Seu carro coleta uma quantidade surpreendente de dados sobre você

 (bbc.com)
1 pontos por GN⁺ 5 시간 전 | 1 comentários | Compartilhar no WhatsApp
  • Os carros mais recentes podem coletar localização precisa, passageiros, o que você ouve no rádio, uso do cinto de segurança, excesso de velocidade e freadas bruscas, além de até peso, idade, raça e expressões faciais
  • A McKinsey estimou que, em 2021, 50% dos veículos nas ruas tinham conectividade com a internet e que esse número deve chegar a 95% em 2030; a Mozilla avaliou que todas as 25 marcas analisadas não atenderam aos critérios
  • As montadoras obtêm dados por meio da conexão com o celular, de apps de direção e da telemática das seguradoras, e a análise da Mozilla apontou que 19 empresas dizem poder vender dados dos motoristas
  • A GM foi alvo de medidas de órgãos dos EUA por supostamente vender dados de localização e ficou proibida de vender dados de veículos por 5 anos; houve caso em que dados da LexisNexis foram usados como fator para elevar o seguro em 21%
  • Novas tecnologias para prevenir direção sob efeito de álcool e fadiga têm objetivo de segurança, mas faltam regras para o tratamento dos dados, e o motorista tem pouca capacidade de controle além de ajustes e opções de recusa limitadas

Dados que o carro pode coletar

  • Os carros mais recentes se aproximaram de computadores sobre rodas, e as montadoras podem coletar e monetizar detalhes sensíveis sobre a vida dos motoristas
  • As políticas de privacidade das montadoras incluem como dados potencialmente coletados:
    • Dados precisos de localização de todos os lugares para onde o motorista vai
    • Passageiros no veículo
    • O que é ouvido no rádio
    • Uso do cinto de segurança
    • Excesso de velocidade e freadas bruscas
    • Peso, idade, raça e expressões faciais
  • Alguns veículos têm câmeras internas voltadas para o banco do motorista, e a maioria consegue transmitir dados durante a condução por meio da conexão com a internet
  • Darrell West, da Brookings Institute, avalia que há tantos pontos de coleta e transmissão de dados nos carros que a vida do motorista pode ser praticamente reconstituída segundo a segundo

Carros conectados e riscos à privacidade

  • A McKinsey previu que 50% dos carros nas ruas em 2021 tinham conectividade com a internet e que esse número deve subir para 95% em 2030
  • Quando o carro se conecta à internet, os riscos à privacidade também aumentam
  • As montadoras podem obter informações não só do próprio veículo, mas também por vários outros caminhos
    • Ao conectar o celular ao sistema de infotainment
    • Ao usar apps de direção
    • Ao usar o sistema de telemática da seguradora em busca de desconto no seguro
  • Na análise de 2023 da Mozilla sobre as políticas de privacidade de 25 marcas de automóveis, nenhuma marca atendeu aos critérios de privacidade e segurança da Mozilla
  • A Mozilla classificou os carros como “a pior categoria de produto em termos de privacidade que já analisamos”

Práticas de coleta e venda das montadoras

  • Segundo a análise da Mozilla, as montadoras incluem em suas políticas de privacidade o direito de coletar nome, idade, raça, peso, informações financeiras, expressões faciais e tendências psicológicas, entre outros dados
  • A política de privacidade da Kia sugere que informações sobre “vida sexual” e saúde em geral também podem ser alvo de coleta
    • James Bell, porta-voz da Kia, afirmou que a empresa nunca coletou de fato dados sobre vida sexual ou saúde dos motoristas, e que esses itens entraram por listar a definição de “dados sensíveis” da Califórnia
    • A Kia disse que compartilha dados com seguradoras apenas quando o motorista concorda, mas não explicou que tipos de “dados sensíveis” realmente coleta
  • Os carros têm sensores em vários pontos, como bancos, painel, motor e volante, e muitos veículos contam com câmeras internas e externas
  • A Mozilla confirmou que 19 montadoras afirmam poder vender dados dos motoristas
  • Órgãos estaduais e federais dos EUA tomaram medidas contra a General Motors (GM) por alegações de venda de dados de localização de veículos sem consentimento
  • Senadores dos EUA também criticaram Honda e Hyundai por práticas semelhantes
  • Jen Caltrider, da Mozilla, avalia que as informações coletadas podem ser usadas para inferir quem é o motorista, quão inteligente ele é e qual é seu perfil psicológico e suas crenças políticas
  • Os dados do carro podem ser usados para publicidade, decisões de contratação e compra por autoridades policiais que não conseguiram obter mandado de busca; depois que saem do veículo, o motorista passa a ter pouco controle sobre eles

