汽车隐私(三):美国政府对汽车隐私的监管

admin 2023年12月30日11:58:36评论25 views字数 4040阅读13分28秒阅读模式

这是汽车隐私系列的第三部分。

汽车隐私(三):美国政府对汽车隐私的监管

费耶·弗兰西 (Faye Francy) 决定从距离她家几个小时路程的经销商处购买一辆二手车。在写完支票并签署文件后,她将手机同步到信息娱乐中心,这样她就可以获得逐步指示并导航到回家的路。

Francy 负责运营汽车网络安全组织汽车行业共享与分析中心,她很高兴尝试她新车的导航功能。

她对事情的结果感到非常惊讶。

“我开始按照导航指示进行操作,结果把车开到前车主的家。”弗朗西在一次讨论 2017 年事件的采访中回忆道。

弗朗西说,她开始梳理信息娱乐中心,发现了属于前车主的信用卡号和其他个人信息。

“你应当在处理二手车时删除你的数据。”Francy说。

问题是许多消费者不知道他们应该删除自己的数据,这主要是因为制造商通常将密密麻麻的隐私政策深埋在他们的条款和条件中。有时,这些政策的术语含糊不清,没有表明所获取数据及其使用方式的完整范围。

即使消费者不将手机与信息娱乐系统同步,联网车辆中的无数传感器和地理定位功能也能揭示很多信息,包括警察有时可以在没有搜查令的情况下提取信息。即使消费者确实擦除了汽车数据,仍有很多数据无法被删除,因为这些数据已经被出售给数据经纪人。

鉴于这些事实,监管机构开始注意到这一点。今年 7 月,加州隐私保护局 (CPPA) 执法部门宣布正在审查联网汽车制造商和供应商的隐私做法,这项调查可能会产生重大影响,因为一家汽车制造商因不遵守加州相对严格的州规定而受到处罚隐私法将引起行业其他公司的注意。

如果没有全面的联邦隐私立法(该立法目前在国会陷入停滞,并且不太可能很快成为法律),专家们认为有两个真正改变的机会:加利福尼亚州或联邦贸易委员会采取行动,后者影响最深远。

联邦贸易委员会行动

前联邦贸易委员会官员和隐私倡导者表示,2009 年,西尔斯公司与联邦贸易委员会达成的和解协议开创了一个重要的先例,可以用来制定今天的联网汽车行动。

该投诉主要针对该零售商称为“我的 SHC 社区”的项目,该机构表示该项目没有充分披露实际上是一个庞大的监控设备。根据该计划,如果消费者下载了可以跟踪其“在线浏览”的“研究”软件,他们将获得 10 美元的报酬。

该机构表示,西尔斯收集了参与者的网上银行对账单、药物处方记录、图书馆和视频借阅历史以及来自网络电子邮件的重要信息。

为了解决联邦贸易委员会的投诉,西尔斯最终同意销毁其收集的信息,并更显着地披露其未来收集的数据类型。

负责该案的前联邦贸易委员会高级官员玛丽·恩格尔在接受采访时表示,该公司对监控范围的披露不充分,是联邦贸易委员会决定追究西尔斯案的一个关键因素。

该机构认为,尽管零售商在条款和条件中分享了其将收集的信息,但监控如此极端,超出了消费者的合理预期,形式上的披露还不够。

“在条款和条件中披露这一点是不充分的,不够明确和引人注目。”玛丽·恩格尔说,他现在是 BBB 国家计划的政策执行副总裁,该计划是一家非营利组织,负责监督隐私和广告行业的自我监管计划。“我可以看到这种框架也被用于互联汽车领域。”

类似的理论可能会成为联邦贸易委员会与一家或多家汽车制造商达成和解的基础。专家和联邦贸易委员会前官员表示,这两种情况都会对目前正在进行的数据提取和第三方共享水平产生寒蝉效应。

如果信息娱乐中心被用来“监听你的谈话或获取有关偏好等的数据,联邦贸易委员会可能会认为这实际上是一种不公平和欺骗性的行为”,曾担任联邦贸易委员会信息娱乐中心主任的戴维·弗拉德克(David Vladeck)说。

奥巴马政府时期的消费者保护局在接受采访时表示。“问题是,一个理智的人会理解汽车制造商正在收集个人数据吗?”

Vladeck 表示,该机构评估联网汽车隐私风险的最佳方式是发起所谓的 6(b) 调查(以 FTC 法案允许进行调查的部分命名),并要求几家主要制造商披露其做法。

弗拉德克表示,如果该机构发现汽车公司“在没有向消费者、购车者和车内人员明确通知的情况下获取个人数据”,“联邦贸易委员会可能会采取执法行动。”

对于联邦贸易委员会来说,这将是一个程度问题——披露的清晰程度、数据提取的极端程度、与第三方共享的数据有多少以及出于什么目的?

“每一个小事实都是一个变量,你需要权衡公平或不公平。”非营利性数字版权组织电子自由基金会的高级专职律师Tien说。

联邦贸易委员会发言人拒绝对此事发表评论。

多年来一直受到该机构的关注

联网汽车长期以来一直受到联邦贸易委员会的审查。2016年,该机构要求消费者在租车后擦除数据。

在该机构 2017 年举办的联网汽车研讨会上,时任委员莫林·奥尔豪森 (Maureen Ohlhausen)警告业界,联邦贸易委员会 (FTC) 正在密切关注联网汽车和潜在的隐私侵犯行为。

她说:“在必要和适当的情况下,我们将根据《联邦贸易委员会法案》第五节动用我们的民事执法机构,对包括联网汽车在内的联网设备制造商以及潜在的服务提供商采取行动。”

