Flock Safety को व्यक्तिगत जानकारी संग्रह न करने के अनुरोध और कंपनी की प्रतिक्रिया

 (honeypot.net)
2 पॉइंट द्वारा GN⁺ 2026-04-15 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • कैलिफ़ोर्निया के एक निवासी ने Flock Safety को अपने, अपने परिवार और वाहन से जुड़ी व्यक्तिगत जानकारी हटाने और संग्रह पर रोक लगाने का अनुरोध भेजा
  • कंपनी ने कहा कि वह केवल डेटा प्रोसेसर (Processor) है और डेटा पर नियंत्रण ग्राहक संस्थाओं के पास है, इसलिए अनुरोध अस्वीकार कर दिया
  • जवाब में डेटा बिक्री पर रोक, 30 दिन की स्वचालित deletion policy, और सार्वजनिक स्थानों पर वाहनों की छवियों पर केंद्रित संग्रह दायरा जैसी बातें समझाई गईं
  • अनुरोधकर्ता का कहना है कि Flock Safety वास्तव में व्यक्तिगत पहचान योग्य जानकारी को सीधे प्रोसेस करता है, इसलिए उस पर deletion की जिम्मेदारी बनती है
  • कानूनी कार्रवाई पर अभी फैसला नहीं हुआ है, लेकिन वकील रखने की संभावना खुली रखी गई है

Flock Safety के व्यक्तिगत जानकारी deletion अनुरोध और प्रतिक्रिया

  • कैलिफ़ोर्निया के एक निवासी ने CCPA (California Consumer Privacy Act) के तहत Flock Safety को व्यक्तिगत जानकारी हटाने और संग्रह पर रोक लगाने का अनुरोध ईमेल से भेजा
    • अनुरोध में अपने, अपने वाहन और परिवार के सदस्यों से संबंधित जानकारी को सभी databases से हटाने और भविष्य में उसके संग्रह व storage पर रोक लगाने की मांग की गई थी
  • Flock Safety ने जवाब में सूचित किया कि वह इस अनुरोध को प्रोसेस नहीं कर सकता
    • जवाबी ईमेल में प्राप्तकर्ता का नाम दो बार गलत लिखा गया था
    • कंपनी ने स्पष्ट किया कि “Flock Safety ग्राहकों की ओर से डेटा प्रोसेस करने वाला service provider और processor है, जबकि डेटा का मालिकाना हक और नियंत्रण ग्राहक के पास है”
    • इसलिए deletion अनुरोध Flock Safety को नहीं, बल्कि सेवा का उपयोग करने वाली संस्था (ग्राहक) को सीधे भेजा जाना चाहिए
  • कंपनी ने आगे डेटा संग्रह और संरक्षण नीति भी समझाई
    • ग्राहक अनुबंध के अनुसार डेटा प्रोसेसिंग की सीमा और प्रतिबंध तय होते हैं, और ग्राहक ही डेटा का मालिक होता है
    • डेटा बिक्री पर रोक: Flock Safety ग्राहकों के निर्देशों के अनुसार डेटा प्रोसेस करता है और उसे व्यावसायिक उद्देश्य से बेचता या साझा नहीं करता
    • संग्रहित जानकारी: license plate recognition (LPR) नाम या पते जैसी संवेदनशील जानकारी नहीं, बल्कि सार्वजनिक स्थानों पर ली गई वाहन की छवियां और बाहरी विशेषताएं ही एकत्र करता है
    • उपयोग का उद्देश्य: ग्राहक इस डेटा का उपयोग सार्वजनिक सुरक्षा प्रबंधन, घटनाओं पर प्रतिक्रिया और अपराध सुलझाने जैसे सुरक्षा उद्देश्यों के लिए करते हैं
    • संरक्षण अवधि: सामान्य रूप से 30 दिन बाद डेटा अपने आप हट जाता है, हालांकि ग्राहक कानून या नीति के अनुसार इस अवधि को समायोजित कर सकते हैं
  • Flock Safety ने अधिक जानकारी के लिए Privacy Policy और LPR Policy देखने को कहा

