@ 2023.09.06 , 15:38

隐私噩梦:汽车成为Mozilla评价最差的产品类别

概要:

当代汽车成为了一个隐私噩梦,它们装备了跟踪器、摄像头、麦克风和传感器,不断记录着你的一举一动。汽车制造商们一直夸耀他们的汽车是“移动的计算机”,以此推销先进功能。然而,关于驾驶电脑对车内乘客隐私的影响的讨论并没有跟上。在我们担心连接到互联网的门铃和手表是否在监视我们时,汽车品牌却悄悄地将汽车变成了数据收集机器。由于它们那些值得吹嘘的亮点和功能,汽车有着无与伦比的观察、监听和收集你在车内行车和行程方面的信息的能力。在Mozilla基金会调查的所有25个汽车品牌都获得了的“隐私无法确定”警告标签,使汽车成为评价最差的隐私产品类别。

啊,头发吹拂风中,公路在前方延伸,世界上再无其他牵挂......除了所有跟踪器、摄像头、麦克风和传感器正在捕捉你的一举一动。呃。现代汽车是一个隐私噩梦。

多年来,汽车制造商一直吹嘘他们的汽车是“轮子上的计算机”,以推广其先进功能。然而,关于驾驶一台计算机对乘员隐私的影响的讨论还没有真正跟上。当我们担心我们的可联网门铃和手表可能在监视我们时,汽车品牌悄悄进入数据业务,将他们的车辆变成强大的数据搜集机器。这些机器由于各种吹嘘的配件和功能,具有无与伦比的监视、倾听和收集你在汽车中所做和所去信息的能力。

我们(Mozilla基金会)调查的25个汽车品牌都获得了我们的“不包含隐私”警告标签,这使得汽车成为我们评测过的对隐私最糟糕的产品类别。

我们调查的汽车品牌在隐私和安全方面很差

为什么我们调查的汽车在隐私方面如此糟糕?它们怎么会远远低于我们的标准?让我们一一说明!

1. 它们收集太多个人数据(所有汽车)

我们在调查中审查了25个汽车品牌,并因这些公司收集和使用数据及个人信息的方式向它们发出了25项“警示”。没错,我们看到的每一个汽车品牌都收集了比需要更多的个人数据,并将这些信息用于除操作你的汽车和管理与你的关系之外的其他目的。相比之下,我们今年审查的心理健康应用程序(另一个在隐私方面很差的产品类别)中有63%收到了此“警示”。

而且与我们使用的其他产品和应用程序相比,汽车公司具有更多的数据收集机会,甚至比我们家中的智能设备或我们携带的手机还要多。它们可以从你与汽车的交互、汽车中的连接服务、汽车应用程序(可访问你手机上的信息)中收集个人信息,并可以从Sirius XM或Google地图等第三方来源获取有关你的更多信息。这是一个混乱。汽车公司收集和共享你的数据的方式是如此广泛和复杂,以至于我们专门写了一篇关于其工作原理的文章。要点是:它们可以收集关于你的超级私密信息——从你的医疗信息、基因信息到你的“性生活”(认真的),到你的驾驶速度、驾驶地点以及汽车中的歌曲播放,都可以大量收集。然后他们通过对你的智力、能力和兴趣做出“推论”来发明有关你的更多数据。

2. 大多数(84%)共享或出售你的数据

汽车品牌背后的庞大公司拥有所有这些个人信息本身就已经够糟糕的了,可以用于自己的研究、营销或极其模糊的“商业目的”。但更糟糕的是,我们调查的汽车品牌中多数(84%)表示他们可以与我们所知甚少或一无所知的服务提供商、数据经纪商和其他企业共享你的个人数据。更糟糕的是,其中十九个(76%)表示他们可以出售你的个人数据。

令人惊讶的数量(56%)也表示,他们可以根据“请求”与政府或执法部门共享你的信息。这并不是高标准的法院命令,而只是一项轻而易举的“非正式请求”。天哪,这是一个非常低的门槛!如果把《塞尔玛与路易丝》改编为2023年版,两位女士在你啃完爆米花之前就会被拘留。但说真的,汽车公司乐于共享你的数据是非常令人不安的。这可能会造成真正的伤害,并激发了我们对汽车与隐私的最糟糕的噩梦。

