Сенатор США Едвард Маркі (штат Массачусетс) є одним із найбільш заангажованих у технології наших обраних законодавців. І, як і багатьом читачам Ars Technica, які займаються технологіями, йому не подобається те, що він бачить у підході автовиробників до конфіденційності даних. У п’ятницю сенатор Маркі написав 14 автомобільним компаніям із різними запитаннями щодо політики конфіденційності даних, закликаючи їх діяти краще.
Як повідомляв Ars у вересні, Mozilla Foundation опублікувала гострий звіт про конфіденційність даних і автовиробників. Проблеми були широко поширеними — більшість автовиробників збирають забагато особистих даних і дуже прагнуть продати або надати їх третім сторонам, виявив фонд.
Маркі зазначив звіт Mozilla Foundation у своїх листах, які були надіслані BMW, Ford, General Motors, Honda, Hyundai, Kia, Mazda, Mercedes-Benz, Nissan, Stellantis, Subaru, Tesla, Toyota і Volkswagen. Сенатор стурбований великою кількістю даних, які можуть збирати сучасні автомобілі, включно з тривожною можливістю використання біометричних даних (наприклад, частоти кліпання та дихання водія, а також його пульсу) для визначення настрою чи психічного здоров’я.
Сенатор Маркі також стурбований використанням автовиробниками Bluetooth, який, за його словами, розширив «їхнє спостереження, щоб включити інформацію, яка не має нічого спільного з роботою автомобіля, таку як дані зі смартфонів, які бездротово підключені до автомобіля».
«Ця практика є неприйнятною», – написав Маркі. «Хоча певні способи збору та обміну даними можуть мати реальні переваги, споживачі не повинні підпадати під вплив масивного апарату збору даних із будь-якою інформацією, прихованою в багатосторінковій політиці конфіденційності, наповненій правовими нормами. Автомобілі не повинні — і не можуть — ставати ще одним місцем для проведення заходів. де конфіденційність відходить на другий план.”
14 автовиробників мають відповісти на такі запитання до 21 грудня:
- Чи збирає ваша компанія дані користувачів зі своїх транспортних засобів, включаючи, але не обмежуючись цим, дії, поведінку чи особисту інформацію будь-якого власника чи користувача?
- Якщо так, опишіть, як ваша компанія використовує дані про власників і користувачів, зібрані з її транспортних засобів. Розрізняйте дані, зібрані від користувачів ваших транспортних засобів, і дані, зібрані від тих, хто підписався на додаткові послуги.
- Будь ласка, визначте кожне джерело збору даних у ваших нових моделях транспортних засобів, включно з кожним типом датчика, інтерфейсу або точки збору від особи та мету цього збору даних.
- Чи збирає ваша компанія більше інформації, ніж потрібно для експлуатації транспортного засобу та послуг, на які особа погоджується?
- Чи збирає ваша компанія інформацію від пасажирів або людей поза транспортним засобом? Якщо так, то яку інформацію та з якою метою?
- Чи продає ваша компанія, передає, ділиться чи іншим чином отримує комерційну вигоду від даних, зібраних з її транспортних засобів, третім сторонам? Якщо так, то скільки треті сторони заплатили вашій компанії у 2022 році за ці дані?
- Коли ваша компанія збирає ці дані користувача, чи виконує вона будь-які процедури категоризації чи стандартизації, щоб згрупувати дані та зробити їх легкодоступними для використання третіми особами?
- Чи використовує ваша компанія ці дані користувача або дані про користувача, отримані з інших джерел, для створення будь-яких профілів користувачів?
- Як ваша компанія зберігає та передає різні типи даних, зібраних на транспортному засобі? Чи мають транспортні засоби вашої компанії стільниковий зв’язок або можливості Wi-Fi для передачі даних із автомобіля?
- Чи повідомляє ваша компанія власників транспортних засобів або користувачів про методи обробки даних?
- Чи надає ваша компанія власникам або користувачам можливість дати згоду на збір даних у своїх автомобілях?
- Якщо так, будь ласка, опишіть процес, за допомогою якого користувач може отримати згоду щодо такого збору даних. Якщо ні, то чому б і ні?
- Якщо користувачам надається можливість дати згоду на послуги вашої компанії, який відсоток користувачів це робить?
- Чи втрачають користувачі будь-які функції транспортного засобу через відмову від збору даних або відмову в ньому?63~ Якщо так, чи втрачає користувач доступ лише до функцій, які суворо вимагають такого збору даних, чи ваша компанія вимикає функції, які інакше могли б працювати без цей збір даних?
- Чи можуть усі користувачі, незалежно від місця проживання, вимагати видалення своїх даних? Якщо так, будь ласка, опишіть процес, за допомогою якого користувач може видалити свої дані. Якщо ні, то чому б і ні?
- Чи вживає ваша компанія кроки для анонімізації даних користувачів, коли вони використовуються для власних цілей, надаються постачальникам послуг або передаються третім сторонам, які не є постачальниками послуг? 63 ~ Якщо так, опишіть процес вашої компанії для анонімізації даних користувачів, включаючи будь-які договірні обмеження щодо повторної ідентифікації, які накладає ваша компанія.
- Чи має ваша компанія будь-які стандарти конфіденційності або договірні обмеження щодо програмного забезпечення сторонніх розробників, яке вона інтегрує у свої транспортні засоби, наприклад інформаційно-розважальних програм або операційних систем? Якщо так, надайте їх. Якщо ні, то чому б і ні?
- Будь ласка, опишіть методи безпеки вашої компанії, процедури мінімізації даних і стандарти зберігання даних користувачів.
- Чи протягом останніх десяти років ваша компанія зазнавала витоку, зламу або злому даних користувача?
- Якщо так, будь ласка, опишіть подію(и), зокрема характер системи вашої компанії, яку було використано, тип і обсяг даних, на які це вплинуло, а також те, чи повідомила ваша компанія своїх користувачів, яких це зазнало, і як.
- Чи всі особисті дані, що зберігаються в транспортних засобах вашої компанії, зашифровані? Якщо ні, які особисті дані залишаються відкритими та незахищеними? Які кроки можуть вжити споживачі, щоб обмежити це відкрите зберігання їх особистої інформації на своїх автомобілях?
- Чи надавала ваша компанія коли-небудь правоохоронним органам особисту інформацію, зібрану транспортним засобом?
- Якщо так, будь ласка, вкажіть кількість і типи запитів, які надіслали правоохоронні органи, а також кількість разів, коли ваша компанія виконувала ці запити.
- Чи надає ваша компанія таку інформацію лише у відповідь на повістку в суд, ордер або ухвалу суду? Якщо ні, чому ні?
- Чи повідомляє ваша компанія власника автомобіля, коли виконує запит?