คำขอปฏิเสธการเก็บข้อมูลส่วนบุคคลต่อ Flock Safety และการตอบสนองของบริษัท

 (honeypot.net)
2 คะแนน โดย GN⁺ 15 일 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้พำนักอาศัยในรัฐแคลิฟอร์เนียได้ยื่น คำขอให้ลบข้อมูลส่วนบุคคลและห้ามเก็บรวบรวมข้อมูล ที่เกี่ยวกับตนเอง ครอบครัว และยานพาหนะ ต่อ Flock Safety
  • บริษัทระบุว่าตนเป็นเพียง ผู้ประมวลผลข้อมูล (Processor) เท่านั้น และอำนาจควบคุมข้อมูลอยู่ที่ หน่วยงานลูกค้า จึงปฏิเสธคำขอดังกล่าว
  • ในอีเมลตอบกลับ บริษัทได้อธิบายเรื่อง การห้ามขายข้อมูล, นโยบายลบอัตโนมัติภายใน 30 วัน, และ ขอบเขตการเก็บข้อมูลที่เน้นภาพยานพาหนะในที่สาธารณะ
  • ผู้ยื่นคำขออ้างว่า Flock Safety เป็นผู้ที่ ประมวลผลข้อมูลที่ใช้ระบุตัวบุคคลได้โดยตรง จริง จึงมีหน้าที่ต้องลบข้อมูล
  • ขณะนี้ยังไม่แน่ชัดว่าจะดำเนินการทางกฎหมายหรือไม่ แต่ยังเปิดความเป็นไปได้ในการ แต่งตั้งทนายความ

คำขอให้ลบข้อมูลส่วนบุคคลต่อ Flock Safety และการตอบสนอง

  • ผู้พำนักอาศัยในรัฐแคลิฟอร์เนียได้ส่งอีเมลถึง Flock Safety เพื่อยื่น คำขอให้ลบข้อมูลส่วนบุคคลและห้ามเก็บรวบรวมข้อมูล ตาม CCPA (กฎหมายคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย)
    • เนื้อหาของคำขอคือให้ลบข้อมูลที่เกี่ยวกับตนเอง รถยนต์ และสมาชิกในครอบครัวออกจากทุกฐานข้อมูล และห้ามมีการเก็บรวบรวมหรือจัดเก็บในอนาคต
  • Flock Safety ตอบกลับว่า ไม่สามารถดำเนินการตามคำขอได้
    • ในอีเมลตอบกลับ มีการเขียนชื่อผู้รับผิดผิดสองครั้ง
    • บริษัทระบุอย่างชัดเจนว่า “Flock Safety เป็นผู้ให้บริการและผู้ประมวลผลข้อมูลที่ประมวลผลข้อมูลในนามของลูกค้า โดยลูกค้าเป็นเจ้าของและผู้ควบคุมข้อมูล”
    • ดังนั้นบริษัทจึงแนะนำว่าคำขอให้ลบข้อมูลควรถูกยื่นโดยตรงต่อ หน่วยงานที่ใช้บริการ (ลูกค้า) ไม่ใช่ต่อ Flock Safety
  • บริษัทยังได้อธิบายเพิ่มเติมเกี่ยวกับ นโยบายการเก็บและการจัดเก็บข้อมูล
    • ขอบเขตและข้อจำกัดของการประมวลผลข้อมูลถูกกำหนดตาม สัญญากับลูกค้า และลูกค้าเป็นเจ้าของข้อมูล
    • ห้ามขายข้อมูล: Flock Safety ประมวลผลข้อมูลตามคำสั่งของลูกค้า และไม่ขายหรือแบ่งปันข้อมูลเพื่อวัตถุประสงค์ทางการค้า
    • ข้อมูลที่เก็บรวบรวม: ระบบจดจำป้ายทะเบียนรถ (LPR) ไม่ได้เก็บข้อมูลอ่อนไหวอย่างชื่อหรือที่อยู่ แต่เก็บเฉพาะ ภาพรถและข้อมูลลักษณะภายนอกที่ถ่ายในที่สาธารณะ
    • วัตถุประสงค์การใช้งาน: ลูกค้าใช้ข้อมูลเพื่อ ความปลอดภัย เช่น การดูแลความปลอดภัยสาธารณะ การตอบสนองต่อเหตุการณ์ และการคลี่คลายอาชญากรรม
    • ระยะเวลาการเก็บรักษา: โดยปกติข้อมูลจะถูกลบอัตโนมัติหลัง 30 วัน และลูกค้าสามารถปรับระยะเวลาได้ตามกฎหมายหรือนโยบาย
  • Flock Safety แนะนำให้ดูรายละเอียดเพิ่มเติมใน Privacy Policy และ LPR Policy

