“距上次Mozilla 審查25個汽車品牌隱私問題后，又一機(jī)構(gòu)開展調(diào)查”

隨著國內(nèi)車企電動汽車出海，某機(jī)構(gòu)2023年11月調(diào)查了這些出海智能汽車以及解鎖其許多重要功能的移動應(yīng)用程序相關(guān)的數(shù)據(jù)隱私風(fēng)險。

本次調(diào)查的10家公司是：

Aiways

比亞迪

GMW 長城汽車

高合

MG（SAIC）

NIO

Polestar（吉利）

沃爾沃（吉利）

小鵬

Zeekr（吉利）

先說結(jié)論

糟糕的隱私政策：7家制造商的政策不符合標(biāo)準(zhǔn)，其中一家根本沒有適當(dāng)?shù)恼撸≒olestar）。問題包括缺乏細(xì)節(jié)，翻譯不佳，應(yīng)用程序商店列表的鏈接斷開，以及隨意的演示。

車輛數(shù)據(jù)收集：6家公司通過GPS跟蹤車輛位置，4家公司記錄司機(jī)的行程，3家公司監(jiān)控司機(jī)的速度。3個電動汽車品牌未能披露他們收集的車輛數(shù)據(jù)。

不準(zhǔn)確的應(yīng)用商店隱私標(biāo)簽：8款iOS應(yīng)用和6款A(yù)ndroid應(yīng)用存在潛在誤導(dǎo)性隱私標(biāo)簽。

危險的Android應(yīng)用程序權(quán)限：8個應(yīng)用程序有10個以上潛在的危險權(quán)限。4個應(yīng)用程序有20個以上，其中Zeekr有36個。

哪些品牌數(shù)據(jù)隱私構(gòu)成最大風(fēng)險？

數(shù)據(jù)隱私風(fēng)險最高的電動汽車品牌是Polestar，這主要是由于缺乏適當(dāng)?shù)碾[私政策。然而，HiPhi和Aiways整體表現(xiàn)不佳。

在數(shù)據(jù)隱私方面表現(xiàn)最好的公司是MG和沃爾沃。

下表總結(jié)了每個制造商在構(gòu)成我們分析的每個隱私類別中的整體表現(xiàn)。

這些公司在數(shù)據(jù)隱私方面的表現(xiàn)從最差到最好。

* Aiways和GWM并不聲稱收集了與競爭對手一樣多的數(shù)據(jù)，但他們在這方面的政策存在重大差距。

** 沃爾沃的隱私標(biāo)簽對于iOS應(yīng)用程序不準(zhǔn)確，但對于Android版本準(zhǔn)確。

隱私政策

下表顯示了每個電動汽車制造商隱私政策的專業(yè)性，政策包含的詳細(xì)程度以及政策文件是否易于訪問。

公司按字母順序排列。一個橙子勾表示，雖然政策的這一方面存在一些問題，并沒有完全達(dá)到預(yù)期。

破折號“-”表示沒有可用的策略信息。

唯一一家沒有相關(guān)隱私政策的電動汽車公司是Polestar，其應(yīng)用程序商店鏈接指向一項(xiàng)通用政策，僅涵蓋其網(wǎng)站的訪問者，并且沒有提及其應(yīng)用程序或車載系統(tǒng)的數(shù)據(jù)收集，除了承諾這樣的政策“即將推出”。

截圖來自Polestar隱私政策

GWM移動應(yīng)用程序的應(yīng)用程序商店列表將用戶引導(dǎo)到空白頁面，但可以導(dǎo)航到舊版本隱私政策的列表。最近的日期為2022年2月，我們將其用于本研究。

Aiways、比亞迪和GWM這三家公司的隱私政策發(fā)布方式完全不符合標(biāo)準(zhǔn)。

比亞迪將其應(yīng)用程序用戶引導(dǎo)到https://dilinkappoversea-eu.byd.auto:8666/#/text/fileNotice?agreementType=2&softType=0上的一項(xiàng)政策，這可能會導(dǎo)致用戶懷疑其真實(shí)性，因?yàn)閁RL看起來可能是惡意地址。這與構(gòu)成比亞迪大部分網(wǎng)絡(luò)資產(chǎn)的更直接的URL形成鮮明對比，并且被廣泛接受為對用戶更好，因?yàn)樗鼈儾惶赡鼙罎ⅰ１葋喌系碾[私政策也翻譯得很差，文本和顏色不匹配，格式也很草率。

