8月13日,韩国金融监督院(Financial Supervisory Service,FSS)公布了针对在线支付平台 Kakao Pay 的调查结果。结果显示,Kakao Pay 在未取得用户同意的情况下,将用户个人信息从韩国跨境传输至中国的支付宝公司。FSS 指出,Kakao Pay 的此行为可能违反了韩国的《信用信息利用和保护法》(Credit Information Use and Protection Act),目前正考虑对其进行相应的制裁,并将对其他移动支付平台是否也存在类似问题进行深入调查。因此, Kakao Pay 可能面临高额处罚。
案件背景
Kakao Pay 是韩国最受欢迎的移动支付平台,提供在线支付、转账、支付账单、投资理财等服务。该平台已累积超过 4000 万用户,成为韩国人最常用的移动支付方式,有韩国“支付宝”之称。Kakao Pay 的第二大股东也正是中国最大金融科技企业蚂蚁集团的子公司支付宝。
在今年5月至7月期间,FSS 对 Kakao Pay 的外汇交易进行了检查,发现 Kakao Pay 向支付宝提供了全体用户的个人信息,其中包括从未使用过海外支付服务的用户。这些信息涵盖了 Kakao 账户 ID 、手机号码、电子邮件地址,以及Kakao Pay的注册和交易记录等敏感数据。
海外支付信息
由于 Kakao Pay 尚未构建完整的国际支付网络,它通过与支付宝的合作,允许其用户在与支付宝签约的海外商户处进行支付。然而,即便在某些海外支付结算过程中无需提供用户信息,Kakao Pay 仍然在未经用户同意的情况下,向支付宝披露了这些信息。当用户在支付宝签约的海外商户处进行支付时,Kakao Pay 的账户信息、订单详情(包括时间、金额、交易类型)以及支付数据(如货币种类、支付方式)等都会被共享给支付宝。金融监督院的相关人员指出:“由于在结算信息共享过程中连 Kakao Pay 账户信息也被包含在内,支付宝能够将用户的信用信息与订单及支付信息相结合,我们认为支付宝可能是出于营销目的而要求提供这些信息。”2019 年至今,Kakao Pay 已向支付宝提供了 5.5 亿条海外支付用户个人信息。
用户信用信息
根据 FSS 发布的消息,Kakao Pay 泄露用户信用信息给支付宝的目的是为了能够在 Apple 的 App Store 提供支付服务。Apple 要求所有入驻其 App Store 的支付平台提供客户的 NSF 评分(Non-Sufficient Funds,即 Apple 运营其统一支付系统所需的用户信用评分)等数据。因此,Kakao Pay 向支付宝提供了用户的信用信息,以进行评分计算和其他数据处理活动。FSS 指出,NSF 评分的计算仅需要涉及服务使用者的用户信用信息,但 Kakao Pay 却向支付宝提供了所有用户的信用信息,包括那些从未使用过海外支付服务的用户信息。这种做法超出了支付宝处理用户个人信息所需的合理范围,极有可能导致客户信息被不当使用。自 2018 年 4 月起,Kakao Pay 每日向支付宝传输一次此类信息,截至目前,已累计涉及约 4045 万用户的 542 亿条个人信息记录。
争议焦点
针对FSS在调查报告中提出的指控,Kakao Pay 进行了辩解,坚称自己并未违规向支付宝提供用户信息。首先,Kakao Pay 表示,向支付宝提供的用户信息是基于业务委托关系,根据《信用信息利用和保护法》第17条第1项的规定,因处理委托而转移的个人信用信息无需获得信息主体的同意。其次,Kakao Pay 强调,在向支付宝提供用户信息之前,已对这些信息进行了加密处理,即使信息被非法获取,也无法恢复至原始状态,这些措施有效保障了用户的隐私安全。
然而,FSS 并未认可 Kakao Pay 的说法。FSS 指出,Kakao Pay 与支付宝之间并未签订涉及生成 NSF 评分的委托合同,且 Kakao Pay 向支付宝提供的信息超出了信息主体同意的范围。尽管 Kakao Pay 声称对信息进行了加密,但 FSS 认为其所采取的加密措施仅对用户个人信息进行了基础加密,未使用随机值,且加密函数结构未发生变化,这样的加密程度不足以充分保护用户隐私。
下一步,FSS 计划向 KakaoPay 发送一份详细的调查报告,并做出最终的处理结果。
