美国关于汽车数据安全要求

admin
admin
admin
102642
文章
87
评论
2024年3月1日21:53:28评论27 views字数 40257阅读134分11秒阅读模式

本文提供了关于美国汽车行业数据安全要求的全面概述。内容较长,以下是核心内容的整理
1. 数据收集与隐私:
2. 主要法案与条例:
3. 监管机构与指导:
4. 关键定义:
5. 联网车辆的隐私原则:
6. 自动驾驶与远程诊断:
7. 车辆地理位置数据:
8. 制造与数据治理:
9. 其他相关要求:

引言

现代车辆收集的数据比以往任何时候都要多,远超直观感受。这一现象得益于日益流行的汽车功能,例如联网车辆(信息娱乐系统和基于应用的控制)、生物识别技术(面部识别和语音识别)、遥测技术(GPS和车载诊断系统)以及自动驾驶技术。一个联网车辆每小时可以产生大约25GB的数据,并从多达100个不同的数据点收集信息。

除了收集诸如刹车、加速、变线等车辆运动的遥测信息外,联网车辆还能获取敏感且受到严格监管的个人信息,如精确的地理位置和生物特征数据,以及行为信息,如驾驶风格或不规则驾驶行为。

众所周知,美国没有一项全面的联邦数据保护法(尽管一项联邦法案——美国数据隐私和保护法案('ADDPA')已经通过能源和商务委员会审议并进入众议院讨论,但截至2022年12月,该法案在众议院的审议进程中暂停)。以下是美国汽车行业数据保护立法框架的概览。

1.管理文本

1.1. 主要法案、条例、指令、议案

以下是适用于汽车行业的数据保护和网络安全立法的简要概述,包括:

CCPA

《2018年加利福尼亚消费者隐私法案》("CCPA")是自2020年1月起在加州生效的隐私法律。它适用于在加州开展业务的企业,且满足以下条件之一:

  • 年收入达到2500万美元或以上;

  • 拥有5万名或以上加州居民的数据;

  • 至少50%的收入来自于销售数据。

CCPA(通过2020年加州隐私权法案("CPRA")修订,自2023年1月1日起生效)为加州居民创造了隐私权,允许他们:

  • 询问公司如何使用及销售他们的个人数据,并要求公司披露他们收集的加州居民数据("知情权");

  • 选择退出其个人数据的销售("选择退出权");

  • 要求企业删除收集的个人信息("删除权");

  • 以可移植格式接收其个人信息,并将其传输给其他实体("数据可携带性");

  • 行使其数据权利不受歧视("非歧视权")。

此外,个人有权知道企业何时提供经济奖励以换取消费者信息,而这些奖励需要满足有关奖励价值与企业从收集的个人信息中获得的价值之间关系的某些要求。CCPA对个人信息的定义包括“识别、关联、描述、能够与消费者或家庭直接或间接关联的信息”,这一定义甚至比欧盟通用数据保护条例(GDPR)的定义更广泛,涵盖了大多数车辆收集的数据,包括车辆维修数据、车辆安全数据、道路安全数据、遥测系统或车载诊断系统收集的数据(包括位置数据)和生物特征数据。加州总检察长("AG")发表的一份咨询意见指出,车辆识别号("VIN")本身是否构成个人信息是一个具体情况具体分析的问题。加州AG还对一家汽车经销商采取了执法行动,原因包括在收集消费者信息前未提供收集通知,当个人注册试驾车辆时。因此,汽车制造商和服务提供商必须确保符合CCPA的要求。值得注意的是,对于汽车来说,暂时身处其他州的加州居民仍被视为CCPA下的加州居民。这对寻求遵守CCPA的汽车行业企业构成了挑战,因为汽车经常跨州行驶。

CPRA

CPRA将于2023年1月1日生效,修改并扩展了CCPA,为加州消费者就收集、使用及销售/共享其个人信息提供了更大的保护。CPRA适用于在加州开展业务的企业,且满足以下条件之一:

  • 年收入达到2500万美元或以上;

  • 拥有10万名或以上加州居民的数据;

  • 至少50%的收入来自于销售数据。

与CCPA相比的主要区别以及它们在汽车背景下的重要性包括,法律现在规定了“共享”而不仅仅是“销售”,共享不需要交换任何形式的对价。因此,共享包括跨上下文的行为广告,并更广泛地规范了与第三方的信息共享。在汽车背景下,存在可以收集车辆中的信息的许多不同方(即,原始设备制造商(“OEM”)、信息娱乐系统制造商、信息娱乐系统上的应用、EV的第三方充电提供商等),这一切都将被视为共享。因为个人有权选择退出其信息的销售或共享,这在联网车辆的背景下可能会变得复杂。

(1)CPRA对企业施加了更详细的披露要求,要求提供精确、易于理解的披露,并有效禁止暗示模式,从而提高了加州所需的透明度水平至少与GDPR相当。法律特别提到了车辆中的隐私通知:“如果作为第三方的企业在其场所控制关于消费者的个人信息的收集,包括在车辆中,则该企业应在收集点之前或之时,以明确和显著的方式在位置上告知消费者将收集哪些类别的个人信息以及使用这些类别的个人信息的目的,并且是否销售该个人信息。”草案规定还特别针对租车公司的数据收集情况进行了说明,解释称租车业务可以在租赁柜台提供其收集通知,但如果车辆中有其他公司收集个人信息,则这些公司应在车辆中放置一个贴纸,可作为收集通知。

(2)CPRA创建了一个新类别的个人信息,“敏感个人信息”,并为消费者提供了限制企业使用敏感个人信息的新权利,仅限于提供商品或服务时所必需的范围,其中包括一些狭窄的例外。敏感个人信息包括消费者的社会安全号码("SSN")、驾照号码或护照号码、账户凭证、精确地理位置、种族或民族起源、宗教信仰、用于唯一识别消费者目的的生物特征数据、消费者健康或性生活或性取向的个人信息,以及消费者的邮件、电子邮件和短信内容。

(3)CPRA增加了数据最小化和目的限制要求。企业不得“保留消费者的个人信息超出为其收集目的所合理必需的时间”。CPRA还增加了目的限制:企业不能将最初为某一目的收集的消费者个人信息用于不同的、无关的目的。

(4)CPRA增加了关于员工数据的员工权利和义务。CCPA的员工个人信息豁免—该豁免规定CCPA不适用于员工和申请人背景下的消费者个人信息—将随着CPRA于2023年1月1日的实施而到期。这意味着从2023年1月开始,CPRA的要求将适用于员工个人信息。

(5)CPRA增加了进行数据保护影响评估("DPIAs")的要求。这一要求的实质将在新规中处理。截至2022年12月,由CPRA建立的专门的数据保护机构——加州隐私保护局("CPPA"),将执行CPRA违规行为(除了加州AG和地方法官外)已就即将出台的规定征求公众评论。

(6)其他变化包括下游合同要求、选择退出偏好信号和实施合理的安全措施。与第三方供应商或承包商共享消费者数据的企业必须签订要求下游方遵守CPRA的协议(如服务提供商、承包商和第三方)。这些协议有许多详细的具体要求。未能签订此类协议可能导致处理被视为销售或非法。CPPA还将就消费者选择退出其个人信息销售或限制使用或披露其敏感个人信息的意图的选择退出偏好信号出台规定。CPRA在现有的《参议院法案327》基础上增加了要求,该法案要求企业必须实施合理的安全措施以保护个人信息。CPPA负责起草CPRA规定,包括关于个人和敏感信息类别、定义、根据州或联邦法律对响应可验证消费者请求的例外、选择退出销售/共享个人信息的规则和程序、消费者隐私权以及企业如何响应它们、网络安全审计和风险评估、通用选择退出机制/选择退出偏好信号以及限制使用敏感个人信息等。在CCPA下,企业在收到违规通知后有一个强制的30天修正期,之后企业可以补救。这个强制的30天修正期在CPRA于2023年1月生效时结束。CPRA还扩大了私人诉讼权,允许消费者就数据泄露涉及额外类别的个人信息提起诉讼。特别是,CPRA将电子邮件地址与密码或安全问题和答案结合使用的数据类型添加到违规事件的可诉列表中。

VCDPA

2021年3月2日签署成法的弗吉尼亚消费者数据保护法("VCDPA")将于2023年1月1日生效。VCDPA适用于在弗吉尼亚开展业务或针对弗吉尼亚居民的任何企业,并且:

  • 在一个日历年中控制或处理至少10万弗吉尼亚居民的个人数据;

  • 通过销售个人数据获得收入或商品或服务价格上的折扣,并且控制或处理至少2.5万弗吉尼亚居民的个人数据。

VCDPA在范围上类似于CCPA,但有更多的例外(例如,B2B和员工例外在VCDPA中是永久性的,而在CCPA/CPRA中只是暂时性的,现已不再适用)。对汽车行业而言,VCDPA禁止在未首先获得同意的情况下处理敏感数据——包括精确地理位置数据和生物识别数据,用于唯一识别自然人。VCDPA下的同意定义为“一个明确的肯定行为,表明消费者自由给出的、具体的、明确的、无歧义的同意,允许企业/控制者处理与消费者相关的个人数据”。这与GDPR和科罗拉多隐私法("CPA")下的定义相同。VCDPA有更广泛的豁免,但尚未对这一要求提供具体例外。请注意,VCDPA比CCPA/CPRA有更广泛的行业豁免,例如关于小企业、受管制的金融机构(不仅仅是根据1999年格雷姆-里奇-布莱利法案("GLBA"))、1974年家庭教育权利和隐私法("FERPA")管制的数据、1996年健康保险流通和责任法("HIPAA")管制的数据、患者安全数据以及更多的临床试验数据。在2022年议会期间,众议院通过了1259号议案,为敏感数据创建了获得肯定、选择加入同意的例外。这尚未在参议院通过,但可能是未来修订的主题。与CCPA类似,VCDPA要求适用范围内的企业向消费者提供访问和控制企业收集的个人数据的能力。弗吉尼亚消费者将有权提交请求以访问、更正不准确信息,并删除其个人数据。VCDPA包含了获取消费者先前提供的数据副本的权利,以“技术上可行”的方式使用。对于收集数据的每家企业,弗吉尼亚消费者可以选择退出定向广告、个人数据的销售或“分析”造成企业提供或拒绝“金融和贷款服务、住房、保险、教育入学、刑事司法、就业机会、医疗保健、或基本必需品的获取,如食物和水”。VCDPA要求企业在以下情景下进行数据保护评估("DPAs"):个人数据的销售、敏感个人数据的处理、个人数据用于定向广告的处理、个人数据用于特定分析目的的处理、以及处理对消费者构成高风险的情况。值得注意的是,这个列表比GDPR要求进行DPIAs的情景更广,这对汽车制造商和汽车行业的参与者来说很重要。VCDPA下尚未发布规定。

