[USA] Amazon, 민감한 데이터 추적 혐의로 집단소송 피소

1월 29일 Amazon 소비자들은 Amazon이 자신들의 동의 없이 비밀리에 민감한 데이터를 추적하여 판매했다고 주장하며 Amazon을 고소했다.

원고 펠릭스 콜로틴스키(Felix Kolotinsky)는 캘리포니아 주민으로 구성된 그룹을 대신하여 캘리포니아주 북부 샌프란시스코 지방법원에 배심 재판을 요구하는 집단 소송을 제기했는데, 이들은 회사의 데이터 수집 관행이 캘리포니아주법을 위반하였다고 주장하고 있다.

콜로틴스키는 수집된 데이터에는 “소비자가 거주하고 일하는 곳을 보여주는 타임스탬프가 찍힌 지리적 위치 데이터”와 소비자의 종교적 신념, 성적 지향 및 병력에 대한 개인 정보가 포함되어 있다고 주장했다. 또한 집단소송 구성원이 Amazon에 이러한 데이터를 수집하거나 판매할 수 있도록 허가해 주지 않았으며 회사의 데이터 수집 관행에 있어서도 옵트아웃(opt out)이 가능한 메커니즘이 없다고 전하고 있다.

원고는 이러한 민감한 정보를 수집하고 판매하는 것은 캘리포니아 형법 제638.51조 및 제502조를 위반하는 것으로, 제638.51조는 법원의 사전 승인 없이 “펜 레지스터(통신기록장치, pen registers)”를 설치하는 것을 금지하고 있다고 주장한다.

그런데 동 법률에서는 “펜 레지스터”를 “유선 또는 전자 통신이 전송되는 기기나 시설에서 전송된 다이얼링, 라우팅, 주소 지정 또는 신호 정보를 기록하거나 디코딩하지만 통신 내용은 기록하지 않는 장치 또는 프로세스”로 정의하고 있다.

콜로틴스키는 Amazon의 소프트웨어 개발 키트(SDK)가 소비자의 지리적 위치에 대한 정보와 소비자의 휴대전화에서 지문 데이터와 같이 소비자를 식별하는 데 사용할 수 있는 정보에 타임스탬프를 찍었기 때문에 펜 레지스터에 해당한다고 주장하고 있다. 

캘리포니아주 형법 제502조는 포괄적인 컴퓨터 데이터 접근 및 사기법(the Comprehensive Computer Data Access and Fraud Act, CDAFA)으로 알려져 있으며, 소비자를 “합법적으로 생성된 컴퓨터 데이터 및 컴퓨터 시스템에 대한 변조, 간섭, 손상 및 무단 액세스”로 부터 보호하고 있다. 원고는 집단소송 구성원들의 휴대전화가 외부 파일과 함께 사용할 수 있고, 데이터 저장 및 통신을 포함한 기능을 수행할 수 있으므로 CDAFA의 의미 내에서 “컴퓨터” 또는 “컴퓨터 시스템”이라고 주장하면서, Amazon이 의도적으로 집단소송 구성원의 기기에 허가 없이 액세스하여 CDAFA를 위반했다고 주장하고 있다.

SDK는 소프트웨어 개발자에게 앱을 빌드하는 데 제공할 수 있는 코드로, 다양한 개발 도구를 한곳에 저장할 수 있다. 그러나 소비자들은 모바일 기기에 SDK를 설치하면 플랫폼이 기기 소유자의 개인 데이터를 추적할 수 있다는 우려를 표명했다.

한편 2024년 8월, 통신 회사 Twilio를 상대로 제기된 또 다른 집단소송에서 동 회사의 SDK가 CDAFA를 포함한 여러 법률을 위반했다고 주장한 사건도 있다. 마찬가지로 Twilio가 소비자의 이메일 주소, 이름, 지문 데이터와 같은 민감한 데이터를 비밀리에 수집했다는 혐의에 대한 사건으로, 동 사건에 대한 소송은 여전히 진행 중에 있다.

*Source : www.jurist.org