GM, 운전 위치 데이터 팔았다가 캘리포니아에서 1,275만 달러 벌금

• GM이 캘리포니아에서 1,275만 달러 합의금을 내게 됨. 이유는 단순함. 운전자 위치와 주행 데이터를 몰래 데이터 브로커에게 팔았다는 혐의임.

  • 캘리포니아 개인정보보호법(CCPA) 집행 사례 중 현재까지 최대 벌금이라고 함.
  • 더 중요한 건 이번이 CCPA의 데이터 최소화 원칙을 집행한 첫 사례라는 점임.

• 문제의 데이터는 GM의 커넥티드카 서비스인 온스타(OnStar)에서 나왔음.

  • 온스타는 길안내, 사고 시 구급차 호출 같은 기능을 제공함.
  • 그런데 조사에 따르면 GM은 2020년부터 2024년까지 캘리포니아 운전자 수십만 명의 이름, 연락처, 위치 정보, 주행 행동 데이터를 LexisNexis와 Verisk에 판매함.
  • 두 데이터 브로커는 이 데이터를 자동차 보험사가 쓸 수 있는 운전자 평가 제품으로 만들 목적이었다고 함.

• GM이 전국적으로 이 데이터 판매로 벌어들인 돈은 약 2천만 달러로 알려짐.

  • 캘리포니아 운전자들의 보험료가 실제로 올랐다는 피해는 확인되지 않았음.
  • 이유는 캘리포니아 보험법상 보험사가 이런 주행 데이터를 보험료 산정에 쓰기 어렵기 때문이라고 함.
  • 하지만 “운 좋게 보험료 피해가 없었다”와 “데이터 판매가 괜찮았다”는 전혀 다른 얘기임.

• 캘리포니아 당국이 문제 삼은 핵심은 고지와 동의였음.

  • GM은 소비자에게 LexisNexis와 Verisk 판매 사실을 제대로 알리지 않았다고 함.
  • 개인정보 처리방침에서는 주행·위치 데이터를 팔지 않는다고 했고, 보험 목적 제공도 소비자의 명시적 지시에 따른다고 설명했음.
  • 내부 개인정보 준수 프로그램상으로도 개인정보가 어떻게 쓰이고 어떤 제3자가 받는지 알려야 했지만, 실제로는 그렇게 하지 않았다는 게 당국 주장임.

• 데이터 최소화 위반도 크게 걸림.

  • 캘리포니아 법은 기업이 필요한 목적을 넘어서 개인정보를 오래 보관하거나 다른 목적으로 쓰는 걸 제한함.
  • GM은 온스타 운영에 쓰인 뒤에도 캘리포니아 운전자들의 주행·위치 데이터를 오래 보관했고, 이후 보험 요율 산정용 제품을 만들려는 브로커에게 넘겼다는 혐의를 받음.
  • “서비스 제공 때문에 모았다”가 “나중에 팔아도 된다”로 자동 변환되진 않는다는 메시지임.

• 합의안의 제재도 꽤 구체적임.

  • GM은 민사 벌금 1,275만 달러를 내야 함.
  • LexisNexis, Verisk 같은 데이터 브로커를 포함해 소비자 보고기관에 주행 데이터를 판매하는 행위가 5년간 금지됨.
  • 소비자의 명시적 동의가 없는 한, 일부 제한된 내부 사용을 제외하고 보관 중인 주행 데이터를 180일 안에 삭제해야 함.
  • LexisNexis와 Verisk에도 주행 데이터 삭제를 요청해야 함.
  • 온스타 데이터 수집 위험을 평가·완화·문서화하는 강한 개인정보 보호 프로그램도 유지해야 함.

• 이 사건은 “차가 굴러다니는 데이터 수집기”라는 말을 법 집행이 따라잡기 시작했다는 신호임.

  • 캘리포니아 개인정보보호청은 2023년부터 커넥티드카 개인정보 관행을 조사해왔음.
  • 2024년에는 뉴욕타임스가 자동차 회사들이 운전 행동 데이터를 보험사와 공유하고, 일부 보험사가 이를 바탕으로 요율을 올렸다고 보도함.
  • 그 뒤 캘리포니아 법무부와 여러 카운티 검찰, 개인정보보호청이 합동 조사에 들어감.

• 개발자 입장에서 이건 남의 나라 자동차 회사 뉴스로만 보기 어렵다.

  • 위치·행동 데이터는 제품팀 입장에선 매력적인 분석 재료지만, 규제기관 입장에선 가장 민감한 개인정보 중 하나임.
  • “개인정보 처리방침에 적당히 써놨겠지”로 버티기 힘들고, 수집 목적·보관 기간·제3자 제공을 실제 시스템 설계와 맞춰야 함.
  • 특히 커넥티드 디바이스, 모빌리티, 보험, 핀테크처럼 현실 행동 데이터가 돈이 되는 영역은 로그 하나도 법적 리스크가 될 수 있음.

---

기술 맥락

• 이번 사건의 기술적 선택은 온스타 같은 커넥티드카 서비스에서 수집한 데이터를 서비스 운영 이후에도 보관하고 외부 브로커에게 넘긴 부분이에요. 길안내나 긴급 구조에는 위치 데이터가 필요하지만, 그 목적이 끝난 뒤 보험 평가용 상품으로 쓰는 건 전혀 다른 처리 목적이거든요.

• 데이터 최소화가 중요한 이유는 수집된 데이터가 시간이 지나면서 새 사업 기회로 보이기 쉬워서예요. 개발팀은 로그와 이벤트를 넉넉히 남기고 싶어 하지만, 개인정보 규제는 “필요한 만큼만, 필요한 기간만”을 요구해요. 특히 위치 데이터는 익명화가 어렵고 재식별 위험도 커요.

• 구현 관점에서는 동의 상태, 수집 목적, 보관 만료, 제3자 제공 이력을 데이터 파이프라인에 같이 태워야 해요. 단순히 개인정보 처리방침 문구를 바꾸는 문제가 아니라, 데이터 레이크와 분석 파이프라인에서 어떤 레코드가 어떤 목적으로 쓰일 수 있는지 강제해야 하거든요.

• GM 합의안에 180일 내 삭제와 개인정보 프로그램 보고가 들어간 것도 그래서 의미가 있어요. 규제기관은 이제 “정책상 안 합니다”가 아니라 실제 삭제, 브로커 삭제 요청, 위험 평가 문서화까지 보겠다는 태도예요. 커넥티드 제품을 만드는 팀이라면 로그 보관 정책을 제품 기능만큼 진지하게 다뤄야 해요.