정부가 개인정보보호법을 위반한 중국의 대표적인 전자상거래 업체 '알리익스프레스'에 20억 원에 달하는 과징금을 부과했다. 알리는 18만여 개에 이르는 중국 판매업체에 한국 이용자들의 개인정보를 제공하고 이를 제대로 고지하지 않은 것으로 파악됐다.
개인정보보호위원회는 24일 전체회의를 열고 알리에 대해 과징금 19억7,800만 원과 과태료 780만 원을 부과하기로 의결했다고 25일 밝혔다. 개인정보보호법에서 정한 '개인정보 국외 이전' 절차를 위반해 과징금이 부과된 것은 알리가 최초다. 개인정보위는 지난해 10월 국회 국정감사에서 "국내 이용자의 개인정보가 중국에 넘어갈 우려가 크다"는 지적이 제기되자 관련 조사에 착수했다.
알리는 입점 판매자가 이용자에게 상품을 판매할 수 있는 플랫폼을 제공하고, 상품 판매 금액의 일정 비율을 중개수수료로 받는 '오픈마켓'이다. 이용자가 상품 구매를 결정하면 판매자가 상품을 배송할 수 있도록 이용자의 개인정보를 판매자에게 이전(제공)하는 형태로 운영된다.
그러나 알리는 국내 이용자의 개인정보를 국외에 이전하는 데 필요한 조치를 제대로 이행하지 않았다. 개인정보가 국외로 제공되면 국내법의 보호를 받기 어려워지는 만큼, 현행법은 사업자가 정보 주체의 동의를 받도록 하고 있다. 판매자와의 계약에 따른 안전성 확보 조치, 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치 등도 계약 내용에 반영해야 한다.
하지만 알리는 이 과정에서 개인정보가 이전되는 국가, 개인정보를 이전받는 사람의 성명 및 연락처 등 개인정보 보호법에서 정한 고지사항을 이용자에게 알리지 않았다. 월 최대 800만 명에 달하는 국내 이용자의 개인정보가 당사자도 모르는 사이 중국 및 국외 업체로 넘어간 셈이다. 알리에 등록된 중국계 판매업체는 약 18만 개로 추산된다.
알리는 또 약관에도 개인정보 보호에 필요한 조치를 반영하지 않았다. 회원 탈퇴 메뉴를 찾기 어렵게 배치했고 계정 삭제 페이지를 영문으로 작성하기도 했다.
이에 개인정보위는 알리에 과징금 부과와 함께 국외 판매자 등에 의한 오·남용을 예방하도록 현행법이 요구하는 조치를 계약 등에 반영하도록 했다. 또 회원 탈퇴 절차를 간소화해 이용자가 권리행사를 쉽게 할 수 있도록 조치할 것을 명령했다.
정부는 이번 조치가 해외 사업자라 하더라도 서비스 대상이 국내 이용자일 경우 국내법의 적용대상이 된다는 점을 명확히 한 사례라고 설명했다. 개인정보위는 이날 알리와 함께 개인정보 유출 의혹이 제기됐던 중국의 전자상거래 플랫폼 테무에 대한 조치도 논의했으나 사실관계 확인이 추가로 필요하다고 판단해 결정을 유보했다.
남석 개인정보위 조사조정국장은 "국내 이용자 보호를 위해 수집하는 개인정보를 최소화하고 전반적으로 국내 사업자 수준으로 개인정보 처리 방침을 맞추도록 요구했다"며 "한 번의 처분으로 끝나는 게 아니라 이번 시정명령과 개선권고가 반영됐는지 다시 점검할 계획"이라고 말했다.