कानूनी व्याख्या और व्यक्ति का रुख

  • अनुरोधकर्ता का मानना है कि Flock Safety का जवाब कानूनी रूप से गलत है
    • कारण यह है कि Flock Safety वास्तव में व्यक्तिगत पहचान योग्य जानकारी (PII) को संग्रह और प्रोसेस करने वाला पक्ष है
    • CCPA के अनुसार, ऐसी जानकारी प्रोसेस करने वाले पक्ष पर deletion अनुरोध का पालन करने की जिम्मेदारी होती है
  • फिलहाल कानूनी कार्रवाई होगी या नहीं, यह तय नहीं है, लेकिन वकील नियुक्त करने की संभावना खुली रखी गई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-15
Hacker News राय

  • यह पोस्ट मैंने लिखी थी। मुझे उम्मीद नहीं थी कि Flock मेरे अनुरोध को मानेगा, लेकिन मैंने एक प्रयोग के तौर पर कोशिश की। मगर उनका जवाब खटकने वाला था। उन्होंने कहा कि “डेटा ग्राहक का है, और उसका उपयोग व शेयरिंग ग्राहक तय करता है,” जो CCPA की भावना से सीधे टकराता है। अगर वह मेरा डेटा है, तो उसके ग्राहक के पास नियंत्रण क्यों है, यह समझ नहीं आता। उम्मीद नहीं थी, फिर भी इस तरह ठुकराया जाना निराशाजनक है

    • उनका मतलब असल में यह था, “हमसे संपर्क मत करो, कैमरा मालिक से संपर्क करो।” लेकिन डेटा Flock सर्वर पर संग्रहीत है। सिर्फ स्टोरेज उपलब्ध कराने का मतलब यह नहीं कि डेटा के स्वामित्व या जिम्मेदारी से कोई संबंध ही न हो। और उससे भी बड़ी समस्या यह है कि सिस्टम का डिज़ाइन ही privacy के उल्लंघन को बढ़ावा देने वाला है। यही Flock पर मूल आलोचना है, और अगर यह अदालत में गया तो दिलचस्प होगा
    • सोच रहा हूँ कि उन्हें फिर लिखकर कहूँ, “तो फिर अपने ग्राहकों की सूची दे दीजिए, और जब भी नया ग्राहक जुड़े तो मुझे बताते रहिए”
    • यह दिलचस्प होगा अगर कोई जज यह देखे कि Flock सिस्टम पर कितना वास्तविक नियंत्रण रखता है। अगर उन्होंने ऐसा सिस्टम बनाया है जो personal data collection को इतना आसान बनाता है, तो deletion requests को संभालने की प्रक्रिया भी उतनी ही आसान होनी चाहिए। आखिरकार, कंपनियाँ privacy को हल्के में इसलिए लेती हैं क्योंकि उपभोक्ताओं ने ऐसी स्थिति को स्वीकार किया है। अच्छा है कि कुछ लोग अब भी इन मुद्दों की परवाह करते हैं। सोच रहा हूँ, क्या कानूनी कार्रवाई की लागत को sponsor करने का कोई तरीका है
    • LegalEagle जैसे YouTuber को शामिल किया जाए तो शायद इस पर ध्यान जाएगा। Benn Jordan भी expert witness के तौर पर आएँ तो दिलचस्प होगा
    • लेकिन क्या वह सच में “मेरा डेटा” है? अगर मैं गाड़ी चलाते हुए किसी और के घर के Ring कैमरा में रिकॉर्ड हो जाऊँ, तो क्या मैं दावा कर सकता हूँ कि उस फुटेज का मालिक मैं हूँ?

  • मुझे नहीं पता कि ऐसा अनुरोध कानूनी रूप से कितना तर्कसंगत है। उदाहरण के लिए, अगर कोई शहर ALPR system लगाकर अपराध के सबूत इकट्ठा कर रहा है, तो कोई व्यक्ति Flock से यह नहीं कह सकता कि “मेरा डेटा इकट्ठा मत करो।” मौजूदा कानून के तहत ऐसा दावा कुछ ज़्यादा ही व्यापक लगता है

  • हाल की पोस्टों में कंपनी का नाम सिर्फ “Flock” लिखा गया है और “Flock Safety (YC S17)” हटा हुआ है; पिछली पोस्ट में भी ऐसा ही था। क्या YC labeling style बदल गया है?

