Flock Safety, CCPA 요청 거부: 개인 정보 삭제는 불가능?

Flock Safety는 LPR(License Plate Reader) 기술을 활용하여 차량 번호판 정보를 수집하고, 이를 고객에게 제공하는 서비스를 제공한다. 데이터 격리 아키텍처(Data Isolation Architecture)를 통해 고객 데이터를 관리하며, 데이터 삭제 요청은 고객에게 문의하도록 안내한다. 하지만, 커뮤니티에서는 Flock Safety가 개인 식별 정보(PII)를 처리하는 주체이므로 CCPA를 준수해야 한다는 주장이 제기된다. 데이터 미저장 정책(Zero-Retention Policy)을 통해 30일 후 데이터를 삭제한다고 하지만, 이는 CCPA 준수와는 별개의 문제로 보인다.

논의에서는 CCPA의 '개인 정보' 정의와 '판매'의 범위를 두고 법적 해석이 엇갈린다. Flock Safety는 자신을 서비스 제공자(Service Provider)로 규정하며, 데이터 판매 행위가 없다고 주장한다. 하지만, 데이터 주체(Data Subject)는 Flock Safety가 개인 정보를 수집하고 처리하는 주체이므로, 삭제 요청에 응해야 한다고 주장한다. GDPR 규제 준수(GDPR Compliance)와 비교하여 CCPA의 허점을 지적하는 의견도 존재한다.

Flock Safety는 데이터 삭제 요청을 고객에게 문의하도록 안내하지만, 이는 기술적으로 복잡한 문제를 야기한다. 멀티모달 분석(Multimodal Analysis)을 통해 수집된 데이터는 여러 시스템에 분산되어 저장될 수 있으며, 정확한 삭제를 위해서는 각 시스템에 대한 접근 권한과 삭제 절차가 필요하다. 또한, AI 환각(Hallucination)을 방지하기 위해 데이터 삭제 과정의 투명성을 확보해야 한다. 데이터 처리 계약(Data Processing Agreement)을 통해 하위 처리자(Subprocessors)와의 관계를 명확히 해야 한다는 의견도 제시된다.

커뮤니티에서는 Flock Safety의 대응 방식에 대한 비판적인 시각이 지배적이다. 데이터 소유권(Data Ownership)을 고객에게 전가하는 것은 책임 회피로 비춰질 수 있으며, 개인 정보 보호(Privacy Protection)에 대한 의지가 부족하다는 지적이다. 또한, LPR(License Plate Reader) 기술의 오남용 가능성에 대한 우려도 제기되며, 투명성 확보(Transparency)와 책임 소재(Accountability)를 강화해야 한다는 목소리가 높다.