การตีความทางกฎหมายและจุดยืนของบุคคล

  • ผู้ยื่นคำขอเห็นว่าคำตอบของ Flock Safety ไม่ถูกต้องในทางกฎหมาย
    • เหตุผลคือ Flock Safety เป็นฝ่ายที่เก็บรวบรวมและประมวลผล ข้อมูลที่ใช้ระบุตัวบุคคลได้ (PII) จริง
    • ตามการตีความของผู้ยื่นคำขอ ภายใต้ CCPA ผู้ประมวลผลข้อมูลลักษณะนี้ มีหน้าที่ต้องปฏิบัติตามคำขอให้ลบข้อมูล
  • ขณะนี้ ยังไม่ตัดสินใจว่าจะดำเนินการทางกฎหมายหรือไม่ แต่ยังเปิดไว้ถึงความเป็นไปได้ในการแต่งตั้งทนายความ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 15 일 전
ความคิดเห็นจาก Hacker News

  • ฉันเป็นคนเขียนโพสต์นี้เอง ไม่ได้คาดหวังว่า Flock จะทำตามคำขอของฉันอยู่แล้ว แต่ก็ลองทำ เป็นการทดลอง ดู ทว่าคำตอบของพวกเขาทำให้ฉันติดใจ พวกเขาบอกว่า “ข้อมูลเป็นของลูกค้า และลูกค้าเป็นผู้ตัดสินใจเรื่องการใช้งานและการแบ่งปัน” ซึ่งขัดกับเจตนารมณ์ของ CCPA โดยตรง ข้อมูลเป็นของฉัน แล้วทำไมลูกค้าของพวกเขาถึงมีสิทธิ์ควบคุมก็ไม่เข้าใจ ถึงจะไม่ได้คาดหวังอะไร แต่ก็ผิดหวังที่โดนปฏิเสธแบบนี้

    • สิ่งที่พวกเขาพูดก็คือ “อย่าติดต่อเรา ให้ไปติดต่อเจ้าของกล้อง” แต่ข้อมูลถูกเก็บไว้บน เซิร์ฟเวอร์ของ Flock ประเด็นสำคัญคือ แค่ให้พื้นที่เก็บข้อมูลก็ไม่ได้แปลว่าไม่มีความเป็นเจ้าของข้อมูลไปเสียทีเดียว ยิ่งไปกว่านั้น ปัญหาคือการออกแบบระบบเองถูกสร้างมาให้ ก่อให้เกิดการละเมิดความเป็นส่วนตัว ได้ง่าย นี่คือคำวิจารณ์หลักต่อ Flock และถ้าไปถึงศาลก็น่าจะน่าสนใจ
    • เลยคิดว่าอาจจะลองติดต่อพวกเขาอีกครั้ง แล้วขอว่า “ถ้าอย่างนั้นก็ช่วยให้รายชื่อลูกค้ามา และแจ้งฉันทุกครั้งที่มีลูกค้าใหม่”
    • ถ้าผู้พิพากษาจะพิจารณาว่า Flock มี การควบคุมอย่างแท้จริง ต่อระบบมากแค่ไหนก็น่าจะน่าสนใจ ถ้าพวกเขาสร้างระบบที่ทำให้การเก็บข้อมูลส่วนบุคคลง่ายขนาดนี้ ขั้นตอนจัดการคำขอลบก็ควรถูกทำให้ ง่ายพอๆ กัน ท้ายที่สุด โลกธุรกิจถึงมองความเป็นส่วนตัวเป็นเรื่องเบา ก็เพราะผู้บริโภคยอมรับสถานการณ์แบบนี้กันไปเอง ยังดีที่มีคนทั่วไปที่ใส่ใจปัญหาแบบนี้ อยากรู้เหมือนกันว่ามีทาง สนับสนุน ค่าใช้จ่ายในการดำเนินคดีหรือไม่
    • ถ้าดึงยูทูบเบอร์อย่าง LegalEagle เข้ามาได้ก็น่าจะได้รับความสนใจมากขึ้น และถ้า Benn Jordan มาเป็นพยานผู้เชี่ยวชาญด้วยก็น่าสนใจดี
    • แต่จริงๆ แล้วมันคือ “ข้อมูลของฉัน” หรือ? ถ้าฉันขับรถผ่านแล้วถูก กล้อง Ring ของบ้านคนอื่นบันทึกภาพไว้ ฉันจะอ้างได้หรือว่าวิดีโอนั้นเป็นทรัพย์สินของฉัน?