Seguro e corretoras de dados

  • Um dos grandes compradores de dados automotivos são as seguradoras, e esses dados podem ser usados para cobrar prêmios mais altos de alguns motoristas
  • A GM vendeu informações de motoristas à LexisNexis, corretora de dados que compra e vende dados de consumidores
  • Um motorista descobriu que a LexisNexis mantinha 130 páginas de dados com todos os deslocamentos dele e da esposa ao longo de seis meses, e disse ao New York Times que, após o seguro subir 21%, um corretor informou que aqueles dados foram um dos fatores
  • A Federal Trade Commission dos EUA tomou medidas contra a GM, e a empresa ficou proibida de vender dados de veículos por 5 anos
  • Depois de 5 anos, a GM poderá retomar a prática se obtiver consentimento explícito dos motoristas e cumprir outras condições
  • A LexisNexis e outras empresas continuam vendendo dados de veículos obtidos de outras montadoras e de apps usados durante a direção
  • As transações entre seguradoras, montadoras e corretoras de dados são amplas e legais quando descritas na política de privacidade com a qual o motorista concordou
  • Michael DeLong, da Consumer Federation of America, avalia que seguradoras coletam enormes volumes de dados, incluindo dados de direção dos consumidores, para cobrar mais, negar cobertura e segmentar consumidores

Limites do consentimento e da regulação

  • As montadoras dizem pedir permissão aos motoristas, mas na prática isso muitas vezes ocorre por meio da aceitação de formulários e políticas de privacidade ao configurar o sistema de infotainment ou o app conectado ao carro
  • Alguns veículos exibem essa tela de consentimento toda vez que são ligados
  • Os EUA não têm uma lei nacional de privacidade, as proteções estaduais são parciais e alguns especialistas em privacidade as consideram insuficientes
  • A Europa e o Reino Unido têm proteções específicas para certos dados sensíveis, e os consumidores têm, em parte, o direito de solicitar acesso e exclusão de dados
  • Mesmo na Europa, a conformidade e a aplicação das regras no setor automotivo nem sempre acontecem

Nova tecnologia de segurança pode ampliar a coleta

  • A legislação dos EUA exige que, nos próximos anos, novos carros de passeio passem a ter “tecnologia avançada de prevenção de direção sob efeito de álcool, drogas e fadiga”
  • A tecnologia pretende usar câmeras infravermelhas ou outros sistemas para impedir a condução quando o motorista estiver alcoolizado, cansado ou inapto para dirigir
  • A lei não traz dispositivos sobre como tratar os dados gerados por esses sistemas
  • A NHTSA afirmou que usará todas as ferramentas possíveis para reduzir mortes causadas por direção sob efeito de substâncias e que continua tratando de “temas importantes e complexos”, como as preocupações com privacidade
  • A implementação da lei pode ser adiada porque a tecnologia ainda não está pronta
  • Caltrider avalia que é necessário impedir a direção alcoolizada, mas não há garantias de que os dados não serão usados para outros fins, e que a coleta de dados sob o argumento da segurança vem aumentando
  • Essa tecnologia pode dar à indústria automotiva um repositório de dados próximo a informações médicas, sem salvaguardas adequadas

