聯邦貿易委員會 (FTC) 已在保護消費者隱私方面邁出了重要一步,啟動了一項提議的行動指控通用汽車 (GM) 及其子公司 OnStar 不當收集和共享數百萬車主的敏感數據。
幾天前,德州總檢察長 (AG) Ken Paxton被起訴Allstate 及其子公司 Arity,「透過 Life360 等行動應用程式中秘密嵌入的軟體,非法收集、使用和出售」超過 4,500 萬美國人的駕駛資料。該訴訟源於一項調查,導致帕克斯頓起訴通用汽車在8 月被指控「在未經保險公司知情或同意的情況下非法收集和出售超過150 萬德克薩斯人的私人駕駛數據,從而實施虛假、欺騙性和誤導性的商業行為」。這是州總檢察長為執行全面的資料隱私法而提出的首次執法行動。
聯邦貿易委員會和德州總檢察長的行動都反映出人們對數位互聯汽車時代隱私風險日益增長的擔憂。的確。 2024 年 12 月,大眾汽車集團軟體子公司 Cariad 發生重大資料外洩事件,洩漏了約 80 萬名電動車車主的敏感資訊。洩漏的資料包括精確的車輛位置、聯絡方式和移動模式。這次洩漏影響了大眾、奧迪、西雅特和斯柯達品牌的全電動車型,不僅影響了德國的汽車,也影響了整個歐洲和其他地區的汽車。
此次外洩的根本原因是 Cariad 管理的 Amazon Web Services 雲端儲存系統配置錯誤,導致資料在幾個月內無法線上存取。一名舉報人發現了該漏洞並向德國新聞媒體報告鏡子和混沌計算機俱樂部。暴露的數據包含精確的 GPS 座標,大眾和西雅特車型的定位精度可達 10 公分以內,奧迪和斯柯達車型的定位精度可達 10 公里。
大眾汽車已解決了安全漏洞問題,但該事件引起了人們對現代車輛收集的資料的隱私和安全的嚴重擔憂,凸顯了與廣泛的資料收集和儲存實踐相關的潛在風險。
聯邦貿易委員會在針對個人隱私的行動中表示:「追蹤和收集地理位置資料可能會嚴重侵犯隱私,洩露一個人生活中一些最私密的細節,例如他們是否去過醫院或其他醫療機構,並揭露他們的日常生活。擬議的命令旨在建立更大的透明度和問責制,以確保消費者保留對其個人資料的控制權。
聯邦監管機構這項史無前例的舉措標誌著其首次針對連網車輛數據採取行動,並強調了其對監管快速發展的車輛技術和消費者權利格局的承諾。此舉是一個明確的信號,表明聯邦貿易委員會打算讓公司對利用消費者數據負責,為未來如何管理連網車輛數據樹立先例。
在閉門會議上,委員會以 3-0-2 的投票結果接受了擬議的徵求公眾意見的同意協議。唐納德·特朗普總統任命的聯邦貿易委員會委員梅麗莎·霍利奧克和安德魯·弗格森被記錄為缺席。
當聯邦貿易委員會有「理由相信」法律已經或正在被違反時,聯邦貿易委員會會提出行政投訴,並且委員會認為該訴訟符合公共利益。
根據美國聯邦貿易委員會的抱怨總部位於密西根州的通用汽車透過其 OnStar 連網車輛服務,特別是 OnStar 智慧駕駛員功能誤導了客戶。據稱,該汽車製造商未能充分披露其從用戶那裡收集了精確的地理位置和駕駛行為數據,包括有關緊急煞車、超速和夜間駕駛的資訊。
然後,在未經消費者明確同意的情況下,這些數據被出售給第三方,包括消費者報告機構。這些機構利用這些資訊來建立信用報告,保險公司根據這些報告來設定保險費率,在某些情況下,甚至完全拒絕承保。
