GN⁺: 미국 연방통신위원회(FCC), 위치 데이터 공유로 최대 이동통신사에 과징금 부과
(docs.fcc.gov)- FCC는 AT&T, Sprint, T-Mobile, Verizon에게 고객 동의 없이 위치 정보를 제3자에게 불법적으로 공유한 것에 대해 총 2억 달러에 가까운 벌금을 부과함
- Sprint와 T-Mobile은 조사가 시작된 이후 합병되었으며, 각각 1,200만 달러와 8,000만 달러의 벌금을 직면함
- AT&T는 5,700만 달러 이상, Verizon은 4,700만 달러 가량의 벌금이 부과됨
고객 데이터 보호 의무 위반
- FCC 집행국 조사 결과, 각 통신사는 고객의 위치 정보에 대한 액세스를 "집계자"에게 판매했고, 이들은 다시 제3자 위치 기반 서비스 제공업체에 액세스를 재판매함
- 각 통신사는 고객 동의를 얻을 의무를 위치 정보의 하류 수신자에게 전가하려 했으며, 이는 대부분의 경우 유효한 고객 동의를 얻지 않았음을 의미함
- 이러한 초기 실패는 안전장치가 효과가 없다는 것을 인식한 후에도 통신사가 무단 액세스로부터 보호하기 위한 합리적인 조치를 취하지 않고 계속해서 위치 정보에 대한 액세스를 판매했을 때 더욱 악화됨
통신법 222조에 따른 고객 정보 보호 의무
- 통신법 222조를 포함한 법률에 따라 통신사는 위치 정보를 포함한 특정 고객 정보를 보호하기 위해 합리적인 조치를 취해야 함
- 또한 통신사는 고객 정보의 기밀성을 유지하고, 해당 정보를 사용, 공개 또는 액세스를 허용하기 전에 적극적이고 명시적인 고객 동의를 얻어야 함
- 이러한 의무는 통신사가 제3자와 고객 정보를 공유할 때도 동일하게 적용됨
FCC 집행국장 Loyaan A. Egal의 발언
- "위치 정보와 같은 민감한 개인 데이터의 보호와 사용은 신성불가침한 것"
- "잘못된 사람의 손에 넘어가거나 악의적인 목적으로 사용되면 우리 모두를 위험에 빠뜨림"
- "해외 적대세력과 사이버 범죄자들은 이 정보를 손에 넣는 것을 우선시 해왔기 때문에 서비스 제공업체가 고객 위치 데이터를 보호하고 그 사용에 대한 유효한 동의를 얻기 위한 합리적인 보호 장치를 갖추도록 하는 것이 집행국의 최우선 과제"
2020년 2월 발행된 Notices of Apparent Liability (NAL) 최종 확정
- 오늘 발표된 Forfeiture Orders는 2020년 2월 이들 통신사에 발행된 Forfeiture Orders를 최종 확정함
- AT&T와 Sprint의 벌금 금액은 NAL 단계 이후 변경되지 않았음
- T-Mobile과 Verizon의 벌금은 NAL에 대한 당사자의 제출물을 추가 검토한 후 감액되었음
- 법률은 NAL 발행 후 특정 위반에 대한 벌금 금액이 상향 조정되는 것을 허용하지 않음
GN⁺의 의견
- 통신사들이 고객의 민감한 위치정보를 무단으로 유출하고 이를 막기 위한 안전장치도 제대로 마련하지 않은 것은 매우 심각한 문제라고 봄. 특히 해외 적대세력과 사이버 범죄자들이 이런 정보를 노리고 있다는 점에서 더욱 그러함
- 다만 이번 조치가 너무 늦은 감이 있음. 이미 2020년에 벌금 부과가 예고되었던 것으로 보이는데 4년이나 지난 시점에서야 최종 결정이 났다는 것은 문제가 있어 보임. 고객 정보 유출에 대한 신속하고 엄중한 조치가 필요해 보임
- 한편 벌금 금액이 이 정도 규모의 통신사들에게는 큰 타격이 되지 않을 수 있음. 고객 정보 유출 재발 방지를 위해서는 더 강력한 제재 수단이 필요할 수 있음
- 국내 통신사들은 이번 사례를 타산지석으로 삼아, 고객 정보 보호를 위한 안전장치를 더욱 강화하고 관련 법규를 철저히 준수하려는 노력이 필요해 보임. 특히 위치정보와 같은 민감한 정보의 경우 더욱 신중을 기해야 할 것임
Hacker News 의견
Here is a summary of the key points from the Hacker News comments, formatted as a bullet list using Markdown:
-
The core issue is transparency:
- Users want to see who companies have sold or given their information to and what limitations that sale has.
- If a company collects user data and allows another entity access, they should inform users and make it easy to block.
- Most abuse of personal data would go away if people knew it was happening.
-
The $200M fine is insignificant for these carriers:
- It would only take the combined daily revenue of T-Mobile, AT&T, and Verizon approximately 9 hours to generate $196 million in revenue.
- Nothing will likely change beyond adding a footnote to the privacy policy.
-
Concerns about the effectiveness of the FCC's action:
- Without requiring a separate opt-out, carriers could just add "sharing location data" to the EULA/privacy policy and continue with "consent".
- This seems like a temporary roadblock that changes nothing in the long run.
-
Positive reactions to the FCC's action:
- Some are happy to see the FCC taking action and encourage them to keep it up.
-
Questions about law enforcement bypassing warrants:
- There are concerns that US law enforcement may purchase this type of commercial data to get around having to obtain a warrant.
-
Related startup offering mobile service without personal data:
-
Caperaised $61M from A16Z and others for a mobile service that doesn't use personal data.
-
-
Comparison to the AT&T/NSA surveillance scandal:
- Some question if anyone was fined over AT&T letting the NSA tap into all decrypted network data, which seems more egregious.
-
Questions about the impact on location data aggregators:
- Some are curious if anyone using vendors like Zumigo, LocationSmart, or Microbilt has noticed weaker data signals/availability related to this.
- There are expectations that tracking sources will still be available but with new "more transparent" disclosures.
-
Questioning if Google Fi sells user location data:
- One commenter is curious if Google's own mobile service, Google Fi, sells users' real-time location data.