本文最初发布于 The Drive。
大多数现代汽车比车主更了解自己的位置。随着互联汽车应用程序套件在中断(例如通用汽车的 OnStar)或车主便利性(例如远程启动或停车导航)方面成为主流,新车中充斥着支持始终在线连接所需的数据。
虽然大多数车主的担忧(和公众关注)集中在恶意行为者未经授权入侵此类系统上,但仍然存在大量自动生成的数据,任何掌握访问知识的人都可以访问,即使是数据的“适当”使用也可能给寻求隐私的消费者带来风险。您的家、您的工作、您进行的每一次旅行,无论多么私密:所有这些都可以被您从未授权跟踪您行程的公司、国家和个人看到,而且完全合法。
难以想到除了已得到广泛报道和辩论之外的隐私需求?一个最近的例子:随着某些州试图使以前合法的医疗保健(例如堕胎、避孕和基本的跨性别药物和护理)变得非法,现代互联汽车及其海量数据有可能成为政府无意的最佳朋友和车主最糟糕的敌人,因为起诉正在加剧。即使您的汽车跟踪您的习惯不会立即影响您,州法律也在迅速变化——德克萨斯州的家庭发现他们的获得跨性别护理的途径受到限制,而在州长下令取消后一周内——您可能会发现自己在一周后因其他任意决定而意外被定罪。
好消息是,已经有立法草案来应对我们隐私当前不受约束的命运。坏消息是我们不知道该立法需要多长时间才能通过,甚至是否会通过。
GPS、Wifi 和车载宝藏
要理解驾驶汽车如何可能使某人犯罪,值得检查一下汽车本身收集和传输的数据类型。
2021 年,在美国销售的汽车中有 90%——以及全球总共售出的约 1.3 亿辆汽车——包含某种形式的嵌入式连接。这种内置连接可以采取多种形式(内置 Wi-Fi 连接、连接到蜂窝网络的车载信息娱乐系统,甚至是蓝牙系统),但它们都有一些共同点:它们收集(并传输)大量数据,它们通常真正嵌入在汽车物理结构中(并构成其核心功能的一部分),而车主很少能控制它们最终去向。这种数据被称为远程信息处理,它是一个价值数十亿美元的行业,对消费者具有广泛的影响。
大多数消费者甚至不知道这些遥测数据有多强大——以及有多少。信息本身的原始数量就令人难以置信;《华盛顿邮报》对 2018 款雪佛兰 Volt 的一项案例研究显示,该车每小时产生高达 25千兆字节的数据,涵盖了可以想象的每一个类别;作为参考,浏览一小时的 Instagram 只使用720 兆字节。Volt 产生的这些海量数据包括位置信息,即使在司机未主动使用 GPS 时也是如此。在研究的雪佛兰案例中,研究人员甚至在 eBay 上购买了一个二手的 Volt 导航系统,并通过查看信息娱乐系统自动记录的存储位置数据,就能够拼凑出前车主的日常生活和日常行程,精确到他们的住所、工作地点和经常光顾的加油站。
2017 年的一项早期研究,由安大略理工大学的一名学生进行,从各种新款汽车的信息娱乐系统中提取了类似的定位数据,即使 GPS 未激活,这些系统也会记录确切的 GPS 坐标。在 2010 年代中期福特 F 系列车型中安装的某些版本的福特 Sync 信息娱乐系统中,研究人员发现“车辆和系统生成的事件也会生成 GPS 坐标,这些坐标可用于证明车辆用户在特定时间的精确位置(例如,当车辆换挡、车门打开/关闭时,会生成 GPS 坐标)。”
该研究中的一个示例演示日志,取自 2013 款福特 F-150,显示打开或关闭车门时会存储 GPS 坐标。有了这种频率和精度,很容易就能精确地追踪卡车去过的地方。
广泛撒网
但不仅仅是信息娱乐系统内部的数据令人担忧。上面讨论的所有数据——每一次换挡的 GPS 坐标、每一次 ECU 启动的位置——不仅存储在汽车本身上,而且经常发送回汽车制造商进行存储和分析。
这个庞大的数据集对许多企业(包括汽车制造商和司机本身)来说具有极其有利的、非侵入性的用途。远程信息处理可以通过分析过去的模式,帮助专业司机发现并避开交通;城市规划者可以使用类似的数据来识别容易拥堵的道路并创建更高效的街道;保险公司可以使用它来发现欺诈或危险驾驶行为;制造商或车队所有者可以识别潜在的故障进行维修(例如,如果发动机在高海拔地区驾驶后报告失火或发动机故障灯)。
所有这一切都归功于原始设备制造商 (OEM) 与其他公司共享这些远程信息处理数据,然后这些公司提供自己独特的分析。一家这样的公司是 Otonomo——根据向投资者展示的内部演示,该公司与近十二家汽车制造商合作,包括起亚、宝马、福特、丰田、Stellantis、GM,甚至重型设备制造商 Bobcat。Otonomo 向各种消费者提供一系列服务,这些服务都基于其大量汽车数据,包括科技巨头亚马逊和微软、智慧城市规划者(如BeMobile)以及零部件制造商(如 Hella 和 Continental)。
然而,随着这个价值数十亿美元的行业而来的是巨大的隐私影响。即使是包含数百万不同人位置的大型数据集,理论上所有这些人都匿名化了,但只要不严格关注数据隐私,识别出其中的任何一个人都是一项简单的任务。在《纽约时报》2019 年的一篇专题报道中,研究了位置数据在与手机相关时的匿名化难度,并轻松发现了匿名数据集中包含带时间戳的手机位置信息的个人的身份。互联汽车面临与手机匿名化相同的问题,因为位置跟踪的基本前提是其匿名化极其困难,尤其是当设备随人一起旅行到工作地点和住所时。
匿名化这些数据到底有多难?嗯,2013 年发表在《自然》杂志上的一项研究表明,“四个时空 [GPS 位置和时间戳] 点足以唯一识别 95% 的个体”,即使使用的是 150 万人的数据集。也就是说,即使有数百万没有名字的通用数据点,一个人拥有四个数据点也足以识别出其中一个。研究人员发现,要为被“匿名”跟踪的用户恢复任何隐私的唯一方法是粗化位置和时间戳数据:通过降低位置记录的精度和为每个时间戳提供更宽的时间范围来降低精度。这当然会降低该数据的有用性。
但公司减少位置数据有用性的动力非常小,因为其特异性往往是其如此有价值的原因。麦肯锡(一家商业战略咨询公司)估计,到本十年末,远程信息处理数据市场的价值将达到令人震惊的7500 亿美元。获得这个利润丰厚市场的份额的最佳方法是获取准确的数据,以便广告商、警察国家和公司可以从中获得最大的利用。
这并不是说一些公司不尝试保护消费者隐私;Otonomo 特别采用了所谓的“数据模糊”技术,该技术理想情况下可以隐藏驱动程序的隐私,以符合欧洲 GDPR 法规,同时仍为其客户提供有用数据。Otonomo 在收到《The Drive》关于其数据模糊如何工作的评论请求时承认,但无法提供关于它为匿名化采取的具体步骤的技术细节。
但美国没有法律要求制造商匿名化他们收集的任何远程信息处理数据,一些第三方公司出售明确提供追踪特定、目标车辆的服务。这不仅可能被不那么精明的买家利用,而且美国以前的法院判例允许联邦机构购买位置数据集来筛选本需要搜查令才能获取的个人身份数据。
追踪的现状
考虑到这一点,《The Drive》联系了四家汽车制造商——福特、本田、起亚和宝马——它们都在许多车型中提供现代互联汽车功能,并且其车辆使用隐私政策允许第三方销售远程信息处理数据。我具体询问了他们关于第三方数据销售和共享的政策,以及如果他们确实与外部公司共享远程信息处理数据,消费者可以多么轻松地随时选择退出。
福特拒绝置评。宝马承认了请求,但未及时提供有关其数据实践的任何细节。本田引用了其隐私政策和车主手册披露以获取有关其远程信息处理政策的信息。在本田的政策中,它指出它可以收集“行程记录信息,包括行程开始时间和结束时间,行程开始和结束位置……”并且这些信息可以与第三方共享。该文件还指出,无论驾驶员是否使用 HondaLink 等连接技术,这些数据都会自动生成和传输,尽管过去该公司曾拒绝在没有搜查令的情况下追踪未订阅的汽车。
起亚在数据保护方面采取了更强硬的立场。在对《The Drive》的一份声明中,该公司表示,“起亚美国公司仅收集美国拥有联网汽车技术并已由车主注册其 Kia Connect 服务的消费者车辆的地理位置数据。”此外,该汽车制造商指出,“[起亚美国] 不聚合车辆地理位置数据,也不将此类数据出售给第三方。虽然附属的全球起亚公司可能与 Otonomo 有工作关系,但 [起亚美国]……不与该公司共享车辆数据。”该公司表示,与执法部门共享地理位置数据的唯一时间是提供有效的法院命令或搜查令,或者在主动车辆盗窃调查期间车主同意共享。
另外,一位 Genesis 代表在另一篇文章中向我们保证,GV70 为 SUV 的指纹解锁和启动功能可能收集的生物识别数据会保留在汽车本身,而不会与公司共享。
罗伊诉你的车
有了这些数据,Legislative 方面几乎没有什么保障措施,而且制造商的隐私政策差异很大,汽车在这种充满风险的新法律环境下背叛个人隐私的可能性是显而易见的。例如,已经有一些州不仅禁止了护理,而且还使前往另一个州进行护理在法律上受到质疑,其中德克萨斯的堕胎和跨性别护理法律是最明显的。
该州的反堕胎法将民事法庭武器化,针对任何涉嫌协助堕胎的人(包括,例如,将某人送往允许堕胎的诊所)。其反跨性别护理法律的格式略有不同,但它们允许州儿童保护服务部门调查任何涉嫌确认其子女性别认同的父母,这包括开车出州前往为未成年人提供青春期阻滞剂或跨性别特定疗法的诊所。爱达荷州最近试图通过一项类似法案,将因带孩子接受跨性别相关护理而出国旅行的父母处以最高无期徒刑;该法案在州参议院被否决,但议员们表示,他们愿意在未来通过一项更狭窄的法案。
然而,有了患者车辆提供的海量数据,存在着非常明显的风险,因为曾经被认为是基本医疗保健的东西现在被定为犯罪。即使假设采取了所有其他数据隐私措施——例如不携带手机旅行,并避免在寻求护理时进行数字通信——一辆汽车自动记录其在州外计划生育诊所的车门被打开,就可能足以引起调查、民事诉讼,甚至刑事诉讼。更糟糕的是,这类数据已经在公开市场上,专门针对那些去过计划生育等诊所的人。例如,波兰严格禁止堕胎,并最近创建了一个登记册来追踪每一位怀孕并寻求*任何*护理的人。每一次去过诊所的病人的位置数据都可以成为这些名单的有价值的补充。
更令人震惊的是,访问这些数据不需要搜查令。上述技术已经被美国海关和边境巡逻局付诸实践,该机构已被豁免了在边境搜索数字设备时需要搜查令。由于第四修正案(禁止不合理搜查和扣押的修正案)存在漏洞,州警察也可以在例行停车检查时下载远程信息处理数据,这意味着一次交通停车检查很快就会变成对驾驶员过去几周去过的地方的检查。
然而,这仍然依赖于直接访问相关汽车,这意味着要使此类远程信息处理搜索有效,国家行为需要针对特定、已经处于监视之下的人,例如活动家和医生(或更经常被拦停的边缘化群体)。但是,如果警察部门可以浏览汽车去过的所有地方,寻找有趣的模式,并将特定位置与个人联系起来呢?
追踪的未来
虽然起亚的方法更有可能保护车主的隐私,但汽车制造商驱动的、参差不齐的车辆安全状况意味着,虽然一辆 Sorento 可能可以悄无声息地通过,但其他车辆可能不行。统一当前驾驶员隐私状况最简单的解决方案很可能自上而下——也就是说,关闭第四修正案允许在没有搜查令的情况下访问车辆远程信息处理数据的漏洞。虽然有提出的两党立法可以做到这一点,并禁止美国当局进行未经搜查令的车辆监控,但自去年年底提出以来,该法案尚未进行投票。
与此同时,我与 OSOM 隐私重点技术公司的首席隐私官、前 CIA 雇员 Mary Stone Ross 谈了谈,她对消费者如何保护自己有一些看法。不幸的是,尽管她熟悉这个问题,但并没有太多安慰的话。
“我在 CIA 时看到了信息从政府角度来看有多么强大,那里实际上有很多监督和监管。然后,这些公司拥有的东西则更加侵入性,他们可以为所欲为,”她解释道。虽然她指出她过去曾参与制定加州的《加州消费者隐私法》(CCPA)——目前是全国最强的隐私法——但她也指出,大多数公司仍然可以随意处理个人数据,只要任何使用都在隐私政策的细则中进行了披露。
即便如此,罗丝继续说道,“你看到的其他州通过的所有法律都弱得多。而且,联邦层面一直没有进展……科技公司花费了大量资金,任何形式的隐私监管都被视为对其商业模式的生存威胁,无论是否如此。”
当我问到在缺乏强有力的联邦法律的情况下,消费者是否能做些什么来保护自己时,她说,“我甚至不知道我给(消费者的)建议是什么,因为即使是租车,如果没有制造商层面的消费者数据保护措施,也就像是自由奔放。”然而,在一个隐私可能迅速从事后想法转变为核心法律战场的世界里,她的希望仍然是“它实际上会给国会施加压力,通过联邦隐私法。”
在此立法通过之前,消费者应该意识到,他们的汽车可能成为个人安全和隐私的巨大薄弱环节。如果可能的话,也许坚持使用老式汽车,它们最先进的技术是燃油喷射。
