사용자 급증한 중국 쇼핑 플랫폼 알리와 테무...2개사 모두 최근 개인정보 처리방침 개정
4월 초 현재 알리는 한국법인, 테무는 국내대리인 지정해서 국내 법·제도 대응
개인정보위, 해외사업자 개인정보 보호법 적용 안내서’ 발간...해외 사업자 법 위반 처벌 강화

최근 국내에서 중국 온라인 쇼핑 플랫폼 애플리케이션인 알리익스프레스(AliExpress) 및 테무(Temu)의 사용자 수가 급격히 늘어난 것으로 보인다. 알리익스프레스와 테무 등 두 플랫폼 모두 판매자가 직접 판매할 제품을 등록할 수 있는 등 유통단계를 거치지 않아 저렴하게 판매가 가능하다.

해외 사이트임에도 불구하고 국내에서 저렴한 가격으로 다양한 제품을 구매할 수 있어 소비자 인지도는 높아졌지만, 이들 플랫폼은 최근 여러 이슈가 제기되고 있다. 최근 비영리민간단체인 소비자주권시민회의는 이들 두 개 플랫폼 기업이 본사를 외국에 두고 운영하며 국내법을 제대로 따르지 않는다고 발표하기도 했다. 무엇보다 비판의 핵심은 두 플랫폼의 개인정보 처리방침이 명확하지 않다는데 있다. 실제 두 회사가 국내 사용자의 개인정보 처리방침을 어떻게 공지하고 실행하고 있는지 <보안뉴스>에서 직접 확인했다.

알리익스프레스, 지난달 개인정보처리방침 개정
먼저 ‘알리익스프레스’는 올해 3월 29일에 ‘AliExpress.com 개인정보처리방침(한국 이용자를 위한 개인정보처리방침)’을 개정했다. 앞서 알리익스프레스는 2020년 1월 13일에 개인정보처리방침을 처음 공지했다. 알리익스프레스가 우리나라 회원(구매자 및 판매자)을 대상으로 수집 및 이용하는 개인정보는 △구매자 아이디 △구매자 이름 △구매자 전화번호 △구매자 주소 △구매자 이메일 주소 △수령인 이름 △수령인 주소 △수령인 우편번호 △수령인 전화번호 △수령인 이메일 △수령인 연락처 △구매에 사용된 은행 계좌정보 △결제에 사용된 휴대전화번호 △결제에 사용된 휴대전화번호 △해외 카드 결제 시 사용된 외국 은행 카드번호 △현금영수증 정보 등이다. 이밖에도 통관과 신고를 위한 △개인통관고유번호(해당하는 경우) △수령인 이름 △이메일 △전화번호 △우편번호 등이 수집된다고 밝히고 있다.

이밖에도 맞춤형 마케팅 및 광고 전송, 배달을 위한 연구 분석을 위해 사전 동의를 얻은 경우는 회원의 혼인 여부, 국적, 성별, 생년월일, 출생연도, 연간 소득 월간 지출 및 선호도를, 이벤트 및 프로모션에 지원하거나 참여하는 경우에는 아이디, 이름, 주소, 전화번호, 팩스 번호, 이메일 주소 등을 수집한다. 이어서 한국 판매자의 경우에는 사기 방지를 위한 보안 및 KYC 수행 등을 위한 판매자 계정 인증과 연관된 판매자의 사업정보(사업자등록번호, 전자상거래 관련 등록번호, 사업자등록증, 사업허가증, 세금 또는 유사 정보), 결제금액, 정산을 위한 정보 등을 수집하고 있다.

테무, 국내대리인 통해 개인정보 관련 처리 안내

테무는 온라인 쇼핑을 위해 가입한 회원의 휴대전화번호와 이메일 주소를 기본으로 수집하고 있다. 이어 페이스북 또는 구글 등 사용하고 있는 서비스로 가입하거나 로그인하는 경우 해당 서비스에 제공된 사용자의 프로필 사진, 사용자명, 이메일 주소를 수집한다는데 동의한 것으로 간주하고 이를 수집한다. 구매 및 배송을 위한 거래내역, 결제정보, 배송주소, 수신자 연락처 정보 등도 기본 수집 대상이다. 수신자가 한국인이면 개인통관고유번호를, 수신자가 한국인이 아니라면 개인통관고유번호나 여권번호를 수집한다.

테무는 사용자가 생성한 프로필 사진, 동영상, 오디오, 댓글, 질문 등 생성하거나 상대방에게 전송한 사용자 생성 콘텐츠, 그리고 경품 이벤트나 콘테스트 등에 참가할 때 제공한 연락처, 상품을 발송하기 위한 주소 등의 정보도 수집한다. 회사는 쇼핑몰 회원의 개인정보를 주문 이행 및 서비스 제공 등을 위해 계열사, 서비스 제공 업체, 결제 처리업체, 광고 및 분석 파트너사, 이벤트 및 프로모션 공동 후원사, 법적 절차에 따라 필요한 변호사와 감사, 은행 및 보험사 등 전문 자문가 등에게 개인정보를 공유한다고 안내하고 있다.

테무의 개인정보 처리 위탁을 보면 클라우드 서버 파트에서 이용자가 이용 중 수집된 데이터는 미국 마이크로소프트 애저(Microsoft Azure)에서, 물류 파트에서는 이름·전화번호·주소·우편번호·개인통관고유번호 및 여권번호는 싱가포르와 일본 및 한국의 각 회사에서 처리된다. 결제 파트에서는 거래금액이 미국의 페이팔, 애플페이, 구글페이로 넘어가며, 이메일, SMS, 앱 푸시 알림, 광고, 결제 보안 등도 미국과 싱가포르의 대행사에서 각각 이전받고 있다.

국내 해외사업자의 영리활동, 모두 개인정보 보호법 대상
대부분의 사업자가 비슷하겠지만 두 개의 플랫폼 기업은 각각 수많은 개인정보와 결제정보 등을 수집하고 있다. 이들 플랫폼은 모두 올해 3월에 개인정보 처리방침을 개정해 공지한 상태다. 알리익스프레스는 알리익스프레스코리아로 한국지점을 두고 있으며, 테무는 국내대리인을 지정해 연락처를 공개하고 있다.

이들의 온라인 판매 활동과 관련해 개인정보보호위원회(이하 개인정보위) 강대현 과장은 “개인정보위는 보호법을 기반으로 법 위반에 대해 국내 및 해외 기업을 차별없이 조사하고 있다”고 밝혔다. 이어 “일반적으로 해외사업자들이 국내에서 영리활동을 할 때 개인정보 보호법 적용 대상이 아니라고 생각하지만 그렇지 않다”며 “법을 제대로 지키지 않고 부주의하게 패스하는 경우가 발생하는데, 해외 사업자도 국내 사업자와 같은 법의 적용을 받는다”고 강조했다.

한편 개인정보위는 최근 ‘해외사업자 개인정보 보호법 적용 안내서’를 발간했다. 이 안내서는 영문화 작업을 거쳐 국내에서 사업하는 해외 본사와 함께 해외 감독기구에도 공유할 계획이다. 개정 개인정보 보호법은 과징금 상한 기준이 전체 매출액의 3%로 확대된 상황이라 해외 사업자의 법 위반도 처벌이 한층 강화될 것으로 보인다.

[출처:보안뉴스]