O que o motorista pode fazer para reduzir isso

  • É difícil resolver totalmente o problema dos dados automotivos, mas algumas medidas podem reduzir a coleta e o compartilhamento
  • Se a privacidade for uma preocupação, há a recomendação de evitar programas de telemática das seguradoras
  • A recompensa desses programas não é garantida
    • Em uma análise do estado de Maryland, 31% dos motoristas tiveram redução no seguro
    • 24% tiveram aumento no seguro
    • 45% não tiveram mudança
  • No Reino Unido, na UE e em alguns estados dos EUA, é possível solicitar uma cópia dos dados coletados pela empresa, pedir recusa da venda ou compartilhamento e exigir exclusão
  • Links para as ferramentas de privacidade das principais montadoras podem ser consultados no guia da EFF
  • Algumas montadoras oferecem configurações de privacidade que podem limitar o compartilhamento e a coleta de dados
  • Vale procurar essas opções nas configurações do sistema de infotainment do veículo e nos ajustes do app conectado ao carro
  • A Consumer Reports oferece um guia detalhado sobre como impedir a coleta e o compartilhamento de dados de direção
  • Caltrider diz que o próprio modelo, em que o motorista precisa executar várias ações para evitar invasões de privacidade, já é problemático; a situação só mudaria de fato se a propriedade e o controle dos dados passassem ao usuário e as empresas precisassem pedir permissão para usá-los

Leituras relacionadas

1 comentários

 
GN⁺ 5 시간 전
Comentários do Hacker News

  • No caso dos carros, computadores conectados à rede invadem a privacidade em duas frentes: os computadores dentro do carro compartilham dados de sensores, e os computadores fora do carro compartilham dados de câmeras em pontos conhecidos das vias
    Carros antigos podem não ter dados celulares, e também há carros novos como o elétrico Slate, sem conexão celular ou projetados para permitir remover facilmente o chip, mas só a vigilância nas ruas, que está por toda parte, já permite inferir muita coisa
    Não basta ter apenas veículos privados; é preciso legislação que limite os dados coletados por veículos e câmeras, o compartilhamento de dados entre terceiros e a instalação de câmeras sem consentimento público suficientemente informado, específico e contínuo
    Toda vez que surgir um caso em que câmeras do tipo Flock “poderiam ter ajudado”, os defensores do estado de vigilância vão tocar os tambores e pressionar suas demandas

    • Já basta dizer “os dados coletados”. Ser vigiado 24 horas por dia por empresas enquanto você joga, assiste a vídeos, dirige, conversa com amigos e trabalha é uma situação completamente quebrada
      Estamos vivendo no inferno que criamos, e serão necessárias novas leis e regulações para sair dele
    • Infelizmente, as leis atuais exigem a instalação de tecnologia de vigilância em carros novos
      https://www.gadgetreview.com/federal-surveillance-tech-becom...
    • Os americanos entregariam quaisquer direitos, materiais e imateriais, em troca da confirmação da ilusão de conforto e segurança. Parece improvável que isso mude sem uma auditoria completa e reestruturação do sistema do Estado
    • Houve uma apresentação muito boa na CCC de 2024 chamada “We know where your car is parked.”
      https://media.ccc.de/v/38c3-wir-wissen-wo-dein-auto-steht-vo...
      Tratava dos dados de localização de cerca de 800 mil veículos elétricos da Volkswagen
    • É assustador pensar como essa tecnologia está ficando cada vez mais barata. Até objetos relativamente caros, como geladeiras e TVs, podem vir com conexão móvel embutida e ficar sempre online, mesmo sem o usuário conectá-los
      Fica ainda mais assustador se você pensar em redes mesh, e um dia talvez dispositivos como lâmpadas inteligentes possam enviar dados de uso pelo hub do vizinho sem sequer estarem conectados diretamente

  • A Hyundai recebeu 61 centavos por veículo da Verisk, e a Honda recebeu 26 centavos. A multa de US$ 12,75 milhões aplicada pela Califórnia à GM é a maior multa já aplicada sob a CCPA, mas ainda é menor do que os US$ 20 milhões que a GM ganhou vendendo dados

    • Também é surpreendente que o dinheiro arrecadado seja tão pouco. Se, ao comprar um carro novo, eu pudesse pagar 61 centavos para escolher uma versão que respeitasse minha privacidade, obviamente escolheria essa opção
    • Estão comparando coisas diferentes. Os números de vendas são nacionais, enquanto a multa vale apenas para a Califórnia
      Também há ações estaduais no Texas e em Arkansas, além de uma ação em nível nacional
      https://iapp.org/news/a/california-authorities-announce-larg...
    • Não é como se a GM tivesse vendido quase metade desses carros na Califórnia

