사용자 몰래 해외로 개인정보 넘긴 테무에 과징금 13억6900만원

정부가 국내 사용자 몰래 중국, 싱가포르 등에 이들의 개인정보를 넘긴 테무에 과징금 13억6900만원을 부과했다.

개인정보보호위원회는 중국 전자상거래업체(C커머스) 테무에 개인정보보호법 위반을 이유로 과징금과 개인정보 보호 관리체계 개선 권고 등을 15일 전체회의에서 의결했다고 밝혔다.

개인정보위는 앞서 지난해 2월 테무를 비롯해 알리익스프레스 등 C커머스에 대한 개인정보보호법 위반 여부 조사에 착수했다.

알리익스프레스는 지난해 7월 개인정보 국외 이전 위반 등을 근거로 과징금 19억7800만원이 부과됐으나 테무는 과징금 산정 기준이 되는 매출액을 제출하지 않아 처분이 늦어졌다.

개인정보위 조사결과 테무는 상품 배송을 위해 한국과 중국, 싱가포르, 일본 등 다수 사업자에게 개인정보 처리를 위탁·보관하도록 했지만 이러한 점을 개인정보처리방침(처리방침)에 공개하거나 이용자에게 알리지 않았다.

또 개인정보 처리업무를 위탁한 수탁사에 대해 개인정보 안전관리 방안 교육, 개인정보 처리현황 점검 등의 관리·감독을 실시하지 않았다.

보호법 상 계약 이행을 위해 국외 사업자에게 개인정보 처리나 위탁·보관 등이 필요할 경우 처리방침에 해당 사실을 공개하거나 이용자에게 전자우편 등으로 알려야 한다고 규정하고 있으나 테무는 이를 준수하지 않았다.

아울러 2023년 말 기준 일일 평균 290만명의 한국 이용자가 테무 서비스를 이용하고 있음에도 보호법에서 요구하는 국내대리인을 지정하지 않았고, 회원 탈퇴 절차를 7단계로 복잡하게 구현해 이용자의 권리행사를 어렵게 한 사실이 확인됐다.

다만 조사 과정에서 테무는 처리방침을 개정하고 국외 이전 사실과 수탁자, 국내 대리인을 공개하고 회원 탈퇴 절차를 일부 개선하는 등 자진 시정조치했다고 개인정보위는 밝혔다.

테무는 올해 2월부터 한국에서 직접 상품을 판매·배송할 수 있는 ‘로컬 투 로컬’ 서비스를 위해 한국 판매자를 시범 모집한 과정에서 이들의 신분증과 얼굴 동영상을 수집하고 법적 근거 없이 주민등록번호를 처리한 사실도 확인됐다.

다만, 테무는 조사 과정에서 해당 정보를 파기했다고 개인정보위는 설명했다.

개인정보위는 테무에 대해 개인정보의 국외이전 및 주민등록번호 처리의 제한과 관련한 보호법 규정 위반으로 과징금 13억6900만원을, 개인정보 처리업무 위탁과 국내대리인 지정 관련 보호법 규정 위반으로 과태료 1,760만원을 부과했다.

아울러 국외 이전을 포함한 개인정보 처리위탁 현황과 개인정보 처리 흐름을 투명하게 공개하고, 수탁자에 대한 관리·감독을 실시할 것과 정보주체의 권리를 충분히 보장할 것을 시정명령 및 개선권고했다.

특히 올해 10월 시행 예정인 국내 대리인 개정 규정에 따라 테무의 국내 법인을 국내 대리인으로 지정하도록 권고했다.

개인정보위는 "국내 이용자의 개인정보가 충실히 보호될 수 있도록 시정명령 및 개선권고 이행 여부를 철저히 점검하는 한편, 중국 사업자의 국내 진출이 늘면서 한·중 인터넷협력센터 및 중국 현지 기업 간담회 등을 통해 한국 개인정보 보호법에 대한 안내를 강화해 나갈 계획"이라고 밝혔다.