韩国个人信息保护委员会(PIPC)因 KakaoPay 和 Apple Pay 违反该国《个人信息保护法》,对二者合计处以 580 万美元的罚款。
此次处罚源于未经授权将约 4000 万用户的个人数据传输至中国支付平台支付宝。
数据保护法违规行为
PIPC 的调查显示,2018 年 4 月至 7 月期间,KakaoPay 在未获得适当同意的情况下,将敏感用户数据传输给支付宝。这些数据涵盖 24 个类别,包括电话号码、电子邮件地址、账户余额及其他个人详细信息。传输这些数据是为了计算 “NSF 分数”,该分数用于评估捆绑式小额交易中资金不足的可能性,是苹果支付评估流程的一部分。
值得注意的是,尽管只有 20% 的 KakaoPay 用户将 Apple Pay 注册为支付方式,但此次数据传输涉及所有 KakaoPay 用户。KakaoPay 和苹果公司均未在其隐私政策中披露这些国际数据传输行为,使用户对相关做法毫不知情。
处罚及要求采取的行动
KakaoPay 因在未经授权的数据传输事件中所扮演的角色,被处以 41.4 亿美元的罚款,并被责令解决合规问题。该公司必须在其网站和应用程序上公开披露违规行为。
苹果公司因在未告知用户的情况下将数据处理外包给支付宝,且未更新隐私政策以反映数据传输情况,被罚款 17 亿美元。该公司已被责令纠正其做法,并公开违规行为。
PIPC 还指示支付宝销毁基于所传输数据的 NSF 分数计算模型。此外,预计包括金融监督院和金融服务委员会在内的金融监管机构将处理涉及未经授权的金融数据共享的相关违规行为。
这一裁决凸显了数据处理透明度以及遵守隐私法的重要性,为在韩国运营的国际公司树立了先例。