请记住,我们只知道公司如何处理个人数据,是因为隐私法律使他们不公开这些信息就是非法的(感谢加州消费者隐私法!)。所谓的匿名和汇总后的数据也可以(而且可能正在)共享,与汽车行业的数据中心(汽车行业的数据经纪人)和其他人共享。所以,当你从A地前往B地时,你也通过多种方式为你的汽车在数据业务中的蓬勃副业提供资金。

3. 大多数(92%)几乎不允许驾驶员控制他们的个人数据

我们审查的25个汽车品牌中,只有两个没有因数据控制而获得我们的“警示”,这意味着只有两个汽车品牌雷诺和达契亚(由同一母公司拥有)表示所有驾驶员都有权删除他们的个人数据。我们想象这种偏差是一家汽车公司为驾驶员的隐私采取立场。但这可能并非巧合,因为这些汽车只在受到健全的通用数据保护条例(GDPR)隐私法保护的欧洲可用。换句话说:汽车品牌通常会尽可能地合法利用你的个人数据。

4. 我们无法确认它们是否符合我们的最低安全标准

我们感到非常奇怪的是,与汽车相比,约会应用程序和性玩具发布了更详细的安全信息。尽管我们调查的汽车品牌各自都有若干冗长的隐私政策(丰田以12个政策获胜),但我们找不到证实这些品牌中任何一个符合我们的最低安全标准的确认。

我们最担心的是,我们无法判断这些汽车中的任何一个是否加密了停留在汽车上的所有个人信息。这只是起码要做的!毕竟,我们没有把它们称为尖端安全标准。我们一如既往地通过电子邮件联系他们以寻求明确,但大多数汽车公司完全无视了我们。至少回复我们的(梅赛德斯-奔驰、本田技研工业和技术上来说的福特)仍然没有完全回答我们的基本安全问题。

未能妥善处理网络安全问题可能解释了它们在安全和隐私方面令人尴尬的记录。我们只查看了过去3年的记录,但仍然发现有17个品牌(68%)因为泄露、被黑和违规事件而获得了我们的“糟糕记录”警示,这些事件威胁了它们驾驶员的隐私。

一睹这些汽车品牌的排名:雷诺、达契亚、宝马、斯巴鲁、菲亚特、吉普、克莱斯勒、道奇、大众、丰田、雷克萨斯、福特、林肯、奥迪、奔驰、本田、讴歌、起亚、雪佛兰、别克、GMC、卡迪拉克、现代、日产、特斯拉。

关于这些排名的一些不太有趣的事实:

- 特斯拉是我们曾经审查过的仅有的两款产品之一,获得了我们所有的隐私“警示”。(另一款是我们今年早些时候审查过的AI聊天机器人。)使它与众不同的是,它获得了我们的“不可信AI”警示。据报道,该品牌的AI驾驶辅助系统与17起死亡事故和736起碰撞有关,目前正处于多个政府调查之中。

- 日产因收集了我们所见过的一些最令人不安的数据类别而获得倒数第二的名次。值得完整阅读我们的审查,但你应该知道,它包括你的“性活动”。 凯迪拉克也没有示弱,它们在隐私政策中提到可以收集有关你“性生活”的信息。哦,还有6家汽车公司称可以收集你的“遗传信息”或“遗传特征”。是的,阅读汽车隐私政策确实令人不安。

- 没有任何一个汽车品牌使用符合Mozilla隐私标准的与政府或执法部门共享信息的措辞,但现代更上一层楼。它们的隐私政策中说,他们将遵守“法定要求,无论是正式的还是非正式的。”这是一个严重的红旗。

- 这个列表中的所有汽车品牌,除了特斯拉、雷诺和达契亚以外,都签署了来自美国汽车行业组织“汽车创新联盟”的一系列消费者保护原则。该清单包含了诸如“数据最小化”、“透明度”和“选择权”等伟大的保护隐私的原则。但遵循这些原则的汽车品牌数量?零。这一点还算有趣,因为这意味着汽车公司明明清楚应该做些什么来尊重你的隐私,但他们绝对没有去做。

你能对此做些什么?嗯......