比亞迪隱私政策中一個例子的屏幕截圖

GWM和Aiways的隱私政策也受到類似問題的影響。雖然HiPhi隱私政策是在一個用戶不友好的URL上，但它在其他方面都是專業(yè)的。

有三項(xiàng)隱私政策不夠詳細(xì)。與其他公司相比，Aiways尤其存在一些明顯的遺漏，例如沒有披露收集了哪些車輛數(shù)據(jù)，也沒有提供有關(guān)數(shù)據(jù)共享的細(xì)節(jié)。GWM的政策也有類似的缺陷。

Zeekr隱私政策是全面的，但未能提供可點(diǎn)擊的鏈接到指定的子政策。雖然沃爾沃的政策很詳細(xì)，但它不能說是全面的，因?yàn)樗鼪]有透露數(shù)據(jù)是否被轉(zhuǎn)移，或者用戶數(shù)據(jù)是否被刪除。

隱私政策不足意味著消費(fèi)者無法知道收集了什么數(shù)據(jù)，如何存儲以及與誰共享。

這些公司收集哪些個人數(shù)據(jù)？

下表列出了每個汽車制造商收集的個人數(shù)據(jù)點(diǎn)。這些數(shù)據(jù)收集分為個人信息、車輛信息、車輛狀態(tài)和設(shè)備信息。點(diǎn)擊表格右上角的按鈕，將其展開為全屏視圖，以查看所有公司的數(shù)據(jù)收集。

這些公司收集的數(shù)據(jù)點(diǎn)數(shù)量從10（Aiways）到66（Zeekr）不等。

然而，這不應(yīng)被視為對Aiways數(shù)據(jù)隱私做法的認(rèn)可，因?yàn)檫@一低數(shù)字主要是由于該公司未能披露其從車載系統(tǒng)收集的數(shù)據(jù)。其iOS應(yīng)用程序的屏幕截圖表明，該公司確實(shí)收集了這些數(shù)據(jù)。

Aiways iOS移動的應(yīng)用程序屏幕截圖顯示遠(yuǎn)程車輛控制選項(xiàng)

GWM和Polestar也沒有透露他們從車載系統(tǒng)收集了哪些數(shù)據(jù)。

相反，雖然Zeekr、MG、HiPhi和Xpeng都收集了50多個關(guān)于其用戶、車輛和設(shè)備的數(shù)據(jù)點(diǎn)，但至少他們這樣做是透明的。因此，關(guān)心其數(shù)據(jù)隱私的潛在客戶可以做出更明智的決策。

Zeekr收集有關(guān)其客戶車輛的侵入性數(shù)據(jù)，特別是：

MG，Zeekr，Volvo，Nio，HiPhi和Xpeng都可以跟蹤他們車輛的位置。

目前另一方面，比亞迪似乎沒有跟蹤車輛位置。

MG、Zeekr、Volvo和Nio也會收集行駛路線信息。所有這些車輛位置數(shù)據(jù)都非常敏感，并且可以高度揭示個人的關(guān)系，健康和興趣。

HiPhi、Nio和Xpeng甚至?xí)占泷{駛速度的數(shù)據(jù)，這可能會對任何超速的人產(chǎn)生潛在的法律的影響。

在設(shè)備數(shù)據(jù)方面，我們調(diào)查的所有移動應(yīng)用程序都收集了精確的位置數(shù)據(jù)（由于缺乏隱私政策，我們假設(shè)Polestar根據(jù)其Android應(yīng)用程序權(quán)限收集這些數(shù)據(jù)）。

比亞迪移動應(yīng)用程序是唯一一個聲稱不收集用戶IP地址的應(yīng)用程序。Aiways在其隱私政策中沒有提到IP地址，但在這方面再次缺乏細(xì)節(jié)。

HiPhi，MG和Zeekr都從他們的應(yīng)用程序和車載系統(tǒng)中收集用戶的瀏覽歷史記錄。

GWM和Nio收集通過其應(yīng)用程序或車載系統(tǒng)發(fā)送的消息內(nèi)容。

HiPhi收集了客戶最私人的信息，包括性別、身高、體重、職業(yè)、愛好和駕照。

Zeekr、Nio和Xpeng還明確表示，他們收集駕駛執(zhí)照的詳細(xì)信息。

他們用你的數(shù)據(jù)做什么？

下表總結(jié)了本報告中EV公司的數(shù)據(jù)存儲，刪除和國際傳輸政策。它還強(qiáng)調(diào)了公司與之共享用戶數(shù)據(jù)的著名第三方以及與廣告相關(guān)的任何相關(guān)政策。