這種做法的影響是巨大的。透過追蹤使用者的精確地理位置(有時每三秒一次),通用汽車可以確定有關個人的敏感詳細信息,例如訪問醫院或其他私人場所,從而有效地規劃出他們的日常活動。生物辨識更新之前交叉引用匿名的不同資料集可能會導致個人的去匿名化和身分識別。
當移除姓名或電子郵件地址等直接識別碼的資料與其他資料集組合以重新識別個人時,就會發生去匿名化。此過程依賴位置、性別、出生日期或裝置 ID 等準標識符,當與其他資訊交叉引用時,這些準標識符可以唯一地識別人員。例如,出生日期、性別和郵遞區號的組合足以找出個人,即使在匿名資料集中也是如此。
這種程度的監控,加上此類數據的出售,給聯邦貿易委員會敲響了警鐘。董事長莉娜·M·汗 (Lina M. Khan) 表示:「通用汽車監控並出售人們的精確地理位置數據和駕駛員行為訊息,有時每三秒一次。透過這項行動,聯邦貿易委員會正在保護美國人的隱私並保護人們免受不受控制的監視。
聯邦貿易委員會專職律師朱莉婭·所羅門·恩索爾說”,“通用汽車通過將其作為類似遊戲的程序進行營銷,說服客戶註冊一個名為“智能駕駛員”的程序,該程序將使用駕駛員行為數據來幫助人們提高駕駛水平。但尚不清楚的是,通用汽車和安吉星還打算將他們收集的數據出售給第三方,包括消費者報告機構。而且,根據聯邦貿易委員會的說法,在未經人們完全知情同意的情況下分享這些信息會造成真正的傷害。
恩索爾補充說,「人們也失去了日常活動的隱私,包括造訪敏感地點。投訴稱,通用汽車和安吉星未經許可使用和共享數據,欺騙了人們,行為不公平。
聯邦貿易委員會的投訴也強調了通用汽車採用的欺騙性註冊流程。購買車輛的消費者經常被鼓勵註冊 OnStar,該服務被宣傳為緊急情況和增強導航的工具。
然而,許多用戶在不知情的情況下註冊了智慧駕駛員功能,並且資料收集的範圍沒有透明地傳達。消費者投訴蜂擁而至,他們發現自己的駕駛習慣被分享給保險公司,其中一位消費者對保險費率受到的意外影響表示沮喪。
根據擬議的和解令,通用汽車和安吉星必須對其數據收集和共享做法進行重大改變。五年內,禁止他們向消費者報告機構揭露消費者的地理位置和駕駛行為數據。此外,該命令還要求公司在收集連網車輛數據之前必須獲得消費者的明確同意,但緊急情況除外。
和解也強調消費者賦權。通用汽車和安吉星必須開發機制,允許個人請求其數據副本、刪除數據,或完全選擇不收集地理位置和駕駛行為資訊。如果車輛配備了必要的技術,消費者必須能夠停用精確的地理位置追蹤。
和解協議目前需接受 30 天的公眾評議期。聯邦公報。在此期間,公眾可以分享回饋,這將影響聯邦貿易委員會是否最終確定該命令的決定。
在德克薩斯州起訴好事達的案件中,州總檢察長辦公室表示,該公司「從全國超過4500 萬消費者那裡收集了價值數萬億英里的位置數據,並利用這些數據創建了'世界上最大的駕駛行為資料庫'”。
該訴訟稱,「這些行為違反了德州資料隱私和安全法案,該法案為德州的敏感資料(包括但不限於精確的地理位置資訊)提供了加強的保護。法律要求公司如何使用德克薩斯人的敏感數據明確通知並知情同意。 Allstate 從未發出通知或獲得德克薩斯人同意收集或出售他們的敏感數據。
Allstate 否認了這些指控,稱其數據分析子公司 Arity 一直是透明的,並且完全遵守德克薩斯州的法律法規。
文章主題
||||||||
