국내 진출한 C커머스(중국 e커머스) 기업 중 하나인 알리익스프레스가 개인정보보호법 위반으로 19억여원의 과징금을 부과받았다. 해외직구 과정에서 배송 등을 위해 국내 이용자의 개인정보를 국외 사업자로 이전할 때 개인정보 보호에 필요한 조치를 하지 않았다.
개인정보보호위원회가 지난 24일 제13회 전체회의를 열고 개인정보보호법을 위반한 알리익스프레스에 19억7800만원의 과징금과 780만원의 과태료와 함께 시정명령, 개선권고 처분을 내리기로 의결했다.
알리익스프레스는 입점 판매자가 이용자에게 상품을 판매할 수 있도록 플랫폼을 제공하고, 상품 판매 금액의 일정 비율을 중개수수료로 받는 전형적인 '오픈마켓' 사업자다. 이용자와 판매자가 거래 시 상품을 배송하도록 이용자의 개인정보를 국외 판매자에게 제공(이전)한다. 한국 이용자의 개인정보를 제공받은 중국 판매자는 18만여개에 이르는 것으로 확인됐다.
문제는 국외로 제공되는 개인정보는 개인정보보보호법에 따른 보호조치를 적용받기 어렵다는 점이다. 개인정보보호법은 사업자가 정보주체에게 해당 사실을 명확히 알 수 있도록 동의받고, 판매자와 계약내용 등에 안전성 확보 조치, 개인정보 침해에 대한 고충처리·분쟁해결에 관한 조치 등을 반영하도록 규정하고 있다.
그러나 알리익스프레스는 '개인정보가 이전되는 국가', '개인정보를 이전받는 자의 성명(법인명) 및 연락처' 등 개인정보보호법에서 정한 고지사항을 이용자에게 알리지 않았다. 판매자 약관 등에 개인정보 보호에 필요한 조치를 반영하지 않았다. 또 회원 탈퇴 메뉴를 찾기 어렵게 구성하고, 계정삭제 페이지를 영문으로 표시하는 등 이용자의 권리행사를 저해하는 행태를 보였다.
개인정보위는 알리익스프레스에 대해 개인정보를 이전받는 자(국외 판매자 등)에 의한 오남용을 예방하도록 개인정보보호법상 요구되는 조치를 계약 등에 반영하고 회원 탈퇴 절차를 간소화하는 등 이용자의 권리행사가 용이하도록 조치하라고 시정 명령했다.
아울러 개인정보위는 국내 이용자의 개인정보 보호 수준을 제고하기 위한 개선권고도 내렸다.
구체적으로 △개인정보 처리 흐름을 최대한 투명하고 알기 쉽게 정보주체에게 공개 △개인정보 처리 관련 불만 해결과 피해 구제를 위한 구체적인 방안 마련·시행 △개인정보보호법 원칙에 따라 수집하는 개인정보 최소화 △국내 이커머스 기업들의 민관협력 자율규약에 참여 등이다.
남석 개인정보위 조사조정국장은 “알 리가 개인정보처리방침을 국내법이 요구하는 수준(국내 사업자 수준)에 맞춰 지속적으로 시정했”면서도 “일부 미진한 사항이 있다고 보고 다양하고 촘촘하게 시정명령과 개선권고를 마련했다”고 말했다.
개인정보위는 알리익스프레스의 이행 여부를 지속 점검해 국민의 개인정보가 침해되지 않도록 조치해 나갈 계획이다.
남 국장은 “이번 조사·처분은 해외 이커머스 사업자라 하더라도 국내 이용자를 대상으로 서비스하는 경우, 우리 개인정보보호법의 적용대상이 될 뿐만 아니라 국내 사업자 수준의 개인정보 보호·관리가 요구된다는 점을 명확히 했다는 데 의의가 있다”고 말했다.
한편, 이번 전체회의에선 테무 처분 건도 함께 다뤘다. 다만 사실관계 추가 확인과 자료제출 보완요구 등을 거쳐 심의·의결하기로 결정했다.
조재학 기자 2jh@etnews.com
