近日,韩国金融监督局(Financial Supervisory Service,以下简称“FSS”)公布了一项对Kakao Pay海外支付部门的调查,称其在今年5月至7月对Kakao Pay外汇交易进行检查时发现,Kakao Pay在未获得客户同意的情况下,自2018年 4月至今,向境外提供涉及约4045万用户的约542亿条个人信息,境外接收方为支付宝在新加坡设立的分公司(以下简称“支付宝”)。 FSS称,Kakao Pay未经同意就向境外提供个人信息行为违反了韩国《信用信息使用和保护法》(Credit Information Use and Protection Act)。
涉及的业务场景
Kakao Pay是韩国领先的移动支付和数字金融平台,由Kakao公司运营,用户可以通过智能手机轻松进行线上和线下支付、转账、投资、账单支付等多种金融交易,同时平台还提供信用卡、保险、贷款等一站式金融服务。 由于Kaokao Pay尚未建立完整的国际支付体系,其与支付宝合作,Kakao Pay用户可以在支付宝签约的海外商户使用Kakao Pay进行支付。支付宝签约的商户包括全球46个国家的8100万个在线/线下商户,例如阿里巴巴、Temu、谷歌、苹果等,韩国用户可以在中国及其他支持支付宝的国家和地区使用Kakao Pay完成支付,极大地增强了Kakao Pay的国际支付能力。
图:Kakao Pay与支付宝的海外支付业务处理结构
(翻译自FSS公布的调查报告,见参考资料1)
根据FSS披露的信息,Kakao Pay在结算海外支付款项的业务场景下,以计算NSF评分为名向支付宝提供了不必要的用户信用信息。 (NSF评分 是苹果公司在其统一支付系统中需要的用户信用分数)
根据FSS的调查报告,Kakao Pay提供用户信用信息的数量、频次和范围为“从2018年4月至今,每天一次,累计提供542亿条,涉及4045万名用户。这些信息包括: 1. 用户识别信息:哈希处理的“Kakao账号ID/手机号码/电子邮件”、未哈希处理的“手机身份验证时生成的号码”(设备ID); 2. 用户注册信息Kakao Pay注册日期、Kakao Pay Money(以下简称“Pay Money”)注册日期、客户验证(KYC)实施情况、是否为休眠账户; 3. Pay Money交易记录:Pay Money余额、最近7天的Pay Money充值次数、最近7天的Pay Money提现次数、最近7天的Pay Money支付情况、最近1天的Pay Money支付情况、最近1天的Pay Money支付金额、当天是否使用转账服务、最近7天的转账服务使用次数; 4. 注册卡的交易记录:卡片注册情况、注册卡的数量、最近7天的注册卡借记次数、最近7天的Kakao Pay支付交易次数及支付商户数量。 FSS提出,Kakao Pay在国内客户使用Kakao Pay进行海外支付时,完成结算仅需要与支付宝共享订单和支付信息,但Kakao Pay却提供了很多不必要的用户信用信息。 此外,Kakao Pay并未正确向用户告知“接收方的实际用途”,而是在同意书上错误地将接收方(支付宝)的用途标记为“支付网关业务(支付批准/结算)执行”。而且,尽管用户不同意也不会影响海外支付,但错误地将这一项作为必须同意的事项而非选择性同意事项。 对于FSS公开的调查信息,Kakao Pay称,并不存在非法向支付宝提供用户信息的行为,理由包括: 1. 相关的信息提供行为是基于无需客户同意的业务委托关系,属于个人信用信息委托处理; 2. 数据经过严格加密传输,且无法推测出原始数据。 对于Kakao Pay的第一项理由,FSS认为,Kakao Pay的相关业务获得不属于委托处理的情形,Kakao Pay与支付宝签订的协议书仅涉及提供海外支付服务的双方角色和责任,并未与支付宝就前述用户个人信息的提供活动签订任何委托合同。Kakao Pay的声明并不属实,哈希处理(加密)并未使用随机值,并且加密函数结构从未改变,因此即使是普通人也可以通过公开的解密程序恢复数据。 对于Kakao Pay的第二项理由,FSS认为,Kakao Pay使用的是市场上最常见的加密程序,这项加密很简单,没有输入任何随机因素,而且这家韩国金融科技公司从未更改过密码。FSS表示在测试期间,他们能够使用广泛可用的解密工具完全解密手机号码和 Kakao Pay ID,但姓名除外。而且,FSS认为,即使经过哈希处理,相关法律规定此类信息仍属于可识别信息,依然需要用户同意。 韩国FSS计划很快向 Kakao Pay 发送一份报告,详细说明检查期间发现的不公平和非法行为,并将要求 Kakao Pay 就其调查结果作出正式解释。 目前, FSS也启动了对另外两个在线支付软件 Naver Pay 和 Toss的相关调查,以确定他们是否在未经客户同意的情况下将个人信用信息转移给第三方。 (完)
参考资料:
1. https://eiec.kdi.re.kr/policy/callDownload.do?num=255766&filenum=1&dtime=20240816141630 2. https://www.chosun.com/english/industry-en/2024/08/14/L3NOFG4RJFBN5IXMBZTTWN6RLU/
【延申阅读】
中心动态 03
数据信任与治理
“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展,探索可信数据治理的中国模式,促进数据要素有序流通,释放数字经济红利。
TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.