在我们关于汽车和移动领域系列的第一部分中,Cooley的网络/数据/隐私律师介绍了汽车和移动行业面临的关键数据隐私法律问题,并概述了美国州和联邦监管执法环境。美监管机构瞄准汽车行业
美国的数据隐私调查浪潮已将汽车行业作为新的目标。联网车辆及其支持的供应链已成为我们日常生活中整合的关键技术。

加州新成立的隐私保护机构(CPPA)执行董事Ashkan Soltani在2023年7月对此总结道,他将现代车辆描述为“实际上是车轮上的联网电脑”。这些“联网电脑”本身与其他日常技术紧密结合,包括我们的手机、应用程序,甚至社交媒体账户,并通过内置应用、传感器和摄像头收集大量信息。你的汽车知道你什么信息?可能更好的问题是你的汽车不知道你什么信息?

汽车和移动公司可能会收集从个人标识符、单位身份证、医疗和保险信息、驾驶历史和模式、车辆诊断信息到生物识别数据(如语音或面部识别数据)以及精确的地理位置数据和远程信息处理系统。这些数据可以揭示一个人生活中最隐私的细节,例如他们去过医疗或生殖诊所、宗教场所或家庭暴力庇护所。据某些统计,汽车从100多个不同数据点收集数据。

从车辆及其驾驶员收集的数据促进了驾驶的个性化,帮助预测和告知驾驶员即将出现的维护问题,创建个性化的保险报价,并在紧急情况下呼叫执法或紧急服务。但此类数据也可能被汽车和移动公司用于其自身目的,而与驾驶服务提供无关。重要的是,这些数据大部分符合美国隐私法对“个人数据”或“个人信息”的定义 – 而其中一些还被视为需高度保护的“敏感”个人数据。虽然大多数数据涉及驾驶员,但它也可能涉及乘客和车辆附近的人。

监管背景:州消费者隐私法
在这个广泛的数据收集背景下,汽车和移动行业因其隐私实践受到批评(例如,见2023年的Mozilla报告)。监管机构开始测试这一立场。虽然针对汽车行业的隐私和安全法规很少,但许多现有的一般隐私法规(以及即将生效的法规)已适用于该行业。2018年《加州消费者隐私法》(CCPA)的通过,引发了迄今为止近20个其他州类似的综合消费者隐私法。

colorado、connecticut、montana、oregon、texas、utah和virginia的法律目前已生效。所有原始设备制造商(OEM)以及许多拥有个人数据访问权限的供应商或技术合作伙伴(包括代表OEM存储此类数据的),都将根据这些法律承担义务。

虽然这些法律因州而异,但它们都对受覆盖的企业施加了某些义务,包括在隐私通知中提供特定披露,并赋予消费者关于其个人数据的某些权利,例如访问、更正或删除某些个人数据的权利,以及退出某些数据处理活动的权利,如“销售”、定向广告、配置档案以及自动决策。这些州法律允许因不合规而施加法定罚款。例如,CCPA规定每次故意违规最高可罚款7500美元。

加州和德克萨斯州的执法活动
值得注意的是,CPPA在2023年假定对CCPA的执法权后采取的首项行动之一就是宣布对联网车辆制造商及相关联网车辆技术的隐私实践进行审查。据Soltani称,“执法部门正在对联网车辆领域进行询问,以了解这些公司在收集和使用消费者数据时如何遵循加州法律。”

该声明强调了汽车目前消化的数据量和类型(包括消费者的定位、个人偏好和日常生活细节),并将位置共享、基于网页的娱乐、智能手机集成和摄像头等功能描述为对消费者隐私的特别关注。截至2024年4月,该审查仍在进行中。更近日,德克萨斯州检察长对几个OEM展开调查,因为有报道称某些制造商将驾驶员数据出售给第三方,包括保险提供商。强调OEM拥有的“数百万个数据点”

,检察长观察到“消费者越来越关心他们的驾驶数据在未获知情或授权的情况下被报告给保险公司”,并表示这些报告“值得彻底调查和适当的执法”。‘敏感’个人数据
美国州消费者隐私法一般对于“敏感”个人数据提供了更高的保护,定义包括精确的地理位置数据和生物识别数据等数据元素 – 换句话说,正是车辆大量收集的数据。这些法律大多要求覆盖的业务在处理敏感个人数据之前获得消费者同意。

在加州,CCPA允许消费者在某些情况下限制公司对敏感个人数据的使用和披露。这些法律还要求受覆盖的企业进行与处理敏感个人数据相关的数据保护评估。联邦隐私法如何?在联邦层面,美国联邦贸易委员会(FTC)至少在过去十年中已将联网汽车纳入关注范围。FTC于2013年举办了一次物联网工作坊,随后发布了2015年员工报告,突出了联网车辆的隐私和安全问题。

2018年,该机构举办了一次联网车辆研讨会,引起了从意外的次生数据使用到安全风险等问题的关注。FTC还发布了指导,提醒消费者在出售车辆之前删除其上的数据(如同处理电脑或智能手机一样)。在CPPA的执法行动和新闻报道关于OEMs涉嫌向第三方出售驾驶数据之后,FTC于2024年5月发布了一篇关于汽车和消费者数据的博客文章,指出:

“汽车制造商 – 以及所有企业 – 应注意FTC将采取行动保护消费者不被非法收集、使用和披露个人数据。”在文章中,FTC描述了与汽车和移动领域相关的三个近期执法主题,包括定位数据、敏感数据的秘密披露及与敏感数据有关的自动决策。FTC公告发布后不久,来自俄勒冈州的民主党参议员Ron Wyden和来自马萨诸塞州的Edward J. Markey请求FTC调查汽车制造商是否非法与数据经纪人共享驾驶数据。

他们要求FTC对汽车制造商和数据经纪人 – 包括其高管 – 若发现违规行为需追究责任,并审查更广泛行业的做法。这封信是继同一参议员在4月针对汽车制造商向执法机构披露位置数据的另一封信之后的。除非国会通过联邦综合隐私法取代类似CCPA的州法律,否则OEMs及汽车和移动领域的许多其他公司将需要遵守州级法律拼凑而成的法规,并注意FTC的执法权。

在我们的下次文章中,我们将更详细地探讨近期的隐私执法行动和对汽车和移动领域的经验教训。