  • ไม่แน่ใจว่าคำขอแบบนี้มีน้ำหนักทางกฎหมายหรือไม่ ยกตัวอย่างเช่น ถ้าเมืองหนึ่งติดตั้ง ระบบ ALPR เพื่อเก็บหลักฐานอาชญากรรม บุคคลทั่วไปก็คงขอ Flock ไม่ได้ว่า “อย่าเก็บข้อมูลของฉัน” ข้อเรียกร้องแบบนี้ดูเหมือนจะเกินขอบเขตของกฎหมายปัจจุบันไปมาก

  • ในโพสต์ล่าสุดชื่อบริษัทถูกเขียนแค่ว่า “Flock” โดยไม่มี “Flock Safety (YC S17)” ทั้งที่ โพสต์ก่อนหน้า ก็เป็นแบบนั้นเหมือนกัน เลยสงสัยว่า รูปแบบการระบุ YC เปลี่ยนไปแล้วหรือเปล่า

    • อาจเป็นไปได้ว่า YC อยาก เว้นระยะจากประเด็นถกเถียงเรื่องความเป็นส่วนตัว แต่เอาจริงๆ ก็ไม่แน่ใจว่าพวกเขาจะมีเซนส์ถึงขั้นนั้นไหม
    • ช่วงนี้เหมือนการระบุแบบนั้นลดลงโดยรวมอยู่แล้ว ยังไงเสียชื่อเรื่องก็เป็นสิ่งที่ผู้ส่งเขียนเอง ไม่ได้ทำแบบอัตโนมัติ

  • Flock เคยตอบในลักษณะคล้ายกันใน รัฐมินนิโซตา โดยให้เหตุผลว่า “เราไม่ใช่ data controller” ทั้งที่ภายใต้ MCDPA ก็มีสิทธิ์ในการขอให้ลบข้อมูล

    • นั่นก็เป็นการปฏิบัติตามกฎหมาย ลูกค้าที่เป็นหน่วยงานรัฐระดับรัฐหรือระดับเมืองคงไม่ต้องการให้รับคำขอแบบนั้น

  • ความต่างระหว่าง “Flock ทำอะไรก็ได้ตามใจ” กับ “Flock ต้องลบข้อมูลเมื่อมีคำขอ” สุดท้ายแล้วก็คือ กฎหมาย และในเมื่อประชาชนเป็นคนเลือกผู้ร่างกฎหมาย ถ้าอยากให้เรื่องแบบนี้ถูกจัดเป็นลำดับความสำคัญ ก็ต้องกดดันผ่าน การลงคะแนนเสียง

