주메뉴바로가기본문바로가기
비즈한국 비즈한국

Kelalaian Pengelolaan Data Pribadi Kembali Menjerat Kakao Pay… Mengapa 'Rantai' Ini Tak Bisa Diputus?

Artikel ini diterjemahkan secara otomatis oleh AI. Mungkin terdapat perbedaan dengan artikel asli berbahasa Korea.  Read original in Korean →

[비즈한국] Di tengah penguatan hukum dan sistem terkait data pribadi, sanksi pemerintah terhadap perusahaan yang menunjukkan kelemahan dalam pengelolaan data pelanggan juga semakin tegas. Kakao035720, yang pada bulan Mei tahun ini dikenai denda terbesar dalam sejarah perusahaan domestik karena melanggar Undang-Undang Perlindungan Informasi Pribadi, kembali menjadi pusat kontroversi. Hal ini terjadi setelah Layanan Pengawasan Keuangan (FSS) memulai prosedur sanksi karena menilai Kakao Pay377300 telah memberikan informasi kredit pelanggan kepada Alipay asal Tiongkok tanpa izin. Meskipun hukuman 'ringan' bagi pelanggaran cenderung mulai diperbaiki, muncul kritik bahwa perusahaan yang menjadikan data pelanggan sebagai sumber bisnis mereka justru merespons perubahan sistem dengan sikap yang pasif.

개인정보 관련 제재가 강화되고 있는 가운데 카카오가 카카오페이 고객정보 국외 이전으로 다시 논란의 중심에 섰다. 경기 성남시 카카오 판교 아지트. 사진=박은숙 기자
Di tengah diperketatnya sanksi terkait data pribadi, Kakao kembali menjadi pusat kontroversi akibat pemindahan data pelanggan Kakao Pay ke luar negeri. Kakao Pangyo Agit, Seongnam-si, Gyeonggi-do. Foto = Reporter Park Eun-sook

“Tugas titipan yang normal” vs “Penyediaan pihak ketiga tanpa persetujuan terpisah”

Posisi FSS dan Kakao Pay sangat bertolak belakang mengenai fakta bahwa Kakao Pay telah memberikan informasi kredit pribadi kepada Alipay untuk layanan pembayaran Apple App Store tanpa persetujuan pelanggan. FSS melihat hal ini sebagai 'penyediaan kepada pihak ketiga', sementara Kakao Pay berdalih bahwa itu adalah pemindahan informasi untuk kepentingan bisnis yang sejak awal tidak memerlukan persetujuan pelanggan.

Dalam inspeksi lapangan yang dilakukan antara bulan Mei hingga Juli tahun ini, FSS menemukan bahwa Kakao Pay telah memberikan 54,2 miliar data informasi kredit pribadi kepada Alipay selama kurang lebih 6 tahun sejak April 2018, yang mencakup ID akun Kakao, nomor telepon, alamat email, riwayat pendaftaran, serta riwayat transaksi Kakao Pay (isi ulang, penarikan, pembayaran, transfer, saldo) milik 40,45 juta pengguna secara kumulatif.

Setelah Kakao Pay mengklaim melalui materi penjelasan bahwa itu adalah 'pemindahan informasi antar pihak pemberi dan penerima tugas', FSS mengeluarkan materi referensi pers dan langsung membantah. Tampak terjadi pertarungan logika yang sengit karena hubungan kontrak kedua perusahaan dan tujuan awal penyediaan informasi adalah poin utama yang menentukan aspek ilegalitas. Berdasarkan hukum terkait, jika itu merupakan hubungan pemberi dan penerima tugas (outsourcing), persetujuan pelanggan tidak diperlukan dan cukup dengan pemberitahuan. Sebaliknya, jika diberikan kepada pihak ketiga, prosedur persetujuan pelanggan secara terpisah bersifat wajib. Dalam hubungan outsourcing, informasi yang dipindahkan hanya digunakan agar penerima tugas (Alipay) dapat menangani tugas atas nama pemberi tugas (Kakao Pay), namun jika informasi pelanggan digunakan untuk kepentingan pihak penerima (Alipay), maka itu tidak terkait dengan tujuan pengumpulan awal, sehingga harus mendapatkan persetujuan terpisah.

