[알리 리걸이슈 점검]개인정보 국외 위탁처리, 유출 리스크 '우려'④중국 업체에 데이터 제공, 위반사항 발견 시 과징금 부과 가능
변세영 기자공개 2024-04-23 07:36:56
[편집자주]
중국 이커머스 대표주자인 알리익스프레스가 한국 비즈니스를 확대하기 위해 파죽지세 행보를 보이는 가운데 '리걸이슈'가 암초로 등장했다. 공정위가 알리에 '국내법'을 적용하겠다고 선포한 데 따른 것이다. 공정위는 알리가 전자상거래법상 소비자 보호 의무를 비롯해 개인정보보호, 표시광고법 등을 제대로 지키고 있는지 면밀히 들여다보고 있다. 더벨은 알리가 마주한 국내 리걸 이슈를 점검하고 개선 현황 및 향후 풀어야 할 과제 등을 짚어본다.
이 기사는 2024년 04월 19일 07:54 thebell 에 표출된 기사입니다.
알리익스프레스(알리)는 다양한 상품 구색과 최저가를 무기로 국내 이커머스 시장에 빠르게 침투했다. 모바일 빅데이터 기업 아이지에이웍스의 모바일인덱스에 따르면 알리의 월간 활성 이용자 수(MAU)는 지난 3월 기준 694만명까지 치솟았다.이용자 수 폭증과 맞물려 자연스레 ‘개인정보 유출’에 대한 우려의 목소리도 커지고 있다. 알리가 중국에 뿌리를 두고 있는 만큼 국내 이용자들의 정보가 새어 나가 피해를 입는 것 아니냐는 게 주된 내용이다. 실제 알리는 회원가입 과정에서 개인정보 제3자 위탁 내용을 명시하고 있다.
◇가입 시 개인정보 3자 제공 동의 필수, 중국 정부 활용 가능성 제기
이커머스업계에 따르면 알리는 회원가입을 원하는 자는 개인정보처리방침에 동의할 것을 요구하고 있다. 사용자의 개인정보를 개인정보 위탁업체를 비롯해 판매자에게 ‘3자 제공’ 할 수 있다는 내용이다. 사이트에 가입하기 위해선 해당 내용에 반드시 동의를 해야만 한다. 결국 모든 가입고객의 데이터가 위탁된다는 의미다.
개인정보는 한국뿐만 아니라 국외에서도 처리위탁을 거친다. 국외 수탁자 목록을 보면 알리바바 계열사인 알리바바 다모(Alibaba Damo)와 알리바바 클라우드(Alibaba Cloud)를 비롯해 항저우 차이냐오, 중국 중안보험, 캐세이 보험회사 등이 포함되어 있다. 위탁되는 개인 정보는 IP주소를 포함해 안드로이드 ID, 수취인 개인정보, 제품후기 등이 대상이다.
물론 국내 이커머스 기업들도 배송과 반품·반송 보험 등을 처리하기 위해 개인정보 제3자 제공 동의를 대부분 요구하고 있다. 다만 알리의 경우 중국 현행법상 기업이 갖고 있는 사용자 개인정보를 당국이 수집할 수 있다는 점이 문제로 지적된다.
비영리 민간단체인 소비자주권시민회의에 따르면 중국 국가 정보법 7조는 중국의 모든 조직과 국민은 중국의 정보활동을 ‘지지·지원·협력’해야 한다고 적시한다. 중국 정부가 필요하면 각종 개인정보를 합법적으로 들여다볼 수 있다는 의미다. 실제 알리·테무의 서버는 모두 국외에 있다. 소비자주권시민회의는 "중국 기업이 국외 서버에 보관하는 개인정보가 중국 당국에 넘어갈 수 있는 문제가 있을 수 있다"고 설명했다.
소비자주권시민회의는 이용약관에도 다소 독소조항이 포함되어 있다고 주장한다. 알리의 이용약관 '5.3'을 보면 ‘회원이 되면 이용자는 알리 데이터베이스에 회원에 관한 연락처 정보가 포함되는데 동의하고 알리 및 알리 계열사가 해당 연락처 정보를 다른 사용자와 공유하거나 개인정보 보호정책에 따라 회원의 개인정보를 다른 방법으로 사용하도록 승인한다’고 명시되어 있다.
