Flock Safety의 개인정보 수집 거부 요청과 회사의 대응
(honeypot.net)- 캘리포니아 거주자가 Flock Safety에 본인과 가족, 차량 관련 개인정보 삭제 및 수집 금지 요청을 제출함
- 회사는 자신이 데이터 처리자(Processor) 일 뿐이며, 데이터의 통제권은 고객 기관에 있다고 밝히며 요청을 거부함
- 회신에서 데이터 판매 금지, 30일 자동 삭제 정책, 공공장소 차량 이미지 중심의 수집 범위 등을 설명함
- 요청자는 Flock Safety가 실제로 개인식별정보를 직접 처리하므로 삭제 의무가 있다고 주장함
- 법적 대응은 아직 미정이며, 변호사 선임 가능성을 열어둔 상태임
Flock Safety의 개인정보 삭제 요청과 대응
- 캘리포니아 거주자가 Flock Safety에 CCPA(캘리포니아 소비자 개인정보 보호법)에 따른 개인정보 삭제 및 수집 금지 요청을 이메일로 제출함
- 요청 내용은 본인, 차량, 가족 구성원 관련 정보를 모든 데이터베이스에서 삭제하고, 향후 수집·저장을 금지한다는 요구였음
- Flock Safety는 회신에서 요청을 처리할 수 없다고 통보함
- 회신 메일에는 수신자의 이름이 두 차례 잘못 표기됨
- 회사는 “Flock Safety는 고객을 대신해 데이터를 처리하는 서비스 제공자이자 프로세서이며, 데이터의 소유자와 통제자는 고객”이라고 명시
- 따라서 삭제 요청은 Flock Safety가 아닌, 서비스를 이용한 기관(고객) 에 직접 제출해야 한다고 안내함
- 회사는 추가로 데이터 수집 및 보관 정책을 설명함
- 고객 계약에 따라 데이터 처리 범위와 제한이 정해지며, 고객이 데이터의 소유자임
- 데이터 판매 금지: Flock Safety는 고객의 지시에 따라 데이터를 처리하며, 상업적 목적으로 판매하거나 공유하지 않음
- 수집 정보: 차량 번호판 인식기(LPR)는 이름이나 주소 같은 민감 정보가 아닌, 공공장소에서 촬영된 차량 이미지와 외관 정보만 수집
- 이용 목적: 고객은 공공 안전 관리, 사건 대응, 범죄 해결 등 보안 목적으로 데이터를 사용
- 보관 기간: 기본적으로 30일 후 데이터가 자동 삭제되며, 고객은 법률이나 정책에 따라 기간을 조정 가능
- Flock Safety는 더 자세한 내용은 Privacy Policy와 LPR Policy를 참고하라고 안내함
법적 해석과 개인의 입장
- 요청자는 Flock Safety의 답변이 법적으로 부정확하다고 판단함
- 이유는 Flock Safety가 실제로 개인식별정보(PII) 를 수집·처리하는 주체이기 때문임
- CCPA에 따르면 이러한 정보 처리자는 삭제 요청에 응해야 할 의무가 있다고 해석함
- 현재 법적 대응 여부는 미정이며, 변호사 선임 가능성을 열어둔 상태임
Hacker News 의견들
-
내가 이 글을 썼음. Flock이 내 요청을 들어줄 거라 기대하지는 않았지만, 실험 삼아 시도해봤음. 그런데 그들의 답변이 마음에 걸렸음. 그들은 “데이터는 고객의 것이고, 고객이 사용과 공유를 결정한다”고 말했는데, 이는 CCPA의 취지와 정면으로 충돌함. 내 데이터인데 왜 그들의 고객이 통제권을 가지는지 이해가 안 됨. 기대는 없었지만, 이런 식으로 거절당한 건 실망스러움
- 그들의 말은 “우리에게 연락하지 말고, 카메라 소유자에게 연락하라”는 뜻이었음. 하지만 데이터는 Flock 서버에 저장되어 있음. 단순히 저장 공간을 빌려줬다고 해서 데이터 소유권이 없는 건 아니라는 게 핵심임. 더 나아가, 시스템 설계 자체가 프라이버시 침해를 유발하도록 되어 있다는 점이 문제임. 이게 바로 Flock에 대한 핵심 비판이며, 법정에서 다뤄지면 흥미로울 것 같음
- 그들에게 다시 연락해서 “그럼 고객 목록을 주고, 새 고객이 생길 때마다 알려달라”고 요청해보면 어떨까 싶음
- 판사가 Flock이 시스템을 얼마나 실질적으로 통제하는지 검토하면 흥미로울 것 같음. 개인 데이터 수집을 이렇게 쉽게 만드는 시스템을 구축했다면, 삭제 요청을 처리하는 절차도 그만큼 간편하게 만들어야 함. 결국 소비자들이 이런 상황을 용인했기 때문에 기업들이 프라이버시를 가볍게 여기는 세상이 된 것임. 이런 문제에 관심을 가지는 개인들이 있다는 게 다행임. 혹시 법적 대응 비용을 후원할 방법이 있을까 궁금함
- LegalEagle 같은 유튜버를 끌어들이면 주목을 받을 수 있을 것 같음. Benn Jordan도 전문가 증인으로 나서면 흥미로울 듯함
- 그런데 정말 그게 “내 데이터”인가? 내가 운전하다가 남의 집 Ring 카메라에 찍혔다면, 그 영상의 소유권이 나에게 있다고 주장할 수 있을까?