CPA

CPA于2021年7月7日签署成法,并将于2023年7月1日生效。CPA保护科罗拉多居民的隐私权,适用于在科罗拉多开展业务的任何企业,并且:“(a)在一个日历年中控制或处理至少10万名或更多消费者的个人数据;或(b)通过销售个人数据获得收入或在商品或服务价格上获得折扣,并且控制或处理2.5万名或更多消费者的个人数据”。CPA像GDPR一样使用“控制者”和“处理者”的术语,并对两者施加隐私义务。CPA赋予消费者广泛的权利,可以选择退出:

  • 定向广告;

  • 个人数据的销售;

  • 分析。

CPA没有提供私人诉讼权,但赋予了科罗拉多AG广泛的执法权和规章制定权。与VCDPA一样,CPA不适用于在就业背景下行事的人,包括求职者。在CPA下,生物特征数据被视为敏感数据,在收集和处理之前必须获得选择加入同意。与CPRA和VCDPA不同的是,CPA下精确地理位置数据不被视为“敏感数据”。与其他州法不同,CPA也适用于非营利组织。与VCDPA一样,CPA下的同意定义为“一个明确的肯定行为,表明消费者自由给出的、具体的、明确的、无歧义的同意”。CPA规定明确指出,有效同意必须满足以下要素:“(1)必须通过消费者的明确肯定行为获得;(2)必须由消费者自由给出;(3)必须是具体的;(4)必须是明确的;(5)必须反映消费者的无歧义同意”。值得注意的是,一次性接受、不活动或不作为、或预先勾选的框不是CPA下的同意。CPA还要求控制者在“开始可能对消费者构成高风险的数据处理活动之前”进行DPAs。“对消费者构成高风险的处理”包括以下情况:

  • 用于定向广告或分析的个人数据处理,如果分析预见到可能导致:

    • 对消费者的不公平或欺骗性对待,或不合法的不同待遇;

    • 对消费者造成财务或身体伤害;

    • 对消费者的孤独或隐私、私人事务或关切的物理或其他侵犯,如果侵犯对合理人来说是冒犯的;或

    • 对消费者造成其他重大伤害;

  • 销售个人数据;

  • 处理敏感数据。

与VCDPA一样,这个列表比GDPR要求控制者进行DPIAs的情况更长。CPA规则,目前仍处于草案阶段,包含了DPA应包含内容的详细列表。CPA规则还要求企业尊重通用选择退出机制,以便消费者可以行使他们选择退出其个人数据用于定向广告目的或销售其个人数据的权利。CPA下没有私人诉讼权——它将由科罗拉多AG执行。最初,CPA将要求AG或地方法官发出违规通知,并允许实体有60天的时间来纠正所指控的违规行为(纠正权)。纠正权将于2025年1月1日终止,此后,控制者将能够向AG办公室请求意见函和指导。CPA的首份草案规则于2022年10月10日发布。它们涉及披露、同意、DPIAs、目的限制等主题。科罗拉多AG和科罗拉多法律部通过书面评论门户和利益相关者会议征求这些草案规则的公众评论,直到2022年12月2日。然后,科罗拉多AG和科罗拉多法律部于2022年12月21日发布了规则的更新草案。科罗拉多AG和科罗拉多法律部回应了具体问题并对首份草案进行了修改(一些值得注意的变化包括定义、消费者数据权利、通用选择退出机制、控制者义务和真正的忠诚计划等)。

UCPA

2022年3月24日签署成法的犹他消费者隐私法案("UCPA")要求在2023年12月31日之前遵守。UCPA适用于:

  • 在犹他州开展业务或针对犹他州居民的消费者提供产品和服务的营利实体;

  • 并且年收入达到2500万美元或以上;

  • 满足以下两个条件之一:

    • 每年控制或处理10万名或以上犹他居民的个人数据;或

    • 从“销售”个人数据中获得超过50%的总收入,并控制或处理至少2.5万名消费者的个人数据。

UCPA赋予消费者对其个人数据的权利,如访问权、删除权、以可移植格式获取个人数据的权利,以及选择退出个人数据销售的权利。犹他消费者保护部调查UCPA消费者投诉,并将其提交给AG,后者拥有独家执法权。在通知和纠正机会之后,AG可以对未纠正的违规行为提起法律诉讼。没有私人诉讼权。与弗吉尼亚和科罗拉多不同的是,控制者只需在处理消费者的敏感数据之前提供通知和选择退出机会,包括用于识别个体的生物特征或遗传数据和地理位置数据。

CTDPA

康涅狄格数据隐私法案("CTDPA")适用于在康涅狄格州开展业务或生产针对康涅狄格州居民的产品或服务的实体,并且:

  • 每年控制或处理至少10万名消费者的个人数据(不包括仅用于完成支付交易的个人数据控制或处理);

  • 每年控制或处理至少2.5万名消费者的数据,并且从“销售”个人数据中获得超过25%的总收入。

就个人数据而言,CTDPA赋予消费者访问、更正不准确信息、删除、选择退出用于定向广告、销售(包括分析)目的的处理和数据可移植性的权利。CTDPA不为消费者提供私人诉讼权。康涅狄格AG办公室拥有执法权。组织被自动授予60天的纠正权,直到2025年1月1日。此后,纠正机会将由裁量决定。CTDPA要求控制者在处理敏感数据之前获得同意,包括:

  • 用于唯一识别个体的遗传或生物特征数据;

  • 精确地理位置数据。

控制者还必须“提供一种有效的机制,供消费者撤销消费者的同意……这种机制至少应与消费者提供消费者同意的机制一样容易,并且,在撤销此类同意的请求收到后,应尽快停止处理数据,但不迟于接收此类请求后的十五天”。CTDPA下的同意定义与CPA(和GDPR)下的定义相似:“一个明确的肯定行为,表明消费者自由给出的、具体的、明确的、无歧义的同意,允许处理与消费者相关的个人数据”。

ADPPA

ADPPA是一项草案议案,将在美国创建一个全面的联邦消费者隐私框架。该议案目前在众议院。该议案在两个阻碍之前通过国家隐私法尝试的问题上做出了妥协:它既包含了私人诉讼权(在法律生效后两年推迟)也通常预先免除州法,包括加州、科罗拉多、康涅狄格、犹他和弗吉尼亚通过的法律(尽管有一系列法律从预先免除中被排除)。该议案因执行漏洞和缺乏足够强有力的保护措施而受到批评。该议案需要两党支持才能通过。尚不清楚这项立法是否会通过,但它已经比之前提出的议案更接近通过,这表明联邦美国隐私法即将到来。

FTC法

作为负责消费者保护的美国机构——根据1914年联邦贸易委员会法("FTC法")第5节——联邦贸易委员会("FTC")有权对不公平或欺骗性的商业实践采取执法行动。这包括针对涉及隐私和数据安全问题的实体采取执法行动。FTC法第5节规定,“在商业活动中的不公平或欺骗性行为或做法……是……宣布为非法的”(15 U.S.C. Sec. 45(a)(1))。"欺骗性"实践在委员会的欺骗政策声明中被定义为涉及可能误导行为合理的消费者的材料陈述、遗漏或做法。一个行为或做法如果“对消费者造成或可能造成重大伤害,且消费者自己无法合理避免此伤害,且不被消费者或竞争的对冲利益所抵消”则被视为“不公平”(15 U.S.C. Sec. 45(n))。根据这一权力,FTC可以对告诉消费者他们会保护其个人信息但未能做到这一点的公司采取法律行动。FTC可以对汽车行业采取执法行动,就像对任何其他行业一样,如果他们侵犯消费者的隐私权,误导他们关于个人信息的使用,或未能为敏感的消费者信息维护安全。FTC最近发出了一项拟议规则的公告,征求公众意见,以确定是否需要新规则来解决商业监视和松懈的数据安全实践可能带来的潜在伤害。FTC的一篇最近的博客文章还强调了将位置信息视为敏感信息的重要性——特别强调了联网车辆作为一个关注点——并强调了FTC对滥用消费者位置信息的公司采取的执法行动。

州消费者保护法

州消费者保护法(通常称为“小FTC法”或UDAP法)在所有50个州都禁止不公平和欺骗性行为和做法(通常称为“UDAPS”)。州消费者保护或UDAP法禁止在消费者交易中的欺骗性实践,并且在许多州,也禁止不公平或不合理的做法。这些法律在各州之间差异很大。有些包含私人诉讼权,使个别消费者能够因消费者保护违规提起诉讼。在其他州,执法权留给州AG。最近,有许多以州UDAP为诉因的隐私诉讼。例如,2022年11月,40个州与谷歌LLC达成了3.915亿美元的和解,此前各州根据UDAP法提起诉讼,指控谷歌的位置跟踪实践不公平和欺骗性,此前《美联社》发表了一篇揭露这些实践的文章。

联邦和州窃听法

联邦和州窃听法可能限制OEM如何存储和使用汽车信息娱乐系统截获的通信。汽车信息娱乐系统可能能够存储驾驶员的通信(通过蓝牙连接的手机的文本和电话通话通信)。有许多适用于汽车制造商的汽车信息娱乐系统具有此功能的州和联邦窃听法。联邦和州法律在录制截获内容的合法性上有所不同。联邦法律(18 U.S.C. § 2511)要求一方同意,这意味着只要至少一方同意并完全知道通信将被录音,就可以录制电话通话或对话。35个州和哥伦比亚特区有州法要求一方同意。其余15个州要求所有方同意,这意味着通信的所有方都必须同意其录音。最近,有一波针对各种跟踪和录音技术使用的州窃听诉讼浪潮,包括在汽车中。例如,一群原告在华盛顿州起诉了福特汽车公司,指控福特的信息娱乐系统秘密下载和存储驾驶员的私人文本对话,并将它们交给执法部门和一家私人车辆取证公司。尽管法院支持福特的驳回动议,原告将驳回上诉到第九巡回上诉法院,在那里简报于2022年9月完成,但截至2022年12月,法院尚未作出裁决。一类相似的原告在加州起诉Otonomo Technologies Ltd.,指控Otonomo秘密收集和出售加州数万辆汽车的实时GPS位置信息。投诉特别指控,“通过秘密跟踪消费者在其汽车中的位置,Otonomo违反并继续违反加州隐私入侵法('CIPA'),该法特别禁止在未经同意的情况下使用'电子跟踪设备来确定一个人的位置或移动'”。

