加州总检察长办公室近日宣布,通用汽车(General Motors)已就一起隐私诉讼达成和解,同意支付1275万美元民事罚款。这笔和解金背后,是数十万加州车主的驾驶行为数据在不知情的情况下被卖给了数据中介。

事情要追溯到2024年。《纽约时报》当时报道称,包括通用在内的多家汽车制造商正在向保险公司提供客户的驾驶行为信息,部分车主发现自己的保费因此上涨。这一报道引发了监管部门的关注。

打开网易新闻 查看精彩图片

加州总检察长罗布·邦塔(Rob Bonta)办公室的指控更为具体:通用通过其OnStar车载服务系统,收集了"数十万加州人的姓名、联系方式、地理位置数据和驾驶行为数据",并将这些数据出售给Verisk Analytics和LexisNexis Risk Solutions两家数据中介公司。据邦塔办公室估算,通用从这些数据交易中获利约2000万美元。

不过,加州车主的保险费率并未因此上涨。邦塔办公室特别说明,这"很可能是因为加州保险法禁止保险公司使用驾驶数据来设定保险费率"。这一法律屏障为加州消费者挡住了最直接的财务损失,但数据被擅自买卖的事实本身已构成隐私侵害。

根据和解协议,通用汽车承诺多项整改措施。除了1275万美元的罚款,公司同意在未来五年内停止向任何消费者报告机构出售驾驶数据;在180天内删除其保留的所有驾驶员数据(除非获得客户明确同意);并要求LexisNexis和Verisk删除已从通用获取的相关数据。

邦塔在声明中措辞严厉:"通用汽车在未经加州驾驶员知情或同意的情况下出售了他们的数据,尽管公司多次向驾驶员保证不会这样做。"他强调,这一和解"要求通用汽车放弃这些非法做法,并突显了加州隐私法中数据最小化原则的重要性——公司不能仅仅持有数据,然后在日后将其用于其他目的。"

这并非通用汽车首次因数据销售问题受到监管处罚。此前,该公司已与联邦贸易委员会(FTC)就同一问题达成和解,最终命令禁止通用及其OnStar部门向消费者报告机构出售特定数据。从联邦到州层面的连续追责,反映出监管机构对汽车数据隐私问题的持续收紧。

车载数据的价值正在重塑汽车行业的商业模式。现代汽车配备的传感器和联网系统能够实时记录车速、刹车力度、行驶路线、驾驶时长等精细信息——这些数据对保险公司评估风险极具吸引力。但车企在变现这些数据时,往往绕过了车主的明确授权,将"默认同意" buried 在用户协议的长篇条款中。

通用汽车的案例揭示了一个关键张力:当汽车变成"轮子上的数据中心",谁拥有这些数据的使用权?加州的和解给出了一个监管答案——即使技术让收集变得 effortless,未经明确同意的二次利用仍属违法。1275万美元的罚款相对于通用的营收规模或许不算沉重,但五年的销售禁令和强制删除要求,对依赖数据变现的商业模式构成了实质性约束。

对于车主而言,这一和解的启示在于:检查你的车载服务协议,了解哪些数据正在被收集,以及"选择退出"的选项藏在哪里。在加州,法律提供了额外的保护;但在其他司法管辖区,驾驶数据与保险费率之间的关联可能更为直接。