破折號“-”表示沒有可用的策略信息。單擊表格右上角的按鈕將其展開為全屏視圖以查看所有數(shù)據(jù)。

沃爾沃、Aiways和MG在數(shù)據(jù)存儲和刪除方面的政策對消費(fèi)者最為友好。比亞迪、GWM、蔚來、小鵬和HiPhi都有開放式的存儲方法，而Polestar沒有提供政策。

比亞迪、長城汽車、HiPhi和Zeekr然而，這比Polestar和Nio要好，Polestar沒有任何政策，Nio沒有指定一旦不再需要保留數(shù)據(jù)會發(fā)生什么。

與第三方共享數(shù)據(jù)的最嚴(yán)重違規(guī)者是HiPhi和Nio，HiPhi的移動應(yīng)用程序包含20個第三方軟件庫，每個軟件庫都收集用戶數(shù)據(jù)。后者與社交媒體廣告公司共享用戶數(shù)據(jù)，以便他們能夠在Facebook和X（以前的Twitter）上投放廣告。

Zeekr、沃爾沃、Nio和HiPhi都有政策，允許根據(jù)用戶數(shù)據(jù)進(jìn)行定向廣告。MG允許廣告，但不清楚這是否是基于用戶數(shù)據(jù)的定向廣告。

GDPR合規(guī)

總體而言，GDPR在各方面都得到了實(shí)質(zhì)性的遵守。唯一的例外是Polestar，因?yàn)樵诎l(fā)布時缺乏適當(dāng)和可訪問的隱私政策。

然而，有一些反復(fù)出現(xiàn)的問題，缺乏清晰度或細(xì)節(jié)意味著無法確定本報告中的大多數(shù)電動汽車公司是否完全符合GDPR。

只有MG和沃爾沃制定了足夠詳細(xì)的政策，以避免完全遵守GDPR的任何不確定性。

圍繞其余電動汽車制造商的不確定性可以在其政策的三個關(guān)鍵領(lǐng)域找到。

數(shù)據(jù)保留期限：雖然大多數(shù)公司至少口頭上支持GDPR的原則，即不保留數(shù)據(jù)超過必要的時間，但如果他們?yōu)椴煌愋偷臄?shù)據(jù)提供特定的保留期限或?yàn)橛脩籼峁┎樵冞@些期限的機(jī)制，他們將更加合規(guī)。

自動化決策：除了MG和沃爾沃，沒有一家電動汽車公司明確表示他們是否使用自動化處理。GDPR要求公司在發(fā)生這種情況時明確披露這種做法。在電動汽車中，這可能涉及使用生物識別技術(shù)來授權(quán)車輛。
提供數(shù)據(jù)的義務(wù)：GDPR強(qiáng)調(diào)數(shù)據(jù)最小化和知情同意的原則。為了更明確地合規(guī)，電動汽車制造商應(yīng)該更明確地區(qū)分強(qiáng)制性和可選數(shù)據(jù)條款，確保用戶了解他們的選擇以及不提供某些數(shù)據(jù)的影響。

移動應(yīng)用隱私標(biāo)簽

下表顯示了每個EV移動的應(yīng)用程序的應(yīng)用程序商店列表上的隱私標(biāo)簽與其實(shí)際隱私政策的差異。

注意：Zeekr和HiPhi在Google Play應(yīng)用商店中還沒有Android應(yīng)用程序，而是提供直接下載。

總的來說，電動汽車品牌的移動的應(yīng)用程序商店列表上的隱私標(biāo)簽是不準(zhǔn)確的，有時甚至是非常不準(zhǔn)確的。

MG和Zeekr是唯一一個在任何上市產(chǎn)品上都沒有誤導(dǎo)性標(biāo)簽的電動汽車品牌。雖然沃爾沃在Google Play上的隱私標(biāo)簽是準(zhǔn)確的，但該公司在Apple App Store上的列表與其隱私政策相矛盾。

GWM和Nio是最令人震驚的違規(guī)者，因?yàn)樗麄兏髯远加幸粋€商店列表，謊稱根本沒有收集任何數(shù)據(jù)，GWM在Google Play上，Nio在App Store上。 GWM的App Store列表也不準(zhǔn)確，因?yàn)樗鼪]有表明其移動應(yīng)用程序收集了用戶的姓名和電話號碼，以及電子郵件和短信的內(nèi)容。Nio的Play商店列表也缺少披露設(shè)備ID和消息集合的標(biāo)簽。

