Connected cars to modne dziś hasło. W debacie publicznej od dłuższego czasu toczy się dyskusja, niejednokrotnie poparta konkretnymi oskarżeniami, wyrokami sądów i gigantycznymi karami nałożonymi na technologicznych gigantów za naruszenia prywatności danych użytkowników smartfonów czy platform społecznościowych online. Jakoś jednak pomija się w tych dyskusjach dane zbierane i przetwarzane przez samochody. Okazuje się, że współczesne connected cars to istna, nieuporządkowana wciąż dżungla danych pozostających poza kontrolą samych użytkowników.
Uprawiasz seks w samochodzie? Twój samochód o tym wie…
Brzmi jak ponury żart, jednak według Fundacji Mozilla do sprawy należy podejść jak najbardziej poważnie. We wrześniu br. Fundacja Mozilla opublikowała wyniki badania 25 marek motoryzacyjnych pod kątem prywatności danych przetwarzanych przez produkowane przez nie auta. Eksperci z Fundacji Mozilla mówią wprost: “samochody connected cars to najgorsza kategoria produktów, jakie kiedykolwiek sprawdziliśmy pod kątem prywatności”. Żadna ze sprawdzanych przez Mozilla Foundation marek motoryzacyjnych nie przeszła testów ochrony prywatności konsumentów. Badanie wykazało, że aż 84% firm motoryzacyjnych przegląda, udostępnia lub sprzedaje (!) dane zebrane od właścicieli samochodów.
Jasne, można zrozumieć, że dane są zbierane i przetwarzane po to, by zapewnić deklarowaną funkcjonalność danego pojazdu. Jednak Fundacja Mozilla stwierdziła, że wszystkie testowane marki zbierają więcej danych osobowych, niż jest to faktycznie konieczne. Co więcej, zebrane dane osobowe były wykorzystywane do celów niezwiązanych z obsługą pojazdu czy relacją na linii marka-klient. A może właśnie chodzi o wyjątkowo zażyłe relacje? Bo – usiądźcie – badanie wykazało, że aż sześć marek samochodowych, za pośrednictwem swoich aut gromadzi informacje intymne, w tym dane medyczne kierowcy, informacje genetyczne. Mozilla wprost wyjaśnia, że np. Nissan uwzględnia “aktywność seksualną” w gromadzonych danych. Również koreańska Kia, może gromadzić informacje na temat “życia seksualnego” użytkowników ich pojazdów.
Jakie dane gromadzą connected cars?
Problem z danymi gromadzonymi przez pojazdy jest taki, że samochody stale połączone z globalną siecią i bogato wyposażone w różnego typu sensory, radary i inne urządzenia zdolne do zbierania danych o otoczeniu, gromadzą tych danych dużo. Zdaniem ekspertów Mozilli to sprawa skomplikowana nawet dla samych producentów. Gdy badacze przesłali producentom, w ramach prowadzonej analizy, standardowy zestaw pytań dotyczący prywatności i bezpieczeństwa, niektórzy – jak Mercedes-Benz – odpowiedzieli, że nie jest możliwe udzielenie “uniwersalnych odpowiedzi”. Oczywiście analitycy Mozilli nie poprzestali na ankiecie. Zaczęli uważnie przyglądać się politykom prywatności 25 marek motoryzacyjnych i analizować dane zbierane przez pojazdy.
Komputery w samochodach to nie nowość
Praktycznie od lat 70. XX wieku w samochodach instaluje się jakiś moduł przetwarzania danych. Oczywiście nigdy nie miało to takiego zakresu i skali jak obecnie. Zdaniem firmy konsultingowej McKinsey, w 2021 roku ok. 50% nowych pojazdów można było zaliczyć do kategorii connected cars, czyli aut stale połączonych z globalną infrastrukturą wymiany danych. Do 2030 roku ten odsetek według analityków McKinsey ma sięgać 95%.
To co warto zrozumieć, to fakt, że gromadzenie danych to nie celowe podsłuchiwanie użytkowników aut. O ile kilkadziesiąt lat temu moduł przetwarzania danych odpowiadał za jakiś komponent silnika, czy układu napędowego, o tyle dziś dane wędrują po samochodzie praktycznie wszędzie. Współczesne auta są wyposażone w olbrzymią ilość dotykowych sensorów. A to przecież nie wszystko. Mamy nie tylko dotykowe ekrany, ale również sterowanie głosem (mikrofon), gestem (czujniki ruchu), panele wirtualnych, “haptycznych” przycisków na desce rozdzielczej czy tunelu środkowym.
Samochód zbiera dane, gdy robisz cokolwiek. Nawet gdy nic nie robisz
Każdy najdrobniejszy element funkcjonalny współczesnego auta jest sterowany cyfrowo. To z kolei oznacza, że za każdym razem, gdy wchodzisz w interakcję ze swoim nowoczesnym autem, tworzysz niewielką porcję danych, cyfrowy zapis, ślad tego, co właśnie zrobiłeś. Układ kierowniczy elektroniczny? Elektroniczne wspomaganie? Uchylenie szyby za pomocą elektrycznych siłowników? Zablokowanie lub odblokowanie drzwi? Każda najdrobniejsza czynność jest tak naprawdę rejestrowana. Co więcej, auto może gromadzić dane nawet gdy… nic nie robisz. Po prostu siedzisz. Ty i Twoi pasażerowie. Czujniki pasów zachęcają do ich zapięcia? Auto doskonale “wie” ile osób jest we wnętrzu. Nowoczesne auto wie nawet ile ważysz. Wiele informacji o kierowcy i pasażerach jest gromadzonych i przetwarzanych przez connected cars w sposób całkowicie zautomatyzowany. Doskonale znamy np. asystenta zmęczenia kierowcy. Samochód na jakiejś podstawie musi to zmęczenie ocenić. Tak, zgadliście, potrzebne są dane.
