국내 판매자 모집하며 신분증·얼굴 영상 수집
개인업보 보호 관리체계 개선 권고 등 의결
개인정보위 "협조 불충분해 가중처벌"

중국과 싱가포르 등에 국내 이용자의 개인정보를 넘긴 중국의 온라인 유통업체 테무(TEMU)가 과징금 13억6,900만원을 물게 됐다. 얼굴 동영상을 수집하고 법적 근거 없이 주민등록번호를 처리한 데 따른 조처다.

고객 정보 동의 없이 해외 전송

15일 개인정보보호위원회는 C커머스(중국 전자상거래업체) 테무에 개인정보보호법 위반을 이유로 과징금과 개인정보 보호 관리체계 개선 권고 등을 전날 전체회의에서 의결했다고 밝혔다. 앞서 개인정보위는 지난해 4월 테무를 비롯해 알리익스프레스 등 C커머스에 대한 개인정보보호법 위반 여부 조사에 착수했다.

김해숙 개인정보위 조사1과장은 브리핑에서 “테무의 자료가 불충분해 추가 확인이 필요했고, 올해 입점 판매자 정보(수집)에 대한 이슈가 발생하면서 이를 함께 처분하려고 하다 보니 시간이 더 걸렸다”며 “테무의 조사 협조가 충분치 않아 (과징금 처분에) 가중처벌을 했다”고 설명했다.

조사 결과 테무는 상품 배송을 위해 한국과 중국, 싱가포르, 일본 등 다수 사업자에게 개인정보 처리를 위탁하거나 보관하도록 했지만, 이러한 점을 개인정보처리방침(처리방침)에 공개하거나 이용자에게 알리지 않았다. 또 개인정보 처리업무를 위탁한 수탁사에 대해 개인정보 안전관리 방안 교육과 개인정보 처리현황 점검 등의 관리·감독을 실시하지 않았다.

아울러 관련법상 계약 이행을 위해 국외 사업자에게 개인정보 처리 위탁 또는 보관 등이 필요할 경우 처리방침에 이를 공개하거나 이용자에게 이메일 등으로 알려야 하지만, 테무는 이를 준수하지 않았다. 테무는 또 2023년 말 기준 하루 평균 290만 명의 한국 이용자가 테무 서비스를 이용하고 있음에도 국내 대리인을 지정하지 않았다.

뿐만 아니라 테무는 올해 2월부터 한국에서 직접 상품을 판매·배송할 수 있는 '로컬 투 로컬' 서비스를 위해 한국 판매자를 시범 모집한 과정에서 이들의 신분증과 얼굴 동영상을 수집하고 법적 근거 없이 주민등록번호를 처리한 사실도 드러났다. 이에 개인정보위는 테무에 대해 개인정보의 국외 이전 및 주민등록번호 처리 제한 규정 위반으로 과징금 13억6,900만원을, 개인정보 처리업무 위탁과 국내 대리인 지정 관련 규정 위반으로 과태료 1,760만원을 부과했다.

알리도 과징금 20억 철퇴

테무에 앞서 알리도 지난해 7월 개인정보 국외 이전 위반 등을 근거로 과징금 19억7,800만원을 부과받았다. 개인정보보호법에서 정한 '개인정보 국외 이전' 절차를 위반해 과징금이 부과된 것은 알리가 최초였다. 개인정보위는 지난 2023년 10월 국회 국정감사에서 "국내 이용자의 개인정보가 중국에 넘어갈 우려가 크다"는 지적이 제기되자 관련 조사에 착수했다.

이용자가 상품 구매를 결정하면 판매자가 상품을 배송할 수 있도록 이용자의 개인정보를 판매자에게 이전(제공)하는 형태로 운영되는 알리는 국내 이용자의 개인정보를 국외에 이전하는 데 필요한 조치를 제대로 이행하지 않은 것으로 드러났다. 개인정보가 국외로 제공되면 국내법의 보호를 받기 어려워지는 만큼, 현행법은 사업자가 정보 주체의 동의를 받도록 하고 있다. 판매자와의 계약에 따른 안전성 확보 조치, 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치 등도 계약 내용에 반영해야 한다.