通常在这里我们会鼓励你阅读我们的审查,并在可能的情况下选择你能信任的产品。但是汽车并非如此。

当然,你可以采取一些措施来更好地保护自己的隐私,我们在每篇审查中的“保护自己的提示”部分都列出了所有这些措施。这些措施绝对值得遵循。你也可以避免使用汽车应用或限制其在手机上的权限。(由于许多应用与汽车共享隐私政策,我们无法总是分辨出哪些数据是从你的手机中获取的,所以最好不要使用这些应用以谨慎对待。)但与你无法控制的数据收集相比,这些措施就像大海中的一滴水。此外,你应该可以从所支付功能中获益,而不必牺牲隐私。

在阅读有关汽车和隐私的内容时,最大的令人扫兴之处在于选择权的缺乏。消费者在汽车方面的选择受到许多限制,因为:

它们都很差......

人们不会根据隐私来比较购买汽车。他们也不应该这样做。因为汽车购买者还有许多其他限制因素。如成本、燃油效率、可获得性、可靠性和你需要的功能。即使你有资金和资源根据隐私来比较购车,你也不会发现有太大的不同。因为根据我们的研究,它们都很差!最重要的是,研究汽车和隐私是我们作为隐私研究人员所做的最艰巨的任务之一。整理汽车、汽车应用、汽车连接服务等庞大而复杂的隐私政策生态系统,这不是大多数人有时间或经验去做的事。

正如我们所提到的,我们研究的所有汽车都获得了我们的*不包含隐私警告标签。我们研究的所有汽车品牌都获得了我们对“数据使用”和“安全”的警示,而且大多数品牌在数据控制和糟糕记录方面也获得了警示!我们无法强调一个整体产品指南获得警示标签是多么糟糕和不正常。

这太令人困惑了......

我们花了600多个小时研究汽车品牌的隐私实践。这是我们平时每款产品研究时间的3倍。即使这样,我们仍有太多疑问。没有任何隐私政策承诺会全面说明你的数据是如何被使用和共享的。如果连3名隐私研究人员都几乎无法弄清汽车的情况,普通时间紧张的人又怎会有机会呢?

但是等等,还有更多!

“同意”是一种幻觉......

许多人的生活方式需要开车。所以与智能水龙头或语音助手不同,你没有选择完全避免驾驶汽车的自由。我们之前谈过,公司可以以不透明的方式操纵你的同意。汽车公司也不例外。他们通常会忽略你的同意。有时则假定你的同意。汽车公司通过假设你已经在进入其汽车之前阅读并同意其政策来做到这一点。斯巴鲁的隐私政策称,即使是使用连接服务汽车的乘客也已经“同意”允许它们使用甚至出售其个人信息,仅仅是因为坐在车内。

因此,当汽车公司说他们得到你的“同意”或“不会在没有你同意的情况下”做某事时,其含义通常与它本应具有的不同。例如,特斯拉说,没问题!你可以选择退出数据收集,但这可能会损坏你的汽车:

然而,“如果你不再希望我们从你的特斯拉汽车收集车辆数据或任何其他数据,请联系我们以停用连接。请注意,某些高级功能(如空中更新、远程服务以及与移动应用程序和车内功能的互动,例如位置搜索、网络广播、语音命令和网页浏览器功能)依赖于此类连接。如果你选择退出车辆数据收集(车内数据共享首选项除外),我们将无法实时了解或通知你与你的车辆相关的问题。这可能会导致你的车辆功能降低、严重损坏或无法使用。”

特斯拉的客户隐私声明
https://www.tesla.com/legal/privacy

我们研究的一些汽车公司通过使你协助从其他人那里获得“同意”来进一步操纵你的同意,他们说你有责任将你汽车的隐私政策告知其他人。例如,日产要求你“保证教育和通知你的车辆的所有用户和乘客有关服务和系统功能及局限性、协议条款,包括有关数据收集、使用和隐私的条款以及日产隐私政策”。好吧,日产!我们很想见识一下起草这段话的社交高手。

别担心!!你可以做一些事情!

嘿,别急着放弃开车!我们并不是在说形势无望。我们要说的是,让消费者做出“更好的选择”的负担不应该落在他们身上,特别是在这种情况下更好的选择根本不存在。我们也不想效仿汽车公司,要求你做一些合理的人绝不会做的事情——比如将9461字的隐私政策念给每一个打开你车门的人听。

你只要阅读我们的研究就已经在帮助我们传播这个信息。我们希望提高认识可以鼓励更多人也让汽车公司对其糟糕的隐私做法负责。但这还不是全部。代表Mozilla社区,我们正在呼吁汽车公司停止仅为自身利益的大规模数据收集计划。加入我们吧!

本文译自 Mozilla Foundation,由 BALI 编辑发布。

赞一个 (7)