Moderna bilar är en "integritetsmardröm på hjul". Det menar säkerhetsforskare vid Mozilla Foundation, som i veckan publicerade en granskning av 25 olika biltillverkare. Undersökningen är en del av Mozilla Foundations projekt "Privacy not included", som undersöker olika företags riktlinjer och användaravtal för integritet.
Bilar har i snabb takt blivit "smartare" och utrustats med datorer, applikationer och möjlighet att ansluta andra smarta enheter. Det innebär i sin tur datainsamling, där tillverkare genom moderna bilar får möjlighet att samla in data både från själva fordonet och från de enheter och applikationer som det ansluts till. Vilken data som samlas in varierar och kan inkludera allt från vilken musik som spelas till känsligare information som platsdata eller personuppgifter.
Flera tillverkare delar data till tredjepart
Mozilla menar att dataskydd och skydd för den personliga integriteten hamnat rejält på efterkälken. Samtliga 25 biltillverkare samlar in för mycket personlig data och många av dem använder det till betydligt mer än att kontrollera bilen och dess funktioner. Merparten har klausuler i användaravtalen som innebär att de får använda informationen för eget bruk, som marknadsföring. En rejäl känga delas ut åt Nissan, som uppger att de "kan samla in och använda information om användares sexuella aktiviteter".
Hela 84 procent kan dela data vidare med tredjepart. Mozilla pekar ut delning till så kallade "data brokers" som ett exempel – företag som specialiserar sig på att sammanställa data om privatpersoner. Av de 25 kan därtill 19 sälja personlig data vidare och ungefär hälften kan enligt policy dela information till myndigheter eller rättsväsende vid förfrågan.
Mozilla anmärker utöver det på att användare i de flesta fall har väldigt begränsad kontroll över sin data. Endast två stycken, Renault och Dacia, explicit uttrycker att alla användare har rätt att få sin personliga data raderad. Det menar Mozilla sannolikt beror på att de två tillverkarna, som ägs av samma moderbolag, främst agerar i Europa och således måste rätta sig efter GDPR.
Inte alltid bättre inom EU
Mozillas undersökning utgår främst från de avtal som är publicerade för den amerikanska marknaden, där företag inte måste ta hänsyn till de dataskyddsregler som finns inom EU. Flera företag har separata avtal för EU, där bland annat de tillverkare som faller under Volkswagen Group listar exempelvis rätt att få data raderad.
Vilken data som samlas och hur är däremot ofta snarlikt och även några av EU-avtalen möter kritik i undersökningen. I Nissans EU-avtal står bland annat att det är bilägarens ansvar att informera "andra förare eller passagerare" om avtalets villkor, inklusive eventuella integritetsfrågor. De påpekar även att bland annat Volkswagen tilldelades en miljonbot för brott mot GDPR senast år 2022.