자동차는 당신에 대해 놀라울 만큼 많은 데이터를 수집한다

23 hours ago 5

최신 자동차는 바퀴 달린 컴퓨터처럼 정밀 위치, 동승자, 라디오 청취, 안전벨트, 과속·급제동, 체중·나이·인종·표정까지 수집할 수 있음
McKinsey는 2021년 도로 위 차량의 50%가 인터넷 연결 기능을 갖췄고 2030년 95%로 늘 것으로 봤으며, Mozilla는 25개 브랜드 모두가 기준을 충족하지 못했다고 평가함
자동차 회사는 휴대폰 연결, 운전 앱, 보험사 텔레매틱스를 통해 데이터를 얻고, Mozilla 분석에서 19개 회사가 운전자 데이터를 판매할 수 있다고 밝힘
GM은 위치 데이터 판매 혐의로 미국 기관의 조치를 받아 5년간 차량 데이터 판매가 금지됐고, LexisNexis 데이터가 보험료 21% 인상 요인으로 쓰인 사례가 있음
새 음주·피로 운전 방지 기술은 안전 목적이지만 데이터 처리 규정이 비어 있으며, 운전자는 설정·거부권으로 일부 제한할 수 있을 뿐 통제는 어려움

자동차가 수집할 수 있는 데이터

최신 자동차는 바퀴 달린 컴퓨터에 가까워졌고, 자동차 회사는 운전자의 생활에 관한 민감한 세부 정보를 수집해 수익화할 수 있음
자동차 회사의 개인정보 보호정책에는 다음 정보가 수집 가능 항목으로 들어감
- 운전자가 가는 모든 장소의 정밀 위치 데이터
- 차량 동승자
- 라디오 청취 내용
- 안전벨트 착용 여부
- 과속과 급제동 여부
- 체중, 나이, 인종, 얼굴 표정
일부 차량은 운전석을 향한 내부 카메라를 갖추고, 대부분은 인터넷 연결로 주행 중 데이터를 전송할 수 있음
Brookings Institute의 Darrell West는 자동차가 수집·전송하는 데이터 지점이 많아 운전자의 삶이 거의 초 단위로 재구성될 수 있다고 봄

연결된 자동차와 개인정보 위험

McKinsey는 2021년 도로 위 자동차의 50%가 인터넷 연결 기능을 갖췄고, 2030년에는 95%로 늘어날 것으로 예측함
자동차가 인터넷에 연결되면 개인정보 위험도 함께 커짐
자동차 회사는 차량 자체뿐 아니라 여러 경로로 정보를 얻을 수 있음
- 휴대폰을 인포테인먼트 시스템에 연결할 때
- 운전용 앱을 사용할 때
- 보험료 할인을 기대하고 보험사의 텔레매틱스 시스템을 사용할 때
Mozilla의 2023년 25개 자동차 브랜드 개인정보 보호정책 분석에서 모든 브랜드가 Mozilla의 개인정보·보안 기준을 충족하지 못함
Mozilla는 자동차를 “지금까지 검토한 제품군 중 개인정보 측면에서 최악”이라고 평가함

자동차 회사의 수집·판매 관행

Mozilla 분석 기준으로 자동차 회사들은 이름, 나이, 인종, 체중, 금융 정보, 얼굴 표정, 심리적 경향 등을 수집할 권리를 개인정보 보호정책에 포함함
Kia의 개인정보 보호정책은 “성생활”과 일반 건강에 관한 정보도 수집 대상이 될 수 있음을 시사함
- Kia 대변인 James Bell은 회사가 실제로 운전자의 성생활이나 건강 데이터를 수집한 적은 없으며, 해당 항목은 캘리포니아의 “민감 데이터” 정의를 나열하면서 들어갔다고 밝힘
- Kia는 운전자가 동의한 경우에만 보험사와 데이터를 공유한다고 밝혔지만, 어떤 종류의 “민감 데이터”를 실제로 수집하는지는 설명하지 않음
자동차에는 좌석, 대시보드, 엔진, 운전대 등 여러 위치에 센서가 있고, 많은 차량은 내부와 외부에 카메라를 갖춤
Mozilla는 19개 자동차 회사가 운전자 데이터를 판매할 수 있다고 밝힌 사실을 확인함
미국 주 정부와 연방 기관은 General Motors(GM)가 동의 없이 차량 위치 데이터를 판매했다는 혐의로 조치를 취함
미국 상원의원들은 Honda와 Hyundai도 유사한 관행을 했다고 비판함
Mozilla의 Jen Caltrider는 수집된 정보가 운전자가 누구인지, 얼마나 지적인지, 심리적 프로필과 정치적 신념이 무엇인지 추론하는 데 쓰일 수 있다고 봄
자동차 데이터는 광고, 채용 의사결정, 수색영장을 얻지 못한 법집행기관의 구매 등에 쓰일 수 있으며, 차량 밖으로 나간 뒤에는 운전자가 통제하기 어려움

