[비즈한국] 在個人資訊相關法律和制度不斷強化的背景下,政府對個人資訊管理出現漏洞的企業採取的制裁也愈發嚴厲。今年5月,因違反《個人資訊保護法》而被處以國內企業史上最大規模罰款的Kakao035720再次站在了輿論的風口浪尖。原因在於,金融監督院認定Kakao Pay377300未經使用者同意向中國支付寶(Alipay)提供了個人信用資訊,並已啟動相關制裁程式。儘管對違規行為的“輕懲”正在逐步改善,但有觀點指出,即便是那些以客戶資訊為經營基礎的企業,對於制度的變革依然應對懈怠。

“正常委託業務” vs “漏掉獨立同意程式的第三方提供”
針對Kakao Pay為了提供Apple App Store支付服務而未經客戶同意向支付寶提供個人信用資訊一事,金融監督院與Kakao Pay的立場存在尖銳分歧。金融監督院將其定性為“向第三方提供”,而Kakao Pay則辯稱這是無需客戶同意的業務性資訊轉移。
金融監督院在今年5月至7月進行的現場檢查中發現,自2018年4月起的6年間,Kakao Pay向支付寶提供了累計4045萬名使用者的Kakao賬號ID、電話號碼、電子郵箱、註冊記錄以及Kakao Pay交易記錄(充值、提現、支付、匯款、餘額)等,共計542億條個人信用資訊。
在Kakao Pay透過說明資料主張這是“委託與受託方之間的資訊轉移”後,金融監督院釋出了參考資料進行積極反駁。由於兩家公司的合同關係及最初提供資訊的目的,是判定違法與否的核心爭點,雙方目前正展開激烈的邏輯博弈。根據相關法律,若是委託關係,則無需取得客戶同意,只需通知即可;但如果是向第三方提供,則必須履行單獨的客戶同意程式。在委託關係中,轉移的資訊僅用於受託人(支付寶)代處理委託人(Kakao Pay)的業務,但如果客戶資訊是為了接受方(支付寶)自身的經營目的被使用,則由於其脫離了原始收集目的,因此必須獲取單獨的同意。
金融監督院稱:沒有“信用評分委託合同”的實據……
有觀點認為,在此次事件中,區分“業務委託”與“第三方提供”的流程可以相對清晰地進行。嘉泉大學法學系教授崔京鎮(音)解釋稱:“委託合同有標準化的框架。如果將Kakao Pay與支付寶之間的合同與Kakao Pay和其他國內企業簽訂的委託合同進行比較,如果類似,則可能是委託關係;相反,如果內容存在差異,那麼就與Kakao Pay的說法存在脫節。”

金融監管部門認定,根據雙方的合同書,Kakao Pay未經許可提供客戶信用資訊的事實非常明確。金融監督院表示:“經查實Kakao Pay與支付寶簽訂的所有合同(9份),完全沒有關於Kakao Pay委託支付寶進行‘NSF得分(信用評分)計算與提供業務’的內容。”金融監督院認為Kakao Pay違法處理信用資訊的依據還在於:入駐Apple Store對雙方均有利益,轉移個人資訊不僅是為了Kakao Pay,也是為了支付寶的利益,且Kakao Pay作為委託方從未對支付寶進行過管理監督。
在委託關係中,委託人對受託人有管理監督義務;而在向第三方提供資訊的情況下,企業僅需對透過合法程式提供資訊負責,管理監督義務則由接收方承擔。此外,即使存在委託合同,若能證明支付寶為了自身利益處理了資訊,事態可能會變得更加複雜。
向支付寶提供資訊的範圍是否適當也是關鍵問題。Kakao Pay在說明資料中明確表示:“向支付寶提供資訊時,採用了將資訊更改為隨機程式碼的加密方式進行去標識化處理,因此除檢測非法支付外,無法用於其他目的。”由於目前調查仍在進行中,Kakao Pay在釋出說明資料後,已剋制額外回應,專注於向監管當局進行解釋。
即使個人資訊制裁加強,企業依然原地踏步
Kakao Pay轉移給支付寶的資訊是經過“假名處理”的假名資訊,旨在讓內容無法被識別。假名資訊在應用複雜的加密演算法時識別度較低,但如果能透過組合多種資訊還原原始資料,則存在安全性問題。2016年,在市民社會的反對下,允許對去標識化資訊進行目的外提供的“個人資訊去標識化指南”最終廢棄;隨後,將假名處理後的資訊也視為個人資訊的“資料三法”開始實施,在概念確立過程中經歷了不少波折。2020年8月為促進資料產業發展而引入的假名資訊制度,規定假名資訊屬於受《個人資訊保護法》管轄的個人資訊,並根據是委託還是第三方提供,對其管理和利用進行了不同規定。

考慮到近期針對民營企業的個人資訊制裁力度不斷上升的趨勢,外界預測Kakao Pay可能會面臨沉重的罰款處罰。金融監管部門認為Kakao Pay同時違反了《個人資訊保護法》和《信用資訊法》。此前的《信用資訊法》規定,違法時課以事發年度“相關銷售額的3%”以下的罰款,但隨著去年9月修訂法的實施,罰款規模大幅擴大至“整體銷售額的3%”以下。此前在今年5月,Kakao因違反針對開放聊天室參與者資訊的安全保護義務,被處以151.4196億韓元的罰款。雖然適用的是修訂前的法律,但這已是史上最大規模的處罰案例。由於雙方觀點針鋒相對,預計在處罰決定下達後,雙方仍可能訴諸法律手段,最終結論可能需要數年時間。
業界內外出現了批評企業應對遲緩、跟不上制度變化的聲音。一位專家指出:“向支付寶提供資訊時,若被視為‘向海外轉移’,則需要額外獲取單獨同意。從資訊主體的普遍情緒來看,人們對資訊轉移至海外,尤其是中國企業,存在牴觸感。這種壓力可能發揮了作用。”但他同時也補充說:“鑑於這甚至可能觸犯刑事處罰,我認為故意遺漏的可能性不大,但這反映出企業在個人資訊保護與處理方面意識淡薄。”
市民社會中也有人指出制度存在侷限性。消費者主權市民會議強調:“很難將Kakao Pay的個人信用資訊洩露僅看作是Kakao Pay的問題。近期不同領域個人資訊洩露事故不斷,卻見不到確切的防範措施或嚴厲的警示性制裁。”也有觀點認為,雖然針對個人資訊管理疏忽的制裁正在加強,但政府在個人資訊方面的政策方向依然模糊。進步網路中心代表吳炳一(音)指出:“企業傾向於縮減個人資訊的範圍和義務,而政府也傾向於從產業角度進行寬鬆的解讀。”