이는 약관의 규제에 관한 법률(약관법)을 위반한다는 설명이다. 신의성실을 근거로 하는 약관법 제6조 외에도 제11조에서는 사업자가 업무상 알게 된 고객의 비밀을 정당한 이유 없이 누설하는 것을 허용하는 조항은 ‘무효’라고 명시하고 있다.
◇개인정보보호법 의거 매출액의 3%까지 과징금 부과 가능
이와 관련 현재 범정부 차원에서는 개인정보보호위원회가 알리 등 주요 직구 업체의 개인정보 수집·처리에 대한 조사를 진행하고 있다. 조사는 중국 기업 측에 질문지를 보내고 답을 받는 형태로 진행한 것으로 알려진다. 개인정보보호법에 따라 위반 사항이 확인될 경우 과징금 또는 과태료 부과를 의결하고 시정명령을 내릴 수 있다. 특히 해외 기업도 한국 내 정보 주체에게 서비스를 제공하는 경우 시정명령과 과징금 등의 부과 대상이 될 수 있다는 설명이다.
개인정보보호법 개정안(2023.09 시행)에 따르면 기업들은 규정 위반 시 개인정보를 침해한 기업의 전체 매출액 대비 최대 3%까지 과징금을 부과할 수 있다. 기업 스스로가 과징금 산정 과정에서 관련성이 없다는 것을 입증해야 한다.
이는 글로벌 트렌드다. 일찌감치 유럽연합(EU)은 개인정보보호법(GDPR)을 제정하고 플랫폼사에게 정보 보호를 강화할 것을 요구해 왔다. GDPR에 따르면 기업이 개인정보를 유출했다는 사실이 밝혀지면 해당 기업에 연간 글로벌 매출의 최대 4%까지 벌금을 부과할 수 있다.
EU는 플랫폼의 개인정보 수집·활용을 사용자들이 손쉽게 거부할 수 있도록 요구하기도 한다. 지난 2022년 프랑스 개인정보 감독기구(CNIL)는 구글과 페이스북에 쿠키 수집 거부 과정이 복잡하다며 각각 1억5000만 유로(2202억원), 6000만 유로(880억원)를 벌금으로 부과했다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >
관련기사
best clicks
최신뉴스 in 인더스트리
-
- [수술대 오른 커넥트웨이브]2대주주 지분매입 나선 MBK, 주식교환 카드 꺼냈다
- [이사회 모니터]이재용 에이비프로바이오 대표, 바이오·반도체 신사업 '드라이브'
- 와이투솔루션, 주인 바뀌어도 '신약' 중심엔 美 합작사 '룩사'
- 아이티센, 부산디지털자산거래소 본격 출범
- 아이에스시, AI·데이터센터 수주 증가에 '날개'
- SW클라우드 '10주년' 폴라리스오피스, “초격차 밸류업”
- 큐브엔터, 우량기업부 승격 "재무·실적 등 반영"
- 굿닥, 삼성생명과 헬스케어 마케팅 '맞손'
- [한경협 파이낸셜 리포트] 청산절차 한경연, 마지막 실적에 남은 '싱크탱크' 흔적
- LS전선, 자회사에 자금 지원 '구리 신소재사업 속도'
변세영 기자의 다른 기사 보기
-
- 다이소, 역대급 실적에도 부채비율 급등한 배경은
- '2세 경영' 이디야, '역성장' 위기 고리 끊는다
- 이디야, '2세 문승환' 경영전략본부장으로 '재직'
- 이랜드이츠, '이사회 정비' 효자 애슐리 더 키운다
- [아워홈 경영권 분쟁]자력으론 한계, 구지은 부회장 FI 찾아 나서나
- [전환기 맞은 CJ올리브영]원톱 올라선 올리브영, 가맹 대신 직영 '공고히'
- [아워홈 경영권 분쟁]매각 시나리오 부상, 차녀 지분에 쏠리는 '눈'
- 한화호텔앤드리조트, '푸드테크 강화' 미래 먹거리 육성
- [알리 리걸이슈 점검]개인정보 국외 위탁처리, 유출 리스크 '우려'
- [통합 이마트 출범]홀로 남은 이마트24, 흡수합병 향방은