  • Todas as empresas querem vigiar você. Não há motivo para não querer. A punição real é inexistente e a recompensa é grande. Enquanto essa estrutura se mantiver, regulações superficiais sobre rastreamento sempre serão contornadas ou esvaziadas
    É necessária uma mudança fundamental na forma como as empresas interagem com a sociedade e no que se espera delas

    • Tirando a conversa de que “os consumidores precisam estar dispostos a pagar mais pelas coisas, e as pessoas com menos dinheiro seriam as mais afetadas porque são as que mais se beneficiam da economia de dados”, todo mundo está falando de outra coisa
      É óbvio que dados têm valor. Mesmo no melhor cenário, o sistema só pode ser um em que você protege seus dados e paga mais, ou vende seus dados e paga menos
      O problema é que as pessoas com meios para proteger seus dados têm justamente os dados mais valiosos e, no sistema atual, acabam subsidiando os custos das pessoas cujos dados têm menor valor. Só que são justamente essas pessoas que provavelmente teriam mais disposição para vender seus dados
      Por isso, a solução não é tão simples
    • Numa corrida para o fundo do poço, quem consegue sair dela costuma ter mais chance de sobreviver. Não gosto nem um pouco disso, mas é uma boa síntese dos negócios hoje em dia
    • Pelo menos meu banco não vende meus dados de transação para o maior lance
    • Isso é a longa cauda do poder de monopólios e cartéis. É preciso mudar de forma fundamental o próprio tamanho das empresas
      Caso contrário, elas ficam grandes demais para serem reguladas, e mudar apenas as expectativas não vai alcançar nada
    • O momento de fazer isso era 30 anos atrás. Hoje isso é mais necessário do que nunca, mas talvez já seja tarde demais. As empresas vão identificar e barrar quem tentar fazer isso

  • Pedi meus dados pessoais à Lexus para ver o que eles tinham sobre mim
    Além dos meus dados sensíveis, havia também os dados pessoais de dois proprietários de Toyota vinculados por engano ao meu endereço de e-mail. Eu podia ver o nome completo deles, número de telefone, endereço residencial, informações do veículo e todas as interações com a concessionária; para um agente malicioso, isso é uma mina de ouro
    Isso aconteceu mesmo sem eu ter aderido ao “Connected Services”. O aviso de privacidade da Toyota/Lexus diz que, se você ativar recursos como Emergency SOS, eles podem vender sua localização e comportamento ao volante a terceiros, incluindo seguradoras

  • Se os grandes CEOs acham que tudo isso está bem, gostaria que publicassem seus próprios dados de direção e sensores em tempo real na página da política de privacidade como exemplo do tipo de dado coletado

    • Parece que seria preciso se preparar para ouvir algo como “regras para vocês, exceções para mim”

  • É surpreendente que ainda não exista uma forma de impedir legalmente que montadoras compartilhem dados automaticamente
    O dono do carro compra o automóvel, e eu entendo usar computadores para lidar com hardware complexo, mas em que ponto o compartilhamento automático de dados sem consentimento passa a fazer sentido?

    • Em veículos da Honda dá para desligar, mas aí aparece um aviso permanente no painel dizendo que a configuração de monitoramento está desativada, e ele continua incomodando como se o combustível estivesse acabando
    • Não verifiquei recentemente, mas pelo menos em certo momento as regras davam direitos sobre os dados tanto às montadoras quanto aos governos nacionais. O que cada um faz com esses dados depende deles
      Muita coisa avançou sob o nome de tratados internacionais, e as capacidades de detecção na época em que essas regras foram escritas eram muito menos invasivas. Em termos internacionais, isso vem sendo preparado desde os anos 1990
      A maioria dos governos não coleta esses dados porque não tem capacidade técnica para isso. A estrutura legal foi criada muito antes da infraestrutura
    • Parece que passa a fazer sentido a partir do momento em que um terceiro paga a montadora, ou quando um órgão estatal pressiona a montadora usando o poder do Estado
    • Acho que o GDPR já deveria cobrir isso tudo. Só não sei se, ao aceitar um item de menu na compra do veículo, isso volta a ser permitido porque você “consentiu”