州生物识别法规

州生物识别法规,包括2008年伊利诺伊生物信息隐私法("BIPA"),规定了如何收集、存储和使用生物特征数据。目前没有联邦生物识别法规,只有三个州——伊利诺伊州、德克萨斯州和华盛顿州——有专门针对保护消费者生物识别信息的法律。BIPA尤其值得注意,因为最近针对OEM的BIPA集体诉讼案件,例如原告David Karling起诉Samsara Inc.,指控其使用面部识别技术捕获商业货运司机的生物信息,而未先提供法定披露或获得同意。这一指控仍在审理中。汽车附加设备的第三方制造商也是集体诉讼的对象,例如车队摄像头系统提供商Netradyne, Inc.,它因收集驾驶员面部扫描而未先进行某些披露或获得同意而被告上法庭。这一指控仍在审理中。BIPA在2008年颁布,是第一个规定生物信息收集和存储的州立法。BIPA将“生物识别标识符”定义为“视网膜或虹膜扫描、指纹、声纹或手或面部几何扫描”,并规定了有关个人生物识别标识符或生物信息的保留、收集、披露和销毁的要求。BIPA包括私人诉讼权。在一起著名的最近案件中,原告指控BNSF Railway Company在未获得适当同意的情况下收集了超过45,000名卡车司机员工的指纹,导致对BNSF的2.28亿美元判决。德克萨斯州也颁布了类似的州法,即捕获或使用生物识别标识符法("CUBI"),尽管它由州AG执行,因为没有私人诉讼权。这对于辅助驾驶注意力和防撞的汽车技术尤其相关——其中一些扫描并存储驾驶员的面部。

联邦网络安全法规

美国没有一个全面的联邦网络安全法。许多联邦机构进行行业特定的网络安全监管(即金融服务、医疗保健、保险或上市公司)。FTC还利用其第5节权力监管企业的网络安全实践,通过起诉危及消费者个人数据的企业的不公平或欺骗性做法。例如,FTC目前正在对教育技术提供商Chegg, Inc.进行执法行动,指控其松懈的数据安全实践导致数百万客户和员工的敏感信息(包括社会安全号码、电子邮件地址和密码)泄露。针对Drizly, LLC的执法行动,同样指控该公司的安全失败导致2.5百万消费者的个人信息泄露。FTC之前发布了名为“从安全开始”的业务指南(一份2015年报告,讨论了较早的执法行动)和“坚持安全”(一系列2017年博客系列),讨论了企业的安全最佳实践。像其他公司一样,OEM应采取措施保护消费者个人数据的安全,以避免数据泄露和可能的FTC执法行动。

州网络安全法规

所有50个州和哥伦比亚特区都有安全泄露通知法,要求企业在其个人信息被泄露时通知消费者或公民。州特定法律将确定谁必须遵守这些法律,并定义“个人信息”,以及每项法律下的豁免。20个州和哥伦比亚特区还要求拥有、许可或维护居民个人信息的企业实施和维护“合理的安全程序和实践”,以保护个人信息免受未经授权的访问、破坏、使用、修改或披露。

1994年联邦驾驶员隐私保护法规定了州机动车部门记录中个人信息的披露,并禁止在没有法定例外的情况下披露。

2015年联邦驾驶员隐私法涵盖了监控设备记录的数据的所有权,如车辆的事件数据记录器("EDR"),并规定了分享该数据的规则,并指定EDR数据的所有权属于车辆所有者(或在租车情况下属于出租人)。

马萨诸塞州修理权法

机动车所有者修理权法("修理权法")赋予车主选择其车辆服务维修地点的权利,并要求新车制造商向独立维修店提供与他们的特许经销商相同的服务信息和工具。原始的马萨诸塞州修理权法特别排除了遥测,独立汽车护理行业需要访问遥测以服务联网车辆。2020年11月,马萨诸塞州选民通过了一项投票倡议,为车主提供了遥测/机械数据的访问权限,并允许车主与其选择的修理店共享该数据。作为回应,汽车创新联盟("AAI")对马萨诸塞州AG Maura Healey提起诉讼。该诉讼指控修理权法将降低车辆数据和车辆系统的安全性,“严重阻碍制造商保护车辆数据和车辆系统安全的努力”。AAI寻求声明性和禁令性救济,以阻止修理权法生效。尽管该法律在2022年车型年度已经生效,但Healy已同意在法律问题解决之前不执行该法律。截至2022年12月,该诉讼仍在进行中。国家公路交通安全管理局("NHSTA")更新了其《现代车辆安全的网络安全最佳实践》指南,并似乎同意AAI的观点,即OEM需要在第三方数据访问和网络安全之间找到平衡。NHTSA表示,“在第三方服务性和网络安全之间找到平衡并不一定容易”。

关于员工跟踪的州法

某些州有关于雇主是否以及如何跟踪在职员工驾驶的车辆的法律。例如:

  • 在加州,雇主可以在公司拥有的车辆上安装电子跟踪器,但由于精确的地理位置数据在CPRA下被视为敏感,并且CPRA将消费者权利扩展到员工,员工对这种收集有权利,雇主必须提供正在发生这种收集的通知。

  • 新泽西要求雇主在员工驾驶的车辆中使用跟踪设备之前提供书面通知。

  • 德克萨斯州、罗德岛州、弗吉尼亚州、佛罗里达州和伊利诺伊州的几个州要求如果车辆是员工所有,则雇主必须获得同意。在这些州,可以在未经同意的情况下跟踪公司拥有的车辆。在纽约也是如此,但跟踪只能在工作时间进行。

  • 在华盛顿州,如果车辆是公司拥有的,雇主可以监控位置、速度和移动。雇主被禁止在员工拥有的车辆上安装跟踪设备。

2020年物联网网络安全改进法

2020年物联网网络安全改进法要求国家标准与技术研究院("NIST")和管理和预算办公室("OMB")采取特定步骤,提高物联网("IoT")设备的网络安全。联网车辆实际上是一种IoT设备。IoT是将互联网连接扩展到物理设备和日常物品中。根据该法案,NIST必须为联邦政府开发和发布标准和指南,关于机构使用和管理其拥有或控制的IoT设备和连接信息系统的适当方式,包括管理与此类设备相关的网络安全风险的最低信息安全要求。该法案还要求OMB审查机构信息安全政策和原则,以确保与NIST标准和指南一致。

OEM应密切关注未来关于以下方面的法规:

  • 自动驾驶车辆:美国交通部("USDOT")于2016年9月发布了联邦自动车辆政策,根据汽车工程师学会("SAE")开发的一套定义,将自动车辆分为五个级别。USDOT没有明确提到隐私问题,但呼吁制造商解决隐私问题。此外,亚利桑那州已引入一项有关自动驾驶车辆中个人隐私保护的法案。许多其他州设有自动驾驶车辆工作组,其中一些专门关注自动驾驶车辆技术。

  • 联网车辆:一些上述州特定法规已经可以说是对联网车辆进行了监管。但在联网车辆和移动通信背景下什么被视为个人数据的定义尚不清楚。未来在这一领域需要立法和监管的明确性。

  • 遥测:保险公司和其他公司越来越多地使用遥测来确定被保险人的驾驶习惯和安全驾驶实践(在某些情况下,为良好驾驶提供折扣)。然而,目前对这些数据的使用没有限制。未来的法律和规定可能会限制保险公司或其他人收集和使用遥测数据。

  • 车辆地理位置:州AG最近采取行动,根据州消费者保护法起诉公司使用和保留地理位置数据。虽然目前的焦点是从消费者智能手机获得的数据,但这些州消费者保护法规也可能适用于车辆中收集的地理位置数据,OEM应密切关注此类州和联邦法规的额外内容。此外,OEM应注意收集的地理位置数据是否可以识别任何受保护的特征或其他个人的敏感信息(即,如果地理位置信息显示经常访问的位置是一个宗教场所,这可能创造与敏感个人信息相关的推断)。

  • 生物特征:随着针对汽车行业公司的BIPA诉讼案件增加,行业应关注额外的生物特征法规,无论是在州级还是联邦级别。

1.2. 监管机构指导

  • 加州AG发布了CCPA执法案例示例,包括针对一家未能为在其零售地点试驾的消费者实施收集通知的汽车业务的执法示例。

  • 当前的CPRA草案规定包括有关车辆中数据收集和与车辆中收集的信息相关的说明性示例的引用。

  • 目前撰写此资源时,唯一有规定的州是科罗拉多。这些规定涉及敏感个人信息(包括精确地理位置)的收集,但尚未就车辆提供示例。

  • 弗吉尼亚和康涅狄格的规定——一旦可用—也可能提供与车辆相关的指导。

  • 美国交通部助理秘书研究和技术智能交通系统联合项目办公室网站提供了与联网车辆、联网车辆隐私和自动驾驶车辆相关的多个资源。

  • 2016年10月,DOT的国家公路交通安全管理局("NHTSA")发布了一份名为《现代车辆安全的网络安全最佳实践》的文件,将其描述为“国家公路交通安全管理局对汽车行业改善机动车辆网络安全的非约束性指导”。

  • 2017年9月,NHTSA发布了其名为《自动驾驶系统2.0 安全愿景》的指导。

  • 2021年1月,DOT和国家科学与技术委员会("NSTC")发布了名为《确保美国在自动驾驶车辆技术中的领导地位,自动驾驶车辆4.0》的指导。这一指导强调保护“数据的安全和公众的隐私,因AV技术的设计和集成”,包括“保护驾驶员和乘客的数据以及AVs可能收集的关于被动第三方的数据——如行人——免受隐私风险,如未经授权的访问、收集、使用或共享”。

2.关键定义

  • 匿名化:美国隐私法不要求匿名化,但随着自动和联网车辆的隐私环境变化,自动/联网车辆变得普遍拥有,并获得越来越多的数据,匿名化概念可能会有所帮助。匿名化指的是使数据匿名的过程,以使数据主体不再可识别/识别。这是去标识化的第一步,如本节后面所述。

  • 自动驾驶车辆:自动驾驶车辆是一种能够从起点自主导航到用户指定目的地的车辆。同义词或近义词包括自动驾驶、自动、无人驾驶和高度自动化车辆。这种类型的车辆依赖于传感器和通信协议以及软件,使车辆能够全面描述其物理和操作环境,从而使车辆能够从以前的经验中快速学习并适应其环境,进而做出驾驶决策。

  • 生物识别标识符:不同的州对生物识别标识符有不同的定义,BIPA和CUBI都将生物识别标识符定义为“视网膜或虹膜扫描、指纹、声纹或手或面部几何扫描”。CUBI与BIPA一致,将生物识别标识符定义为“视网膜或虹膜扫描、指纹、声纹或手或面部几何记录”。华盛顿更广泛地将生物识别标识符定义为“通过自动测量个人的生物特征生成的数据,如指纹、声纹、眼睛视网膜、虹膜或其他独特的生物模式或特征,用于识别特定个人”,但不包括“物理或数字照片、视频或音频录音或由此生成的数据,或为医疗保健治疗、支付或运营而收集、使用或存储的信息(根据HIPAA)”。

