联邦贸易委员会(FTC)通过发起一项拟议的行动针对通用汽车(GM)及其子公司Onstar,他们对他们收集不当的指控并对数百万车主共享了敏感数据。
几天前,得克萨斯州检察长(AG)肯·帕克斯顿(Ken Paxton)起诉Allstate及其子公司ARITY“通过在移动应用程序(例如Life360)中秘密嵌入的软件“非法收集,使用和销售”超过4500万美国人的驾驶数据。该诉讼来自一项调查,导致Paxton到达起诉通用汽车于8月份因“虚假,欺骗性和误导性的商业惯例与其非法收集和出售超过150万德克萨斯人的私人驾驶数据相关的商业惯例,但未经其知识或同意。”这是州检察长执行全面数据隐私法提出的第一个执法行动。
FTC和得克萨斯州的AG的行动都反映了对数字连接车时隐私风险的越来越关注。的确。 2024年12月,大众集团软件子公司Cariad的严重数据泄露,大约800,000台电动汽车所有者的敏感信息。受损的数据包括精确的车辆位置,联系方式和运动模式。漏洞影响了大众,奥迪,座位和Škoda品牌的全电动型号,不仅在德国,而且在整个欧洲和其他地区都影响了车辆。
违规的根本原因是由Cariad管理的错误配置的Amazon Web Services云存储系统,该系统使数据在线访问几个月。举报人发现了漏洞,并将其报告给德国新闻媒体镜子和混乱的计算机俱乐部。暴露的数据涵盖了精确的GPS坐标,大众汽车和座椅车辆的位置精度达到了10厘米,而奥迪和škoda型号的位置精度最多可达10公里。
自那以后,大众汽车已经解决了安全失误,但事件引起了人们对现代车辆收集的数据的隐私和安全性的重大关注,强调了与广泛的数据收集和存储实践相关的潜在风险。
FTC在反对通用汽车的行动中说:“跟踪和收集地理位置数据可能极具隐私性侵入性,揭示了有关一个人生活的一些最亲密的细节,例如他们是去医院还是其他医疗机构,并暴露了日常工作。”拟议的命令旨在建立更大的透明度和问责制,以确保消费者保留对其个人数据的控制。
联邦监管机构的前所未有的举动标志着其第一个涉及连接的车辆数据的行动,并强调了其对迅速发展的车辆技术和消费者权利迅速发展的景观的承诺。此举清楚地表明,FTC打算让公司负责利用消费者数据,为应如何管理连接的车辆数据进行前进的先例。
在一次闭幕会议上,委员会以3-0-2投票接受了拟议的同意协议以征求公众意见。唐纳德·特朗普(Donald Trump)总统饰演FTC的专员梅利莎·霍利奥克(Melissa Holyoak)和安德鲁·弗格森(Andrew N. Ferguson)被记录为缺席。
FTC在“相信”法律已经或正在违反该法律时发出行政投诉,在委员会看来,诉讼符合公共利益。
根据FTC的说法抱怨总部位于密歇根州的通用汽车通过其OnStar Connected车辆服务误导了客户,特别是其Onstar Smart Driver功能。据称,这位汽车制造商未能充分透露其从用户那里收集精确的地理位置和驱动行为数据,包括有关硬制动,超速驾驶和夜间驾驶的信息。
然后,未经消费者的明确同意,数据将数据出售给了第三方,包括消费者报告机构。这些机构使用这些信息来创建信用报告,保险公司依靠设定保险费率,在某些情况下完全拒绝承保范围。
这种做法的含义是巨大的。通过跟踪用户的精确地理位置 - 有时每三秒钟的时间频繁 - 通用汽车可以确定有关个人的敏感细节,例如访问医院或其他私人位置,有效地绘制了其例程。生物识别更新之前报告交叉引用的匿名不同数据集可以导致个人化和识别个体。
当将直接标识符(例如名称或电子邮件地址)与其他数据集结合起来以重新识别个人的数据(例如名称或电子邮件地址)时,就会发生去匿名化。此过程依赖于定位,性别,出生日期或设备ID等准识别符,当与其他信息交叉引用时,可以唯一地识别人们。例如,即使在匿名数据集中,出生日期,性别和邮政编码的结合也足以查明个人。
这种监视水平,加上此类数据的销售,在FTC上增加了警报铃。董事长莉娜·M·汗(Lina M.
FTC员工律师朱莉娅所罗门·恩索尔(Julia Solomon Ensor)说“通用汽车说服客户通过将其作为一种类似游戏的程序进行营销来注册一个名为“智能驾驶”的程序,该程序将使用驾驶员行为数据来帮助人们改善驾驶。但是,不清楚的是通用汽车和Onstar还打算将收集到的数据销售给第三方,包括消费者报告机构,包括FTC,没有人造成真正的危害。
Ensor补充说:“人们还对日常运动失去了隐私,包括对敏感地点的访问。根据投诉,未经许可,通用汽车和Onstar欺骗了人们,并不公平地采取行动,通过使用和共享数据。”
FTC投诉还强调了通用汽车采用的欺骗性入学过程。通常鼓励购买车辆的消费者注册OnStar,该服务促进了紧急情况和增强导航的工具。
但是,许多用户在智能驱动程序功能中被不知不觉地注册,并且数据收集的程度没有透明地传达。发现他们的驾驶习惯正在与保险公司共享的消费者的投诉,其中一个人对意外影响其保险费率表示沮丧。
根据拟议的和解命令,GM和Onstar需要对其数据收集和共享实践进行实质性更改。在五年的时间里,他们被禁止向消费者报告机构披露消费者的地理位置和驾驶员行为数据。此外,该命令要求公司在收集连接的车辆数据之前获得明确的消费者同意,但紧急情况除外。
该和解还强调了消费者的能力。通用汽车和Onstar必须开发机制,使个人可以要求其数据副本,删除数据,或者退出收集地理位置和驱动行为信息。如果车辆配备了必要的技术,则消费者必须能够禁用精确的地理位置跟踪。
该和解目前在公开发表期间的公开评论期限为30天联邦公报。在此期间,公众可以共享反馈,这将影响FTC关于是否最终确定命令的决定。
在德克萨斯州针对Allstate的诉讼中,州检察长办公室表示,该公司“从全国范围内收集了数万亿英里的位置数据,并使用了数据来创建“世界上最大的驾驶行为数据库”。”
该诉讼称,“这些行动违反了《德克萨斯州的数据隐私和安全法》,该法案对德克萨斯人的敏感数据(包括但不限于精确的地理位置信息)提高了保护。该法律要求明确通知并了解公司如何使用德州人的敏感数据。AllState从未提供通知或获得的Texans同意收集或销售其敏感数据。”
Allstate否认了这些指控,称其数据分析子公司Arity已透明并完全符合德克萨斯州的法律法规。