В понедельник генеральный прокурор Техаса Кен Пакстон подал иск против Allstate Corporation и ее дочерней компании мобильной аналитики Arity, утверждая, что американский страховой гигант вступил в сговор с разработчиками мобильных приложений с целью сбора телематических данных о миллионах автомобилистов без их согласия, что является нарушением законов о защите прав потребителей.
Затем Allstate якобы использовала эти данные против водителей, чтобы оправдать повышение ставок, отказать в покрытии или прекратить покрытие.
«Наше расследование показало, что Allstate и Arity заплатили мобильным приложениям миллионы долларов за установку программного обеспечения Allstate для отслеживания», — сказал генеральный прокурор Пэкстон в своем заявлении. «Персональные данные миллионов американцев были проданы страховым компаниям без их ведома или согласия в нарушение закона. Техасцы заслуживают лучшего, и мы привлечем все эти компании к ответственности».
Согласно жалобе [PDF], Allstate заплатила разработчикам приложений за интеграцию Arity Driving Engine SDK, программной библиотеки, которая, как поясняется в документации, «позволяет мобильному приложению обнаруживать, записывать и оценивать поведение водителя вашего конечного пользователя».
Мобильные приложения, в которых реализован SDK Routely (теперь принадлежит Allstate), Life360, GasBuddy и Fuel Rewards, предположительно собирали:
- данные геолокации мобильного телефона, данные акселерометра;
- данные магнитометра; гироскопические данные;
- Атрибуты поездки (время начала, время окончания, расстояние; точки GPS (точность, положение, долгота, широта, направление, скорость, время GPS, время приема, пеленг и высота мобильного телефона потребителя);
- производные события (ускорение, превышение скорости, невнимательное вождение, обнаружение столкновений и т. д.);
- и метаданные (идентификатор объявления, код страны, идентификатор пользователя операционной системы, тип устройства, версия приложения и версия ОС).
Эти приложения — некоторые из них были названы в предыдущих исках о конфиденциальности в связи с продажей данных о местоположении — изначально запрашивают у пользователей разрешение на доступ к данным о местоположении в сочетании с функциями приложения. «Но после того, как приложение интегрировало Arity SDK, если пользователь приложения разрешал приложению получать доступ к своей информации о местоположении для тех же функций приложения, пользователь также непреднамеренно позволял ответчикам собирать данные Arity SDK через Arity SDK», — говорится в жалобе.
Поскольку данные Artity SDK сами по себе не могли надежно идентифицировать водителей, Allstate, как утверждается, лицензировала персональные данные, доступные приложениям — имя и фамилию, номер телефона, адрес, почтовый индекс, мобильный рекламный идентификатор (MAID), идентификатор устройства и рекламный идентификатор — и объединила наборы данных для профилирования водителей.
Тем не менее, как утверждается, использование этих данных было неправомерным. Например, Allstate не могла быть уверена, что лица, за которыми велось наблюдение с помощью этих мобильных приложений, управляли транспортным средством. Тем не менее, обнаружение данных телематических датчиков, которые свидетельствовали о неустойчивом небрежном вождении, будет предъявлено пользователям этих приложений, даже если они не управляли автомобилем.
«Например, если человек был пассажиром автобуса, такси или в машине друга, и водитель этого транспортного средства превысил скорость, резко затормозил или сделал резкий поворот, ответчики на основе данных Arity SDK пришли бы к выводу, что пассажир, а не фактический водитель, проявил «плохое» поведение за рулем», — поясняется в жалобе. «Затем ответчики впоследствии продавали и делились данными, чтобы их можно было использовать для принятия решений о страховании этого пассажира на основе его «плохого» поведения за рулем».
В одном из публично зарегистрированных случаев в октябре прошлого года мужчина написал в группе Roller Coaster Enthusiasts Club на Facebook: «Моя страховая компания ошибочно полагала, что я веду машину, хотя на самом деле я катался на американских горках The Beast в Kings Island. Эти красные точки указывают на то, что приложение неправильно оценило мои навыки прохождения поворотов и торможения и снизило мой рейтинг вождения».
Чтобы повысить точность своих данных, Allstate, как утверждается, покупала информацию о водителях у таких автопроизводителей, как Toyota, Lexus, Mazda, Chrysler, Dodge, Fiat, Jeep, Maserati и Ram, без согласия этих водителей.
В августе Paxton подала иск против General Motors, заявив, что автомобильная компания незаконно собирала данные о водителях своих автомобилей и продавала эту информацию страховым компаниям.
В жалобе Allstate/Arity далее утверждается, что уведомления о конфиденциальности, представленные пользователям приложения, не раскрывали масштаб сбора и передачи данных и неверно указывали, что Allstate и Arity «не продают личную информацию за денежную стоимость».
Компании обвиняются в нарушении Закона Техаса о конфиденциальности и безопасности данных, Закона о брокерах данных и недобросовестной конкуренции/мошенническом поведении в соответствии с государственным страховым кодексом.
Представитель Allstate сообщил The Register: «Arity помогает потребителям получать наиболее точную цену автострахования после их согласия простым и прозрачным способом, который полностью соответствует всем законам и правилам.» ®