令人擔(dān)憂的是，小鵬、Aiways、比亞迪和HiPh的應(yīng)用商店列表都帶有隱私標(biāo)簽，但卻忽略了他們收集的位置數(shù)據(jù)。

除了沒有披露其在這兩個應(yīng)用商店的位置數(shù)據(jù)收集外，小鵬還謊稱不分享其Google Play列表上的任何數(shù)據(jù)。

風(fēng)險Android應(yīng)用程序

下表顯示了每個制造商的Android應(yīng)用中存在的潛在風(fēng)險Android權(quán)限的數(shù)量。如果某個權(quán)限在Android的危險權(quán)限列表中，或者如果它對隱私有影響，則該權(quán)限被視為有風(fēng)險。

注意：應(yīng)用程序包含少量潛在風(fēng)險權(quán)限是正常的，因?yàn)樗鼈兊拇嬖谑窃试S應(yīng)用程序正常運(yùn)行所必需的。然而，擁有幾十個這樣的權(quán)限是不尋常的。

雖然用戶可以拒絕應(yīng)用程序授予權(quán)限的請求，但危險的是，一部分用戶會不假思索地批準(zhǔn)這些請求。

Zeekr的Android應(yīng)用程序請求34個潛在的風(fēng)險權(quán)限，遠(yuǎn)遠(yuǎn)超過任何其他應(yīng)用程序。這包括ACCESS_BACKGROUND_LOCATION，它允許連續(xù)跟蹤用戶的位置，即使在應(yīng)用程序不使用時。HiPhi、Nio和Polestar應(yīng)用程序也需要此權(quán)限。

Zeekr和HiPhi應(yīng)用程序還請求ACCESS_LOCATION_EXTRA_COMMANDS，這是一種不太常用的權(quán)限，可為位置提供商（如GPS）提供額外的控制或命令。這可能使應(yīng)用程序能夠更精確地跟蹤用戶。

Zeekr應(yīng)用還請求QUERY_ALL_PACKAGES權(quán)限，該權(quán)限允許應(yīng)用查看用戶設(shè)備上安裝的所有應(yīng)用。具有此權(quán)限的應(yīng)用可以查看用戶安裝的所有其他應(yīng)用，這可能會泄露用戶的個人偏好、習(xí)慣甚至敏感信息。

Zeekr應(yīng)用程序以及Nio，GWM和Xpeng，要求READ_MEDIA_AUDIO，READ_MEDIA_ICODE，READ_MEDIA_VIDEO權(quán)限，允許應(yīng)用程序讀取用戶的所有媒體文件。

MG和Volvo應(yīng)用程序都要求DOWNLOAD_WITHOUT_NOTIFICATION權(quán)限，允許靜默下載，這會帶來惡意軟件下載的潛在安全風(fēng)險。

HiPhi應(yīng)用程序請求DISABLE_KEYGUARD權(quán)限，這允許它繞過設(shè)備的鎖屏并暴露敏感信息。

Xpeng、Nio、Volvo、Polestar、GWM、Aiways和BYD這六個應(yīng)用程序請求RECEIVE_BOOT_COMPLETED權(quán)限。此權(quán)限允許在設(shè)備完成啟動過程后向應(yīng)用發(fā)出警報。這會帶來潛在的隱私風(fēng)險，因?yàn)閼?yīng)用程序可以在設(shè)備啟動后自行啟動或安排任務(wù)運(yùn)行。自動啟動的應(yīng)用可以在設(shè)備啟動后立即開始收集數(shù)據(jù)或監(jiān)控用戶行為，即使用戶尚未主動啟動應(yīng)用。

GWM應(yīng)用程序請求RECEIVE_USER_PRESENT權(quán)限，該權(quán)限允許在用戶主動使用設(shè)備時向應(yīng)用程序發(fā)出警報。這可用于推斷用戶行為或模式，這對用戶隱私構(gòu)成風(fēng)險。

研究方法論

請注意，由于這兩個品牌剛剛在海外市場推出，Zeekr和HiPhi的移動的應(yīng)用程序雖然可以從蘋果應(yīng)用程序商店的國際版本下載，但在本報告發(fā)布時僅提供中文版本。