알리, ‘개인 정보 국외이전’ 동의해야 구매허용… 데이터주권 위협

■ 알리에 과징금 19억7800만원 부과
5월 약관개정… 3자 제공 의무화
정보이전시기·기간 고지도 안해
중국 정부, 자국내 기업 보유한 정보
합법적으로 언제든 열람 가능해

그래픽=권호영 기자

개인정보보호위원회가 중국 전자상거래 플랫폼(C-커머스) 알리익스프레스에 대해 개인정보보호법 위반으로 20억 원 규모의 과징금·과태료를 부과한 것은 전 세계에서 첫 사례다. 이번 조사과정에서 알리는 국내 구매자들에게 개인정보는 물론 은행 계좌 정보, 결제 카드번호 등 민감 정보까지 요구한 것으로 밝혀졌다. 더욱이 중국의 경우 합법적으로 자국 내 업체들이 보유한 정보를 중국 정부가 수시로 들여다볼 수 있는 점을 고려할 때 데이터 주권 침해 우려가 크기 때문에 이번 개인정보위의 과징금 부과 조치뿐 아니라 추가적인 정부 조치가 필요하다는 지적도 나오고 있다.

25일 개인정보위에 따르면 알리는 지난 5월 제품 결제 시 개인정보와 결제정보를 국외로 이전하는 데 의무 동의하도록 절차를 변경했다. 여기에는 구매자의 성명, 연락처 정보뿐만 아니라 은행 계좌, 결제 카드번호 등도 포함돼 있다. 해당 항목에 동의할 경우 ‘캐세이보험사(Cathay Insurance Company)’ ‘중안 온라인 P&C 보험(ZhongAn Online P&C Insurance)’ 등 알리의 중국 소재 개인정보 위탁 회사를 비롯해 판매자에 정보를 제공하게 되는 데 동의하지 않을 경우 결제가 진행되지 않도록 했다.

알리와 함께 조사 중인 또 다른 C-커머스 테무 역시 지난 5월 자회사 및 제휴사에 국내 소비자의 개인정보를 공유할 수 있도록 규정하고 있다.

이처럼 과도한 정보 요구에 반해 알리 등 중국 업체들의 정보 관리는 매우 허술했다는 게 개인정보위 설명이다. 알리의 경우 개인정보보호법에 따라 정보의 국외 이전과 제3자(중국 내 판매자) 제공을 하는 과정에서 구매자에게 별도 동의를 받아야 했는데, 이 과정에서 알려야 하는 항목이 규정돼 있음에도 이를 거의 지키지 않은 사실이 조사 과정에서 확인됐다.

알리는 구매자들에게 △이전되는 개인정보 항목 △개인정보가 이전되는 국가, 시기 및 방법 △개인정보를 이전받는 자의 성명(법인 명칭과 연락처) △개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간 △개인정보 이전 거부 방법, 절차 및 거부 효과를 고지해야 했으나 이를 하지 않았다. 제3자에 해당하는 판매자가 18만 개가 넘었으나 목록을 통해 고지된 규모는 겨우 8000여 개였다. 개인정보 국외 이전 후 보호조치도 요구됐지만 이것 역시 국내 사업자들과 비교했을 때 매우 미흡했다는 게 개인정보위 조사 결과다. 회원 탈퇴 메뉴를 찾기 어렵게 구성하고, 계정 삭제 페이지를 영문으로 표시하는 등 이용자의 권리행사를 사실상 방해한 행위도 이번 조사과정에서 드러났다.

정부는 이번 조치가 소비자 보호뿐만 아니라 국가 안보와도 직결돼 있는 것으로 보고 있다. 알리와 테무의 이용자가 약 1400만 명(2024년 3월 기준)이란 점에서 국민의 개인정보가 중국 정부에 귀속돼 ‘데이터 주권’ 침해는 물론, 어떤 식으로든 악용될 우려가 컸기 때문이다.

개인정보위 관계자는 “개인정보를 국외로 이전하는 경우 법이 정하고 있는 의무사항을 충실히 이행하고 입점 판매자 등과의 관계에서도 적절한 보호·안전 조치를 취하도록 해 정보 주체의 개인정보 자기결정권 보장에 만전을 기하는 계기가 될 것”이라고 밝혔다.

구혁·박정민 기자