-
이런 요청이 법적으로 말이 되는지 모르겠음. 예를 들어, 한 도시가 ALPR 시스템을 설치해 범죄 증거를 수집하는데, 개인이 Flock에 “내 데이터는 수집하지 말라”고 요청할 수는 없음. 이런 요구는 현행법상 너무 과도한 주장처럼 보임
-
최근 게시물에서 회사 이름이 “Flock”으로만 표기되고 “Flock Safety (YC S17)”은 빠져 있던데, 이전 글에서도 그랬음. YC 표기 방식이 바뀐 건가 궁금함
- 아마 YC가 프라이버시 논란에서 거리를 두려는 걸지도 모르겠지만, 솔직히 그럴 만큼 감이 있는지는 의문임
- 요즘 전체적으로 그런 표기가 줄어든 것 같음. 어차피 제목은 제출자가 직접 쓰는 거라 자동화된 건 아님
-
Flock이 “우리는 데이터 컨트롤러가 아니다”라는 이유로 MN주에서도 비슷하게 대응했음. MCDPA에 따라 삭제 요청 권리가 있는데도 말임
- 그건 법을 따르는 것임. 주나 시 정부 고객들이 그런 요청을 받아들이길 원하지 않을 것임
-
“Flock이 마음대로 할 수 있다”와 “Flock이 요청 시 데이터를 삭제해야 한다”의 차이는 결국 법임. 시민이 입법자를 뽑는 만큼, 이런 문제를 우선순위로 두게 하려면 투표로 압박해야 함
- 예전에 본 The Onion 기사가 떠오름
-
이건 어려운 싸움일 것 같음. Flock은 데이터를 정부 소유로 두고, 자신들은 단지 보관 서비스 제공자라고 주장함. AWS나 Google Cloud에 삭제 요청을 보내도 “우리는 단지 보관 중일 뿐”이라는 답을 받을 것임. 결국 법원 명령 없이는 삭제를 강제하기 어려움. 그래도 Flock이 데이터를 다른 목적으로 사용하지 않는다고 밝힌 점은 클라우드 저장소 비유를 강화함
- 하지만 실제로 클라우드 제공자가 데이터를 들여다보지 않는지 확인할 방법은 내부 고발자 외엔 없지 않을까?
-
Flock의 LPR 정책 문서에 따르면, 법적 요구나 보안·프라이버시 문제 해결을 위해 데이터를 사용할 수 있다고 명시되어 있음. 그렇다면 이 사례도 프라이버시 이슈에 해당하지 않나? 또한 “Trust Us” 섹션에서 머신러닝 활용에 대한 투명성이 부족함
- 그들의 “Transparency Portal”을 보면, 실제로는 지역 기관 중 30% 이상이 이름조차 공개되지 않음
-
미국 내 이런 데이터 수집 관련 법에 따르면, 삭제 요청은 지자체에 해야 함. 관련 정보는 deflock.org에서 확인 가능함. 이 사이트는 콜로라도 볼더 지역 주민이 운영함
- 모든 지자체에 자동으로 요청을 보내는 시스템을 만들면 재미있을 것 같음
-
만약 Flock이 PII 데이터를 처리한다면, 그들의 고객은 모두 하위 처리자(subprocessor) 가 됨. 따라서 Flock은 이들과 데이터 처리 계약(DPA) 을 맺어야 함. 삭제 요청이 들어오면 AWS, GCP, Cloudflare 같은 모든 하위 처리자에게도 전달되어야 함
- 하지만 실제로는 반대임. Flock이 하위 처리자이고, 데이터를 수집하도록 의뢰한 도시나 지자체가 컨트롤러임. 따라서 요청은 그쪽으로 해야 함
-
만약 그들의 변명이 유효하다면, CCPA는 무용지물임
- 하지만 애초에 요청이 유효하지 않았을 수도 있음. 예를 들어, 경찰을 대신해 속도 카메라를 운영하는 업체에 “내 사진을 지워달라”고 요청할 수는 없음. 데이터는 정부 소유이기 때문임
- 게다가 규제는 제정되는 순간부터 우회로가 만들어짐. 법이 생기기도 전에 이미 빠져나갈 구멍이 설계되어 있음