两名美国参议员呼吁美国联邦贸易委员会（FTC）追究汽车制造商在未经同意的情况下共享驾驶员数据的责任，这凸显了与现代智能汽车相关的日益增长的数据隐私挑战以及服务条款中的欺骗性措辞。

在上周给联邦贸易委员会的一封信中，参议员罗恩·怀登（俄勒冈州民主党）和爱德华·马基（马萨诸塞州民主党）使用了通用汽车、本田和现代汽车的数据共享做法，作为需要立即调查的全行业问题的征兆。

未经同意共享数据

这三家供应商都收集了驾驶员信息，如加速和制动数据，并将其出售给Verisk，这是一家数据分析公司，该公司使用这些信息来准备驾驶员行为报告，然后将其转售给保险公司。据他们自己说，在分享他们的信息之前，没有一家汽车制造商获得客户的知情同意。相反，他们故意在冗长的披露中掩盖了与Verisk的数据共享关系，并就他们将如何使用驾驶员数据做出了欺骗性的声明。

“联邦贸易委员会应该追究汽车制造商的责任，这些汽车制造商在未经知情同意的情况下与数据经纪人共享其客户的数据，以及数据经纪人，这些数据经纪人转售未以合法方式获得的数据，”他们的信中指出。“鉴于受影响的消费者数量众多，以及使用黑暗模式对消费者进行令人发指的操纵，联邦贸易委员会还应该追究公司高级官员公然侵犯客户隐私的责任。

这封信只是许多人所说的 围绕现代、高度互联的软件定义汽车的一系列快速增长的安全和隐私问题的一个方面。虽然此类车辆提供了更高的自动化、自主功能和高度可定制的用户体验，但它们也会收集大量难以保护的数据。

“你的车知道你的名字、你的家庭住址、你的借记卡/信用卡信息、你开得有多快、你刹车的力度有多大、你问它的语音助手什么、你经常光顾的地点和时间，”汽车研究和咨询公司SBD Automotive的首席监管和政府事务顾问Riley Keehn说。“某些乘员检测和自动驾驶摄像头和传感器甚至可以看到你和你的周围环境。

如此大量的个人信息和身份信息（PII）以及敏感数据类型的车载存储使驾驶员及其车辆成为网络攻击的直接目标。Keehn 说，这些攻击可能通过 OBD-II 端口甚至前照灯等硬连线系统、通过共享和不安全的 Wi-Fi 网络连接到车辆、通过电动汽车充电站、受损的售后组件以及其他方式发生。

她指出，其中一些风险可以通过安全设计方法和实施行业最佳实践和法规来解决，例如联合国 R155 关于网络安全管理系统 （CSMS） 和联合国 R156 关于软件更新管理系统 （SUMS）、ISO/SAE 21434：2021 关于道路车辆网络安全工程以及其他国际和区域要求。

完全缺乏对消费者隐私的保护？

但是，事情可能会变得混乱的地方是车辆收集个人数据后会发生什么。Keehn说：“美国仍然缺乏一个全面的、通用的数据隐私法规，可以与欧盟的GDPR、中国的PIPL/DSL/CSL框架以及其他采用GDPR模式和严格性的全球法规相媲美。

美国在很大程度上依赖于特定行业的法规，例如医疗保健领域的 HIPAA，以满足独特的数据隐私和安全要求。各个州通过自己的数据隐私法填补了这一空白，形成了一系列不一致的规则，通常豁免某些行业和技术。她说，虽然一些州可能对原始设备制造商 （OEM） 如何处理数据存储、收集、共享和销售有明确的要求，但其他州可能有不同的要求或根本没有要求。

Keehn补充道：“在美国，这种不一致和缺乏国家指导的做法在业务层面造成了一系列风险，并可能培养一种OEM文化，在这种文化中，安全性仅限于车辆。

联邦贸易委员会真的能推动变革吗？

软件安全公司ForAllSecure的首席执行官大卫·布鲁姆利（David Brumley）表示，汽车公司应该被要求征得驾驶员的知情同意，才能分享他们的信息用于广告或任何其他与提供所需功能无关的目的。

“无线软件更新？可能来自亚马逊或谷歌。地图？可能来自第三方。准确的位置？这不仅仅是 GPS;通常，它会得到其他元数据（如Swift Navigation）的协助，以提高准确性，“Brumley指出。

例如，汽车供应商可能需要一些数据（例如位置信息）来提供路边援助、交通警告和自动驾驶等服务。因此，共享此类数据和纯粹出于利润原因共享数据需要有单独的同意要求，他说。“其次，我们需要一项法律，规定当有人选择退出时，公司不得限制功能，”他补充道。“有人不应该强迫你同意，这样你就可以继续开车去上班。”

然而，布鲁姆利表示，期望联邦贸易委员会推动重大变革是不现实的。他说，“他们不在其他领域行使监管权力，而是依赖自由市场”的动态，这在这里无济于事。“我们可能会遇到麻烦的是欧盟的法规，这些法规往往更严格。我们还需要消费者大声疾呼，这会影响他们的购买决定。