[파이낸셜뉴스] 중국 온라인 쇼핑 플랫폼 테무가 개인정보보호법 위반으로 13억6900만원의 과징금 철퇴를 맞았다. 테무는 개인정보를 해외 사업자에게 위탁하면서도 이를 고지하지 않고, 판매자로부터는 법적 근거 없이 주민등록번호를 수집했던 것으로 드러났다.
15일 개인정보보호위원회에 따르면 지난 14일 제11회 전체회의에서 테무 운영사에 총 13억 6900만원의 과징금과 1760만 원의 과태료를 부과하고 시정명령 및 개선권고를 의결했다.
테무는 알리익스프레스와 함께 대표적인 중국 온라인 쇼핑 플랫폼으로, 국내에서 하루 평균 290만 명이 이용하는 서비스다.
개인정보위는 지난해부터 테무 등 해외직구 서비스 관련 국내 이용자들의 개인정보 침해 사례에 대해 조사를 진행해 왔다. 최근 제기된 테무가 한국 판매자를 모집하는 과정에서 판매자의 신분증과 안면 정보를 수집한다는 의혹 제기에 대해서도 조사를 함께 진행했다.
조사 결과, 테무는 상품 배송을 위해 한국 이용자의 개인정보를 중국, 싱가포르, 일본 등 다수의 해외 수탁자에게 위탁하거나 보관하고 있었으나 이 사실을 개인정보 처리방침에 명시하지 않았고 이용자에게도 별도로 고지하지 않았다.
또 개인정보 처리업무를 위탁한 수탁사에 대해 개인정보 안전관리 방안 교육, 개인정보 처리현황 점검 등의 관리·감독을 실시하지 않았다. 이는 이용자의 개인정보가 관리 사각지대에 방치될 우려가 크다는 의미다.
보호법에서는 계약 이행 목적의 국외 이전이라 하더라도 수탁 사실을 처리방침에 명시하거나 개별 고지를 의무화하고 있다.
테무는 일일 평균 290만 명의 국내 이용자를 보유하고 있음에도 법에서 의무화한 국내대리인을 지정하지 않았다. 국내 대리인은 개인정보보호 책임자로 각종 문제 발생 시 피해 구제, 민원 대응 등을 담당한다.
특히 회원탈퇴 절차를 7단계로 복잡하게 설계해, 이용자의 권리 행사 자체를 어렵게 한 사실도 확인됐다. 가입은 이메일이나 휴대전화 번호 만으로 즉시 가입이 가능할 정도로 간단한 반면, 탈퇴 과정은 이유 작성, 의사 확인 등 7단계 이상의 복잡한 과정을 요구했다.
테무가 국내 진출 확대를 위해 한국 판매자를 모집하는 과정에서 신분증과 얼굴 동영상을 수집하고, 법적 근거 없이 주민등록번호를 처리한 사실도 드러났다. 한국 판매자가 테무 서비스에 입점하려면 6단계 절차를 거쳐야하는데, 이 때 신원확인 명목으로 테무는 판매자의 신분증과 얼굴 동영상 등을 수집했던 것으로 확인됐다. 다만 테무는 이번 조사 과정에서 이 정보를 모두 파기했다고 개인정보위는 전했다.
개인정보위는 해당 정보가 현재 모두 파기된 점은 고려하되, 중대한 법령 위반으로 판단하고 처분을 의결했다. 또 오는 10월 시행될 개인정보보호법 개정안에 따라 테무에 국내 법인을 대리인으로 지정할 것을 개선 권고했다. 이 제도는 해외사업자의 개인정보 유출 및 침해 시 국내에서 피해 구제를 용이하게 하기 위한 장치다.
개인정보위는 이번 처분을 계기로 해외 사업자에 대해서도 국내 기업과 동일한 수준의 보호 기준을 적용하겠다는 입장을 재확인했다. 또 중국 사업자의 국내 진출이 증가함에 따라 한·중 인터넷협력센터 및 중국 현지 기업 간담회 등을 통해 한국 개인정보 보호법에 대한 안내를 지속적으로 강화해 나갈 계획이다.
개인정보위는 지난해 4월 '해외사업자의 개인정보 보호법 적용 안내서'의 영문본 발간에 이어 이번에는 중문 버전의 안내서도 별도 제작·배포했다. 이는 중국계 이커머스 기업의 한국 시장 진입이 활발해지는 최근 상황을 반영한 조치다.
한편, 개인정보위 결정에 대해 테무 관계자는 "조사에 전적으로 협조해 왔으며 개인정보위 결정을 존중한다"며 "요건을 충족하기 위해 필요한 조치를 취하고 변경 사항을 적용했으며, 앞으로도 합리적인 가격의 고품질 제품을 제공하고 현지 판매자를 지원하는 데 집중하겠다"라고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지