  • ดูเหมือนว่านี่จะเป็นการต่อสู้ที่ยาก Flock ทำให้ข้อมูลอยู่ในสถานะ ทรัพย์สินของรัฐบาล และอ้างว่าตัวเองเป็นเพียง ผู้ให้บริการจัดเก็บข้อมูล เท่านั้น ต่อให้ส่งคำขอลบไปที่ AWS หรือ Google Cloud ก็คงได้คำตอบว่า “เราแค่เก็บไว้ให้” อยู่ดี ท้ายที่สุดหากไม่มีคำสั่งศาลก็คงยากที่จะบังคับให้ลบ อย่างไรก็ตาม การที่ Flock ระบุว่าพวกเขาไม่ได้ใช้ข้อมูลไปเพื่อวัตถุประสงค์อื่น ก็ยิ่งทำให้ อุปมาเรื่องคลาวด์สตอเรจ ดูแข็งแรงขึ้น

    • แต่ในทางปฏิบัติ จะมีวิธีไหนบ้างที่จะยืนยันได้ว่า ผู้ให้บริการคลาวด์ไม่ได้เปิดดูข้อมูล นอกจากจะมีผู้แจ้งเบาะแสจากภายใน?

  • ตาม เอกสารนโยบาย LPR ของ Flock ระบุว่าพวกเขาสามารถใช้ข้อมูลได้เพื่อข้อกำหนดทางกฎหมาย หรือเพื่อแก้ปัญหาด้านความปลอดภัยและความเป็นส่วนตัว ถ้าอย่างนั้นกรณีนี้ก็เข้าข่ายเป็น ประเด็นด้านความเป็นส่วนตัว ไม่ใช่หรือ? และในส่วน “Trust Us” ก็ยังขาดความโปร่งใสเกี่ยวกับ การใช้แมชชีนเลิร์นนิง

    • ถ้าดูจาก “Transparency Portal” ของพวกเขา จะเห็นว่าในความเป็นจริง หน่วยงานท้องถิ่นมากกว่า 30% ไม่ได้เปิดเผยแม้กระทั่งชื่อ

  • ตามกฎหมายในสหรัฐเกี่ยวกับการเก็บข้อมูลลักษณะนี้ คำขอลบข้อมูลต้องยื่นกับ หน่วยงานท้องถิ่น สามารถดูข้อมูลที่เกี่ยวข้องได้ที่ deflock.org เว็บไซต์นี้ดำเนินการโดยชาวบ้านในพื้นที่ โบลเดอร์ รัฐโคโลราโด

    • ถ้าสร้างระบบที่ส่งคำขอไปยังทุกหน่วยงานท้องถิ่นโดยอัตโนมัติก็น่าจะสนุกดี

  • ถ้า Flock ประมวลผลข้อมูล PII จริง ลูกค้าของพวกเขาทั้งหมดก็จะกลายเป็น subprocessor ดังนั้น Flock ต้องทำ ข้อตกลงการประมวลผลข้อมูล (DPA) กับคนเหล่านี้ และเมื่อมีคำขอลบข้อมูลเข้ามา ก็ต้องส่งต่อไปยัง subprocessor ทุกรายอย่าง AWS, GCP, Cloudflare ด้วย

    • แต่ในความเป็นจริงกลับตรงกันข้าม Flock เป็น subprocessor และ เมืองหรือหน่วยงานท้องถิ่น ที่ว่าจ้างให้เก็บข้อมูลต่างหากที่เป็น controller เพราะฉะนั้นคำขอต้องส่งไปที่ฝั่งนั้น

  • ถ้าข้ออ้างของพวกเขาใช้ได้จริง CCPA ก็คงไร้ความหมาย

    • แต่ก็เป็นไปได้ว่าคำขอตั้งแต่แรก อาจไม่มีผลใช้บังคับอยู่แล้ว เช่น คุณคงขอบริษัทที่รับจ้างดูแลกล้องจับความเร็วแทนตำรวจไม่ได้ว่า “ช่วยลบรูปของฉันที” เพราะข้อมูลเป็นของรัฐบาล
    • แถมพอมีการออกกฎกำกับดูแลเมื่อไร ช่องทางหลบเลี่ยง ก็จะถูกสร้างขึ้นทันที ที่จริงรูรั่วสำหรับเลี่ยงกฎหมายมักถูกออกแบบไว้ก่อนที่กฎหมายจะมีผลเสียอีก