General Motors, Kaliforniya'daki sürücü gizliliği davası için 12,75 milyon dolar ödemeyi kabul etti

TechCrunch8 sa önce

Bir otomobilin gösterge paneli ve dijital ekranı — Photo: Erik Mclean / Pexels

General Motors, Kaliforniya Başsavcısı Rob Bonta'nın liderlik ettiği bir hukuk grubuyla 12,75 milyon dolarlık bir gizlilik uzlaşmasını imzaladı. Anlaşma, otomobil devinin California Consumer Privacy Act (CCPA) kapsamındaki yükümlülüklerini ihlal ettiği iddiası üzerine yapılan iki yıllık bir soruşturmayı sona erdiriyor. Kaliforniya'nın iddiası: GM, sürücülerin yıllık binlerce kilometrelik araç sürüş verilerini — konum, hızlanma, fren kullanımı, sert dönüşler — üçüncü taraf veri brokerlarına, özellikle sigorta sektörü için pazarlama yapan LexisNexis Risk Solutions ve Verisk Analytics gibi şirketlere, sürücülerin açık onayı olmadan sattı.

İddia, 2024'ün başında The New York Times'da yayımlanan bir araştırmacı röportajla halka duyuruldu. Röportaj, OnStar Smart Driver programı üzerinden GM araç sürücülerinin sürüş davranışı verilerinin LexisNexis'e gönderildiğini ortaya koydu. Birçok sürücü, sigorta primlerinin neden aniden yükseldiğini araştırdığında, kredi raporları benzeri bir yapıda "sürücü davranış raporu" — telefonla yapılan aramalar, sert frenleme olayları ve hız sınırı aşımları için tarihler içeren — bir belge buldular. Bu rapor, sürücülere bilgi verilmeden derlenmişti.

Kaliforniya soruşturması, Mart 2024'te Bonta tarafından başlatıldı ve diğer çevre eyaletler — Oregon, Washington, Nevada — paralel soruşturmalar açtı. Soruşturmacılar, GM'nin OnStar müşteri kayıt sürecinde sürücü davranış verilerinin satışı için "opt-out" tercihi sunduğunu ama bu tercihin görülmesi neredeyse imkansız bir yerde gizlendiğini buldular. Kaliforniya hukuku, açık onay (opt-in) modeli gerektirir; yani sürücüler verilerinin satılmasına aktif olarak izin vermelidir, otomatik olarak izin verilmemeli.

Uzlaşma, GM'nin 12,75 milyon dolar ödemesini ve sonraki üç yıl boyunca sürücü davranış verilerini üçüncü taraflara satmamasını öngörüyor. Şirket ayrıca yeni alıcılar için açık bir opt-in onay süreci kurmak zorundadır. Bonta, "Kaliforniya'daki tüketicilerin verileri, finansal kararlara — sigorta primlerinden krediye kadar — yansıtmak üzere satılan bir ürün haline geldi. Bu uzlaşma, sektöre net bir mesaj veriyor: kullanıcı onayı kuralları ihlal etmek pahalıdır" dedi.

GM, açıklamasında uzlaşmayı kabul etmesinin "şirketin Kaliforniya tüketicileriyle olan ilişkisini güçlendirmek için bir adım olduğunu" söyledi. Sözcü Paul Edwards, açıklamada, "OnStar Smart Driver programını yıllar önce ayarlanan opt-in tercihinin yeterli olduğunu varsayarak yönettik. Soruşturma, müşterilerimize bu programın özelliklerini iletilmesinde daha güçlü ve net olmamız gerektiğini gösterdi" dedi. Edwards, GM'nin 2024'ün ortasında veri satışlarını gönüllü olarak askıya aldığını da ekledi.

Uzlaşma için ödenecek meblağ, GM'nin 2025'teki net gelirinin (yaklaşık 6 milyar dolar) sadece bir kesirini temsil ediyor. Ancak gizlilik avukatları, anlaşmanın simgesel önemini vurguluyor: "GM, özellikle Kaliforniya'da CCPA'nın kapsamı altında otomobil verilerinin nasıl işlenmesi gerektiği için bir önemli emsal oluşturdu. Diğer otomobil üreticileri — Ford, Volkswagen, Toyota — şu anda kendi opt-in süreçlerini gözden geçirmek zorundalar" dedi Stanford Üniversitesi'nin Center for Internet and Society direktörü Riana Pfefferkorn.

Çok sayıda büyük otomobil üreticisi, OnStar tipi telematik sistemleri sunmaya başladılar; bu, sürücülerin yıllık on binlerce mil sürüş verisinin toplanmasına ve potansiyel olarak satılmasına olanak tanıyor. Ford'un Vehicle Data Service'i, Toyota'nın T-Connect'i, Volkswagen'in Car-Net'i ve Tesla'nın iç sistem yapısı, hepsi farklı opt-in modelleri kullanıyor. The New York Times'ın 2024'teki araştırması sonrası, Tesla ve Volvo verilerini üçüncü taraflara satmayı durdurduklarını açıkladı, ancak Ford ve diğer üreticiler programlarını sürdürdü.

Kaliforniya uzlaşması, ABD'nin daha geniş bir tüketici verisi düzenleme tartışmasının bir parçası. Federal düzeyde, Kongre 2024 ve 2025'te ABD Veri Gizliliği ve Koruma Yasası'nı (American Privacy Rights Act) onaylamadı; eyalet seviyesinde, Kaliforniya, Virginia, Colorado ve diğer dokuz eyalet kendi gizlilik yasalarını uygulamaya koydu. Bu durum, otomobil üreticileri için bölgeden bölgeye değişen yasalar yarattı — Kaliforniya'da satılan bir araç, Texas'ta veya Florida'da satılan bir aracın aynı modelinden farklı opt-in süreçlerine tabi oluyor.

EFF (Electronic Frontier Foundation) gizlilik avukatı Adam Schwartz, uzlaşmayı eleştirdi: "12,75 milyon dolar, GM gibi bir şirket için bir 'maliyetli ders' değil — bir park cezası. Anlaşmanın iyi tarafı, GM'nin opt-in süreçlerini ayarlamasını gerektiriyor olması. Ancak ABD genelinde sürücü verisi pazarının ne kadar büyük olduğu düşünülürse, 12,75 milyon doların caydırıcılık etkisi sınırlı." Schwartz, federal düzeyde kapsamlı bir gizlilik yasasının olmamasının, eyalet eyalet uzlaşmaların etkinliğini azalttığını ekledi.

Uzlaşma, 30 günlük bir mahkeme onayı süreci sonrası yürürlüğe girecek. Bonta, "Kaliforniya, ülkenin gizlilik liderliğini sürdürecek. Otomobil üreticileri, müşterilerinin verilerini izinsiz satmaya devam ederse, daha büyük uzlaşmalarla karşılaşacaklar" dedi. Bonta'nın ofisi, diğer büyük otomobil üreticilerini paralel soruşturmalar altında olduğunu da işaret etti — açıkça isim vermeden.

Bu yazı, TechCrunchkaynağına dayanılarak Vesper'ın yapay zeka editörü tarafından hazırlanmıştır. Görsel, Pexels'tan Erik Mclean tarafından çekilmiş bir stok fotoğraftır.