前情回顾·网络安全合规执法
安全内参5月11日消息,跨国汽车巨头通用汽车(General Motors)同意支付1275万美元(约合人民币8664万元),以解决美国加州对其提出的指控。相关指控称,该公司在未经数百万消费者同意的情况下收集并存储驾驶信息,并将这些数据出售给数据经纪商,从而侵犯了消费者隐私。
明令停止出售用户驾驶数据,并删除此前出售的数据
5月8日,加州官员宣布达成这项和解。这是《加州消费者隐私法案》实施五年多以来开出的最高罚款。根据加州法律,企业只能收集开展业务所必需的数据,并且必须明确告知消费者其数据的用途。
除罚款外,和解协议还要求通用汽车暂停向消费者报告机构出售驾驶数据,其中包括数据经纪商,期限为五年。
这家汽车制造商还同意,在未获得消费者明确同意的情况下,于180天后删除相关驾驶数据,并要求两家数据经纪商Verisk和LexisNexis删除通用汽车出售给它们的数据。
和解协议同时要求通用汽车建立一套隐私保护计划,用于分析、修复并记录与OnStar产品数据收集相关的风险。OnStar正是此次加州调查所涉及数据销售计划的核心。根据加州隐私保护局发布的新闻稿,这些评估结果必须提交给加州检察长办公室和加州隐私保护局。
在获得法院批准之前,这项和解协议不会正式生效。
加州总检察长Rob Bonta在声明中表示:“通用汽车在驾驶员不知情且未同意的情况下出售了加州驾驶员的数据,尽管该公司曾多次承诺不会这样做。这些信息包括精确且高度敏感的位置数据,可用于识别加州居民的日常习惯和行动轨迹。”
“企业不能只是持有数据,然后再将其用于其他目的。”
通用汽车一位发言人在声明中表示,公司已于2024年停止提供此次和解涉及的相关产品,并加强了隐私保护措施。
声明称:“车辆互联功能是现代安全驾驶体验的重要组成部分,因此我们致力于以清晰、透明的方式向客户说明我们的做法,以及他们对个人信息所拥有的选择权和控制权。”
网联即泄密?通用汽车持续收集并出售用户个人及驾驶数据
加州当局于2023年开始调查通用汽车。一年后,《纽约时报》报道称,包括通用汽车在内的多家汽车制造商一直在向数据经纪商出售消费者驾驶数据,而这些经纪商随后又将数据转售给保险公司。
新闻稿称,调查发现,2020年至2024年期间,通用汽车向Verisk和LexisNexis出售了数十万消费者的地理位置、驾驶行为、姓名及联系方式,并通过这些数据交易在全美范围内获利约2000万美元(约合人民币1.36亿元)。
这些被出售的消费者数据由通用汽车的OnStar功能收集。根据新闻稿,OnStar被宣传为一项紧急援助和导航服务。
Verisk和LexisNexis购买这些数据,是为了开发驾驶员评分产品,并将其出售给保险公司。由于加州法律禁止保险公司依据驾驶数据制定保险价格,因此没有加州消费者因这一计划而面临保费上涨。
然而,美国其他州的数百万民众却因这些数据交易导致保险费率大幅上升而受到影响。
加州调查人员表示,通用汽车并未告知消费者其会将数据出售给这些数据经纪商,还通过虚假信息误导客户,声称这些数据仅用于为主动注册OnStar服务的用户提供服务。
新闻稿称:“通用汽车甚至表示,其不会出售任何驾驶或位置数据;即使出于保险目的披露此类数据,也只会在消费者明确授权的情况下进行。”
“此外,尽管通用汽车内部的隐私合规计划要求其告知消费者个人信息的用途,以及可能接收这些信息的第三方,但通用汽车仍在客户不知情且未同意的情况下,将消费者数据出售给Lexis和Verisk。”
新闻稿还指出,这家汽车制造商保存加州居民数据的时间远远超过运营OnStar服务所需的期限。加州隐私法要求企业限制消费者数据的使用范围,并尽可能减少数据收集和保存的时长。
参考资料:https://therecord.media/gm-to-pay-12-million-california-privacy-settlement
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
