金融监督院13日公布了包含上述内容的《对Kakao Pay海外结算部门的现场检查结果》。金融监督院表示,Kakao Pay以每天加密一次的形式向支付宝方面提供了会员个人信用信息,累计达到542亿件。金融监督院方面人士表示:“Kakao Pay的月用户数约为2500万人,加上休眠和退出的用户数,至少超过4000万人。”
Kakao Pay表示:“我们没有非法提供信息。我们会在今后的调查过程中做出解释。”金融监督院表示,会经过周密的法律研究后迅速进行制裁程序,同时对类似案例进行进一步审查。
Kakao Pay把加密个人信用信息移交给支付宝这既是本身并不违法。Kakao Pay在韩国消费者经常使用的苹果要求“具备评价使用苹果应用商店的用户信用度系统”后,委托支付宝构建系统,并在此过程中提供了用户信息。
问题在于Kakao Pay在①没有得到用户同意的情况下,②在没有与支付宝方面签订具体合同的情况下,③连不需要转交的未使用海外结算的用户信息转交出去了很多。对此,Kakao Pay相关人士解释说:“这是因为提供了海外支付潜在用户的信息,是苹果要求提供的。”
在没有合同的情况下提供用户信息
Kakao Pay方面解释说,与支付宝签订了合同,加密程度很高,很难识别个人信息。Kakao Pay为了提供海外支付服务,与支付宝签订了用户信息委托和受托合同,提供的信息经过了彻底加密,因此除了探测目的之外,定期结算用户的信用不能被用于其他目的。
Kakao Pay主张,Kakao Pay和支付宝为了构建信用度确认系统,建立了个人信用信息处理委托关系,在此情况下,就算转交个人信用信息,也不需要得到用户的同意。《信用信息法》第17条第1款规定:“在因委托处理个人信用信息而提供信息的情况下,无需征得信息主体的同意。”
金融监督院对此进行了正面反驳。在今年5-7月进行的Kakao Pay现场检查中,没有找到任何证据证明Kakao Pay签订了上述提到的委托和受托合同。金融监督院相关人士表示:“虽然两家公司签订了约定书,但只是对两家公司在提供海外结算服务方面的作用和责任进行了规定,根本没有记述信用分数计算系统相关的委托和受托内容。”
当天,Kakao Pay主张:“在向支付宝提供信息时,采用了用随机代码变更的加密方式。无法指定用户,信用也无法用于检测以外的目的。”就是说,加密后提供给支付宝方面的用户个人信息只有拥有原始资料的Kakao Pay能够识别。
但金融监督院指出,Kakao Pay的个人信用信息加密水平并不精密。就是说,普通人也完全可以破解密码。金融监督院实务负责人在检查过程中破解了Kakao Pay的密码。成功解密的负责人并非出身计算机相关专业。一位金融监督院方面人士表示:“Kakao Pay的加密方式非常简单。谷歌等在线网站上有普通人也可以访问的‘解密程序’,我们有员工利用该程序解除了加密。”
被过度提供的海外付款用户信息
Kakao Pay除了泄露全体会员个人信用信息的事件外,还被指责盲目泄露了实际使用海外结算的用户信息。例如,如果在中国用Kakao Pay结算,必须经过支付宝结算系统,这时不只是把订单和结算信息交给支付宝,还同时移交了Kakao账号和不完整形式的电子邮箱、电话号码信息。金融监督院表示,Kakao Pay从2019年11月开始以这种形式共向支付宝提供了5.5亿件信息。金融监督院人士表示:“Kakao Pay在使用支付宝进行中国国内结算的初期,只提供了简单的订单信息,之后不必要地扩大了提供的信息。”
向支付宝提供Kakao账号ID是用户可选的同意事项。即使不提供ID,海外支付也没有问题。金融监督院表示,但Kakao Pay以使用海外结算的用户为对象,将Kakao账号ID介绍成必须向支付宝提供才能使用服务的必须同意事项。