Kakao Pay未經用戶同意,將4045萬人的個人信用信息移交給中國阿里巴巴旗下的金融結算企業支付寶,被金融監督院揭發。就是說,在2018年4月起的6年多時間裡,使用Kakao Pay的所有人的Kakao Pay ID、手機號碼、電子郵件地址、註冊Kakao Pay和交易明細都被移交了出去。
金融監督院13日公布了包含上述內容的《對Kakao Pay海外結算部門的現場檢查結果》。金融監督院表示,Kakao Pay以每天加密一次的形式向支付寶方面提供了會員個人信用信息,累計達到542億件。金融監督院方面人士表示:「Kakao Pay的月用戶數約為2500萬人,加上休眠和退出的用戶數,至少超過4000萬人。」
支付寶是支持蘋果、谷歌、全球速賣通、Temu等46個國家的8100萬家線上線下加盟店金融結算業務的企業。支付寶也是持有Kakao Pay32%股份的第二大股東。Kakao Pay沒有自己的海外支付網,因此與支付寶合作提供海外支付服務。但Kakao Pay還加密了未使用海外支付的用戶的信用信息,將其轉交給了支付寶。
金融監督院還對Kakao Pay的信息加密水平提出了質疑。金融監督院測試後發現,可以用在網上很容易找到的密碼破解程序,恢復除名字以外的手機號碼和Kakao Pay ID等內容。
Kakao Pay表示:「我們沒有非法提供信息。我們會在今後的調查過程中做出解釋。」金融監督院表示,會經過周密的法律研究後迅速進行制裁程序,同時對類似案例進行進一步審查。
Kakao Pay把加密個人信用信息移交給支付寶這既是本身並不違法。Kakao Pay在韓國消費者經常使用的蘋果要求「具備評價使用蘋果應用商店的用戶信用度系統」後,委託支付寶構建系統,並在此過程中提供了用戶信息。
問題在於Kakao Pay在①沒有得到用戶同意的情況下,②在沒有與支付寶方面簽訂具體合同的情況下,③連不需要轉交的未使用海外結算的用戶信息轉交出去了很多。對此,Kakao Pay相關人士解釋說:「這是因為提供了海外支付潛在用戶的信息,是蘋果要求提供的。」
在沒有合同的情況下提供用戶信息
Kakao Pay方面解釋說,與支付寶簽訂了合同,加密程度很高,很難識別個人信息。Kakao Pay為了提供海外支付服務,與支付寶簽訂了用戶信息委託和受託合同,提供的信息經過了徹底加密,因此除了探測目的之外,定期結算用戶的信用不能被用於其他目的。
Kakao Pay主張,Kakao Pay和支付寶為了構建信用度確認系統,建立了個人信用信息處理委託關係,在此情況下,就算轉交個人信用信息,也不需要得到用戶的同意。《信用信息法》第17條第1款規定:「在因委託處理個人信用信息而提供信息的情況下,無需徵得信息主體的同意。」
金融監督院對此進行了正面反駁。在今年5-7月進行的Kakao Pay現場檢查中,沒有找到任何證據證明Kakao Pay簽訂了上述提到的委託和受託合同。金融監督院相關人士表示:「雖然兩家公司簽訂了約定書,但只是對兩家公司在提供海外結算服務方面的作用和責任進行了規定,根本沒有記述信用分數計算系統相關的委託和受託內容。」
當天,Kakao Pay主張:「在向支付寶提供信息時,採用了用隨機代碼變更的加密方式。無法指定用戶,信用也無法用於檢測以外的目的。」就是說,加密後提供給支付寶方面的用戶個人信息只有擁有原始資料的Kakao Pay能夠識別。
但金融監督院指出,Kakao Pay的個人信用信息加密水平並不精密。就是說,普通人也完全可以破解密碼。金融監督院實務負責人在檢查過程中破解了Kakao Pay的密碼。成功解密的負責人並非出身計算機相關專業。一位金融監督院方面人士表示:「Kakao Pay的加密方式非常簡單。谷歌等在線網站上有普通人也可以訪問的『解密程序』,我們有員工利用該程序解除了加密。」
被過度提供的海外付款用戶信息
Kakao Pay除了泄露全體會員個人信用信息的事件外,還被指責盲目泄露了實際使用海外結算的用戶信息。例如,如果在中國用Kakao Pay結算,必須經過支付寶結算系統,這時不只是把訂單和結算信息交給支付寶,還同時移交了Kakao帳號和不完整形式的電子郵箱、電話號碼信息。金融監督院表示,Kakao Pay從2019年11月開始以這種形式共向支付寶提供了5.5億件信息。金融監督院人士表示:「Kakao Pay在使用支付寶進行中國國內結算的初期,只提供了簡單的訂單信息,之後不必要地擴大了提供的信息。」
向支付寶提供Kakao帳號ID是用戶可選的同意事項。即使不提供ID,海外支付也沒有問題。金融監督院表示,但Kakao Pay以使用海外結算的用戶為對象,將Kakao帳號ID介紹成必須向支付寶提供才能使用服務的必須同意事項。