GM, 동의 없이 운전 데이터 판매하다가 벌금

상시 인터넷에 연결된 커넥티드카에서 수집된 운전 데이터가 명확한 운전자 동의 없이 데이터 브로커에 판매된 사안과 관련해 미국 캘리포니아주 법무장관실은 GM(General Motors)와 합의했다고 발표했다. GM은 1,275만 달러 벌금을 납부하게 된다.

캘리포니아주 프라이버시 보호국 조사에 따르면 GM은 2020년부터 2024년까지 수십만 명에 달하는 캘리포니아주 주민 성명·연락처·위치 정보 데이터·운전 행동 데이터를 데이터 브로커인 베리스크 애널리틱스(Verisk Analytics)와 렉시스넥시스 리스크 솔루션스(LexisNexis Risk Solutions)에 판매한 것으로 드러났다.

보도에선 데이터는 보험사와 공유됐으며 보험료 재산정에 활용됐다고 보도했지만 이는 워싱턴주 거주 이용자 사례에 해당한다. 캘리포니아주는 보험료 산정 시 운전 데이터 참조를 금지하고 있어 데이터 판매로 인한 보험료 재산정 피해는 없었던 것으로 보인다.

하지만 GM은 데이터 브로커에 데이터를 판매한다는 사실을 전혀 고지하지 않고 수집된 데이터는 커넥티드카 지원 서비스인 온스타(OnStar) 가입자에게 필요한 서비스를 제공하는 목적으로만 사용된다고 암시해 소비자를 오인케 한 것으로 밝혀졌다.

또 데이터 판매 과정에서 2023년 캘리포니아주 소비자 프라이버시법(CCPA)에 추가된 목적 제한 및 데이터 최소화 요건을 위반한 것으로 나타났다.

법원의 승인을 전제로, GM은 합의에 따라 1,275만 달러 벌금 납부, 베리스크, 렉시스넥시스 등 데이터 브로커를 포함한 소비자 조사 기관에 대한 운전 데이터 판매를 5년간 중단, 명확한 소비자 동의가 없는 한 특정 제한적 내부 활용을 제외하고 회사가 보유한 운전 데이터를 180일 이내에 삭제, 베리스크와 렉시스넥시스에 운전 데이터 삭제 요청, 온스타를 통한 데이터 수집 위험을 완화·평가·명문화하고 GM이 소비자 프라이버시법을 준수하고 있음을 확인하는 데 필요한 강력한 프라이버시 프로그램 개발·유지, 프라이버시 평가 결과를 법무부, 주 법무장관, 캘리포니아주 프라이버시 보호국에 보고 등을 이행해야 한다. 관련 내용은 이곳에서 확인할 수 있다.