[创业者必读法]Kakao Pay是否违法向支付宝转移信息？

An Heecheol的创业必读法
以Kakao Pay案例解读个人信息委托处理与向第三方提供

金融监督院于本月13日发布公告称，Kakao Pay向支付宝转移个人信息的行为违法。对此，Kakao Pay立即在官网发布题为“关于向Apple/支付宝提供信息相关文章的说明”的公告，公开表明立场进行澄清。金融监督院与Kakao Pay的立场正尖锐对立。

根据金融监督院的调查结果，本案大致可分为两个事项。第一项是Kakao Pay以计算“资金不足（Non-Sufficient-Funds, NSF）评分”为目的，向支付宝提供了个人信息。所谓NSF评分，是Apple在运营批量结算系统时所需的逐个客户信用评分。支付宝以计算NSF评分为名，向Kakao Pay索取全部客户的信用信息，而Kakao Pay自2018年4月至今，每日一次向其提供包括未使用境外支付客户在内的全部客户个人信用信息，在未取得客户同意的情况下，累计提供了542亿条（累计4045万人）的数据。第二项是境内客户在海外商户使用Kakao Pay支付时，Kakao Pay为与支付宝进行结算，不仅提供了结算所必需的订单支付信息，还额外提供了不必要的客户信用信息。

本次事件的核心在于第一项。Kakao Pay主张，该个人信息提供属于无需信息主体同意的信用信息处理委托，因此并不违法。然而，金融监督院判断，该个人信息提供关系并非委托—受托关系，而是属于向第三方提供个人信息。个人信息处理委托，是受托人为委托人的利益处理信息；相对地，向第三方提供，则是为第三方的利益处理信息。个人信息处理委托属于信息主体事前可以预见的范围，而向第三方提供则难以事前预见。在个人信息处理委托的情形下，委托人必须对受托人享有管理、监督权，并在将个人信息处理业务委托给受托人时，委托人与受托人必须签订委托合同并向金融委员会报告。

金融监督院认为，入驻Apple Store这一业务本身对Kakao Pay和支付宝双方都有利。因此，Kakao Pay以计算NSF评分为目的向支付宝提供个人信息，并非单纯为了委托人自身利益，而是为了Kakao Pay与支付宝各自的利益。此外，金融监督院还认为，Kakao Pay客户在开户时难以认识到，其个人信息会因入驻Apple Store而被提供至境外。经金融监督院确认，Kakao Pay作为委托人从未对支付宝进行管理、监督，并且以支付宝方面的安全为由，连业务内容本身也无法确认。更有甚者，并未查明Kakao Pay与支付宝曾签订过以计算NSF评分为目的而进行个人信息委托处理的合同。综合这些因素，金融监督院判断，此次信息转移属于向第三方提供个人信息，而非个人信息处理委托。

个人信息处理委托与向第三方提供之间存在如此巨大的差异。个人信息处理委托无需取得信息主体同意，而向第三方提供则必须取得信息主体同意。如果未能理解这一点而擅自转移信用信息，金融委员会可以处以不超过企业全年总销售额3%的罚款。Kakao Pay在2023年的销售额，合并财务报表为6154亿韩元，个别财务报表为5556亿韩元，因此，如果Kakao Pay向支付宝转移信用信息的行为不被解释为个人信息处理委托，而被认定为向第三方提供，则Kakao Pay最高可能被处以约180亿韩元的罚款。

Kakao Pay是否实际违反了《信用信息法》或《个人信息保护法》，预计将通过今后的追加调查和法律争议予以厘清。但既然金融监督院已认定Kakao Pay的个人信息转移行为违法，Kakao Pay的经营极有可能遭受重大打击。应当以Kakao Pay的案例为鉴，充分理解个人信息委托处理与向第三方提供之间的差异，依法合规地处理个人信息。

An Huicheol 律师｜法务法人 DLG

现任浦项工科大学产业经营工学系兼任教授

现任社团法人韩国天使投资协会理事

现任中小风险企业部创业企业线上法律支援项目法律顾问团委员

现任创业企业法律支援团团长