  • 生物信息:BIPA将生物信息定义为“无论如何被捕获、转换、存储或共享,基于个人生物识别标识符用于识别个人的任何信息”。CCPA经CPRA修改后将生物信息定义为“个人的生理、生物或行为特征,包括关于个人脱氧核糖核酸(DNA)的信息,用于或打算用于,单独或与其他识别数据结合使用,以建立个人身份。生物信息包括但不限于虹膜、视网膜、指纹、面部、手、掌、静脉图案和声音记录的图像,从中可以提取识别模板,如面部印记、细节模板或声音印记,以及击键模式或节奏、步态模式或节奏,以及包含识别信息的睡眠、健康或运动数据”。CUBI与之相反,并未定义生物信息,但提到了如下定义的“生物识别标识符”。

  • 车辆连接/联网车:车辆连接包括一系列功能和能力,将汽车通过无线互联网数字化和无线连接到驾驶员、服务和其他汽车。联网车指的是配备了通过无线互联网传输和接收数据的技术和服务的车辆。

  • 数据控制者:与CCPA和CPRA不同,CPA和VCDPA使用控制者/处理者框架,并且还考虑了像GDPR那样的联合控制者关系。在VCDPA和CPA下,控制者是单独或与他人共同确定个人数据处理目的和手段的企业。这与GDPR对控制者的定义非常相似。

  • 数据处理者:CPA和VCDPA都将处理者定义为代表控制者处理个人数据的人。

  • 数据处理:根据CCPA,“'处理'意味着对个人数据或个人数据集执行的任何操作或操作集,无论是否通过自动化手段”。CPA将“处理”定义为“收集、使用、销售、存储、披露、分析、删除或修改个人数据的行为,包括控制者指示处理者处理个人数据的行为”。VDCPA类似地将“处理”定义为“对个人数据执行的任何操作……无论是通过手动还是自动手段,如收集、使用、存储、披露、分析、删除或修改个人数据”。

  • 去标识化:根据CCPA,无法合理识别特定消费者的信息是去标识化信息。根据新的州隐私法,组织必须实施业务流程和技术保障措施,以防止其重新识别,防止意外泄露去标识化信息,并且不尝试重新识别信息。CPRA、VCDPA和CPA还要求企业使信息“不能合理地用于推断有关特定消费者的信息或以其他方式与特定消费者相关联”。这与GDPR对匿名数据的定义相似:“与已识别或可识别的自然人无关的信息,或者……以使数据主体不可识别的方式进行匿名处理的信息”。但企业/控制者还必须:

    • 采取合理措施确保信息不能与消费者或家庭相关联;

    • 公开承诺以去标识化形式维护和使用信息,并不尝试重新识别它;并且

    • 合同上要求信息接收方遵守相同的限制。这实际上是GDPR匿名化加上。

  • 地理位置数据:用于确定个人或设备的实际物理位置的信息,具有合理的特定性。州特定法律对地理位置和精确地理位置数据有不同的定义(例如,在加州,精确地理位置数据可以在1850英尺半径内定位消费者,而在康涅狄格州,这是1750英尺半径),因此了解您受哪些州法律约束以及这些法律下的精确定义很重要。

  • 抬头显示:抬头显示("HUD")是一种车载技术,将图像投射到车辆的挡风玻璃或驾驶员视线下方的其他面板上,使驾驶员无需从道路上移开视线即可查看车辆的显示屏。

  • 制造商:适用于美国法律的汽车制造商不是一个定义的术语,但通常被认为是从事汽车制造的企业。

  • 元数据:描述和提供有关其他数据的信息的一组数据。

  • 私人诉权:私人诉权是当普通人、私人公民在给定的法规下合法地有权执行其权利时。加州是第一个颁布具有私人诉权的隐私法规的州——CCPA。

  • 伪匿名化:CCPA将“伪匿名化”或“伪匿名化”定义为“以使个人信息不再归属于特定消费者而不使用额外信息的方式处理个人信息,前提是额外信息单独保存并受到技术和组织措施的约束,以确保个人信息不归属于已识别或可识别的消费者”。CPA的定义更接近GDPR:CPA将“伪名数据”定义为不再能归因于特定个体的个人数据,除非使用额外信息,如果额外信息单独保存并受到技术和组织措施的约束,以确保个人数据不归因于特定个体。

  • 个人信息销售:个人信息“销售”的定义取决于哪个州法律适用。CCPA经CPRA修改定义“销售”为“通过口头、书面或电子或其他方式,将消费者的个人信息由企业向第三方出售、出租、释放、披露、传播、提供、转让或以其他方式进行沟通,以换取货币或其他有价值的对价”。CPA将“销售”定义为“控制者将个人数据以货币或其他有价值的对价交换给第三方”。VCDPA使用CPA的定义,不包括“其他有价值的对价”这一短语。因此,某些数据转移在加州和科罗拉多可能被视为销售,但在弗吉尼亚不会。

  • 敏感个人信息:各种美国州法将不同类型的数据定义为敏感个人信息。在自动和联网车辆背景下特别相关的敏感个人信息类别包括精确地理位置数据(根据CPRA、CTDPA、VCDPA和UCPA被视为敏感)和生物识别数据(根据一些法律是可报告的违规行为,根据CPRA、CPA、CTDPA、VCDPA、UCPA和GDPR被视为敏感信息)。此外,CPRA将驾照/州ID号码视为敏感信息(这些也在所有地方都是可报告的违规行为)。

  • 服务提供者:根据CCPA,“服务提供者”是“……代表企业处理信息的法律实体……”。VCDPA和CPA都采用GDPR的术语,即处理者。然而,与处理者不同,服务提供者可以使用其处理的信息进行内部使用,以建立或改善其向企业提供的服务的质量。

  • 遥测数据:车辆特定数据,如GPS或位置数据、车辆使用、维护要求、汽车服务、速度、怠速时间、剧烈加速或制动、燃油消耗和车辆故障。

  • 遥测:收集车辆数据的技术。

  • 遥测系统:遥测系统包括安装在车辆中的车辆跟踪设备,允许发送、接收和存储遥测数据,通常用于商用车队车辆。

  • 车辆连接性:连接性是车辆通过各种相对短程和长程连接技术与车外的其他系统(车辆、基础设施、路边单元、数据门户、骑自行车的人和行人等)进行通信的能力。

  • 车辆识别号码:车辆识别号码("VIN")是汽车行业用于识别单个机动车辆、拖车车辆、摩托车、踏板车和摩托车的唯一代码,包括序列号,由国际标准化组织("ISO")在ISO 3779和ISO 4030中定义,并可单独或与其他标识符结合使用。

  • 视频数据:现代汽车可以配备面向道路的摄像头以及面向驾驶员的摄像头,这些摄像头实时记录并传输汽车视频片段。这些数据允许一些汽车自动(或半自动)驾驶、自动刹车以避免碰撞,并警告驾驶员车道旁边有车辆。视频数据和遥测数据也可以结合提供车祸的上下文,供车队管理者和保险公司使用。

  • 语音数据:语音数据是通过语音识别技术获得的数据,如自动语音识别("ASR")或音频文件转录("AFT")。车内语音识别系统和应用程序记住驾驶员的语音数据,以更好地听从驾驶员对车辆信息娱乐系统的语音命令。

3.监管机构

几个州和联邦机构负责监督适用于汽车行业的合规,包括:

  • NHSTA是美国联邦机构,是DOT的一部分。NHSTA负责监督适用于汽车行业的合规。NHSTA将自己描述为“负责保持美国道路上的人们安全”。“通过执行车辆性能标准和与州和地方政府的合作,NHTSA减少了由机动车事故引起的死亡、伤害和经济损失”。NHTSA负责制定和执行联邦机动车安全标准,以及汽车盗窃阻力和燃油经济性的规定。NHTSA已发布有关自动驾驶汽车的指导,将其描述为“促进自动车辆安全测试和开发的非监管方法”的一部分。

  • FTC并未明确负责汽车行业监管,但有权对从事不公平或欺骗性行为的公司或个人采取行动,包括涉及车辆数据隐私和安全的问题。FTC和NHTSA在车辆数据隐私问题上合作。虽然迄今为止尚未对与车辆数据隐私和安全相关的FTC执法行动,但前FTC代理主席Maureen Ohlhausen曾表示,FTC将使用FTC法第5节下的民法执法权,必要时对联网汽车制造商采取行动。

  • 美国环境保护局("EPA")设定和监管车辆排放标准。

  • 特定州的监管机构和联邦机构,如许可部门("DOLs")、保险专员和AG,监督与特定州汽车行业要求相关的合规性。州检察官已对科技公司因滥用消费者数据和违反消费者保护法采取行动。此外,像CPPA这样的州创建的隐私机构将继续在对汽车行业成员的隐私法执行中发挥作用。

  • 汽车创新联盟是由生产在美国销售的近98%的汽车和轻型卡车的车辆制造商组成的组织。该组织已发布消费者隐私保护原则,参与成员承诺为车主提供清晰和有意义的关于数据收集、使用和共享的通知。参与成员已采纳这些原则,并承诺从2017款车型年起遵守它们。

4.联网车辆

以下是关键隐私原则在联网车辆上下文中“实际生活中”应用的概述:

数据最小化:汽车工业应像其他行业一样,只处理联网车辆中收集的个人数据以实现其声明的目的,这些目的需要以细致的方式呈现。加州消费者隐私法案/加州隐私权法案(CCPA/CPRA)和科罗拉多隐私法案(CPA)规定了这一点。CCPA/CPRA规定,商业实体保留消费者个人信息的时间应当合理必要且与以下目的成比例:(1)收集或处理个人信息的目的;或(2)另一个与收集个人信息的上下文兼容的公开目的。此外,收集或处理个人信息的目的必须与消费者的合理预期一致(这是基于CCPA/CPRA规定§7002 (b)(1-5)列出的几个因素)。根据CPA规定,控制者必须仔细考虑每个处理目的,并确定对每个目的来说哪些个人数据是必要、充分或相关的。为确保个人数据不会被保留超过必要、充分或相关的时间,CPA下的控制者应设定擦除的具体时间限制或进行数据的定期审查。在CCPA/CPRA和CPA下,如果数据在收集后要被用于一个新的/次要目的,控制者/商业实体必须在使用个人数据进行次要目的之前获得数据主体的同意。这意味着汽车行业的成员必须评估使用目的以及次要目的,以确保它们是兼容的,并在不兼容时寻求同意。除了州法律,联邦贸易委员会(FTC)也针对没有定义数据最小化实践的公司进行了执法,例如其2022年6月对CafePress, Inc.的命令,因为该公司保留数据的时间超过了必要时间(包括敏感数据)。使用消费者个人信息进行未披露的目的,且不符合消费者的合理预期,可能会违反FTC法案第5条 - 一种不正当或欺诈性的行为 - 汽车行业成员可能会因此受到FTC的执法行动。汽车行业的参与者必须用必要性的视角评估(或由)车辆收集的数据,特别是关于敏感信息,如精确地理位置(即是否应该收集?是否可以使用不那么精确的位置?需要多频繁地收集?)。

