개인정보 보호위원회

국외이전 규정 등 개인정보 보호법 위반한 테무에 13억 6,900만 원 과징금 부과

- 국내법인을 국내대리인으로 지정해 개인정보 보호 책임을 강화하도록 개선권고 

- 중국 사업자가 보호법을 준수하도록 법 적용 안내서 중문본 신규 발간

  개인정보보호위원회(위원장 고학수, 이하 ‘개인정보위’)는 5월 14일(수) 제11회 전체회의를 열어, 개인정보 보호법(이하 ‘보호법’)을 위반한 해외직구 서비스 테무*에 대해 13억 6,900만 원의 과징금과 1,760만 원의 과태료를 부과하고 시정명령 및 개선권고를 의결하였다.

   * 테무 이용자의 개인정보는 Whaleco Technology Limited가 관리하고, 입점 판매자의 개인정보는 Elementary Innovation Pte. Ltd.가 관리하고 있으며, 두 사업자 모두 처분 

  □ 조사 배경

  개인정보위는 지난해부터 테무 등 해외직구 서비스에 대한 조사를 진행*해 왔으며, 최근 테무가 한국 판매자를 모집하는 과정에서 판매자의 신분증과 안면 정보를 수집한다는 언론보도에 따라 해당 내용도 추가 확인하였다.

   * 알리익스프레스의 법적 근거 없는 개인정보 국외 이전 등 보호법 위반 행위에 대해 과징금 19억 7,800만 원을 부과하고, 국내기업 수준의 개인정보 관리 등 시정명령 및 개선권고를 병행한 바 있음(’24. 7월)

  □ 조사 결과

  ① 이용자 개인정보 처리 관련

  <테무 사업 개요>

  테무는 판매자가 상품을 판매할 수 있는 전자상거래 플랫폼을 제공하면서 상품 판매 금액의 일정 비율을 수수료로 받는 오픈마켓이다. 다만, 테무는 중계창고에 보관된 판매자의 상품을 구매자에게 직접 배송하고 있어 이용자의 개인정보를 판매자에게 제공하지 않는다는 점에서 통상의 오픈마켓과 차이가 있다.

  <테무의 법 위반 사실>

  개인정보위 조사 결과, 테무는 상품 배송을 위해 우리나라를 포함해 중국, 싱가포르, 일본 등의 다수 사업자에게 개인정보 처리를 위탁하거나 보관하고 있음에도, 국외 사업자에게 개인정보를 위탁하는 사실을 개인정보 처리방침에 공개하거나 이용자에게 알리지 않았다. 또, 개인정보 처리업무를 위탁한 수탁사에 대해 개인정보 안전관리 방안 교육, 개인정보 처리현황 점검 등의 관리‧감독을 실시하지 않았다.

  보호법에서는 계약 이행을 위해서 국외 사업자에게 개인정보 처리 위탁 또는 보관 등이 필요할 경우 처리방침에 해당 사실을 공개하거나 이용자에게 전자우편 등으로 알려야 한다고 규정하고 있으나, 테무는 이를 준수하지 않았다.

  또한, ’23년 말 기준 일일 평균 290만 명의 한국 이용자가 테무 서비스를 이용하고 있음에도 보호법에서 요구하는 국내대리인을 지정하지 않았고, 회원 탈퇴 절차를 7단계로 복잡하게 구현하여 이용자의 권리행사를 어렵게 한 사실이 확인됐다.

   ※ 조사 과정에서 테무는 개인정보 처리방침을 개정하여 국외이전 사실과 수탁자,   국내대리인(지정 이행)을 공개하고, 회원탈퇴 절차를 일부 개선하는 등 자진 시정조치 함

  ② 한국 판매자 입점을 위한 신원확인 절차 관련

  테무는 ’25. 2월부터 한국에서 직접 상품을 판매·배송할 수 있는 ‘로컬 투 로컬’ 서비스를 제공하고자, 한국 판매자를 시범 모집하였다. 한국 판매자가 테무 서비스에 입점하려면 6단계 절차*를 거쳐야 한다. 

   * 판매자 입점 절차 : ①계정 생성 → ②사업 정보 입력 → ③판매자 정보 입력 → ④상점 정보 입력 → ⑤입력된 정보 확인 → ⑥신원확인

  이때, 신원확인을 위해 테무는 판매자의 신분증과 얼굴 동영상을 수집하고 법적 근거 없이 주민등록번호를 처리하였다. 다만, 테무는 위원회 조사 과정에서 해당 정보를 모두 파기하였다.

  □ 처분내용

  개인정보위는 테무에 대해 개인정보의 국외이전 및 주민등록번호 처리의 제한과 관련한 보호법 규정 위반으로 과징금 13억 6,900만 원을, 개인정보 처리업무 위탁과 국내대리인 지정 관련 보호법 규정 위반으로 과태료 1,760만 원을 부과하였다.

   ※ Whaleco Technology Limited : 과징금 8억 7,900만 원, 과태료 1,760만 원 부과Elementary Innovation Pte. Ltd. : 과징금 4억 9,000만 원 부과

  아울러 국외 이전을 포함한 개인정보 처리위탁 현황과 개인정보 처리 흐름을 투명하게 공개하고, 수탁자에 대한 관리·감독을 실시할 것과 정보주체의 권리를 충분히 보장할 것을 시정명령 및 개선권고하였다.

  특히, 개정된 보호법상 국내대리인 규정(’25. 10. 2. 시행 예정) 취지에 따라 테무의 국내 법인을 국내대리인으로 지정하도록 개선권고하였다. 국내대리인은 해외사업자가 정보주체의 피해 구제 등 우리 국민의 개인정보를 효과적으로 보호하기 위한 제도이다. 

  □ 향후 계획

  개인정보위는 국내 이용자의 개인정보가 충실히 보호될 수 있도록 시정명령 및 개선권고 이행 여부를 철저히 점검하는 한편, 중국 사업자의 국내 진출이 증가함에 따라 한·중 인터넷협력센터 및 중국 현지 기업 간담회 등을 통해 한국 개인정보 보호법에 대한 안내를 지속적으로 강화해 나갈 계획이다.

  한편, 개인정보위는 해외사업자가 우리 국민들의 개인정보를 보호하고 보호법을 충실히 준수할 수 있도록 ｢해외사업자의 개인정보 보호법 적용 안내서｣ 영문본을 ’24. 4월에 발간한 데 이어, 이번 처분을 계기로 국내 시장에 진출하는 중국 사업자를 위해 중문본*을 마련·배포하였으며, 이를 적극 활용하여 보호법을 이해하고 준수할 것을 당부했다.

   * 안내서 위치 : 개인정보위 누리집(pipc.go.kr) > 법령 > 법령정보 > 안내서

* 기타 자세한 내용은 첨부파일을 확인해주시기 바랍니다.

- 담당자 : 조사1과 이승철(02-2100-3118), 도혜원(02-2100-3117)