周三下午,加州总检察长办公室的一份公告让数百万车主后背发凉——你每次急刹车、深夜加油、周末短途出行的轨迹,可能被默默标价出售了五年。
通用汽车(GM)与加州当局达成1275万美元和解协议,创下该州隐私执法史上最高罚款纪录。这笔罚单指向一个简单事实:2020年至2024年间,这家拥有雪佛兰、凯迪拉克、别克、GMC四大品牌的美国车企,通过OnStar车载系统和"Smart Driver"功能,持续收集并转卖加州居民的驾驶行为与精确位置数据。
买家是谁?数据经纪商Verisk Analytics和LexisNexis Risk Solutions。用途?生成驾驶员评分产品,供保险公司参考。通用从中获利多少?全美范围内2000万美元——而加州司机的数据只是其中一部分。
调查始于2024年的媒体报道。当时外界发现多家车企向保险公司共享驾驶行为数据,加州检方随即介入。调查结论相当直白:通用从未充分告知消费者数据收集的存在,更未获取有效同意;数据留存时间远超必要期限,还被二次加工用于销售。
"通用汽车在无数次声明中向司机保证不会出售数据,背地里却恰恰相反,"加州总检察长Rob Bonta在声明中措辞严厉,"这批信息包含精确的个人位置数据,足以还原加州居民的日常习惯和行动轨迹。"
这笔1275万美元罚款的特殊之处在于,它是加州首次针对"数据最小化"原则开出的执法罚单。CCPA(加州消费者隐私法)不仅要求企业告知和获取同意,更强制规定:收集的数据不得超过业务必需范围,留存时间不得超过处理目的所需期限。通用的做法——超期保留、改作他用——恰好踩中这条红线。
和解协议的附加条款比罚款本身更具约束力。通用被禁止在五年内向消费者报告机构和数据经纪商出售驾驶数据;必须在180天内删除已保留的驾驶数据,除非消费者明确同意继续留存;还须要求Verisk和LexisNexis删除此前接收的全部数据。此外,通用需建立更严格的隐私合规体系,并定期向监管机构提交评估报告。
值得注意的是,加州官员表示,当地司机大概率未因数据泄露而面临保费上涨——因为州法律明确禁止保险公司使用驾驶数据设定费率。但这不意味着其他州的消费者同样安全。通用的数据销售覆盖全国,而各州监管尺度参差不齐。
这并非通用首次因此类行为受罚。美国联邦贸易委员会(FTC)此前已对其非法数据收集提出批评,并禁止该公司在五年内出售司机数据。FTC的禁令与加州和解的五年禁售期形成叠加,意味着通用在数据变现这条路上被双重锁死。
事件暴露车载系统的隐私黑洞。OnStar作为通用1996年推出的车载服务,原本主打紧急救援和导航;Smart Driver功能则包装为"帮助用户改善驾驶习惯"的增值服务。两者叠加,构成了一个持续运转的数据采集网络——刹车力度、转弯速度、行驶里程、停车地点,全部落入数据库。
车企的商业模式正在发生微妙位移。卖车利润变薄,软件服务收入被寄予厚望,而驾驶数据正是这座金矿的核心矿脉。通用的2000万美元收入相对于其整体营收微不足道,却揭示了行业试探监管边界的普遍冲动——直到撞上加州的CCPA铁墙。
截至发稿,BleepingComputer向通用发出的置评请求未获回应。而1275万美元的罚单已经落定:你的驾驶习惯值多少钱,终于有了第一个官方定价。
热门跟贴