  • Pelo que sei, os dados de frenagem são usados para identificar trechos perigosos da via e o histórico de comportamento de direção perigosa daquele veículo. Dá para separar estatisticamente se o risco vem da estrada ou do motorista
    Se outros motoristas também freiam de forma parecida naquele local, isso se relaciona mais à estrada, e se o comportamento de frenagem se correlaciona mais com o motorista, então é mais atribuível a ele
    Mas a maioria das pessoas ainda faz deslocamentos relativamente regulares por causa de casa, trabalho, horário de expediente e padrões de compras, então você continua encontrando repetidamente os mesmos grupos de motoristas, e cada um também tem padrões probabilísticos estáveis, então isso ainda fica entrelaçado
    Por exemplo, quando um usuário freia de repente por causa de uma grande variação de velocidade, isso acontece mesmo porque aquele motorista não conseguiu prever o resultado da própria decisão ao dirigir? Ou porque ele encontra com frequência os mesmos motoristas agressivos?
    Isso também parece detectável. Em cada evento de frenagem, você olharia um círculo com raio suficiente e veria se os outros motoristas dentro desse círculo também recebem uma redução de pontuação parecida. Claro, não com uma soma e subtração linear ingênua, mas com uma inferência bayesiana adequada
    Se você simplesmente avaliar pior só o motorista do carro que freou, corre o risco de cobrar o lado menos imprudente num jogo de intimidação. Um cálculo ingênuo pode taxar especialmente quem reduz a energia cinética total numa situação perigosa. Ainda mais se o motorista imprudente não se assustou, e teria havido problema caso a outra parte também fosse imprudente

    • A seguradora não se importa se o risco vem do motorista ou das estradas por onde ele anda. Em qualquer um dos casos, é a seguradora que assume o risco
      Por isso as seguradoras também usam o CEP para calcular tarifas. Se você mora perto de vias com muitas perdas, tem maior chance de sofrer uma perda. Não importa se você é um excelente motorista; alguém pode bater em você

  • Existe algum tipo de utilidade pública para compartilhar com quem não faz ideia disso ou acha que “não é tão ruim assim”?
    Meu momento de despertar foi quando deu erro no caixa de autoatendimento do Walmart. Apareceu no monitor uma captura minha de todos os ângulos, e eu pensei: “então é assim que a parte de trás da minha cabeça parece”
    Desde então, comecei a perceber que há mais câmeras do que em um cassino

  • Vim aqui para dizer: não esqueçam da bicicleta

    • Se o clima e o relevo permitirem, a bicicleta é o melhor meio de transporte. Especialmente agora que existem muitas bicicletas adaptativas, elétricas e acessíveis, em muitos bairros e centros urbanos o carro deveria ser algo como um “visitante estranho, mas bem-vindo, de vez em quando”
    • Fato curioso: a bicicleta elétrica é mais amigável ao clima do que a bicicleta movida por força humana
      A bicicleta elétrica emite 5 g de CO2 equivalente por milha, enquanto uma bicicleta pedalada por uma pessoa que só come banana emite 40 g por milha. Com outras escolhas alimentares, pode ser muito pior. O carbono incorporado da própria bicicleta é basicamente o mesmo
      The Carbon Footprint of Everything (2022)
    • A motocicleta transmite a mesma quantidade de dados que a bicicleta

  • Arranquei a ponte entre o resto do carro e a placa celular

    • E se esses dados todos forem armazenados offline e depois enviados quando conectarem um equipamento de diagnóstico na manutenção?
    • Surpreende que esse hack quase não seja mencionado em artigos do tipo “seu carro espiona você”. Remover o modem celular é tão importante para a privacidade quanto tirar o Google da sua vida ou desconectar uma TV “smart” da internet
    • Eu também ia perguntar isso. Existe alguma documentação, oficial ou não, sobre como deixar o carro offline?
    • Tenho uma Ford F150 Lightning e simplesmente removi o fusível nº 8. Conecto periodicamente para receber atualizações sem fio
      Espero que, sempre que eu recoloque o fusível, ele não tenha guardado todos os dados para fazer upload de uma vez só