透明度:汽车制造商和汽车行业的其他成员必须确保向客户提供有关收集的信息类型及其使用方式的清晰、有意义的信息。在联网车辆中,应以消费者最有可能看到并理解的方式提供通知,例如在车辆屏幕和/或作为车内贴纸。CPRA要求在收集时提供通知,该通知链接到更详细的通知。规定特别提到在第三方控制收集的车辆中收集时的通知:“作为第三方,控制在另一家商业实体的实体场所(如零售店或车辆中)收集个人信息的商业实体,应以显眼方式在其收集个人信息的实体位置提供收集时通知”。CPRA规定进一步强调,当第三方参与收集时,车辆中收集通知的复杂性,以下为示例:

  • “J公司,一家汽车租赁公司,允许K公司在J公司租赁给消费者的车辆内收集消费者的个人信息。J公司可以在销售点,即租赁柜台,以书面或口头形式向消费者提供其收集通知。K公司可以在车辆内提供其自己的收集通知,例如通过车辆计算机仪表板上的标志指示消费者在线找到通知的位置”。在车辆中提供所有信息的挑战在于以简单的方式提供(尤其是当涉及多方时)。这一点尤其重要,因为汽车处理敏感的精确地理位置数据,这是谷歌与40个州达成3.915亿美元和解的主题,之前在本章中讨论过。

选择和同意:鉴于FTC在2022年7月11日关于通过联网设备收集敏感信息的博客文章,企业在收集和使用联网车辆中的敏感个人信息之前,应收集积极的、选择加入的同意。特别是当联网车辆追踪地理位置、生物识别或驾驶员行为信息以用于市场营销,并与非关联第三方共享这些信息供其自用时。FTC特别评论说:“联网汽车...能够直接观察或推导出关于用户的敏感信息。单独来看,这些数据点可能对个人隐私构成无法估量的风险。现在考虑当这些联网设备和技术公司收集这些数据,将其组合起来,并出售或货币化时的前所未有的侵入性”。这篇博客文章随后引发了FTC对数据经纪公司Kochava Inc.的执法行动,因为其出售包括敏感位置在内的地理位置数据。除了FTC,州法律增加了关于地理位置数据的权利。加州居民有权根据CCPA选择不出售他们的个人信息。此外,CPRA增加了限制企业使用和披露敏感个人信息的权利,只限于“执行服务或提供平均消费者请求的商品或服务所必需的”范围内。CPA要求在收集敏感信息(定义为揭示种族或民族来源、宗教信仰、精神或身体健康状况或诊断、性生活或性取向、公民身份或公民状态;用于唯一识别个人的遗传或生物识别数据;或已知儿童的个人数据)之前获得积极的、选择加入的同意。根据草案规定,CPA还要求对敏感数据推断进行积极的、选择加入的同意处理,但有一些例外:

  1. 处理此类数据的目的基于收集和使用个人数据的上下文对于合理的消费者来说是显而易见的,

  2. 在24小时内删除推断,

  3. 不将推断转移、出售或与任何处理者、关联方或第三方共享,以及(4)仅将个人数据和推断处理用于向消费者披露的明确目的。VCDPA也要求公司在收集或处理敏感信息(包括精确地理位置)之前获得积极的、选择加入的同意。

数据安全:对于联网车辆来说,软件漏洞可以被不良行为者通过Wi-Fi、蜂窝网络和硬线连接利用,从而利用这些漏洞。这不仅可能将用户的物理安全置于风险之中,还可能将他们的个人信息置于风险之中。汽车行业应实施数据安全最佳实践,例如访问控制、变更管理和数据库审计、加密、补丁管理策略和定期软件更新等。为此提供更多指导,NIST已开发了一种隐私风险评估方法('PRAM'),以评估和减轻联网车辆环境('CVE')中的风险。此外,NHSTA已开发了一份关于现代车辆安全的网络安全最佳实践指南。两名研究者黑客在2015年著名地远程控制了一辆Jeep Grand Cherokee,获得了仪表板功能、转向、刹车和变速箱的控制权。2020年的一次勒索软件攻击迫使本田汽车公司暂时关闭了一些美国工厂的生产。2022年1月,一名德国安全研究员由于在许多特斯拉车主使用的开源日志工具中发现的安全漏洞,能够远程访问全球超过25辆特斯拉。驾驶员和乘客的安全和安全是一个明显的关注点,但汽车制造商和车主也应关注远程行为者访问和收集与汽车本身相同的所有数据的能力。

数据保留:与数据最小化相关,汽车行业公司应仅保留个人信息,直到完成其声明的目的所必需的时间为止。一些新的州特定法律也要求企业仅保留消费者的个人信息或敏感个人信息,直到合理必要且与实现以下目的成比例:“收集或处理个人信息的目的...[或](2)另一个与收集个人信息的上下文兼容的公开目的...”。在声明的目的不再必要后保留数据(以识别格式),使公司容易受到大规模数据泄露的影响,增加了报告要求,并可能因此受到相关集体诉讼或FTC执法的影响。例如,FTC对CafePress, Inc.提起执法行动,原因之一就是其数据保留实践不佳,导致在安全漏洞中泄露了不必要的大量敏感数据。CPRA还将数据保留原则编入法典:仅在履行披露目的所必需的时间内保留信息。保留也是CPA下的一个问题:任何数据保护评估都必须包括保留数据的操作细节,等等。在某些情况下,CPA要求进行数据保护评估(即在进行分析或对消费者造成高风险的伤害事件中)。汽车行业的参与者应审查其数据保留实践,并确保他们就所有数据项的保留制定了规则,以及确保这些保留条款得到实施的政策和程序。

访问和删除权:加州、弗吉尼亚州、科罗拉多州、犹他州和康涅狄格州的居民有权要求访问和删除他们的个人信息(在依赖某些例外之前需要仔细审查)。对于汽车行业来说,这意味着能够知道通过车辆处理的个人数据的位置、用途和负责的各方,并维护一个为提供副本和促进删除通过车辆收集的各种信息的工作过程,同时考虑到各种类型的数据(例如远程诊断数据)和参与数据处理的各种参与者。一个相关概念,数据可携带性(即接收公司收集的关于您的数据的权利)也需要由汽车行业在这些州中处理。

隐私/安全设计和默认值:通常,隐私设计是一种通过从一开始就将数据保护和数据安全纳入技术流程、程序和系统基础设施的所有方面来保护隐私的方法。隐私设计鼓励在产品、服务和技术的初始开发以及在处理个人数据的生命周期内实施数据保护和数据安全。尽管GDPR明确纳入并要求隐私设计,但美国的GDPR类法规——包括CCPA和CPRA——并未明确要求隐私设计。然而,鉴于CCPA和CPRA与GDPR(即数据最小化、数据保留和识别敏感个人信息)的类似数据隐私原则,隐私设计是确保遵守适用隐私法规的最佳方式。FTC对暗模式的新关注/担忧 - 使用暗模式是被禁止的,当开发过程中。暗模式是一种设计实践,可以欺骗或操纵消费者购买产品/服务或放弃他们的隐私。例如,伪装广告看起来像独立内容,使消费者难以取消订阅或收费,以及欺骗消费者分享他们的数据。隐私设计可以是对抗意外暗模式的有效措施。

第三方访问:CPRA、CPA、VCDPA、CTDPA和UCPA都对个人信息与第三方的共享或出售设置了限制。根据所有这些,消费者通常可以选择不与第三方共享他们的个人信息,用于营销或行为广告目的。此外,敏感个人信息只能在CPRA下出于有限的商业目的处理或共享,而不提供额外目的的通知和选择退出的机会。此外,在所有新州法下,商业和控制者必须与第三方签订数据共享协议,允许他们收回以前共享的数据。此外,商业和控制者要求向其处理者“下游”消费者请求的义务,以及在一定程度上(通知)向第三方。有关这些数据共享协议的更多细节,请参见下面的数据共享部分。汽车行业的参与者应确保映射通过车辆收集和处理的所有数据共享,并确保所有正确的数据共享协议到位。

政府访问和民事发现访问:联网车辆相关数据可能会被第三方在民事发现过程中寻求,或者通过美国政府可用的多种途径(即外国情报监视法案('FISA')令状、通过提供适当工具加强美国安全以拦截和阻止恐怖主义(USA PATRIOT)法案2001年('PATRIOT Act'),或其他联邦政府监视机制)。在这些情况下,可能存在法律义务向民事诉讼当事人或联邦政府提供车辆相关数据。此外,在涉及欧盟数据和跨境传输的情况下,根据欧洲法院('CJEU')在Data Protection Commissioner v. Facebook Ireland Limited, Maximillian Schrems (C-311/18)('Schrems II案')的判决,美国政府机构的访问可能对欧盟个人的权利和自由构成风险,并为业务/控制者带来额外要求,即进行数据传输影响评估('DTIA'),并作为DTIA的一部分,评估美国政府官员/实体或其他人(即民事诉讼)可能访问的危险,并实施额外措施(所谓的'补充措施'),可能阻止美国政府的这种访问。尽管美国政府以前可以使用传票从第三方获取个人位置信息,但现在根据2018年最高法院Carpenter v. US案,美国政府需要一份符合第四修正案标准的法院签发的搜查令。

