# Flock Safety의 개인정보 수집 거부 요청과 회사의 대응

> Clean Markdown view of GeekNews topic #28535. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=28535](https://news.hada.io/topic?id=28535)
- GeekNews Markdown: [https://news.hada.io/topic/28535.md](https://news.hada.io/topic/28535.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-04-15T09:52:37+09:00
- Updated: 2026-04-15T09:52:37+09:00
- Original source: [honeypot.net](https://honeypot.net/2026/04/14/i-wrote-to-flocks-privacy.html)
- Points: 2
- Comments: 1

## Topic Body

- 캘리포니아 거주자가 **Flock Safety**에 본인과 가족, 차량 관련 **개인정보 삭제 및 수집 금지 요청**을 제출함
- 회사는 자신이 **데이터 처리자(Processor)** 일 뿐이며, 데이터의 통제권은 **고객 기관**에 있다고 밝히며 요청을 거부함
- 회신에서 **데이터 판매 금지**, **30일 자동 삭제 정책**, **공공장소 차량 이미지 중심의 수집 범위** 등을 설명함
- 요청자는 Flock Safety가 실제로 **개인식별정보를 직접 처리**하므로 삭제 의무가 있다고 주장함
- 법적 대응은 아직 미정이며, **변호사 선임 가능성**을 열어둔 상태임

---

### Flock Safety의 개인정보 삭제 요청과 대응
- 캘리포니아 거주자가 **Flock Safety**에 CCPA(캘리포니아 소비자 개인정보 보호법)에 따른 **개인정보 삭제 및 수집 금지 요청**을 이메일로 제출함
  - 요청 내용은 본인, 차량, 가족 구성원 관련 정보를 모든 데이터베이스에서 삭제하고, 향후 수집·저장을 금지한다는 요구였음
- Flock Safety는 회신에서 **요청을 처리할 수 없다고 통보**함
  - 회신 메일에는 수신자의 이름이 두 차례 잘못 표기됨
  - 회사는 “Flock Safety는 고객을 대신해 데이터를 처리하는 서비스 제공자이자 프로세서이며, 데이터의 소유자와 통제자는 고객”이라고 명시
  - 따라서 삭제 요청은 Flock Safety가 아닌, **서비스를 이용한 기관(고객)** 에 직접 제출해야 한다고 안내함
- 회사는 추가로 **데이터 수집 및 보관 정책**을 설명함
  - **고객 계약**에 따라 데이터 처리 범위와 제한이 정해지며, 고객이 데이터의 소유자임
  - **데이터 판매 금지**: Flock Safety는 고객의 지시에 따라 데이터를 처리하며, 상업적 목적으로 판매하거나 공유하지 않음
  - **수집 정보**: 차량 번호판 인식기(LPR)는 이름이나 주소 같은 민감 정보가 아닌, **공공장소에서 촬영된 차량 이미지와 외관 정보**만 수집
  - **이용 목적**: 고객은 공공 안전 관리, 사건 대응, 범죄 해결 등 **보안 목적**으로 데이터를 사용
  - **보관 기간**: 기본적으로 30일 후 데이터가 자동 삭제되며, 고객은 법률이나 정책에 따라 기간을 조정 가능
- Flock Safety는 더 자세한 내용은 **Privacy Policy**와 **LPR Policy**를 참고하라고 안내함

### 법적 해석과 개인의 입장
- 요청자는 Flock Safety의 답변이 **법적으로 부정확하다고 판단**함
  - 이유는 Flock Safety가 실제로 **개인식별정보(PII)** 를 수집·처리하는 주체이기 때문임
  - CCPA에 따르면 이러한 정보 처리자는 **삭제 요청에 응해야 할 의무**가 있다고 해석함
- 현재 **법적 대응 여부는 미정**이며, 변호사 선임 가능성을 열어둔 상태임

## Comments



### Comment 55355

- Author: neo
- Created: 2026-04-15T09:52:38+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=47768813) 
- 내가 이 글을 썼음. **Flock**이 내 요청을 들어줄 거라 기대하지는 않았지만, **실험 삼아** 시도해봤음. 그런데 그들의 답변이 마음에 걸렸음. 그들은 “데이터는 고객의 것이고, 고객이 사용과 공유를 결정한다”고 말했는데, 이는 **CCPA**의 취지와 정면으로 충돌함. 내 데이터인데 왜 그들의 고객이 통제권을 가지는지 이해가 안 됨. 기대는 없었지만, 이런 식으로 거절당한 건 실망스러움
  - 그들의 말은 “우리에게 연락하지 말고, 카메라 소유자에게 연락하라”는 뜻이었음. 하지만 데이터는 **Flock 서버**에 저장되어 있음. 단순히 저장 공간을 빌려줬다고 해서 데이터 소유권이 없는 건 아니라는 게 핵심임. 더 나아가, 시스템 설계 자체가 **프라이버시 침해를 유발**하도록 되어 있다는 점이 문제임. 이게 바로 Flock에 대한 핵심 비판이며, 법정에서 다뤄지면 흥미로울 것 같음
  - 그들에게 다시 연락해서 “그럼 고객 목록을 주고, 새 고객이 생길 때마다 알려달라”고 요청해보면 어떨까 싶음
  - 판사가 Flock이 시스템을 얼마나 **실질적으로 통제**하는지 검토하면 흥미로울 것 같음. 개인 데이터 수집을 이렇게 쉽게 만드는 시스템을 구축했다면, 삭제 요청을 처리하는 절차도 그만큼 **간편하게** 만들어야 함. 결국 소비자들이 이런 상황을 용인했기 때문에 기업들이 프라이버시를 가볍게 여기는 세상이 된 것임. 이런 문제에 관심을 가지는 개인들이 있다는 게 다행임. 혹시 법적 대응 비용을 **후원**할 방법이 있을까 궁금함
  - **LegalEagle** 같은 유튜버를 끌어들이면 주목을 받을 수 있을 것 같음. **Benn Jordan**도 전문가 증인으로 나서면 흥미로울 듯함
  - 그런데 정말 그게 “내 데이터”인가? 내가 운전하다가 남의 집 **Ring 카메라**에 찍혔다면, 그 영상의 소유권이 나에게 있다고 주장할 수 있을까?

