南韓金融監督院調查發現,韓國最大行動支付業者Kakao Pay從2018年4月開始,陸續將4052萬名用戶的個人信用訊息移交給中國「支付寶」,累計外洩個資包含:帳戶ID、手機號碼、電郵信箱、交易紀錄等高達542億則,目前已啟動裁罰程序,但Kakao Pay否認有違法行為。
《韓聯社》報導指出,南韓金融監督院在今年5月至7月期間,對Kakao Pay海外支付部門進行現場調查時,發現Kakao Pay從2018年至今,每天向支付寶提供一次用戶信用資訊。外界懷疑Kakao Pay向支付寶提供個資,可能和公司架構有關,支付寶新加坡控股(Alipay Singapore Holding)持有Kakao Pay高達32.06%的股份,是第二大股東,而支付寶新加坡控股是螞蟻集團旗下和支付寶相關的子公司。
根據韓國《信用資訊利用與保護相關法律》規定,蒐集個人信用資訊或將蒐集到的資訊提供給其他公司時,必須獲得當事人的同意。此外,根據韓國《個人資訊保護法》,支付寶是在海外設有分公司的企業,因此將個人資訊轉移到國外前,也必須取得用戶同意。但韓國金管會發現 Kakao Pay皆未遵守。
Kakao Pay則堅稱,公司從未違法提供個資,向支付寶提供的用戶個資,屬於雙方業務委託關係,因此不需要徵求用戶意見。Kakao Pay強調,公司為了要打進蘋果App Store,被要求計算NSF分數(一次性付款時所需的特定客戶信用分),因此委由支付寶協助處理客戶的個人資訊,這是透過「業務委託關係」進行的,不需用戶同意,且個資都已通過加密處理。
南韓金融法專家認為,法律中所謂的「業務委託」,是指在特定情況下必須提供個資,但不得超出用戶所同意的個人資訊使用範圍,而且提供出去的內容也必須披露,因此Kakao Pay的行為是否適用第17條第1項仍有待討論。
金融監督院推測,支付寶是為了達到行銷目的,因而要求Kakao Pay將用戶資料轉發。金融監督院質疑,此現象恐不僅發生在Kakao Pay,其餘行動支付或許也存在類似狀況,之後將對其他業者進行檢查;直接受南韓總理管轄的「個人情報保護委員會」,也將調查Kakao Pay個資外洩的情況。