数据所有权:数据所有权本身不是一个数据保护概念。在数据保护中,我们通常指的是个人在使用数据时的权利,包括访问、删除、共享、限制使用敏感个人信息等。

数据治理:数据治理是根据控制数据使用的内部数据标准和政策管理企业系统中数据的可用性、可用性、完整性和安全性的过程。数据治理确保数据保持一致和可信,不被滥用。一个有效的数据治理系统可以帮助汽车行业成员知道他们的数据在哪里,是什么,以及与谁共享,这将帮助他们更有效地遵守不断变化的隐私法规,并避免联网车辆数据的数据孤岛。此外,为了遵守各州法律下的信息安全义务,需要一个数据治理系统。一些州还为实施和维护符合某些标准的网络安全程序的企业提供安全港或肯定辩护,以免受到数据泄露诉讼的影响(即俄亥俄SB 220,犹他HB 801和康涅狄格,等等)。FTC在针对Equifax Inc.(在数据泄露中暴露了1.47亿人的个人信息后,与之达成了4.25亿美元的和解)、Drizly(公司安全失败导致数据泄露,暴露了约250万消费者的个人信息,FTC对公司采取行动,但也对CEO James Corey Rellas采取行动)和Facebook, Inc.(FTC声称Facebook反复使用欺骗性的披露和设置来破坏用户的隐私偏好,允许公司将用户的个人信息与第三方应用共享,尽管用户不知道/不知道如何选择退出共享,达成了50亿美元的和解)的行动中执行了数据治理要求。Experian最近以2245万美元达成了一项集体诉讼和解,以解决其通过向信用报告中添加据称不准确和不真实的信息而损害消费者获得信用的指控。FTC行动的一些关键收获包括:

  • 确保开发和实施一个具有足够书面安全标准的隐私程序,并对员工进行培训(包括及时更新安全证书、在网络中对敏感数据进行分段和打补丁,所有这些都是Equifax案中的问题);

  • 安全存储数据库登录凭据;

  • 要求有数据库访问权限的员工使用独特的、复杂的密码;

  • 监控未经授权的尝试将消费者数据传输到网络外的尝试;

  • 确保测试应用程序和平台的安全功能,以及进行定期和彻底的漏洞测试;

  • 利用第三方安全审查来识别(然后修复)安全系统中的任何漏洞。

数据可携带性:数据可携带性概念在GDPR下更为适用,在美国隐私法下应用较少。然而,马萨诸塞州的修理权法案使汽车数据更容易被第三方获取,如上所述。

数据共享:州特定法律,如CPRA,确实对控制者和第三方/承包商/服务提供商之间的数据共享有要求。CPRA对此的要求比GDPR更详细。CPRA要求企业与第三方和服务提供商签订数据共享协议。这些协议必须:

  • 确定将个人信息提供给第三方或服务提供商的有限和特定目的(并指定信息仅为此目的提供);

  • 要求第三方或服务提供商遵守CPRA并按照CPRA要求保护数据;

  • 赋予企业使用合理和适当的措施以确保服务提供商或第三方使用信息符合企业在CPRA下的义务的权利;

  • 要求服务提供商或第三方在确定其无法再满足其在CPRA下的义务时通知企业;

  • 赋予企业在通知后采取合理和适当的措施停止和纠正未经授权使用个人信息的权利。

  • 此外,服务提供商和承包商在合同上还必须:

    • 禁止出售或共享根据服务提供商协议收集的个人信息;

    • 禁止保留、使用或披露根据书面合同收集的个人信息用于合同中指定的商业目的以外的任何商业目的;

    • 禁止在服务提供商-商业关系之外保留、使用或披露信息;

    • 要求帮助企业满足消费者权利请求。

5.自动驾驶

目前没有针对自动驾驶车辆的隐私联邦法律,而且虽然大多数州都通过了法律来规范自动驾驶车辆,但这些法律并未具体涉及消费者隐私和数据所有权问题,或者仅关注为与美国政府共享的数据收集目的,以分析是否存在安全问题。然而,汽车制造商和汽车行业的其他成员应遵循上述指导和原则,以及以下内容:

透明度:美国众议院已通过安全确保未来部署和车辆进化研究法案('SELF DRIVE Act'),如果该法案成为法律,将要求自动驾驶车辆制造商开发隐私和通知政策,以允许消费者了解自动驾驶车辆收集的数据类型和收集目的。然而,根据SELF DRIVE Act,如果关于乘客的信息被匿名化或加密,制造商不需要在隐私政策中包括有关该信息的处理或实践。

选择和同意:根据从消费者收集的数据类别,根据新的州隐私法律,制造商可能需要在收集前:

  • 获得积极的、选择加入的同意(即在收集地理位置数据、敏感信息或为非兼容的新目的收集数据时);

  • 仅向消费者提供收集时通知;

  • 向消费者提供收集时通知,并有机会选择不参与收集(即向非关联第三方披露关于消费者的非公开个人信息时);

数据安全:自动驾驶车辆依赖人工智能('AI')和机器学习技术,这些技术可能容易受到网络攻击并危及车辆的功能。自动驾驶车辆制造商必须实施风险缓解策略以保护连接资产。

6.远程诊断

美国的远程诊断法规有限,尤其是与消费者隐私相关。请参考上述指导和原则,以及以下内容:

透明度:传统上,保险公司和第三方开发商在实施远程诊断系统之前,不需要向消费者披露其远程诊断系统收集的数据点。然而,随着州隐私法的不断发展,这些公司必须准备好更好地了解和披露远程诊断数据的收集和处理,并在请求时向消费者提供收集的数据访问权。根据马萨诸塞州的修理权法案,马萨诸塞州出售的所有车辆必须具有标准化的开放访问数据平台,包括对远程诊断的访问。

选择和同意:见地理位置数据部分。

数据最小化:远程诊断系统不应是任意的或不公平的歧视性的。为了遵守美国隐私法的数据最小化原则,制造商必须仅收集与处理相关且必要的数据。应用于远程诊断,行业参与者,包括保险公司和第三方开发商,应能够为收集的数据点提供理由,因为它与远程诊断分数有关。见数据最小化部分。

访问:马萨诸塞州的居民最近投票通过了修理权法案,如上所述。马萨诸塞州的修理权法案目前因待审诉讼而暂停生效。超过一半的州立法机构已经引入了类似的修理权立法。FTC最近批准了针对哈雷戴维森公司的修理权案件的最终命令,此前发现该公司的保修条款传达了如果客户使用独立经销商进行零件或维修,保修将无效的信息。联网车辆制造商必须为这一趋势做好准备,通过实施可访问的、标准化的开放数据平台来实现。

7.车辆地理位置

因为车辆(精确)地理位置是一类敏感数据,透明度、选择和同意、数据安全、数据最小化和数据保留在处理车辆地理位置数据时特别重要。CPRA和VCDPA将地理位置数据定义为敏感个人信息类别(而CPA没有)。FTC先前表示,精确地理位置是敏感个人信息,并致力于执法违法使用和共享此信息。

透明度:对于敏感个人数据类别,如地理位置数据,汽车行业的公司在如何收集和使用此数据方面对消费者的透明度很重要。FTC、州检察官和集体诉讼原告已对公司未能向消费者完全透明地披露精确地理位置数据的收集和使用采取了行动。例如:

  • 宾夕法尼亚州检察长Josh Shapiro在2022年11月14日宣布,他和30位检察长达成了与谷歌有关谷歌位置跟踪实践的联合和解协议。根据和解条款,谷歌被要求支付3.915亿美元,因为其违反了州消费者保护法,误导用户关于其如何跟踪和存储位置历史。

  • 华盛顿特区检察长Karl Racine于2022年1月24日提起诉讼,声称其位置跟踪实践违反了D.C.的消费者保护程序法案('CPPA')。华盛顿州、印第安纳州和德克萨斯州的检察长在同一天也提起了诉讼,声称违反了州的欺诈贸易实践法。这四起诉讼包含类似的指控。DC诉讼称,自2014年以来,谷歌欺骗消费者“关于公司如何跟踪和使用他们的位置,以及消费者如何通过停止此类跟踪来保护他们的隐私”。这些诉讼代表了两党州检察长对非透明实践处理敏感地理位置数据的协调攻击。

  • 2022年4月11日,一项在旧金山高级法院提起的集体诉讼指控数据经纪公司Otonomo使用电子跟踪设备收集和出售全球超过5000万辆汽车的实时GPS数据,未经驾驶员同意,违反了加州隐私侵犯法。

  • 2022年8月29日,FTC对Kochava提起诉讼,因为FTC指控该公司出售敏感地理位置信息的自定义数据提要以协助广告,因为FTC称这些数据提要允许购买者识别和跟踪特定的移动设备用户。

选择和同意:就像透明度一样,处理敏感个人信息,包括地理位置数据时,同意非常重要。虽然某些数据类别可能只需要收集时通知或收集时通知并有选择退出的机会,但收集地理位置数据要求制造商在收集时获得用户的积极、选择加入的同意。

数据安全:同样,汽车行业应确保保护敏感个人信息类别,如地理位置数据,以避免因系统漏洞暴露此信息给潜在不良行为者而受到FTC执法行动。

数据最小化和数据保留实践可以帮助限制收集地理位置信息的公司潜在的责任风险。数据最小化在CPRA、CPA、CDPA、VCDPA和FTC执法中很重要。最近FTC在对Drizly采取行动时做出决定,要求Drizly在其网站和应用上发布其保留计划,解释收集的目的和最终删除的时间框架。汽车行业的公司应该:

  • 仅收集目的所需的内容,

  • 只保留所需的时间。在汽车行业,对车辆地理位置和GPS信息实践数据最小化很重要,因为这可能是特别敏感的信息。例如,地理位置和GPS手机数据已被用来定位美国国家安全人员的家庭,以及揭露一位天主教神父使用Grindr LLC约会应用。

8.制造

透明度:美国一半的州正在考虑类似于马萨诸塞州的修理权法案的立法。这些法案将要求车辆制造商在请求时提供必要的修理项目,如诊断、工具、零件和数据平台的访问。

选择和同意:见上文。

数据安全:NHSTA在美国设定本地车辆安全标准,并就最佳网络安全实践提出建议。NHSTA尚未实施联网车辆网络安全法规。相反,汽车行业的公司可以向联合国('UN')寻求指导;UN已开发了UNECE的WP.29 155和156条规定,以及ISO/SAE 21434标准,供原始设备制造商(OEM)实施。车辆制造商还受到上述二十个州网络安全法规的安全要求的约束,以及CPRA。车辆制造商还必须注意通过空中更新连接网络的风险,以及2021年单独与联网车辆黑客攻击相比增加了超过225%的风险。

数据最小化:鉴于联网车辆可能产生大量数据,实践数据最小化的重要性加大。在制造联网车辆和联网车辆零件时,OEM的最佳实践应该是只收集给定目的所必需的最小数据集。特别是,OEM的默认设置应该是只收集目的所必需的内容(即通过摄像头和传感器的收集)。在考虑哪些信息娱乐系统和其他联网部件用于制造时,OEM还应注意这些部件的制造商和服务提供商是否也实践数据最小化。

数据保留:保留大量车辆数据超过必要时间会增加风险。制造商应考虑装备车辆具有自动删除数据的默认设置,以特定时间间隔,并且还能够在特定事件发生时删除数据,如所有权变更。