FSS sebut tidak ada bukti ‘kontrak outsourcing skor kredit’…

Muncul pandangan bahwa dalam kasus ini, prosedur untuk membedakan antara tugas outsourcing dan penyediaan pihak ketiga sebenarnya bisa dilakukan dengan relatif jelas. Choi Kyung-jin, Profesor Hukum di Gachon University, menjelaskan, “Kontrak outsourcing memiliki alat standar. Jika kontrak antara Kakao Pay dan Alipay dibandingkan dengan kontrak outsourcing yang dilakukan Kakao Pay dengan perusahaan domestik lain dan ternyata serupa, maka ada kemungkinan itu adalah outsourcing. Sebaliknya, jika ada perbedaan isi kontrak, maka hal itu bertolak belakang dengan argumen Kakao Pay.”

사진=카카오페이 홈페이지
Foto = Situs web Kakao Pay

Otoritas keuangan menilai bahwa berdasarkan kontrak kedua perusahaan, penyediaan informasi kredit pelanggan tanpa izin oleh Kakao Pay adalah tindakan yang jelas. FSS menyatakan, “Setelah memeriksa seluruh kontrak (9 dokumen) yang ditandatangani Kakao Pay dengan Alipay, tidak ada satu pun isi mengenai Kakao Pay memberikan tugas ‘perhitungan/penyediaan skor NSF (skor kredit)’ kepada Alipay.” Fakta bahwa masuknya ke Apple Store adalah bisnis yang menguntungkan kedua belah pihak, pemindahan data pribadi bertujuan untuk kepentingan Alipay dan Kakao Pay, serta Kakao Pay tidak pernah melakukan pengelolaan atau pengawasan terhadap Alipay sebagai pemberi tugas, juga menjadi dasar FSS menganggap pemrosesan informasi kredit oleh Kakao Pay adalah ilegal.

Dalam hubungan outsourcing, pemberi tugas memiliki kewajiban pengelolaan dan pengawasan terhadap penerima tugas. Namun, dalam kasus penyediaan pihak ketiga, tanggung jawab hanya ada pada pemberian informasi melalui prosedur legal, dan kewajiban pengelolaan/pengawasan ditanggung oleh pihak yang menerima. Selain itu, meskipun terdapat kontrak outsourcing, jika terbukti bahwa Alipay memproses informasi untuk kepentingannya sendiri, maka masalahnya bisa menjadi jauh lebih rumit.

Masalah kecukupan ruang lingkup informasi yang diberikan kepada Alipay juga menjadi isu utama. Dalam materi penjelasannya, Kakao Pay menegaskan, “Saat memberikan informasi ke Alipay, kami menerapkan metode enkripsi yang mengubah data menjadi kode acak sehingga tidak bisa diidentifikasi, dan informasi tersebut tidak dapat digunakan untuk tujuan selain deteksi pembayaran ilegal.” Karena kasus ini sedang dalam penyelidikan, Kakao Pay menahan diri untuk memberikan tanggapan tambahan setelah mengeluarkan materi penjelasan dan fokus memberikan klarifikasi kepada pihak berwenang.

Meski sanksi data pribadi diperketat, perusahaan tetap jalan di tempat

Informasi yang dipindahkan Kakao Pay ke Alipay adalah data samaran yang telah diproses agar isinya tidak dapat diidentifikasi. Data samaran memiliki tingkat identifikasi rendah jika enkripsi kompleks diterapkan, namun jika berbagai informasi digabungkan hingga bisa mengungkap data asli, maka akan muncul masalah keamanan. Pada tahun 2016, 'Pedoman De-identifikasi Data Pribadi' yang mengizinkan penyediaan data di luar tujuan jika telah dilakukan de-identifikasi, sempat menjadi tidak berlaku setelah mendapat penolakan masyarakat sipil. Setelahnya, terjadi berbagai trial and error hingga penetapan konsep, seperti diberlakukannya 'Tiga Undang-Undang Data' yang memandang data samaran sebagai data pribadi. Sistem data samaran yang diperkenalkan pada Agustus 2020 untuk membina industri data, menetapkan data samaran sebagai data pribadi yang tunduk pada UU Perlindungan Informasi Pribadi, serta mengatur pengelolaan dan penggunaan yang berbeda tergantung pada apakah itu bentuk outsourcing atau penyediaan pihak ketiga.

