Permintaan penolakan pengumpulan data pribadi kepada Flock Safety dan tanggapan perusahaan

 (honeypot.net)
2 poin oleh GN⁺ 7 hari lalu | 1 komentar | Bagikan ke WhatsApp
  • Seorang warga California mengajukan permintaan penghapusan data pribadi dan larangan pengumpulan terkait dirinya, keluarganya, dan kendaraannya kepada Flock Safety
  • Perusahaan menolak permintaan tersebut dengan menyatakan bahwa mereka hanya processor data, dan kendali atas data berada pada lembaga pelanggan
  • Dalam balasannya, perusahaan menjelaskan larangan penjualan data, kebijakan penghapusan otomatis setelah 30 hari, serta cakupan pengumpulan yang berfokus pada gambar kendaraan di ruang publik
  • Pemohon berpendapat bahwa Flock Safety sebenarnya secara langsung memproses informasi yang dapat mengidentifikasi individu, sehingga tetap berkewajiban menghapus data
  • Tindakan hukum masih belum diputuskan, namun kemungkinan menunjuk pengacara tetap terbuka

Permintaan penghapusan data pribadi kepada Flock Safety dan tanggapannya

  • Seorang warga California mengirim email ke Flock Safety untuk mengajukan permintaan penghapusan data pribadi dan larangan pengumpulan berdasarkan CCPA (California Consumer Privacy Act)
    • Isi permintaan tersebut adalah menghapus semua informasi terkait dirinya, kendaraannya, dan anggota keluarganya dari seluruh basis data, serta melarang pengumpulan dan penyimpanan di masa mendatang
  • Dalam balasannya, Flock Safety memberi tahu bahwa mereka tidak dapat memproses permintaan tersebut
    • Dalam email balasan, nama penerima ditulis salah sebanyak dua kali
    • Perusahaan menyatakan bahwa “Flock Safety adalah penyedia layanan dan processor yang memproses data atas nama pelanggan, sementara pemilik dan pengendali data adalah pelanggan”
    • Karena itu, permintaan penghapusan harus diajukan langsung bukan ke Flock Safety, melainkan ke lembaga yang menggunakan layanan tersebut (pelanggan)
  • Perusahaan juga menjelaskan lebih lanjut kebijakan pengumpulan dan penyimpanan data
    • Berdasarkan kontrak pelanggan, ruang lingkup dan batasan pemrosesan data ditentukan, dan pelanggan adalah pemilik data
    • Larangan penjualan data: Flock Safety memproses data sesuai instruksi pelanggan, dan tidak menjual atau membagikannya untuk tujuan komersial
    • Informasi yang dikumpulkan: pembaca plat nomor kendaraan (LPR) tidak mengumpulkan informasi sensitif seperti nama atau alamat, melainkan hanya gambar kendaraan dan informasi tampilan luar yang diambil di ruang publik
    • Tujuan penggunaan: pelanggan menggunakan data untuk tujuan keamanan seperti pengelolaan keselamatan publik, respons insiden, dan penyelesaian kejahatan
    • Masa penyimpanan: secara default data dihapus otomatis setelah 30 hari, namun pelanggan dapat menyesuaikan jangka waktunya sesuai hukum atau kebijakan
  • Flock Safety juga menyarankan untuk melihat Privacy Policy dan LPR Policy untuk informasi lebih rinci

Penafsiran hukum dan posisi individu

  • Pemohon menilai jawaban Flock Safety tidak akurat secara hukum
    • Alasannya, Flock Safety pada praktiknya adalah pihak yang mengumpulkan dan memproses informasi identitas pribadi (PII)
    • Menurut penafsirannya atas CCPA, pihak yang memproses informasi semacam itu wajib menanggapi permintaan penghapusan
  • Saat ini belum diputuskan apakah akan menempuh jalur hukum, namun kemungkinan menunjuk pengacara tetap terbuka

Bacaan terkait

1 komentar

 
GN⁺ 7 hari lalu
Opini Hacker News

  • Saya yang menulis postingan ini. Saya memang tidak berharap Flock akan mengabulkan permintaan saya, tetapi saya mencobanya sebagai eksperimen. Namun, balasan mereka mengganjal. Mereka mengatakan bahwa “data adalah milik pelanggan, dan pelanggan yang memutuskan penggunaan serta pembagiannya”, yang bertentangan langsung dengan semangat CCPA. Kalau itu data saya, saya tidak paham kenapa pelanggan mereka yang punya kendali. Saya memang tidak berekspektasi, tetapi tetap mengecewakan ditolak dengan cara seperti ini

