通用汽车秘密出售加州司机数据达成1275万美元和解
美国通用汽车公司(GM)因未经加州司机同意出售其个人驾驶数据,与由加州总检察长罗布·邦塔(Rob Bonta)牵头的执法机构达成和解,同意支付1275万美元民事罚款。
据加州总检察长办公室公告,GM通过其OnStar系统收集了数十万加州居民的姓名、联系方式、地理位置及驾驶行为数据,并将这些数据出售给数据经纪商Verisk Analytics和LexisNexis Risk Solutions,从中获利约2000万美元。
尽管GM此前多次公开表示不会出售此类数据,但调查证实其行为与声明不符。加州检方指出,尽管数据未导致加州保险费用上涨(因加州法律禁止保险公司依据驾驶数据调整保费),但该行为仍严重违反了州隐私法规。
作为和解协议的一部分,GM承诺在五年内停止向任何消费者报告机构出售驾驶数据,同时在180天内删除未获用户同意保留的数据,并要求LexisNexis和Verisk删除已获取的司机数据。
加州总检察长邦塔表示,这批数据包含精确的个人位置信息,可揭示加州居民的日常习惯和行踪,强调企业不得擅自保留数据并用于其他目的,必须遵守数据最小化原则。
旧金山地方检察官布鲁克·詹金斯(Brooke Jenkins)称,现代汽车已成为“移动数据收集机器”,加州居民必须清楚知晓数据收集、使用方式及退出权利。此案向违规企业发出明确警示:执法机构将对违反隐私法的行为采取行动。
编辑点评
此事件凸显了智能汽车时代个人数据隐私保护的紧迫性。随着车辆智能化程度提升,车载系统收集的地理位置、驾驶行为等数据具有高度敏感性,其商业化使用极易引发伦理与法律争议。通用汽车虽未直接导致保险费用上涨,但其未经同意出售数据的行为严重违反了加州严格的隐私法,尤其是《加州消费者隐私法案》(CCPA)中的数据最小化与知情同意原则。此次和解金额虽未达天价,但其象征意义重大——执法机构对科技巨头和传统车企的数据滥用行为亮出红牌。
从国际视角看,美国加州的隐私立法具有风向标作用,其执法实践可能影响其他州乃至全球车企的数据合规策略。欧洲《通用数据保护条例》(GDPR)早已对类似行为设限,而中国《个人信息保护法》也强调数据处理应“最小必要”和“用户同意”。未来,车企在全球市场的数据合规将面临更高标准,可能推动行业建立统一的数据使用透明机制。
长期而言,此案或促使车企重新审视数据商业化模式,从“数据即资产”转向“数据即责任”。消费者对智能汽车的信任基础在于透明度和控制权,若企业持续模糊数据边界,可能引发更广泛的监管收紧与公众抵制。