- 이런 요청이 법적으로 말이 되는지 모르겠음. 예를 들어, 한 도시가 **ALPR 시스템**을 설치해 범죄 증거를 수집하는데, 개인이 Flock에 “내 데이터는 수집하지 말라”고 요청할 수는 없음. 이런 요구는 현행법상 너무 과도한 주장처럼 보임

- 최근 게시물에서 회사 이름이 “**Flock**”으로만 표기되고 “Flock Safety (YC S17)”은 빠져 있던데, [이전 글](https://news.ycombinator.com/item?id=47689237)에서도 그랬음. **YC 표기 방식**이 바뀐 건가 궁금함
  - 아마 YC가 **프라이버시 논란**에서 거리를 두려는 걸지도 모르겠지만, 솔직히 그럴 만큼 감이 있는지는 의문임
  - 요즘 전체적으로 그런 표기가 줄어든 것 같음. 어차피 제목은 제출자가 직접 쓰는 거라 자동화된 건 아님

- **Flock**이 “우리는 데이터 컨트롤러가 아니다”라는 이유로 **MN주**에서도 비슷하게 대응했음. [MCDPA](https://ag.state.mn.us/Data-Privacy/Consumer/)에 따라 삭제 요청 권리가 있는데도 말임
  - 그건 법을 따르는 것임. 주나 시 정부 고객들이 그런 요청을 받아들이길 원하지 않을 것임

- “Flock이 마음대로 할 수 있다”와 “Flock이 요청 시 데이터를 삭제해야 한다”의 차이는 결국 **법**임. 시민이 입법자를 뽑는 만큼, 이런 문제를 우선순위로 두게 하려면 **투표**로 압박해야 함
  - 예전에 본 [The Onion 기사](https://theonion.com/american-people-hire-high-powered-lobby...)가 떠오름

- 이건 어려운 싸움일 것 같음. Flock은 데이터를 **정부 소유**로 두고, 자신들은 단지 **보관 서비스 제공자**라고 주장함. AWS나 Google Cloud에 삭제 요청을 보내도 “우리는 단지 보관 중일 뿐”이라는 답을 받을 것임. 결국 법원 명령 없이는 삭제를 강제하기 어려움. 그래도 Flock이 데이터를 다른 목적으로 사용하지 않는다고 밝힌 점은 **클라우드 저장소 비유**를 강화함
  - 하지만 실제로 **클라우드 제공자가 데이터를 들여다보지 않는지** 확인할 방법은 내부 고발자 외엔 없지 않을까?

- [Flock의 LPR 정책 문서](https://www.flocksafety.com/legal/lpr-policy)에 따르면, 법적 요구나 보안·프라이버시 문제 해결을 위해 데이터를 사용할 수 있다고 명시되어 있음. 그렇다면 이 사례도 **프라이버시 이슈**에 해당하지 않나? 또한 “Trust Us” 섹션에서 **머신러닝 활용**에 대한 투명성이 부족함
  - 그들의 “**Transparency Portal**”을 보면, 실제로는 지역 기관 중 30% 이상이 이름조차 공개되지 않음

- 미국 내 이런 데이터 수집 관련 법에 따르면, 삭제 요청은 **지자체**에 해야 함. 관련 정보는 [deflock.org](https://deflock.org/)에서 확인 가능함. 이 사이트는 **콜로라도 볼더** 지역 주민이 운영함
  - 모든 지자체에 자동으로 요청을 보내는 시스템을 만들면 재미있을 것 같음

- 만약 Flock이 **PII 데이터를 처리**한다면, 그들의 고객은 모두 **하위 처리자(subprocessor)** 가 됨. 따라서 Flock은 이들과 **데이터 처리 계약(DPA)** 을 맺어야 함. 삭제 요청이 들어오면 AWS, GCP, Cloudflare 같은 모든 하위 처리자에게도 전달되어야 함
  - 하지만 실제로는 반대임. Flock이 **하위 처리자**이고, 데이터를 수집하도록 의뢰한 **도시나 지자체**가 컨트롤러임. 따라서 요청은 그쪽으로 해야 함

- 만약 그들의 변명이 유효하다면, **CCPA는 무용지물**임
  - 하지만 애초에 요청이 **유효하지 않았을 수도 있음**. 예를 들어, 경찰을 대신해 속도 카메라를 운영하는 업체에 “내 사진을 지워달라”고 요청할 수는 없음. 데이터는 정부 소유이기 때문임
  - 게다가 규제는 제정되는 순간부터 **우회로**가 만들어짐. 법이 생기기도 전에 이미 빠져나갈 구멍이 설계되어 있음