    • Intinya perkataan mereka adalah “jangan hubungi kami, hubungi pemilik kamera”. Tetapi datanya disimpan di server Flock. Poin pentingnya, hanya karena mereka menyediakan ruang penyimpanan bukan berarti mereka tidak punya tanggung jawab atas data itu. Lebih jauh lagi, masalahnya adalah desain sistemnya sendiri dibuat untuk memicu pelanggaran privasi. Ini adalah kritik utama terhadap Flock, dan akan menarik kalau dibahas di pengadilan
    • Saya jadi berpikir untuk menghubungi mereka lagi dan meminta, “kalau begitu berikan daftar pelanggan kalian, dan beri tahu saya setiap kali ada pelanggan baru”
    • Akan menarik jika hakim meninjau seberapa besar kendali nyata Flock atas sistem tersebut. Jika mereka membangun sistem yang membuat pengumpulan data pribadi jadi begitu mudah, maka prosedur untuk menangani permintaan penghapusan juga seharusnya dibuat sama mudahnya. Pada akhirnya, dunia menjadi tempat perusahaan memandang enteng privasi karena konsumen membiarkan situasi seperti ini. Syukurlah ada individu-individu yang peduli pada masalah seperti ini. Saya penasaran apakah ada cara untuk mendanai biaya gugatan hukum
    • Mungkin bisa menarik perhatian kalau melibatkan YouTuber seperti LegalEagle. Benn Jordan juga akan menarik kalau tampil sebagai saksi ahli
    • Tapi apakah itu benar-benar “data saya”? Jika saya sedang mengemudi lalu terekam oleh kamera Ring milik orang lain, apakah saya bisa mengklaim kepemilikan atas rekaman itu?

  • Saya tidak yakin apakah permintaan seperti ini masuk akal secara hukum. Misalnya, sebuah kota memasang sistem ALPR untuk mengumpulkan bukti kejahatan, dan seseorang tidak bisa begitu saja meminta ke Flock, “jangan kumpulkan data saya”. Tuntutan seperti ini tampaknya terlalu berlebihan menurut hukum yang berlaku saat ini

  • Di postingan terbaru, nama perusahaannya hanya ditulis sebagai “Flock” dan “Flock Safety (YC S17)” dihilangkan, dan postingan sebelumnya juga begitu. Saya jadi penasaran apakah cara penulisan YC sudah berubah

    • Mungkin YC sedang mencoba menjaga jarak dari kontroversi privasi, tetapi sejujurnya saya ragu mereka cukup peka untuk melakukan itu
    • Belakangan memang terasa penandaan seperti itu makin jarang secara umum. Lagi pula judul ditulis langsung oleh pengirim, jadi bukan sesuatu yang otomatis

  • Flock juga memberi tanggapan serupa di negara bagian Minnesota dengan alasan “kami bukan pengendali data”. Padahal ada hak untuk meminta penghapusan berdasarkan MCDPA

    • Itu justru mengikuti hukum. Pelanggan mereka dari pemerintah negara bagian atau kota kemungkinan memang tidak ingin permintaan seperti itu dipenuhi

  • Perbedaan antara “Flock boleh melakukan sesukanya” dan “Flock harus menghapus data jika diminta” pada akhirnya adalah soal hukum. Karena warga memilih pembuat undang-undang, maka untuk membuat isu seperti ini jadi prioritas, tekanannya harus datang lewat pemungutan suara

  • Ini tampaknya akan menjadi pertarungan yang sulit. Flock menempatkan data sebagai milik pemerintah, dan mengklaim diri mereka hanya sebagai penyedia layanan penyimpanan. Jika Anda mengirim permintaan penghapusan ke AWS atau Google Cloud, jawabannya juga kemungkinan “kami hanya menyimpan”. Pada akhirnya, tanpa perintah pengadilan akan sulit memaksa penghapusan. Meski begitu, pernyataan Flock bahwa mereka tidak menggunakan data untuk tujuan lain justru memperkuat analogi penyimpanan cloud

    • Tetapi bukankah pada praktiknya tidak ada cara untuk memastikan penyedia cloud tidak mengintip data selain lewat whistleblower internal?

  • Menurut dokumen kebijakan LPR Flock, mereka menyebut data dapat digunakan untuk memenuhi tuntutan hukum atau menyelesaikan masalah keamanan dan privasi. Kalau begitu, bukankah kasus ini juga termasuk isu privasi? Selain itu, pada bagian “Trust Us”, transparansi soal pemanfaatan machine learning juga kurang

    • Jika melihat “Transparency Portal” mereka, kenyataannya lebih dari 30% lembaga lokal bahkan tidak mengungkapkan namanya

  • Menurut hukum terkait pengumpulan data seperti ini di AS, permintaan penghapusan harus diajukan ke pemerintah daerah. Informasi terkait bisa dilihat di deflock.org. Situs ini dijalankan oleh warga Boulder, Colorado

    • Akan menarik kalau ada sistem yang otomatis mengirim permintaan ke semua pemerintah daerah

  • Jika Flock memproses data PII, maka semua pelanggan mereka menjadi subprocessor. Karena itu, Flock harus memiliki perjanjian pemrosesan data (DPA) dengan mereka. Jika ada permintaan penghapusan, itu juga harus diteruskan ke semua subprocessor seperti AWS, GCP, dan Cloudflare

    • Tetapi pada praktiknya justru sebaliknya. Flock adalah subprocessor, dan kota atau pemerintah daerah yang meminta pengumpulan data itulah pengendalinya. Jadi permintaan harus diajukan ke pihak tersebut

  • Jika alasan mereka valid, maka CCPA tidak ada gunanya

    • Tetapi bisa jadi sejak awal permintaannya memang tidak valid. Misalnya, Anda tidak bisa meminta perusahaan yang mengoperasikan kamera kecepatan atas nama polisi untuk “menghapus foto saya”, karena datanya milik pemerintah
    • Selain itu, begitu regulasi dibuat, celah untuk menghindarinya langsung muncul. Bahkan sebelum hukum berlaku, jalan keluarnya sudah lebih dulu dirancang