thebell

전체기사

[알리 리걸이슈 점검]개인정보 국외 위탁처리, 유출 리스크 '우려'④중국 업체에 데이터 제공, 위반사항 발견 시 과징금 부과 가능

변세영 기자공개 2024-04-23 07:36:56

[편집자주]

중국 이커머스 대표주자인 알리익스프레스가 한국 비즈니스를 확대하기 위해 파죽지세 행보를 보이는 가운데 '리걸이슈'가 암초로 등장했다. 공정위가 알리에 '국내법'을 적용하겠다고 선포한 데 따른 것이다. 공정위는 알리가 전자상거래법상 소비자 보호 의무를 비롯해 개인정보보호, 표시광고법 등을 제대로 지키고 있는지 면밀히 들여다보고 있다. 더벨은 알리가 마주한 국내 리걸 이슈를 점검하고 개선 현황 및 향후 풀어야 할 과제 등을 짚어본다.

이 기사는 2024년 04월 19일 07:54 thebell 에 표출된 기사입니다.

알리익스프레스(알리)는 다양한 상품 구색과 최저가를 무기로 국내 이커머스 시장에 빠르게 침투했다. 모바일 빅데이터 기업 아이지에이웍스의 모바일인덱스에 따르면 알리의 월간 활성 이용자 수(MAU)는 지난 3월 기준 694만명까지 치솟았다.

이용자 수 폭증과 맞물려 자연스레 ‘개인정보 유출’에 대한 우려의 목소리도 커지고 있다. 알리가 중국에 뿌리를 두고 있는 만큼 국내 이용자들의 정보가 새어 나가 피해를 입는 것 아니냐는 게 주된 내용이다. 실제 알리는 회원가입 과정에서 개인정보 제3자 위탁 내용을 명시하고 있다.

◇가입 시 개인정보 3자 제공 동의 필수, 중국 정부 활용 가능성 제기

이커머스업계에 따르면 알리는 회원가입을 원하는 자는 개인정보처리방침에 동의할 것을 요구하고 있다. 사용자의 개인정보를 개인정보 위탁업체를 비롯해 판매자에게 ‘3자 제공’ 할 수 있다는 내용이다. 사이트에 가입하기 위해선 해당 내용에 반드시 동의를 해야만 한다. 결국 모든 가입고객의 데이터가 위탁된다는 의미다.


개인정보는 한국뿐만 아니라 국외에서도 처리위탁을 거친다. 국외 수탁자 목록을 보면 알리바바 계열사인 알리바바 다모(Alibaba Damo)와 알리바바 클라우드(Alibaba Cloud)를 비롯해 항저우 차이냐오, 중국 중안보험, 캐세이 보험회사 등이 포함되어 있다. 위탁되는 개인 정보는 IP주소를 포함해 안드로이드 ID, 수취인 개인정보, 제품후기 등이 대상이다.

물론 국내 이커머스 기업들도 배송과 반품·반송 보험 등을 처리하기 위해 개인정보 제3자 제공 동의를 대부분 요구하고 있다. 다만 알리의 경우 중국 현행법상 기업이 갖고 있는 사용자 개인정보를 당국이 수집할 수 있다는 점이 문제로 지적된다.

비영리 민간단체인 소비자주권시민회의에 따르면 중국 국가 정보법 7조는 중국의 모든 조직과 국민은 중국의 정보활동을 ‘지지·지원·협력’해야 한다고 적시한다. 중국 정부가 필요하면 각종 개인정보를 합법적으로 들여다볼 수 있다는 의미다. 실제 알리·테무의 서버는 모두 국외에 있다. 소비자주권시민회의는 "중국 기업이 국외 서버에 보관하는 개인정보가 중국 당국에 넘어갈 수 있는 문제가 있을 수 있다"고 설명했다.

소비자주권시민회의는 이용약관에도 다소 독소조항이 포함되어 있다고 주장한다. 알리의 이용약관 '5.3'을 보면 ‘회원이 되면 이용자는 알리 데이터베이스에 회원에 관한 연락처 정보가 포함되는데 동의하고 알리 및 알리 계열사가 해당 연락처 정보를 다른 사용자와 공유하거나 개인정보 보호정책에 따라 회원의 개인정보를 다른 방법으로 사용하도록 승인한다’고 명시되어 있다.

이는 약관의 규제에 관한 법률(약관법)을 위반한다는 설명이다. 신의성실을 근거로 하는 약관법 제6조 외에도 제11조에서는 사업자가 업무상 알게 된 고객의 비밀을 정당한 이유 없이 누설하는 것을 허용하는 조항은 ‘무효’라고 명시하고 있다.


◇개인정보보호법 의거 매출액의 3%까지 과징금 부과 가능

이와 관련 현재 범정부 차원에서는 개인정보보호위원회가 알리 등 주요 직구 업체의 개인정보 수집·처리에 대한 조사를 진행하고 있다. 조사는 중국 기업 측에 질문지를 보내고 답을 받는 형태로 진행한 것으로 알려진다. 개인정보보호법에 따라 위반 사항이 확인될 경우 과징금 또는 과태료 부과를 의결하고 시정명령을 내릴 수 있다. 특히 해외 기업도 한국 내 정보 주체에게 서비스를 제공하는 경우 시정명령과 과징금 등의 부과 대상이 될 수 있다는 설명이다.

개인정보보호법 개정안(2023.09 시행)에 따르면 기업들은 규정 위반 시 개인정보를 침해한 기업의 전체 매출액 대비 최대 3%까지 과징금을 부과할 수 있다. 기업 스스로가 과징금 산정 과정에서 관련성이 없다는 것을 입증해야 한다.

이는 글로벌 트렌드다. 일찌감치 유럽연합(EU)은 개인정보보호법(GDPR)을 제정하고 플랫폼사에게 정보 보호를 강화할 것을 요구해 왔다. GDPR에 따르면 기업이 개인정보를 유출했다는 사실이 밝혀지면 해당 기업에 연간 글로벌 매출의 최대 4%까지 벌금을 부과할 수 있다.

EU는 플랫폼의 개인정보 수집·활용을 사용자들이 손쉽게 거부할 수 있도록 요구하기도 한다. 지난 2022년 프랑스 개인정보 감독기구(CNIL)는 구글과 페이스북에 쿠키 수집 거부 과정이 복잡하다며 각각 1억5000만 유로(2202억원), 6000만 유로(880억원)를 벌금으로 부과했다.
< 저작권자 ⓒ 자본시장 미디어 'thebell', 무단 전재, 재배포 및 AI학습 이용 금지 >

더벨 서비스 문의

02-724-4102

유료 서비스 안내
주)더벨 주소서울시 종로구 청계천로 41 영풍빌딩 4층, 5층, 6층대표/발행인성화용 편집인김용관 등록번호서울아00483
등록년월일2007.12.27 / 제호 : 더벨(thebell) 발행년월일2007.12.30청소년보호관리책임자황철
문의TEL : 02-724-4100 / FAX : 02-724-4109서비스 문의 및 PC 초기화TEL : 02-724-4102기술 및 장애문의TEL : 02-724-4159

더벨의 모든 기사(콘텐트)는 저작권법의 보호를 받으며, 무단 전재 및 복사와 배포 등을 금지합니다.

copyright ⓒ thebell all rights reserved.