FTC สั่งห้าม General Motors ขายข้อมูลตำแหน่งของผู้ขับขี่เป็นเวลาห้าปี

คณะกรรมาธิการการค้าแห่งสหพันธรัฐ (FTC) ของสหรัฐฯ ได้อนุมัติคำสั่งขั้นสุดท้ายกับ General Motors (GM) และ OnStar ซึ่งเป็นบริษัทในเครือ เพื่อยุติข้อกล่าวหาที่ว่าพวกเขาได้รวบรวมและขายข้อมูลตำแหน่งและข้อมูลพฤติกรรมการขับขี่จากผู้ขับขี่หลายล้านคนโดยไม่ได้รับความยินยอม โดยคำสั่งดังกล่าวสั่งห้าม GM แบ่งปันข้อมูลดังกล่าวกับบริษัทรายงานข้อมูลผู้บริโภคเป็นเวลาห้าปี และกำหนดให้ GM ต้องได้รับความยินยอมโดยชัดแจ้งจากผู้บริโภคก่อนที่จะรวบรวม ใช้ หรือแบ่งปันข้อมูลรถยนต์ที่เชื่อมต่อเป็นเวลา 20 ปี รวมถึงให้สิทธิ์ในการเข้าถึงและลบข้อมูลแก่ผู้บริโภค

Severity: สูง

System Impact:

• General Motors (GM)
• OnStar (บริษัทลูกของ GM)
• แบรนด์รถยนต์ (GMC, Cadillac, Chevrolet, Buick)
• ข้อมูลตำแหน่งทางภูมิศาสตร์และพฤติกรรมการขับขี่ของผู้ขับขี่หลายล้านคน
• บริษัทรายงานข้อมูลผู้บริโภค
• บริษัทประกันภัย

Technical Attack Steps:

1. GM ผ่านฟีเจอร์ ‘Smart Driver’ ของ OnStar ได้รวบรวมข้อมูลตำแหน่งทางภูมิศาสตร์ที่แม่นยำและข้อมูลพฤติกรรมการขับขี่โดยละเอียดจากรถยนต์หลายล้านคัน
2. การรวบรวมข้อมูลเกิดขึ้นทุก ๆ สามวินาที โดยผู้ขับขี่ไม่ได้รับความยินยอม
3. ฟีเจอร์ ‘Smart Driver’ ถูกทำการตลาดเป็นเครื่องมือประเมินพฤติกรรมการขับขี่ส่วนบุคคล ไม่ใช่กลไกการรวบรวมข้อมูลเพื่อขาย
4. ข้อมูลที่รวบรวมได้ถูกนำไปขายให้กับบุคคลที่สาม รวมถึงบริษัทรายงานข้อมูลผู้บริโภค
5. บริษัทรายงานข้อมูลผู้บริโภคได้ส่งต่อข้อมูลนี้ให้กับบริษัทประกันภัย
6. การกระทำดังกล่าวส่งผลให้อัตราเบี้ยประกันภัยของผู้ขับขี่สูงขึ้น หรือถูกปฏิเสธการทำประกัน

Recommendations:

Short Term:

• GM ถูกสั่งห้ามแบ่งปันข้อมูลตำแหน่งและพฤติกรรมการขับขี่ของผู้บริโภคกับบริษัทรายงานข้อมูลผู้บริโภคเป็นเวลาห้าปี
• GM ต้องได้รับความยินยอมโดยชัดแจ้งจากผู้บริโภคก่อนรวบรวม ใช้ หรือแบ่งปันข้อมูลรถยนต์ที่เชื่อมต่อ (มีข้อยกเว้นสำหรับบริการฉุกเฉิน)
• GM ต้องอนุญาตให้เจ้าของรถปิดใช้งานการรวบรวมข้อมูลตำแหน่งที่แม่นยำได้
• GM ต้องเปิดโอกาสให้ผู้บริโภคเลือกที่จะยกเลิกการรวบรวมข้อมูลตำแหน่งและพฤติกรรมการขับขี่ได้ (มีข้อยกเว้นจำกัด)

Long Term:

• คำสั่งของ FTC กำหนดให้ GM ต้องปฏิบัติตามข้อกำหนดในการได้รับความยินยอมโดยชัดแจ้งจากผู้บริโภคเป็นระยะเวลา 20 ปี
• GM ต้องอนุญาตให้ผู้บริโภคในสหรัฐฯ ร้องขอสำเนาข้อมูลของตนและขอให้ลบข้อมูลได้
• GM ได้ขยายโปรแกรมความเป็นส่วนตัวเพื่อให้บริการลูกค้าใน 50 รัฐมีทางเลือกในการเข้าถึงและลบข้อมูลส่วนบุคคลแล้ว

Source: https://www.bleepingcomputer.com/news/security/ftc-bans-general-motors-from-selling-drivers-location-data-for-five-years/