하지만 알리는 이 과정에서 개인정보가 이전되는 국가, 개인정보를 이전받는 사람의 성명 및 연락처 등 개인정보 보호법에서 정한 고지사항을 이용자에게 알리지 않았다. 월 최대 800만 명에 달하는 국내 이용자의 개인정보가 당사자도 모르는 사이 중국 및 국외 업체로 넘어간 셈이다.

알리는 또 약관에도 개인정보 보호에 필요한 조치를 반영하지 않았다. 회원 탈퇴 메뉴를 찾기 어렵게 배치했고 계정 삭제 페이지를 영문으로 작성하기도 했다. 이에 개인정보위는 알리에 과징금 부과와 함께 국외 판매자 등에 의한 오·남용을 예방하도록 현행법이 요구하는 조치를 계약 등에 반영하도록 했다. 또 회원 탈퇴 절차를 간소화해 이용자가 권리행사를 쉽게 할 수 있도록 조치할 것을 명령했다.

C커머스의 도 넘은 개인정보 수집 실태

이후 알리는 미흡 사항을 보완하면서 '철통 보안'을 약속했지만 한국 이용자들의 C커머스에 대한 불신과 불안감은 여전한 상황이다. 약관과 개인정보 처리방침 등을 종합하면, 알리나 테무를 이용하기 위해서는 이용자 개인정보의 제3자 제공 및 국외 제3자 제공에 동의해야 한다. 제3자 로그인(카카오, 네이버, 구글, 페이스북, 애플, X 등)과 회원가입 시 약관과 개인정보 수집·활용에 동의하지 않으면 서비스 이용이 불가능하기 때문이다. 수집되는 개인정보는 ID, 이름, 연락처, 주소, 이메일, 우편번호 등 배송에 필요한 정보는 물론 SNS 프로필 사진, IP 주소, 접속 기기에 관한 정보 등 배송과 연관성이 크지 않은 정보까지 다양하다.

그런데 최근 온라인 커뮤니티에는 C커머스 플랫폼 이용자들이 제기하는 개인정보 유출·도용 의혹이 넘쳐나고 있다. 40대 남성 A씨도 그중 한 명이다. “망고를 주문하기 위해 알리 앱을 설치한 이후 스팸 문자가 부쩍 늘었다”는 것이 그의 주장이다. 30대 여성 B씨는 최근 ‘골드바의 주인공을 찾아라 당첨 안내’라는 제목의 문자를 받았다. 테무에서 5만원을 초과해 구매한 사은품으로 한국금거래소가 만든 200g 골드바를 지급할 테니 기한 내에 개인정보 수집에 동의해 달라는 내용이었다. 이상함을 느껴 테무 고객센터에 문의하자 “테무에서 진행하는 이벤트가 아니다”라는 답변을 받았다. 테무를 사칭한 스미싱(소비자를 유혹하는 광고) 문자였던 것이다.

이들은 수집된 개인정보가 제3자에 유출됐을 가능성을 제기한다. 최저가를 자랑하는 C커머스는 통상 중국 현지 제조업체와 이용자를 중간 유통 과정 없이 직접 연결하는 방식으로 운영된다. 이러한 중소 규모의 중국 제조업체에서 이용자 개인정보 관리를 위해 전문 인력과 비용을 투자할 것이라고 기대하기는 사실상 힘들다.

업계에 따르면 알리에 입점한 중국 제조업체는 18만8,432개에 달한다. 하지만 상호와 이메일만 공개해 제조업체의 실체를 확인하기 힘들다. 테무는 중국 제조업체 수와 상호를 공개하지 않아 규모를 가늠할 수조차 없다. C커머스를 통해 불특정한 제3자에 넘겨진 개인정보가 보이스피싱 등 범죄에 악용될 수 있다는 목소리가 꾸준히 제기되는 이유다.

일각에서는 C커머스가 원활한 플랫폼 운영을 위해 이용자 개인정보를 제조업체로 제공할 수밖에 없다고 반론하지만, 이용자 개인정보가 중국 당국에 제공된다면 얘기가 달라진다. 통신비밀보호법에 따라 법원의 허가를 받아야 개인정보를 수집할 수 있는 우리나라와는 달리 중국 당국은 자국 기업들이 저장하고 있는 개인정보를 허가 없이 수집할 수 있다. ‘중화인민공화국 국가정보법’ 제7조는 “중국의 모든 조직과 공민(시민)은 중국의 정보활동을 지지·지원·협력해야 한다”고 명시한다.