隐私/安全设计和默认值:隐私和安全设计和默认值应由OEM在汽车制造的设计和构建阶段实施。在设计阶段,设计团队应包括隐私和安全专家、工程师、应用设计师和法律专家,以确保隐私和安全为中心的设计。在构建阶段,OEM应使用同样关注隐私和安全设计和默认值的组件部件(即信息娱乐系统),以便以一致的、注重隐私的方式设计车辆。

9.其他

适用于汽车行业的其他任何额外的数据保护和/或网络安全要求,包括(如适用)以下内容:

州窃听法:汽车行业应注意遵守州窃听法和其他适用于访问或存储其他方通信的法律。

互联网连接和eSIM管理:互联网连接和eSIM管理在美国目前未受到监管。数据隐私和电信法律和法规都可能适用。例如,2018年,加州州长签署了参议院法案327,即连接设备的安全法,将已有的隐私法扩展到连接设备及其收集、存储和传输的信息,要求在加州出售的所有设备配备“合理的安全措施”。

非汽车联网车辆(例如联网租赁自行车和滑板车):非汽车联网车辆应注意同样的州特定和联邦隐私法律和执法问题。根据CPRA,“设备”被定义为“能够直接或间接连接到互联网,或连接到另一设备的任何物理对象”,这包括联网汽车和非汽车联网车辆。本文概述的许多概念不仅适用于汽车,也适用于非汽车联网车辆。

附:

