2025年1月23日,韩国个人信息保护委员会(PIPC)对KakaoPay和Apple Pay处以总计83亿韩元(580万美元)的罚款,原因是这两家公司未经适当同意,将约4000万用户的个人数据传输给了Alipay。
该委员会于1月23日宣布,这两家公司违反了韩国的《个人信息保护法》,因为未通知用户有关海外数据传输的情况。
调查显示,KakaoPay为支付宝提供了用户的个人信息,用于苹果的支付评估流程,包括计算“NSF评分”,该评分用于评估捆绑式微交易中资金不足的可能性。
2018年4月至7月期间,KakaoPay在未经用户同意的情况下,三次向
Alipay
传输了包括电话号码、电子邮件地址、账户余额和其他敏感信息在内的24类数据。
尽管只有20%的KakaoPay用户注册了Apple Pay的支付方式,但数据传输涉及所有KakaoPay用户,而不仅仅是Apple Pay用户。
Alipay
每天从KakaoPay接收更新数据以计算NSF评分,并应苹果要求共享结果。然而,这两家公司均未在其隐私政策中披露这些做法,也未告知用户他们的数据正在被国际传输。
因此,PIPC对KakaoPay处以59.6亿韩元的罚款,原因是其“非法国际数据传输”,并责令该公司解决合规问题。KakaoPay还必须在其网站和应用程序上公开披露这些违规行为。
苹果因未告知用户其将数据处理外包给支付宝,且未在隐私政策中披露数据传输情况,被处以24.5亿韩元的罚款。该公司还被责令纠正其做法,并公开这些违规行为。
此外,
Alipay
已被指示销毁基于传输数据构建的NSF评分计算模型。
KakaoPay对该决定表示遗憾,称其认为数据传输对于确保安全的支付环境是必要的,但该公司计划仔细审查其对裁决的回应。
PIPC强调,对于未经授权提供金融数据的进一步行为,将由金融监管机构,包括金融监督院和金融服务委员会,采取相应措施。
早在2024年8月13日,韩国金融监督院(Financial Supervisory Service,FSS)公布了针对在线支付平台 Kakao Pay 的调查结果。结果显示,Kakao Pay 在未取得用户同意的情况下,将用户个人信息从韩国跨境传输至
Alipay
。FSS 指出,Kakao Pay 的此行为可能违反了韩国的《信用信息利用和保护法》(Credit Information Use and Protection Act),目前正考虑对其进行相应的制裁,并将对其他移动支付平台是否也存在类似问题进行深入调查。因此, Kakao Pay 可能面临高额处罚。
针对FSS在调查报告中提出的指控,Kakao Pay 进行了辩解,坚称自己并未违规向支付宝提供用户信息。首先,Kakao Pay 表示,向支付宝提供的用户信息是基于业务委托关系,根据《信用信息利用和保护法》第17条第1项的规定,因处理委托而转移的个人信用信息无需获得信息主体的同意。其次,Kakao Pay 强调,在向
Alipay
提供用户信息之前,已对这些信息进行了加密处理,即使信息被非法获取,也无法恢复至原始状态,这些措施有效保障了用户的隐私安全。
然而,FSS 并未认可 Kakao Pay 的说法。FSS 指出,Kakao Pay 与Alipay之间并未签订涉及生成 NSF 评分的委托合同,且 Kakao Pay 向
Alipay
提供的信息超出了信息主体同意的范围。尽管 Kakao Pay 声称对信息进行了加密,但 FSS 认为其所采取的加密措施仅对用户个人信息进行了基础加密,未使用随机值,且加密函数结构未发生变化,这样的加密程度不足以充分保护用户隐私。
