联邦贸易委员会 (FTC) 已在保护消费者隐私方面迈出了重要一步,启动了一项提议的行动指控通用汽车 (GM) 及其子公司 OnStar 不当收集和共享数百万车主的敏感数据。
几天前,德克萨斯州总检察长 (AG) Ken Paxton被起诉Allstate 及其子公司 Arity,“通过 Life360 等移动应用程序中秘密嵌入的软件,非法收集、使用和出售”超过 4500 万美国人的驾驶数据。该诉讼源于一项调查,导致帕克斯顿起诉通用汽车在 8 月份被指控“在未经保险公司知情或同意的情况下非法收集和出售超过 150 万德克萨斯人的私人驾驶数据,从而实施虚假、欺骗性和误导性的商业行为”。这是州总检察长为执行全面的数据隐私法而提出的首次执法行动。
联邦贸易委员会和德克萨斯州总检察长的行动都反映出人们对数字互联汽车时代隐私风险日益增长的担忧。的确。 2024 年 12 月,大众汽车集团软件子公司 Cariad 发生重大数据泄露事件,泄露了约 80 万电动车车主的敏感信息。泄露的数据包括精确的车辆位置、联系方式和移动模式。此次泄露影响了大众、奥迪、西雅特和斯柯达品牌的全电动车型,不仅影响了德国的汽车,还影响了整个欧洲和其他地区的汽车。
此次泄露的根本原因是 Cariad 管理的 Amazon Web Services 云存储系统配置错误,导致数据在几个月内无法在线访问。一名举报人发现了该漏洞并向德国新闻媒体报告镜子和混沌计算机俱乐部。暴露的数据包含精确的 GPS 坐标,大众和西雅特车型的定位精度可达 10 厘米以内,奥迪和斯柯达车型的定位精度可达 10 公里。
大众汽车已解决了安全漏洞问题,但该事件引起了人们对现代车辆收集的数据的隐私和安全的严重担忧,凸显了与广泛的数据收集和存储实践相关的潜在风险。
联邦贸易委员会在针对个人隐私的行动中表示:“跟踪和收集地理位置数据可能会严重侵犯隐私,泄露一个人生活中一些最私密的细节,例如他们是否去过医院或其他医疗机构,并暴露他们的日常生活。”总经理。拟议的命令旨在建立更大的透明度和问责制,以确保消费者保留对其个人数据的控制权。
联邦监管机构这一史无前例的举措标志着其首次针对联网车辆数据采取行动,并强调了其对监管快速发展的车辆技术和消费者权利格局的承诺。此举是一个明确的信号,表明联邦贸易委员会打算让公司对利用消费者数据负责,为未来如何管理联网车辆数据树立先例。
在闭门会议上,委员会以 3-0-2 的投票结果接受了拟议的征求公众意见的同意协议。唐纳德·特朗普总统任命的联邦贸易委员会委员梅丽莎·霍利奥克和安德鲁·弗格森被记录为缺席。
当联邦贸易委员会有“理由相信”法律已经或正在被违反时,联邦贸易委员会会提出行政投诉,并且委员会认为该诉讼符合公共利益。
根据美国联邦贸易委员会的抱怨总部位于密歇根州的通用汽车通过其 OnStar 联网车辆服务,特别是 OnStar 智能驾驶员功能误导了客户。据称,该汽车制造商未能充分披露其从用户那里收集了精确的地理位置和驾驶行为数据,包括有关紧急制动、超速和夜间驾驶的信息。
然后,在未经消费者明确同意的情况下,这些数据被出售给第三方,包括消费者报告机构。这些机构利用这些信息来创建信用报告,保险公司根据这些报告来设定保险费率,在某些情况下,甚至完全拒绝承保。
这种做法的影响是巨大的。通过跟踪用户的精确地理位置(有时每三秒一次),通用汽车可以确定有关个人的敏感详细信息,例如访问医院或其他私人场所,从而有效地规划出他们的日常活动。生物识别更新之前交叉引用匿名的不同数据集可能会导致个人的去匿名化和身份识别。
当去除姓名或电子邮件地址等直接标识符的数据与其他数据集组合以重新识别个人时,就会发生去匿名化。此过程依赖于位置、性别、出生日期或设备 ID 等准标识符,当与其他信息交叉引用时,这些准标识符可以唯一地识别人员。例如,出生日期、性别和邮政编码的组合足以查明个人,即使在匿名数据集中也是如此。
这种程度的监控,加上此类数据的出售,给联邦贸易委员会敲响了警钟。董事长莉娜·M·汗 (Lina M. Khan) 表示:“通用汽车监控并出售人们的精确地理位置数据和驾驶员行为信息,有时每三秒一次。通过这一行动,联邦贸易委员会正在保护美国人的隐私并保护人们免受不受控制的监视。”
联邦贸易委员会专职律师朱莉娅·所罗门·恩索尔说”,“通用汽车通过将其作为类似游戏的程序进行营销,说服客户注册一个名为“智能驾驶员”的程序,该程序将使用驾驶员行为数据来帮助人们提高驾驶水平。但尚不清楚的是,通用汽车和安吉星还打算将他们收集的数据出售给第三方,包括消费者报告机构。而且,根据联邦贸易委员会的说法,在未经人们完全知情同意的情况下分享这些信息会造成真正的伤害。”
恩索尔补充说,“人们还失去了日常活动的隐私,包括访问敏感地点。诉状称,通用汽车和安吉星未经许可使用和共享数据,欺骗了人们,行为不公平。”
联邦贸易委员会的投诉还强调了通用汽车采用的欺骗性注册流程。购买车辆的消费者经常被鼓励注册 OnStar,该服务被宣传为紧急情况和增强导航的工具。
然而,许多用户在不知情的情况下注册了智能驾驶员功能,并且数据收集的范围没有透明地传达。消费者投诉蜂拥而至,他们发现自己的驾驶习惯被分享给保险公司,其中一位消费者对保险费率受到的意外影响表示沮丧。
根据拟议的和解令,通用汽车和安吉星必须对其数据收集和共享做法进行重大改变。五年内,禁止他们向消费者报告机构披露消费者的地理位置和驾驶员行为数据。此外,该命令还要求公司在收集联网车辆数据之前必须获得消费者的明确同意,但紧急情况除外。
该和解还强调消费者赋权。通用汽车和安吉星必须开发机制,允许个人请求其数据副本、删除数据,或完全选择不收集地理位置和驾驶行为信息。如果车辆配备了必要的技术,消费者必须能够禁用精确的地理位置跟踪。
该和解协议目前需接受 30 天的公众评议期联邦公报。在此期间,公众可以分享反馈,这将影响联邦贸易委员会是否最终确定该命令的决定。
在德克萨斯州起诉好事达的案件中,州总检察长办公室表示,该公司“从全国超过 4500 万消费者那里收集了价值数万亿英里的位置数据,并利用这些数据创建了‘世界上最大的驾驶行为数据库’”。
该诉讼称,“这些行为违反了德克萨斯州数据隐私和安全法案,该法案为德克萨斯州的敏感数据(包括但不限于精确的地理位置信息)提供了加强的保护。法律要求公司如何使用德克萨斯人的敏感数据明确通知并知情同意。 Allstate 从未发出通知或获得德克萨斯人同意收集或出售他们的敏感数据。”
Allstate 否认了这些指控,称其数据分析子公司 Arity 一直是透明的,并且完全遵守德克萨斯州的法律法规。
文章主题
||||||||