Kolejną ścieżką gromadzenia dużej ilości danych, są wszelkie cyfrowe usługi pokładowe danego modelu. Nawigacja, multimedia, aplikacje i usługi online, telematyka i wiele więcej. Wybrałeś się na jazdę próbną do salonu dealera, chcąc sprawdzić potencjalny zakup? Wiedz, że producent już wie o Tobie więcej, niż myślisz.
Jakie dane zbiera “podłączony” samochód?
Wybaczcie, nie będziemy tu przytaczać wszystkich pól danych, kategorii i ich typów, jakie są zbierane przez współczesne auta. Podpowiem tylko, że lista danych, wykrytych przez ekspertów Mozilli liczy 17 stron (!). Jest podzielona na dwie grupy: dane dotyczące użytkownika oraz dane dotyczące co użytkownik robi z pojazdem. W pierwszej grupie znajdziemy m.in. : nazwisko, adres, numer telefonu, email, wiek, lokalizację smartfonu, unikalny identyfikator urządzenia mobilnego, dane płatnicze kart kredytowych/debetowych, informacje na temat finansowania auta, numer prawa jazdy, nagranie głosu i wiele więcej. W drugiej grupie oprócz takich oczywistości jak geolokalizacja (nawigacja), czy historia zaplanowanych tras, są rejestry połączeń, kontaktów, kalendarze użytkownika, informacje biometryczne, czy np. taki zagadkowy rekord o nazwie “other sensor-collected data”. I tu zatrzymajmy się na chwilę.
Z 25 marek badanych przez Mozillę, ponad połowa (13) za pomocą samochodów zbiera nie tylko dane na temat użytkownika w pojeździe i związane z funkcjami samego pojazdu, ale również dane o świecie wokół pojazdu. To na pozór nie wydaje się dziwne. W końcu np. radarowy system oceny odległości od poprzedzającego pojazdu współpracujący z adaptacyjnym tempomatem musi przecież wiedzieć cokolwiek o sytuacji drogowej wokół pojazdu. O ile jednak dane dotyczące np. pogody, nawierzchni drogi, znaków drogowych nie budzą wątpliwości, bo są potrzebne do zapewnienia funkcji systemów asystujących, to badacze wykryli tu kategorię “inne otoczenie”. Dość ogólne pojęcie, prawda? Okazuje się, że sześć firm gromadzi i przetwarza “dane demograficzne”. Ponadto dane rejestrowane przez zaawansowane czujniki mogą znacznie wykraczać poza to, co jest faktycznie potrzebne do działania konkretnych systemów wsparcia kierowcy.
Na co im te dane? Gdy nie wiadomo o co chodzi…
Zdaniem Mozilli, producenci aut mogą łączyć informacje zebrane na twój temat z twojego nowoczesnego auta z danymi osobowymi uzyskanymi z innych źródeł. Następnie dane te często są udostępniane, czy wręcz sprzedawane innym podmiotom. W politykach prywatności poszczególnych marek, z którymi zapoznali się eksperci Mozilli nie było wyszczególnienia kto konkretnie otrzymuje gromadzone dane.
Autorzy raportu Mozilli piszą wprost, że po ponad 600 godzin badań, wciąż nie mają pewności, komu dokładnie producenci samochodów udostępniają i sprzedają dane pozyskane przez ich pojazdy. Wiadomo jedynie, że 76% badanych firm przez Mozillę (19 marek) stwierdziło, że może sprzedawać dane osobowe. Skąd to w ogóle wiadomo? Bo zarówno europejskie przepisy RODO, jak i np. kalifornijska ustawa o ochronie prywatności konsumentów (CCPA) stanowią, że jeśli jakakolwiek firma planuje udostępniać lub sprzedawać twoje dane osobowe musi o tym poinformować. I informuje. A teraz z ręką na sercu: czy ktokolwiek z Was zapoznał się szczegółowo z polityką prywatności przygotowaną przez producenta nowoczesnego auta, z którego korzystacie?
Owszem, wielu producentów deklaruje, że przetwarza zagregowane i zanonimizowane dane. To jednak znaczy tylko tyle, że nikt z zewnątrz tak naprawdę nie wie, jak te dane są przetwarzane. Usunięcie tego, co uważamy za dane osobowe ze strumienia danych wcale nie oznacza anonimizacji. Tak naprawdę trudno stwierdzić, by jakakolwiek porcja danych z dokładnym znacznikiem czasu i lokalizacji była kiedykolwiek naprawdę anonimowa.
Connected cars. Które marki podsłuchują najbardziej?
Choć żadna z 25 badanych marek nie spełnia kryteriów poszanowania prywatności użytkowników, to pewne marki gromadzą nieco mniej danych niż inne. Według rzeczonego raportu badawczego Fundacji Mozilla, firmą, która zbiera dane ze stosunkowo najmniejszym naruszeniem prywatności użytkowników jest Dacia. Ciekawi jednak drugie miejsce: to… Tesla. Czyli marka, która w powszechnym mniemaniu jest tak “podsłuchująca” jak to tylko możliwe. Otóż nie. Tesla, owszem, gromadzi olbrzymie ilości danych, ale przetwarza je w sposób mniej karygodny pod względem prywatności użytkowników niż np. takie marki jak: Nissan, Kia, Hyundai, Honda czy Fiat. Jeżeli jesteście zainteresowani szczegółowymi danymi dotyczącymi poszczególnych z 25 badanych marek, odsyłam Was do przygotowanych przez Mozilla dokumentów.