韓國金融監督院近日調查發現,韓國最大行動支付業者Kakao Pay未經用戶同意,將4,045萬人的個人信用資訊移交給中國阿里巴巴旗下的金融結算企業支付寶。據悉,自2018年4月起迄今,逾6年的使用Kakao Pay的所有人的Kakao Pay ID、手機號碼、電子郵件帳號、註冊Kakao Pay和交易明細都被移交出去。
韓媒朝鮮日報報導,韓國金融監督院13日公布包含上述內容的《對Kakao Pay海外結算部門的現場檢查結果》。金融監督院表示,Kakao Pay以每天加密一次的形式向支付寶提供了會員個人信用資訊,累計達到542億件。金融監督院方面人士表示「Kakao Pay的月用戶數約為2,500萬人,加上休眠和退出的用戶數,至少超過4,000萬人。」
支付寶是支持蘋果、谷歌、全球速賣通、Temu等46個國家的8,100萬家線上線下加盟店金融結算業務的企業。支付寶也是持有Kakao Pay 32%股份的第二大股東。Kakao Pay沒有自己的海外支付網,因此與支付寶合作提供海外支付服務。但Kakao Pay還加密了未使用海外支付的使用者的信用資訊,將其轉交給了支付寶。
金融監督院還對Kakao Pay的資訊加密水準提出了質疑。金融監督院測試後發現,可以用在網上很容易找到的密碼破解程式,恢復除名字以外的手機號碼和Kakao Pay ID等內容。
Kakao Pay表示「我們沒有非法提供資訊。我們會在今後的調查過程中做出解釋。」金融監督院表示,會經過周密的法律研究後迅速進行制裁程式,同時對類似案例進行進一步審查。
Kakao Pay把加密個人信用資訊移交給支付寶這件事本身並不違法。Kakao Pay在韓國消費者經常使用的蘋果要求「具備評價使用蘋果應用商店的使用者信用度系統」後,委託支付寶構建系統,並在此過程中提供了使用者資訊。
問題在於Kakao Pay在沒有得到使用者同意,未與支付寶簽訂具體合約,以及連不需要轉交的未使用海外結算的使用者的資訊都轉交出去。對此,Kakao Pay相關人士解釋稱「這是因為提供了海外支付潛在使用者的資訊,是蘋果要求提供的。」
Kakao Pay方面解釋說,與支付寶簽訂合約,加密程度很高,很難識別個人資訊。Kakao Pay為了提供海外支付服務,與支付寶簽訂使用者資訊委託和受託合約,提供的資訊經過了徹底加密,因此除了探測目的之外,定期結算使用者的信用不能被用於其他目的。
報導稱,Kakao Pay主張Kakao Pay和支付寶為了構建信用度確認系統,建立了個人信用資訊處理委託關係,在此情況下,就算轉交個人信用資訊,也不需要得到使用者的同意。根據《信用資訊法》第17條第1款規定「在因委託處理個人信用資訊而提供資訊的情況下,無需徵得資訊主體的同意。」
不過,金融監督院予以反駁。在今年5〜7月進行的Kakao Pay現場檢查中,沒有找到任何證據證明Kakao Pay簽訂上述提到的委託和受託合約。金融監督院相關人士表示「雖然兩家公司簽訂了約定書,但只是對兩家公司在提供海外結算服務方面的作用和責任進行規定,根本沒有記述信用分數計算系統相關的委託和受託內容。」
Kakao Pay主張「在向支付寶提供資訊時,採用了用隨機代碼變更的加密方式。無法指定用戶,信用也無法用於檢測以外的目的。」亦即加密後提供給支付寶的使用者個人資訊,只有擁有原始資料的Kakao Pay能夠識別。
但金融監督院指出,Kakao Pay的個人信用資訊加密水準並不精密,普通人也可以破解密碼。金融監督院實務負責人在檢查過程中破解了Kakao Pay的密碼。成功解密的負責人並非出身電腦相關專業。一位金融監督院方面人士表示「Kakao Pay的加密方式非常簡單。谷歌等線上網站上有普通人也可以訪問的『解密程式』,我們有員工利用該程式解除了加密。」
報導指出,Kakao Pay除了洩露全體會員個人信用資訊的事件外,還被指責盲目洩露了實際使用海外結算的使用者資訊。例如,如果在中國用Kakao Pay結算,必須經過支付寶結算系統,這時不只是把訂單和結算資訊交給支付寶,還同時移交了Kakao帳號和不完整形式的電子郵箱、電話號碼資訊。金融監督院表示,Kakao Pay從2019年11月起以這種形式共向支付寶提供了5.5億件資訊。金融監督院人士表示「Kakao Pay在使用支付寶進行中國國內結算的初期,只提供了簡單的訂單資訊,之後不必要地擴大了提供的資訊。」
向支付寶提供Kakao帳號ID是用戶可選的同意事項。即使不提供ID,海外支付也沒有問題。金融監督院表示,但Kakao Pay以使用海外結算的使用者為物件,將Kakao帳號ID介紹成必須向支付寶提供,才能使用服務的必須同意事項。
發表意見
當您使用本網站留言服務時,視為已承諾願意遵守中華民國相關法令及一切使用網際網路之國際慣例。若您是中華民國以外之使用者,並同意遵守所屬國家或地域之法令。
您同意並保證不得利用本留言服務從事侵害本公司或他人權益及相關違法或未經本公司事前同意之行為(以下簡稱禁止行為),否則您除應自負文責外,並同意本公司逕行移除或修訂您的留言內容或限制您的留言權利或封鎖您的帳號,絕無異議。前述禁止之行為,包括但不限於: