Организация Mozilla Foundation опубликовала результаты исследования отношения к конфиденциальности в информационных системах 25 автомобильных брендов, распространённых в США и Европе. В ходе исследования были изучены политики конфиденциальности, информационные системы и мобильные приложения, применяемые в автомобилях BMW, Mercedes, Audi, Telsa, Renault, Jeep, Subaru, Fiat, Volkswagen, Ford, Honda, Toyota, Chevrolet, Kia, Hyundai, Nissan, Lexus, Dodge, Buick, GMC, Linkoln, Acura, Canillac, Dacia и Chrysler.
Серьёзные проблемы с обеспечением конфиденциальности были выявлены у всех производителей, а общее отношение к приватности в современных автомобилях охарактеризовано как ужасное (nightmare). Все рассмотренные бренды получили метку “конфиденциальность в комплект не входит” (Privacy Not Included), а автомобили отнесены к категории продуктов с худшим отношением к конфиденциальности. Для сравнения, при анализе приложений для фитнеса подобную метку получили 63% продуктов.
Некоторые выводы:
- Производители собирают больше конфиденциальных данных, чем необходимо, и используют их не только в областях, связанных с управлением автомобилем и взаимодействием с водителем. Современные машины оснащены датчиками, камерами и микрофонами, фиксирующими каждое движение пользователя. Собираемая информация также охватывает действия водителя, используемые сервисы, мобильные приложения и данные из сторонних систем, таких как Sirius XM и Google Maps. Среди прочего, автомобильные системы могут собирать показатели здоровья водителя, данные о прослушиваемых музыкальных композициях, сведения о том, где и с какой скоростью осуществляется движение. Более того, Nissan и Kia упоминают в политике конфиденциальности возможность сбора данных о сексуальной активности, а ещё шесть производителей допускают сбор генетической информации. На основе собранной информации делаются выводы об интересах, предпочтениях, интеллекте и способностях водителя.
- 84% автопроизводителей допускают в своих пользовательских соглашениях передачу собранной информации сторонним поставщикам услуг и агрегаторам данных (data broker). 76% производителей не исключают продажу персональных данных, а 56% допускают передачу информации государственным или правоохранительным органам, в случае поступления запроса на предоставление информации. Отдельно выделяется компания Hyundai, которая допускает передачу сведений правоохранительным органам даже после получения неформального запроса.
- Только 2 (Renault и Dacia) из 25 автобрендов (8%) предоставили водителям средства для управления своими персональными данными, позволяющие удалить собранные данные.
- Некоторые производители навязывают абсурдные требования в отношении принятия предложенной политики конфиденциальности. Например, в политике конфиденциальности Subaru сказано, что все пассажиры, использующие автомобильную информационно-развлекательную систему, находясь внутри автомобиля автоматически дают согласие на использование и передачу персональной информации. В политике конфиденциальности Nissan водителю предписывается информировать пассажиров о политике конфиденциальности автомобиля и условиях обработки персональных данных.
- Несмотря на наличие у всех производителей документов, регламентирующих политику обеспечения конфиденциальности, исследователи не смогли удостовериться в том, что рассмотренные системы соответствуют минимальным стандартам информационной безопасности (шифрование, автоматическая доставка обновлений, наличие контакта для передачи сведений об уязвимостях, надёжность паролей, наличие политики конфиденциальности). Например, исследователи попытались понять, хранятся ли собираемые персональные данные в зашифрованном виде или нет. Всем производителям были отправлен вопрос о применении шифрования, но ответили только представители Mercedes-Benz, Honda и Ford, которые, впрочем, не полностью раскрыли заданный вопрос.
- У 17 из 25 рассматриваемых автомобильных брендов за последние три года случались инциденты, связанные с утечками информации, взломами и нарушениями конфиденциальности. Связанные с безопасностью инциденты отсутствуют у брендов Dodge, Chrysler, Jeep, Fiat, Subaru, BMW, Dacia и Renault.
Чтобы привлечь внимание к проблеме авторы исследования также предлагают подписать созданную в Mozilla петицию, призывающую автопроизводителей прекратить сбор, передачу и продажу персональной информации пользователей.