1. https://www.congress.gov/bill/117th-congress/house-bill/8152/all-actions-without-amendments; https://www.congress.gov/bill/117th-congress/house-bill/8152/actions2. https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-fsor-appendix-a.pdf (p. 145)3. https://oag.ca.gov/news/press-releases/attorney-general-bonta-announces-first-year-enforcement-update-california; https://oag.ca.gov/privacy/ccpa/enforcement4. Cal. Civ. Code § 1798.1005. Ibid.6. [https://cppa.ca.gov/meetings/materials/20221021_22_item3_modtext.pdf](https://cppa.ca.gov/meetings/materials/20221021_22_item3_modtext.pdf at p. 6 §7002), § 7002 (p. 6)7. Cal. Civ. Code § 1798.1008. https://cppa.ca.gov/regulations/pdf/invitation_for_comments.pdf9. CA Civil Code Section 1798.150(a)(1)10. Va. Code Ann. § 59.1-572(A)11. https://lis.virginia.gov/cgi-bin/legp604.exe?221+ful+HB1259H1+hil12. Defined as 'any form of automated processing performed on personal data to evaluate, analyze, or predict personal aspects related to an  identified or identifiable natural person’s economic situation, health,  personal preferences, interests, reliability, behavior, location, or  movements'.13. Colo. Rev. Stat. § 6-1-1304(1)14. https://leg.colorado.gov/sites/default/files/2021a_190_signed.pdf (p. 4)15. https://coag.gov/app/uploads/2022/10/CPA_Final-Draft-Rules-9.29.22.pdf (p. 22)16. Ibid.17. https://coag.gov/app/uploads/2022/10/CPA_Final-Draft-Rules-9.29.22.pdf, Rule 8.05(A) (p. 33)18. https://leg.colorado.gov/sites/default/files/2021a_190_signed.pdf, § 6-1-1309(2) (p. 25)19. https://coag.gov/app/uploads/2022/12/CPA_Version-2-Proposed-Draft-Regulations-12.21.2022.pdf20. Colo. Rev. Stat. § 6-1-130921. https://coag.gov/app/uploads/2022/10/CPA_Final-Draft-Rules-9.29.22.pdf, Rule 5.02 (p. 10)22. https://leg.colorado.gov/sites/default/files/2021a_190_signed.pdf, § 6-1-1311 (p. 27)23. https://coag.gov/resources/colorado-privacy-act/24. https://coag.gov/app/uploads/2022/12/CPA_Version-2-Proposed-Draft-Regulations-12.21.2022.pdf25. https://www.cga.ct.gov/2022/act/Pa/pdf/2022PA-00015-R00SB-00006-PA.PDF (p. 2)26. https://www.congress.gov/bill/117th-congress/house-bill/815227. For example, the FTC took enforcement action against an automotive  industry marketing company for misleading advertising and marketing  practices: https://www.ftc.gov/news-events/news/press-releases/2022/01/auto-marketing-company-banned-industry-under-ftc-order28. https://www.ftc.gov/news-events/news/press-releases/2022/10/ftc-extends-comment-deadline-commercial-surveillance-lax-data-security-practices-initiative29. https://www.ftc.gov/business-guidance/blog/2022/07/location-health-and-other-sensitive-information-ftc-committed-fully-enforcing-law-against-illegal30. https://www.attorneygeneral.gov/wp-content/uploads/2022/11/2022-11-14-PA-v.-Google-LLC-AVC-efile.pdf31. https://www.attorneygeneral.gov/taking-action/attorney-general-josh-shapiro-announces-391-million-settlement-with-google-over-location-tracking-practices/; https://apnews.com/article/north-america-science-technology-business-ap-top-news-828aefab64d4411bac257a07c1af0ecb32. https://www.law360.com/dockets/download/61846e855cbd3000d8bc698a?doc_url=https%3A%2F%2Fecf.wawd.uscourts.gov%2Fdoc1%2F19719926910&label=Case+Filing (p. 7)33. https://storage.courtlistener.com/recap/gov.uscourts.wawd.303369/gov.uscourts.wawd.303369.27.0.pdf34. https://www.documentcloud.org/documents/21615185-otonomo-class-action (p. 2)35. Other states have chosen to include biometric data as a category of  personal information protected under consumer privacy or data breach  notification statutes.36. https://s3.amazonaws.com/jnswire/jns-media/80/19/11830509/karling_v_samsara_complaint.pdf37. *Arendt et al. v. Netradyne Inc.*, No. 2022-CH-00097 (Cook County, Illinois)38. https://dataprivacy.foxrothschild.com/2022/02/articles/general-privacy-data-security-news-developments/move-over-bipa-cubi-is-here/39. https://www.ftc.gov/legal-library/browse/cases-proceedings/chegg40. https://www.ftc.gov/legal-library/browse/cases-proceedings/2023185-drizly-llc-matter41. https://www.ftc.gov/business-guidance/resources/start-security-guide-business#start42. https://www.ftc.gov/stick-with-security43. Alabama (2018 SB 318), Arkansas (Ark. Code § 4-110-104(b)), California  (Cal Civ. Code § 1798.81.5), Colorado (Colo. Rev. Stat. § 6-1-713 to  -713.5), Delaware (Del. Code § 12B-100), Florida (Fla. Stat. §  501.171(2)), Illinois (815 ILCS 530/45), Indiana (Ind. Code §  24-4.9-3-3.5(c)), Kansas (K.S. § 50-6,139b), Louisiana (La. Rev. Stat. § 3074 (2018 SB 361)), Maryland (Md. Code Com Law §§ 14-3501 to -3503),  Massachusetts (Mass. Gen. Laws Ch. 93H § 2(a)), Nebraska (Neb. Rev.  Stat. §§ 87-801-807 (2018 L.B. 757)), Nevada (Nev. Rev. Stat. §§  603A.210, 603A.215(2)), New Mexico (N.M. Stat. § 57-12C-4 to -5), New  York (New York Gen. Bus. Law § 899-BB), Ohio (Ohio Rev. Stat. § 1354.01  to 1354.05 (2018 S.B. 220)), Oregon (Or. Rev. Stat § 646A.622), Rode  Island (R.I. Gen. Laws § 11-49.3-2), Utah (Utah Code §§ 13-44-101, -201, 301), and the District of Columbia (L23-0098). Five additional states  have laws that do not apply to OEMs (Connecticut, Minnesota, South  Carolina, Texas and, Vermont).44. https://www.repairerdrivennews.com/wp-content/uploads/2022/01/auto-innovators-v-healey-20201120-complaint1.pdf45. https://www.nhtsa.gov/sites/nhtsa.gov/files/2022-09/cybersecurity-best-practices-safety-modern-vehicles-2022-tag.pdf (p. 12)46. N.J. Stat. Ann. § 34:6B-2247. Tex. Penal Code § 16.06(d)(1); R.I. Gen. Laws § 11-69-1, Va. Code §  18.2-60.5; Fla. Stat. § 934.425(2); 720 ILCS 5/21-2.5; see *Elgin v. St. Louis Coca-Cola Bottling Co.* , 4:05CV970-DJS, 2005 WL 3050633 (E.D. Mo. Nov. 14, 2005)48. RCW 9A.90.13049. The policy and related documents can be found here: https://www.transportation.gov/AV50. 2022 AZ H 2187 was introduced in January 202251. A December 2021 class action was filed against a software company who  provided ID verification services to car rental company to assist with  their onboarding process, see at: https://s3.amazonaws.com/jnswire/jns-media/a5/5f/11658166/2021-ch-06319.pdf52. https://oag.ca.gov/privacy/ccpa/enforcement53. https://cppa.ca.gov/meetings/materials/20221021_22_item3_modtext.pdf54. https://cppa.ca.gov/meetings/materials/20221021_22_item3_modtext.pdf, § 7012 (g)(2)-(3) (p. 22)55. https://coag.gov/app/uploads/2022/10/CPA_Final-Draft-Rules-9.29.22.pdf56. https://www.its.dot.gov/cv_basics/cv_basics_privacy.htm57. https://www.its.dot.gov/factsheets/pdf/Privacy_factsheet.pdf58. https://www.its.dot.gov/index.htm; https://www.its.dot.gov/automated_vehicle/index.htm59. https://www.nhtsa.gov/sites/nhtsa.gov/files/documents/812333_cybersecurityformodernvehicles.pdf60. https://www.nhtsa.gov/sites/nhtsa.gov/files/documents/13069a-ads2.0_090617_v9a_tag.pdf61. https://www.transportation.gov/sites/dot.gov/files/2020-02/EnsuringAmericanLeadershipAVTech4.pdf62. https://www.transportation.gov/sites/dot.gov/files/2020-02/EnsuringAmericanLeadershipAVTech4.pdf (p. 4)63. https://www.frontiersin.org/articles/10.3389/fbuil.2020.590036/full#B2764. 740 ILCS 14/1065. https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm66. RCW 19.375.010(1)67. Ibid.68. CPRA § 1798.140 (c)69. See infographic published by the Future of Privacy Forum: https://fpf.org/wp-content/uploads/2017/06/2017_0627-FPF-Connected-Car-Infographic-Version-1.0.pdf70. Bill 6-1-1303(7): https://leg.colorado.gov/sites/default/files/2021a_190_signed.pdf71. https://lis.virginia.gov/cgi-bin/legp604.exe?211+ful+SB1392ES1; https://coag.gov/app/uploads/2022/12/CPA_Version-2-Proposed-Draft-Regulations-12.21.2022.pdf (4 CCR 904-3 at §2.02)72. https://gdpr-info.eu/art-4-gdpr/ defining controller as a 'natural or legal person, public authority,  agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data'.73. https://coag.gov/app/uploads/2022/12/CPA_Version-2-Proposed-Draft-Regulations-12.21.2022.pdf (4 CCR 904-3 at § 2.02); C.R.S § 6-1-1303(19); https://lis.virginia.gov/cgi-bin/legp604.exe?211+ful+SB1392ES174. https://ccpa-info.com/home/1798-140-definitions/75. https://coag.gov/app/uploads/2022/01/SB-21-190-CPA_Final.pdf, § 6-1-1303 (18) (p. 6)76. VCDPA § 59.1-575: https://law.lis.virginia.gov/vacode/title59.1/chapter53/section59.1-575/77. CPRA § 1798.14078. https://gdpr-info.eu/recitals/no-26/79. https://ccpa-info.com/home/1798-140-definitions/80. §6-1-1303(22) of the CPA81. CPRA § 1798-14082. Bill 6-1-1303(23): https://leg.colorado.gov/sites/default/files/2021a_190_signed.pdf83. https://lis.virginia.gov/cgi-bin/legp604.exe?211+ful+SB1392ES184. https://ccpa-info.com/home/1798-140-definitions/85. CCPA/CPRA Regulations §§ 7050, 705186. https://www.frontiersin.org/articles/10.3389/fbuil.2020.590036/full#B2787. https://www.nhtsa.gov/about-nhtsa88. Ibid.89. https://www.nhtsa.gov/vehicle-manufacturers; https://www.nhtsa.gov/vehicle-manufacturers/automated-driving-systems90. https://www.nhtsa.gov/technology-innovation/vehicle-data-privacy91. https://www.ftc.gov/system/files/documents/public_statements/1227733/ohlhausen_-_connected_cars_workshop_opening_remarks_6-28-17.pdf92. https://www.epa.gov/regulations-emissions-vehicles-and-engines93. [https://www.attorneygeneral.gov/taking-action/attorney-general-josh-shapiro-announces-391-million-settlement-with-google-over-location-tracking-practices/#:~:text=HARRISBURG%20%E2%80%93%20Attorney%20General%20Josh%20Shapiro,relating%20to%20Google%20Account%20settings](https://www.attorneygeneral.gov/taking-action/attorney-general-josh-shapiro-announces-391-million-settlement-with-google-over-location-tracking-practices/#:~:text=HARRISBURG – Attorney General Josh Shapiro,relating to Google Account settings)94. [https://www.autosinnovate.org/innovation/Automotive%20Privacy/Consumer_Privacy_Principlesfor_VehicleTechnologies_Services-03-21-19.pdf](https://www.autosinnovate.org/innovation/Automotive Privacy/Consumer_Privacy_Principlesfor_VehicleTechnologies_Services-03-21-19.pdf)95. CCPA/CPRA Regulations §7002 (a)96. Ibid. at § 7002 (b)97. 4 CCR 904-3, Rule 6.0798. Ibid.99. 4 CCR 904-3, Rule 6.07; CCPA/CPRA § 7002 (e)100. [https://www.ftc.gov/system/files/ftc_gov/pdf/192%203209%20-%20CafePress%20combined%20package%20without%20signatures.pdf](https://www.ftc.gov/system/files/ftc_gov/pdf/192 3209 - CafePress combined package without signatures.pdf)101. https://www.ftc.gov/news-events/news/press-releases/2022/06/ftc-finalizes-action-against-cafepress-covering-data-breach-lax-security-0102. https://www.autosinnovate.org/privacy103. CPRA Regulation §7012 Notice at Collection of Personal Information, Section (g)(2)104. CPRA Regulation §7012 Notice at Collection of Personal Information, Section (g)(3)(C)105. https://www.attorneygeneral.gov/wp-content/uploads/2022/11/2022-11-14-PA-v.-Google-LLC-AVC-efile.pdf106. [www.ftc.gov/business-guidance/blog/2022/07/location-health-and-other-sensitive-information-ftc-committed-fully-enforcing-law-against-illegal](https://www.ftc.gov/business-guidance/blog/2022/07/location-health-and-other-sensitive-information-ftc-committed-fully-enforcing-law-against-illegal)107. Ibid.108. [www.ftc.gov/news-events/news/press-releases/2022/08/ftc-sues-kochava-selling-data-tracks-people-reproductive-health-clinics-places-worship-other](https://www.ftc.gov/news-events/news/press-releases/2022/08/ftc-sues-kochava-selling-data-tracks-people-reproductive-health-clinics-places-worship-other)109. CPRA Regulations §7027 (a)110. § 6-1-1303(24) of the CPA111. Sensitive data inference means 'inferences made by the Controller based on Personal Data, alone or in combination with other data, which  indicates an individual's racial or ethnic origin; religious beliefs;  mental or physical health condition or diagnosis; sex life or sexual  orientation; or citizenship or citizenship status': https://coag.gov/app/uploads/2022/12/CPA_Version-2-Proposed-Draft-Regulations-12.21.2022.pdf (p. 4)112. https://coag.gov/app/uploads/2022/12/CPA_Version-2-Proposed-Draft-Regulations-12.21.2022.pdf, Rule 6.10 (p. 22)113. https://lis.virginia.gov/cgi-bin/legp604.exe?211+ful+SB1392ES1114. https://www.its.dot.gov/research_areas/cybersecurity/references.htm#profile115. https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/116. https://www.forbes.com/sites/daveywinder/2020/06/10/honda-hacked-japanese-car-giant-confirms-cyber-attack-on-global-operations-snake-ransomware/?sh=159994d353ad117. The researcher, David Colombo, announced this over Twitter: https://twitter.com/david_colombo_/status/1480632304045330433?s=20118. https://cppa.ca.gov/meetings/materials/20221021_22_item3_modtext.pdf §7002 (p. 6)119. [https://www.ftc.gov/system/files/ftc_gov/pdf/192%203209%20-%20CafePress%20combined%20package%20without%20signatures.pdf](https://www.ftc.gov/system/files/ftc_gov/pdf/192 3209 - CafePress combined package without signatures.pdf); https://www.ftc.gov/news-events/news/press-releases/2022/06/ftc-finalizes-action-against-cafepress-covering-data-breach-lax-security-0120. CPRA Regulation § 7002121. https://coag.gov/app/uploads/2022/10/CPA_Final-Draft-Rules-9.29.22.pdf, Rule 8.04122. https://coag.gov/app/uploads/2022/10/CPA_Final-Draft-Rules-9.29.22.pdf, Rule 8.05, 9.02123. https://www.ftc.gov/news-events/news/press-releases/2022/09/ftc-report-shows-rise-sophisticated-dark-patterns-designed-trick-trap-consumers124. 585 US _ (2018); https://www.oyez.org/cases/2017/16-402125. https://www.legislature.ohio.gov/legislation/legislation-summary?id=GA132-SB-220126. https://le.utah.gov/~2021/bills/static/HB0080.html127. The 'Incentivizing the Adoption of Cybersecurity Standards for Businesses Act': https://www.cga.ct.gov/2021/ACT/PA/PDF/2021PA-00119-R00HB-06607-PA.PDF128. https://www.ftc.gov/enforcement/refunds/equifax-data-breach-settlement129. https://www.ftc.gov/news-events/news/press-releases/2022/10/ftc-takes-action-against-drizly-its-ceo-james-cory-rellas-security-failures-exposed-data-25-million130. https://www.ftc.gov/news-events/news/press-releases/2019/07/ftc-imposes-5-billion-penalty-sweeping-new-privacy-restrictions-facebook131. CPRA Regulations § 7051 and 7053132. CPRA Regulation § 7051133. http://jolt.law.harvard.edu/assets/articlePDFs/v32/32HarvJLTech299.pdf; https://www.ncsl.org/research/transportation/autonomous-vehicles-legislative-database.aspx134. Safely Ensuring Lives Future Deployment and Research in Vehicle  Evolution Act ('SAFE DRIVE Act'), H.R. 3388, 115th Cong. § 12(a) (2017)135. Ibid. at § 12(a)(4)136. https://www.ftc.gov/system/files/ftc_gov/pdf/2123140-Harley-Davidson-combined-package-without-signatures.pdf137. https://www.ftc.gov/system/files/documents/public_statements/313671/140604locationprivacyact.pdf; https://www.ftc.gov/business-guidance/blog/2022/07/location-health-and-other-sensitive-information-ftc-committed-fully-enforcing-law-against-illegal138. See FTC enforcement action in the Matter of Tapplock: https://www.ftc.gov/legal-library/browse/cases-proceedings/192-3011-tapplock-inc-matter139. https://www.attorneygeneral.gov/wp-content/uploads/2022/11/2022-11-14-PA-v.-Google-LLC-AVC-efile.pdf140. https://www.attorneygeneral.gov/taking-action/attorney-general-josh-shapiro-announces-391-million-settlement-with-google-over-location-tracking-practices/141. [https://oag.dc.gov/sites/default/files/2022-01/DCv.Google%281-24-22%29.pdf](https://oag.dc.gov/sites/default/files/2022-01/DCv.Google(1-24-22).pdf)142. Ibid.143. https://www.courthousenews.com/wp-content/uploads/2022/04/gps-data-tracking.pdf144. [https://www.ftc.gov/system/files/ftc_gov/pdf/1.%20Complaint.pdf](https://www.ftc.gov/system/files/ftc_gov/pdf/1. Complaint.pdf)145. See FTC enforcement action in the Matter of Tapplock: https://www.ftc.gov/legal-library/browse/cases-proceedings/192-3011-tapplock-inc-matter146. https://www.ftc.gov/system/files/ftc_gov/pdf/202-3185-Drizly-Decision-and-Order.pdf147. https://theintercept.com/2022/04/22/anomaly-six-phone-tracking-zignal-surveillance-cia-nsa/148. https://nypost.com/2021/07/21/top-catholic-priest-resigns-after-phone-data-tracked-to-grindr/149. https://itthub.net/wp-content/uploads/2022/01/Global_Automotive_Cybersecurity_Report_2022.pdf150. https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB327

美国关于汽车数据安全要求

美国关于汽车数据安全要求

原文始发于微信公众号(安全脉脉):美国关于汽车数据安全要求

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月1日21:53:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   美国关于汽车数据安全要求http://cn-sec.com/archives/2539729.html

发表评论

匿名网友 填写信息