보험료와 데이터 브로커

자동차 데이터의 큰 구매자 중 하나는 보험사이며, 일부 운전자에게 더 높은 보험료를 부과하는 데 데이터가 쓰일 수 있음
GM은 소비자 데이터를 사고파는 데이터 브로커 LexisNexis에 운전자 정보를 판매함
한 운전자는 LexisNexis가 자신과 배우자의 6개월간 모든 이동을 담은 130쪽 분량의 데이터를 보유했다는 사실을 확인했고, 보험료가 21% 오른 뒤 보험 대리인에게서 해당 데이터가 요인이라는 말을 들었다고 New York Times에 밝힘
미국 Federal Trade Commission은 GM에 조치를 취했고, GM은 5년간 차량 데이터 판매가 금지됨
GM은 5년 뒤 운전자의 명시적 동의를 얻고 기타 조건을 지키면 해당 관행을 재개할 수 있음
LexisNexis와 다른 회사들은 다른 자동차 제조사와 운전 중 사용되는 앱에서 얻은 차량 데이터를 계속 판매하고 있음
보험사, 자동차 제조사, 데이터 브로커 간 거래는 광범위하며, 운전자가 동의한 개인정보 보호정책에 명시돼 있으면 합법임
Consumer Federation of America의 Michael DeLong은 보험사가 소비자 운전 데이터를 포함한 방대한 데이터를 수집해 더 높은 보험료 부과, 보장 거부, 소비자 세분화에 사용한다고 봄

동의와 규제의 한계

자동차 회사는 운전자에게 허락을 받는다고 하지만, 실제로는 인포테인먼트 시스템이나 자동차 연결 앱을 설정할 때 양식과 개인정보 보호정책에 동의하는 방식이 많음
일부 차량은 시동을 걸 때마다 관련 동의 화면을 표시함
미국에는 전국 단위의 개인정보 보호법이 없고, 주별 보호는 부분적이며 일부 개인정보 전문가들은 충분하지 않다고 봄
유럽과 영국은 특정 민감 정보에 대한 특별 보호가 있고, 소비자가 데이터 접근과 삭제를 요구할 권리를 일부 갖고 있음
유럽에서도 자동차 분야의 규정 준수와 집행이 항상 이뤄지지는 않음

새 안전 기술이 만들 수 있는 추가 수집

미국 법은 향후 몇 년 안에 신형 승용차에 “첨단 음주·약물·피로 운전 방지 기술”을 설치하도록 요구함
이 기술은 적외선 카메라나 다른 시스템으로 운전자가 술에 취했거나, 피곤하거나, 운전하기에 부적합할 때 운전을 막는 것을 목표로 함
해당 법에는 이 시스템이 생성하는 데이터 처리 방식을 다루는 조항이 없음
NHTSA는 impaired driving 사망을 줄이기 위해 가능한 모든 도구를 활용하겠다고 밝혔고, 개인정보 우려 같은 “중요하고 복잡한 주제”를 계속 다루고 있다고 밝힘
이 법의 시행은 기술이 아직 준비되지 않았기 때문에 지연될 가능성이 있음
Caltrider는 음주운전을 막을 필요는 있지만, 데이터가 다른 목적으로 쓰이지 않는다는 보장이 없으며 안전을 명분으로 한 데이터 수집이 많아지고 있다고 봄
이 기술은 안전장치 없이 자동차 업계에 의료 정보에 가까운 데이터 저장고를 제공할 수 있음

운전자가 줄일 수 있는 범위

자동차 데이터 문제는 완전히 해결하기 어렵지만, 일부 조치로 수집과 공유를 줄일 수 있음
개인정보가 걱정된다면 보험사의 텔레매틱스 프로그램에 가입하지 않는 편이 낫다는 조언이 있음
텔레매틱스 프로그램의 보상은 보장되지 않음
- Maryland 주 분석에서 운전자 31%는 보험료가 내려감
- 24%는 보험료가 올라감
- 45%는 변화가 없음
영국, EU, 일부 미국 주에서는 기업이 수집한 데이터 사본을 요청하고, 데이터 판매·공유 거부와 삭제를 요구할 수 있음
주요 자동차 제조사의 개인정보 도구 링크는 EFF 안내에서 확인할 수 있음
일부 자동차 제조사는 데이터 공유와 수집을 제한할 수 있는 개인정보 설정을 제공함
차량 인포테인먼트 시스템 설정과 자동차 연동 앱 설정에서 관련 옵션을 찾아볼 수 있음
Consumer Reports는 운전 데이터 수집·공유를 막는 방법에 관한 상세 가이드를 제공함
Caltrider는 운전자가 여러 작업을 해야 개인정보 침해를 막는 구조 자체가 문제이며, 데이터 소유와 통제권이 사용자에게 오고 기업이 사용 허가를 받아야 상황이 바뀔 수 있다고 봄