第五节禁止“商业中或影响商业的不公平或欺骗性行为或做法”。

到 2018 年,联邦贸易委员会发布了一份关于联网汽车的工作报告,其中指出车辆收集像指纹和虹膜图案一样敏感的数据以及实时位置。它还指出,车辆信息娱乐系统允许制造商发现驾驶员的浏览习惯或应用程序使用情况,并将其出售以用于广告定位。

该机构确定了一个可能的解决方案:将安全功能与其他“通过网络控制的功能”“隔离”。换句话说,让免提导航成为可能,这是一项安全福利,但不一定需要驾驶员同意泄露和长期保留手机短信、电子邮件和通话记录。

帮助消费者浏览汽车隐私的Privacy4Cars公司的创始人安德里亚·阿米科(Andrea Amico)通过电子邮件表示,目前的情况是,消费者被告知“同意一切,否则他们什么也得不到”。“这往往是一个错误的选择。”

迄今为止,联邦贸易委员会尚未对联网汽车制造商采取任何执法行动。

披露了什么?

例如,许多汽车制造商对于他们是否从同步手机中收集数据保持沉默或不清楚。

根据Privacy4Cars进行的研究,属于这一类别的数十家汽车制造商包括克莱斯勒、宝马、道奇、马自达、福特和林肯。

一些汽车制造商所披露的内容清楚地表明了可能性。以日产汽车为例,根据隐私监管机构 Mozilla 基金会的说法,直到最近,该公司的政策还直言不讳地表示,它可以收集和共享消费者的性活动、健康诊断数据、遗传信息等,用于有针对性的营销。Mozilla 报告发布后,对性活动、基因和健康诊断的提及显然被删除了。

政客们已经开始提出问题。

本月早些时候,马萨诸塞州民主党参议员埃德·马基 (Ed Markey)致信14 家主要汽车制造商,谴责他们的隐私做法,并宣称消费者不应陷入“海量数据收集装置中,任何披露信息都隐藏在长达几页的内容中”。隐私政策充满了法律术语。”

马基指出,蓝牙的出现扩大了汽车监控范围,让公司可以提取“与车辆操作无关的数据,例如来自无线连接到车辆的智能手机的数据”。

这位参议员要求汽车制造商回答有关其数据实践的具体问题,并在上周之前将其提交给他的办公室。

鉴于该行业实际行为的不透明性,许多消费者和监管机构都一无所知——这可能是加州隐私机构展开调查的动力。

“有很多我们不知道的事情。”Tien说。

汽车数据生态系统

Tien说,挑战汽车数据隐私规范的部分困难在于有多少部门,包括州、地方甚至联邦政府,从中受益。

例如,地方政府使用汽车数据来更好地控制交通和放置执法摄像头。

然而,阿米科表示,汽车制造商经常将改善驾驶员安全作为“消费者同意泄露数据的理由”。

Tien说,保险公司是一个巨大的游说团体,在保留对汽车数据的访问权方面也有既得利益。

执法部门看到了提取数据的优势——对于倡导者,特别是后多布斯时代的倡导者来说,提取数据可能无需搜查令,因为许多妇女使用汽车寻求堕胎。

Tien说,机动车辆管理局甚至出售汽车数据来创收。

“这就像一片沼泽。”他说。“在交通领域和执法领域,联邦、州和地方政府实体都有庞大的基础设施……这对收集这些数据有巨大的激励作用。”

负责 FTC 隐私和身份保护部门十多年的 Maneesha Mithal 表示,监管机构可能对汽车公司可能与保险公司共享数据这一事实特别感兴趣。

她说,联网汽车不仅能够收集位置信息,还能收集显示某人如何驾驶汽车的数据,这可能是一个重点关注点。

“监管机构最关心的一个问题是汽车公司与保险公司共享数据的程度,这也是 2017 年 FTC 研讨会的焦点之一。”现任 Wilson Sonsini 律师事务所合伙人的 Mithal 表示。“我认为这是消费者最关心的问题。”

汽车行业已公开承诺保护隐私,但不具有约束力。大多数主要汽车公司都签署了由主要汽车行业协会汽车创新联盟起草的七项基本隐私保护原则。

这些原则最初于 2014 年发布,并于 2022 年进行审查,其中包括承诺在没有搜查令或法院命令的情况下不会向执法部门发布地理定位数据。

但前监管机构指出,这些原则中的一些措辞为麻烦的汽车数据隐私做法留下了很大的回旋余地。

例如,该原则的数据最小化、去识别化和保留部分指出,汽车制造商签署方“承诺仅在合法商业目的需要时收集所涵盖的信息”。

“谁知道合法的商业目的是什么?” 恩格尔问道。“这还没有定义。”

随着公众关注度的增加,这个问题继续升温——这往往会引发监管机构的关注。Mozilla 基金会9 月份发布的一份爆炸性报告成为头条新闻,并激发了 Markey 给制造商的一封措辞激烈的信。

该基金会因其消费者隐私工作而受到高度评价,并称汽车行业是“我们审查过的隐私最差的产品类别”。它研究的所有 25 个汽车品牌均未通过隐私测试。

对于许多美国人来说,对汽车的担忧比对普通消费品的担忧更重要。

“你的汽车几乎是你房子的延伸。”著名汽车黑客和长期网络安全专家马克罗杰斯说。“人们在车内做非常私密的事情。”

参考链接:https://cybernews.com/news/amnesty-apple-pegasus-spyware-india/


原文始发于微信公众号(会杀毒的单反狗):汽车隐私(三):美国政府对汽车隐私的监管

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月30日11:58:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   汽车隐私(三):美国政府对汽车隐私的监管http://cn-sec.com/archives/2350776.html

发表评论

匿名网友 填写信息