Mozilla发布25家汽车隐私报告：特斯拉隐私保护最差

9月7日，非营利组织Mozilla基金会发布了一份报告，指出汽车是其评估过的所有产品中隐私保护最差的类别。

根据报告，有92%的汽车公司很少或根本不给用户提供个人数据控制权，84%的汽车公司会与第三方共享用户数据，39%的汽车公司则明确表示，他们可能会将相关数据出售给第三方。报告同时点名特斯拉在隐私数据保护上做得最差，表现最好的前三个公司分别是雷诺、达契亚和宝马。

在这份报告中，Mozilla的调研人员选取了包括奔驰、宝马、奥迪、特斯拉、大众等25个知名汽车公司，涉及美国和欧洲市场，并不包括中国在内。

根据调研人员，报告从各个车企的隐私条款和相关App索取的设备权限等信息入手，测评了五大方面的数据，包括数据使用、数据控制、轨迹记录、安全性和人工智能。

具体而言，研究者关注产品通常收集哪些类型的信息（是否包括生物识别信息和社交信息）；公司如何使用数据；用户可以如何控制其数据，包括如何访问和删除数据；公司保护用户数据的已知记录；产品是否可以离线使用；隐私政策是否对用户友好。

值得注意的是，这份报告中也包括了对于产品是否使用人工智能的测评。研究者对其的定义是：根据用户数据做决策和/或不断更改的自动化技术。在具体测评中，研究者主要关注该公司对人工智能的工作原理是否透明，如是否公开了有关AI的技术文档，学术论文，开源代码或其他文档。

报告显示，所有25个汽车公司都从用户处收集不必要信息，并将它们用在非车辆驾驶之处。公司方收集的信息包括医疗信息、行驶速度和地点、播放的歌曲——甚至还包括性生活和遗传信息。汽车公司通过收集到的数据，会用来推算出更多关于该用户的数据，比如其智力、能力和兴趣。

研究者在另一篇相关稿件里解释道，这是由于越来越多的智能汽车功能连接到互联网上了，而通过此系统进行的操作都能被系统所记录——甚至包括音量调节或车窗的升降。部分车辆还能够自动收集乘客信息，这是由于智能汽车具有的“感应”功能（如等待车钥匙超出一定范围便可自动锁车），当汽车处于待命状态，必然在等待和收集信号。

此外，通用汽车、凯迪拉克、GMC、别克和雪佛兰都在自家隐私条款中提及，他们可以收集用户的“遗传、生理、行为和生物特征”。起亚和日产也表示，他们可以收集“遗传信息”。日产甚至表示，会收集有关用户的“性活动”情报信息（但研究者认为，这是企业从用户的个人数据中推断出来的），并可以与“营销和促销合作伙伴”或他们自己的“直接营销目的”共享这些信息。

汽车收集数据的另一种方式是使用汽车仪表板中使用的连接服务：如卫星收音机或GPS路线规划器。当用户连接到汽车设备（如远程信息处理设备），其中的插件就可以将有关驾驶行为的信息发送到相关保险公司或用户手机。当用户下载汽车应用程序时，汽车公司也可以从其手机中获取有关数据。

在调查的公司中，特斯拉是该研究中排名最差的公司，五项测评中，每一个测评的选项都被标记。至于表现最好的前三个公司则分别是雷诺、达契亚和宝马。

此外，有大多数（84%）汽车公司表示，他们可以与服务提供商，数据经纪人和其他企业共享用户的个人数据。十九家企业（76%）表示他们可以出售您的个人数据。有22个汽车公司主张自己可以使用用户数据创建其他关于用户的推论。其中九家公司明确表示，他们可能会将其出售给第三方。

研究者找到了一个销售汽车数据的网站，其中销售的数据产品，包括精确定位，驾驶员“心率”和“驾驶员疲劳程度”等其他57个类别。资料显示，此网站与研究院调查的九家汽车公司建立了合作伙伴关系。

值得注意的是，在本田的隐私政策中，还特别提及了公司有权收集“加州民法典1798.80（e）中描述的个人信息”。研究者指出，这几乎代表了任何“识别、涉及、描述或能够与特定个人相关联”的信息。

至于在数据的删除权上，只有属于同一母公司的雷诺和达契亚表示，所有司机都有权删除他们的个人数据。研究者认为，这表示司机几乎无法控制他们的个人数据。

还有至少十四家汽车公司（56%）表示，他们可以应“请求”与政府或执法部门共享用户信息。研究者同样对这一行为表示了不认同，他们写道：“我们试着在这些隐私政策中寻找更强有力的语言，即除非他们（汽车公司）有法律义务，否则不会向政府共享您的信息，即使提供，也应当将他们提供给执法部门或政府的个人信息限制在必要的最小数量。”但可惜的是，在这十四家汽车公司的隐私政策中，他们未能找到这样的表述。

研究者查看的汽车公司有十三个（52%）还收集有关用户汽车所处环境的信息。显然，汽车的传感器同样可以记录有关天气，路面状况，交通标志和“其他环境”的信息，这些都被汽车公司纳入囊中。

然而，在收集了诸多数据的情况下，大多数（68%）的汽车公司都曾在过去三年中出现过数据泄露，数据违规或遭遇黑客攻击事件。如现代汽车使用从教程中复制的示例密钥，对汽车进行加密，“那就像在一个非常重要的账户上保留了默认密码，如12345”。丰田因为“云配置错误”，暴露了2万名客户的数据。大众汽车和本田也曾暴露过数以百万计的数据。

Mozilla 基金会此次审查涉及的品牌分别有雷诺、达契亚、宝马、斯巴鲁、菲亚特、JEEP、克莱斯勒、道奇、大众、丰田、雷克萨斯、福特、林肯、奥迪、奔驰、本田、讴歌、起亚、雪佛兰、别克、GMC、凯迪拉克、现代、日产、特斯拉，具体排名如下：

9月13日-15日，由谈思实验室、谈思汽车联合主办的“AutoSec 2023第七届中国汽车网络安全周暨第四届汽车数据安全展”将于上海盛大开幕。

届时，聚焦汽车网络安全、数据安全、出海合规、密码安全、芯片安全、软件安全等热门议题，60+顶尖专家、80+车企代表以及1000+专业嘉宾将同场展开精彩论道，以进一步赋能我国汽车网络安全文化与生态圈。

安全合规，硬核论道。红禾科技董事长邹海富邀您相约谈思 AutoSec 2023 第七届中国汽车网络安全周！七年相约，我们在上海等你，不见不散！

内容来源：

1、mp.weixin.qq.com/s/qqDDxZrgbJUDYLZEs8tP4A

2、mp.weixin.qq.com/s/swQe0rDhhRk61pM09F8rWQ

-  THE END  -

因文章部分文字及图片涉及到引用，如有侵权，请及时联系17316577586，我们将删除内容以保证您的权益。