 의하면 테무(TEMU) 역시 약관에 국내 소비자의 개인정보를 국내 법인과 중국 자회사 및 제휴사와 공유할 수 있도록 규정하고 있는 것으로 알려졌다. 이에 더해 △계열사와 서비스 제공업체 △결제 처리업체 △광고 및 분석 파트너 △본인이 지정한 제3자 △비즈니스 및 마케팅 파트너 △전문 고문 △당국 △규제기관 △사업 양수인 △판매자 △기타 사용자에게 제공한다는 내용도 포함돼 있다.

이를 두고 국내 이커머스업계 관계자들 사이에서는 사실상 역차별이라는 비판이 불거지기도 했다. 실제로 11번가의 개인정보 수집 항목을 예로 들어보면 이름과 휴대전화 번호, 이메일 주소, IP 주소 등이 핵심이다. 여기에 배송지 주소 및 연락처, 계좌번호, 신용카드 번호, 소유주 이름, 요금 청구 등 결제 기록 자료 정도만 요청한다. 이외의 정보는 선택 제공이며 거래 이외에 불필요한 정보는 일절 수집하지 않는다. 활용처가 많긴 하지만, 개인정보처리 방침을 초과하지 않는 범위 내에서만 이용하고 타인 및 기업, 기관에 제공하지 않음이 명시돼 있다. 이는 강화된 국내법 적용에 따른 것으로 해외 이커머스 기업만 법망을 빠져나갔던 점을 고려하면 명백한 역차별로 간주된다는 지적이다.

관련기사