    • शायद YC privacy controversy से दूरी बनाना चाहता हो, लेकिन सच कहूँ तो मुझे नहीं लगता कि वे इतने सजग हैं
    • कुल मिलाकर आजकल ऐसी labeling कम दिख रही है। वैसे भी शीर्षक submitter खुद लिखता है, यह कोई automated चीज़ नहीं है

  • Flock ने Minnesota में भी “हम data controller नहीं हैं” कहकर ऐसा ही रुख अपनाया था। जबकि MCDPA के तहत deletion request का अधिकार मौजूद है

    • वही तो कानून का पालन करना है। राज्य या शहर सरकार वाले ग्राहक शायद ऐसे अनुरोध मानना ही नहीं चाहेंगे

  • “Flock जो चाहे कर सकता है” और “Flock को अनुरोध पर डेटा हटाना होगा” — इन दोनों के बीच का फर्क आखिर कानून ही है। चूँकि नागरिक ही विधायकों को चुनते हैं, अगर इस तरह के मुद्दों को प्राथमिकता दिलानी है तो वोट के ज़रिए दबाव बनाना होगा

  • यह लड़ाई मुश्किल लगती है। Flock कहता है कि डेटा सरकार के स्वामित्व में है, और वे खुद सिर्फ storage service provider हैं। अगर आप AWS या Google Cloud को deletion request भेजें, तो शायद वही जवाब मिलेगा: “हम तो सिर्फ स्टोर कर रहे हैं।” यानी अदालत के आदेश के बिना deletion लागू करवाना मुश्किल है। फिर भी, Flock का यह कहना कि वे डेटा का किसी और उद्देश्य के लिए उपयोग नहीं करते, cloud storage analogy को और मजबूत करता है

    • लेकिन असल में cloud provider डेटा देखता है या नहीं, यह अंदरूनी खुलासे के बिना कैसे पता चलेगा?

  • Flock की LPR policy के अनुसार, वे कानूनी आवश्यकताओं या security·privacy समस्याओं के समाधान के लिए डेटा का उपयोग कर सकते हैं। तो क्या यह मामला privacy issue में नहीं आता? और “Trust Us” सेक्शन में machine learning के उपयोग को लेकर पारदर्शिता भी कम है

    • उनके “Transparency Portal” को देखें तो वास्तव में 30% से अधिक स्थानीय एजेंसियों के नाम तक सार्वजनिक नहीं हैं

  • अमेरिका में इस तरह के data collection कानूनों के मुताबिक, deletion request स्थानीय प्रशासन को भेजनी होती है। संबंधित जानकारी deflock.org पर मिल सकती है। यह साइट Boulder, Colorado के एक निवासी द्वारा चलाई जाती है

    • अगर ऐसा सिस्टम बनाया जाए जो हर स्थानीय प्रशासन को अपने-आप अनुरोध भेज दे, तो मज़ेदार होगा

  • अगर Flock PII data process करता है, तो उसके सभी ग्राहक subprocessor बन जाते हैं। इसलिए Flock को इनके साथ Data Processing Agreement (DPA) करना चाहिए। और deletion request आने पर AWS, GCP, Cloudflare जैसे सभी subprocessors को भी वह आगे भेजनी चाहिए

    • लेकिन हकीकत उलटी है। Flock ही subprocessor है, और डेटा इकट्ठा करने का निर्देश देने वाला शहर या स्थानीय प्रशासन controller है। इसलिए अनुरोध वहीं भेजा जाना चाहिए

  • अगर उनका यह बहाना मान्य है, तो CCPA बेकार हो जाता है

    • लेकिन हो सकता है कि मूल अनुरोध वैध ही न रहा हो। उदाहरण के लिए, आप पुलिस की ओर से speed camera चलाने वाली कंपनी से यह नहीं कह सकते कि “मेरी तस्वीर मिटा दो।” डेटा सरकार का होता है
    • और ऊपर से, जैसे ही कोई regulation बनता है, उसके बच निकलने के रास्ते भी बन जाते हैं। कई बार कानून बनने से पहले ही loophole डिज़ाइन कर लिया जाता है