삼성헬스, AI 학습 동의 안 하면 수면·약물·의료기록·생리주기 데이터 삭제 통보
- 삼성헬스 앱 설정 깊숙한 곳에 'AI 학습 및 모델링을 위한 건강데이터 사용 동의' 토글이 추가됨, 동의를 거부하면 계정 동기화가 끊기고 보유 데이터가 삭제됨
- 삼성이 수집하려는 항목은 수면, 약물, 의료기록, 생리주기 추적 등 4개 카테고리이며 일부 데이터는 삼성 직원이나 외부 계약업체가 직접 검토할 수 있다고 명시됨
- 동의 철회 시 앱에 뜨는 경고문은 '법적으로 보관해야 하는 경우가 아니면 건강데이터가 삭제되며, 보관 의무 기간이 끝나면 즉시 삭제한다'는 내용임
- 이번 변경은 갤럭시 워치 9와 One UI 9 워치 출시에 맞춰 삼성헬스에 생성형 AI 기능이 대거 추가된 직후 이루어짐, 대표 기능인 Vitals는 심박수·심박변이도·호흡수·피부온도·혈중산소 5가지 지표로 야간 이상 징후를 감지해 알려줌
- 하커뉴스에서는 이 조치가 GDPR 위반 소지가 있는지, 미국 HIPAA법 적용 대상인지를 두고 논쟁이 일었으며, 삼성이 병원이 아니라 HIPAA 규제 대상이 아니라는 의견이 우세함
Hacker News opinions
이거 진짜 '동의하면 데이터 저장, 거부하면 삭제' 화면 텍스트가 확실한거야? 삼성 폰이 없어서 직접 확인이 안 되네
GDPR 위반 아니야? 유럽에서 이거로 완전히 박살나야 하는데
GDPR은 동의 받고 처리하라는 거고, 데이터 접근을 막는 게 아니라 무기한 보관을 막는 거야. 이건 그거랑은 결이 다름
삼성 계정 없어도 폰 쓰는 데 문제없다는 거 하나는 마음에 들어. 근데 AI 기능 누르면 계정 없인 못 쓰게 막혀 있음
이거 잘 보면 최선의 시나리오 아니야? 동의 안 하면 데이터도 지워주고 AI 학습도 안 시킨다는 거잖아
백업 막고 데이터 이동성 떨어뜨리는 게 무슨 최선의 시나리오냐, 그냥 사용자한테 불리한 거지
수면, 약물, 의료기록, 생리주기까지 네 카테고리 다 넘겨야 기기 기능 절반을 쓸 수 있다는 거잖아. 동의 안 하면 반값 환불해줘야 하는거 아니냐
EU라면 소비자보호단체에 신고해. 이거 EU법 여러 개 위반이라 삼성도 현지 사무소 있어서 못 피해감. 여러 나라에서 신고 몰리면 국가 이슈로 커짐
애플은 헬스데이터 기본 E2EE로 암호화하는 건 인정해줄만함. 근데 iMessage 백업은 왜 아직 기본 E2EE가 아닌지 이해가 안 됨
이게 사생활을 존중한다는 신호일 수도 있어. 데이터를 갖고 쓰거나, 아예 안 갖는 거지 중간이 없는 거잖아
삼성은 이걸로 완전히 망해야 함, 벌금 때려야지
정부가 시민 데이터 보호할 동기가 딱히 없어서 이런 일이 계속되는 거임
GDPR 삭제 요청 보내면 회사들이 시스템 뒤져서 지우기 싫어서 별짓 다 함. 예전에 xing이 광고 그만 보내달라는 요청 계속하니까 그냥 계정을 닫아버린 적도 있음
동의 안 하면 오히려 좋은 거 아니야? 삼성이 내 건강데이터 지워주고 AI 학습도 안 시킨다는 거잖ㅋㅋ
말은 그렇게 해놓고 몰래 학습시킬 수도 있지, 그게 진짜 함정일 수도 있음
내 건강데이터는 삭제해줘. 원래 삼성이 갖고 있을 이유가 없었어, 내가 준 것 말고는. 그리고 준 것도 보관만 하고 쓰지는 말아야지
구글 Ultra 유료 요금제도 이런 식이었음. 학습 끄려면 히스토리도 꺼야 해서 결국 서비스가 쓸모없어짐, 워크스페이스 Ultra는 히스토리 유지하면서 학습만 끌 수 있는데 개인용은 안 됨
이거 미국 HIPAA법 위반 아니야?
삼성은 병원이나 의료기관이 아니라서 HIPAA 적용 대상이 아님. 워치에서 직접 수집한 데이터면 해당 없음
치사한 짓이긴 한데 사용자 동의 받고 수집한 데이터에 대해선 회사가 꽤 자유롭게 쓸 수 있음. 이런 부분을 규제해야 하는 게 맞음