경기 성남시 카카오 판교 아지트. 사진=박은숙 기자
Kakao Pangyo Agit, Seongnam-si, Gyeonggi-do. Foto = Reporter Park Eun-sook

Mempertimbangkan tren peningkatan level sanksi terkait data pribadi terhadap perusahaan swasta baru-baru ini, diprediksi Kakao Pay kemungkinan akan menerima denda yang berat. Otoritas keuangan menilai Kakao Pay melanggar dua undang-undang sekaligus: UU Perlindungan Informasi Pribadi dan UU Informasi Kredit. Sebelumnya, UU Informasi Kredit menetapkan denda maksimal '3% dari pendapatan terkait' pada tahun terjadinya pelanggaran. Namun, sejak undang-undang revisi diberlakukan September tahun lalu, besaran denda diperluas secara drastis menjadi maksimal '3% dari total pendapatan' pada tahun tersebut. Sebelumnya pada bulan Mei, Kakao terkena denda sebesar 15,14 miliar won karena pelanggaran kewajiban tindakan pengamanan informasi peserta ruang obrolan terbuka. Meskipun UU yang berlaku adalah versi sebelum revisi, itu merupakan jumlah terbesar dalam sejarah. Mengingat argumen kedua belah pihak sangat bertentangan, kemungkinan besar kasus ini akan berlanjut ke perselisihan hukum bahkan setelah level sanksi ditetapkan. Diperkirakan akan memakan waktu bertahun-tahun hingga ada keputusan akhir.

Dari dalam dan luar industri, muncul suara yang mengkritik lambannya respons perusahaan dalam mengikuti perubahan sistem. Seorang ahli mencatat, “Saat menyediakan data kepada pihak ketiga seperti Alipay, 'pemindahan ke luar negeri' berlaku, sehingga memerlukan persetujuan tambahan terpisah. Mengingat sentimen umum subjek data, ada penolakan terhadap pemindahan informasi ke perusahaan luar negeri, terutama di Tiongkok, dibandingkan dengan pemrosesan oleh perusahaan domestik. Beban ini mungkin ikut berpengaruh.” Namun, ia menambahkan, “Mengingat ini adalah tindakan yang bahkan bisa diancam hukuman pidana, menurut saya kemungkinan adanya kelalaian yang disengaja kecil. Ini adalah kasus yang menunjukkan rendahnya tingkat kesadaran mengenai perlindungan dan pemrosesan data pribadi.”

Di masyarakat sipil, suara-suara yang menunjuk pada keterbatasan sistem juga muncul. Dewan Warga Kedaulatan Konsumen menegaskan, “Sulit untuk memandang kebocoran informasi kredit pribadi oleh Kakao Pay sebagai masalah Kakao Pay semata.” Mereka menambahkan, “Meskipun kecelakaan kebocoran data pribadi terus terjadi di berbagai bidang akhir-akhir ini, tidak terlihat langkah pencegahan terperinci atau sanksi peringatan yang tegas.” Ada juga pandangan bahwa meskipun sanksi atas kelalaian pengelolaan data pribadi diperketat, arah kebijakan pemerintah terkait data pribadi masih ambigu. Oh Byung-il, Direktur Progressive Network Center, mengkritik, “Perusahaan cenderung berusaha mempersempit ruang lingkup dan kewajiban data pribadi, sementara pemerintah juga cenderung menafsirkan aturan secara longgar dengan mempertimbangkan aspek industri.”

Artikel ini diterjemahkan secara otomatis oleh AI. Mungkin terdapat perbedaan dengan artikel asli berbahasa Korea.
강은경 기자

기술과 산업을 취재하고 씁니다.

gong@bizhankook.com
저작권자 ⓒ 비즈한국 무단전재 및 재배포 금지