Tim Hortons 앱, 동의 없이 사용자 위치 추적, 개인 정보 보호법 위반

연방 및 지방 당국의 조사에 따르면 Tim Hortons 앱은 앱을 사용하지 않을 때도 캐나다 개인정보 보호법을 위반하여 사용자의 움직임을 추적하고 기록했다고 한다.

캐나다 프라이버시 커미셔너 사무소와 알버타주, 퀘백주, 브리티시 컬럼비아의 커미셔너는 1일(수) 조사 결과에 대한 보고서를 발표하고 커피 체인의 위반 행위를 규탄했다.

보고서에서 “Tim Hortons 앱은 모바일 장치의 지리적 위치 기능에 대한 액세스 권한을 요청했지만 많은 사용자가 앱이 사용 중일 때만 정보에 액세스할 수 있다고 믿게 만들었고 실제로 앱은 기기가 켜져 있는 동안 사용자를 추적하여 지속적으로 위치 데이터를 수집했다”고  밝혔다.

또한 보고서는 회사가 정당한 이유가 없음에도 불구하고 앱이 “사용 계획을 보류한 후 1년 동안 방대한 양의 위치 데이터”를 계속 수집했다고 밝혔다.

데이터는 앱 사용자가 어디에서 살고, 일하고, 여행 중인지 확인하는 데 사용되었다. 또한 사용자가 Tim Hortons의 경쟁업체 커피숍이나 주요 스포츠 경기장에 입장하거나 퇴장하는 시점을 추적했다. 회사 측은 데이터가 사용자 동향을 분석하는 데 제한된 방식으로만 사용되었다고 말하고 있다.

브리티시 컬럼비아의 정보 및 개인 정보 보호 위원인 마이클 맥에보이(Michael McEvoy)는 “고객의 신뢰에 대한 완전한 위반”이며 “회사가 마케팅 전략으로 고객을 감시할 수 없다는 강력한 메시지를 조직에 전달한다”는 조사 결과를 밝혔다.

Tim Hortons는 조사가 시작된 후 2020년에 사용자의 위치 추적을 중단했지만 민감한 개인 정보가 보호된다는 의미는 아니다.

미국 제3자 위치 서비스 공급업체와의 계약도 너무 모호해서 미국 회사가 자체 목적으로 “비식별화된” 위치 데이터를 판매했을 가능성도 있다. 캐나다 프라이버시 커미셔너 사무소(Office of the Privacy Commissioner of Canada)에 따르면 비식별화된 지리적 위치 데이터는 쉽게 재식별될 수 있으며 개인의 사생활에 대해 많은 것을 파악하는 데 사용될 수 있다.

“위치 데이터는 사람들이 살고 일하는 곳을 유추하고 진료소 방문을 알려주는 데 사용될 수 있기 때문에 매우 민감한 것으로 종교적 신념, 성적 취향, 사회적 정치적 성향 등에 대해 추론하는 데 사용될 수 있다”고 보고서는 설명했다.

“Tim Hortons는 고객에 대해 매우 민감한 방대한 양의 정보를 축적함으로써 분명히 선을 넘었고 매일 몇 분 간격으로 사람들의 움직임을 추적하는 것은 분명히 부적절한 감시 형태였으며 이 사건은 잘못 설계된 기술로 인해 발생할 수 있는 피해와 캐나다인의 권리를 보호하기 위한 강력한 개인정보 보호법의 필요성을 다시 한번 강조한다”고 캐나다의 개인정보 보호 위원 다니엘 테리엔(Daniel Therrien)은 말했다.

Tim Hortons는 사용자의 위치 데이터 삭제 및 개인 정보 관리 프로그램 설정을 포함하여 위원이 제시한 권장 사항에 동의했다.

알버타 정보 및 개인 정보 보호 위원 질 클레이튼(Jill Clayton)은 “사람들이 이러한 유형의 앱을 다운로드하여 사용할 때 개인 정보가 어떻게 되는지 미리 알고, 조직에서 약속을 준수하는 것이 중요하다”고 말했다.