GM выплатит 12,75 млн долларов штрафа за продажу данных водителей без согласия — это рекордная санкция за всю историю CCPA

Компания на пять лет лишена права передавать данные о вождении любым потребительским рейтинговым агентствам и брокерам

Скандал начался с расследования NYT в марте 2024 года: OnStar Smart Driver втайне сливал данные страховщикам

GM обязана удалить накопленные данные за 180 дней и внедрить программу контроля конфиденциальности с отчётностью перед Минюстом Калифорнии

После урегулирования спора с Федеральной торговой комиссией США (FTC) в январе 2026 года, компания General Motors достигла соглашения и в Калифорнии. Корпорация согласилась выплатить 12,75 миллиона долларов гражданского штрафа по иску генерального прокурора штата Роба Бонты, поданному от имени жителей. Дополнительно GM на пять лет запрещено продавать данные о вождении потребительским рейтинговым агентствам и брокерам. Иски последовали после расследования New York Times в марте 2024 года, в котором журналист Кашмир Хилл раскрыла, что GM собирала данные о вождении через программу OnStar Smart Driver и продавала эту информацию брокерам Verisk Analytics и LexisNexis Risk Solutions. Те, в свою очередь, формировали из неё профили риска и перепродавали автостраховщикам.

Логотип General Motors на здании штаб-квартиры — скандал с продажей данных водителей через OnStar Smart DriverSmith Collection/gado/Getty Images

📊 Что именно собирала GM

По данным офиса генпрокурора Калифорнии, через систему OnStar и приложения MyChevrolet, MyGMC, MyBuick и MyCadillac компания накапливала очень подробный профиль каждой поездки. Среди собираемых параметров:

  • Точная геолокация автомобиля — фиксировалась каждые 3 секунды
  • Резкие ускорения и жёсткие торможения
  • Превышение скорости — особенно поездки на скорости выше 129 км/ч (80 миль/ч)
  • Резкие повороты и общая интенсивность маневрирования
  • Пробег и продолжительность поездок
  • Привычки ночного вождения
  • Имена, контактные данные и идентификаторы владельцев

По внутренним документам GM, к 2022 году в программу Smart Driver было включено более 8 миллионов автомобилей. Годовая выручка от продажи этих данных, по оценкам прокуратуры Калифорнии, составила около 20 миллионов долларов.

📰 С чего всё началось: расследование NYT

Историю в марте 2024 года раскрыла Кашмир Хилл — технологическая обозревательница The New York Times. Сама владелица Chevrolet Bolt, она прошла процедуру регистрации в Smart Driver и обнаружила, что ни одного явного предупреждения о передаче данных третьим лицам в процессе не было. Один из её отчётов содержал данные о 297 поездках: 3 042 километра пробега (1 890,89 миль), 4 251 минута за рулём, 170 эпизодов жёсткого торможения и 24 резких ускорения.

Журналистка нашла пострадавших — Ромео Чикко из Флориды получил почти двукратное повышение страхового тарифа после того, как его Cadillac «насобирал» данные. Также выяснилось, что дилеры GM получали бонусы за подключение клиентов к OnStar, что побуждало их регистрировать покупателей незаметно для самих покупателей.

В апреле 2024 года GM закрыла программу Smart Driver полностью, отписав всех клиентов и расторгнув контракты с LexisNexis и Verisk. Компания также наняла нового директора по доверию и конфиденциальности — Алису Бергман.

⚖️ Условия мирового соглашения с Калифорнией

Согласно условиям соглашения (подлежит утверждению судом), GM обязана:

  • Выплатить 12,75 миллиона долларов гражданского штрафа в казну штата
  • Прекратить продажу данных о вождении любым потребительским рейтинговым агентствам, включая Verisk и LexisNexis, на пять лет
  • Удалить все накопленные данные о вождении в течение 180 дней, за исключением узких внутренних целей или случаев, когда получено явное согласие клиента
  • Формально потребовать от Verisk и LexisNexis уничтожить ранее переданную информацию
  • Разработать и внедрить программу защиты конфиденциальности, оценивающую риски сбора данных через OnStar и обеспечивающую соответствие California Consumer Privacy Act (CCPA)
  • Отчитываться о результатах оценок перед Минюстом штата, окружными прокурорами и Калифорнийским агентством защиты конфиденциальности (CalPrivacy)

В заявлении Бонта подчеркнул: «Сегодняшнее соглашение требует от General Motors отказаться от этих незаконных практик и подчёркивает важность принципа минимизации данных в законе о конфиденциальности Калифорнии — компании не могут просто хранить данные и использовать их позднее для другой цели».

🏛️ Почему это исторический штраф

Это крупнейшая санкция в истории CCPA — закона о защите потребительских данных, принятого в Калифорнии в 2018 году. Это уже восьмое правоприменительное действие по CCPA: ранее были урегулированы дела с Sephora, DoorDash, Disney, Jam City, Sling TV, Healthline и Tilting Point Media. Однако главное — это первый в истории кейс о принудительном применении принципа data minimization («минимизация данных»), добавленного в CCPA в 2023 году. Принцип запрещает компаниям удерживать собранные данные дольше, чем нужно для исходной цели, и использовать их для других задач.

Калифорнийцы, скорее всего, избежали повышения страховых тарифов: согласно местному закону Proposition 103 от 1988 года и инсурансному законодательству штата, страховщики не имеют права устанавливать тарифы на основе телематических данных. Аналогичные запреты действуют только в двух других штатах — Гавайях и Массачусетсе. В остальных 47 штатах у водителей не было защиты от роста тарифов из-за брокерских данных.

🔥 Параллельные процессы и масштаб угрозы для GM

Калифорнийский штраф — далеко не финал истории. По всей стране против GM поданы аналогичные иски, причём суммы выглядят несопоставимо крупнее:

  • Техас: генпрокурор Кен Пакстон требует до 10 000 долларов за каждое нарушение и дополнительно 250 000 долларов за каждого пострадавшего старше 65 лет. По делу проходит более 1,8 миллиона жителей штата — потенциально это не менее 18 миллиардов долларов.
  • Арканзас: генпрокурор Тим Гриффин требует 10 000 долларов за каждое нарушение по более чем 100 000 жителей — речь идёт о 1 миллиарде долларов.
  • Небраска и Индиана: иски от генпрокуроров Майка Хильгерса и Тодда Рокиты
  • Федеральная коллективная тяжба: в июне 2024 года все частные иски были объединены в мультиокружное производство (multi-district litigation) в Северном округе Джорджии

В отчёте 10-K для SEC компания GM прямо предупреждает инвесторов, что не может оценить «обоснованно возможный или вероятный материальный убыток» от этих исков. В январе 2026 года FTC уже выпустила приказ сроком на 20 лет, запрещающий GM и OnStar продавать определённые данные потребительским рейтинговым агентствам в течение пяти лет — но федеральная санкция не предусматривала денежных выплат. Калифорнийские 12,75 миллиона — первая денежная санкция в США против автопроизводителя за продажу данных о вождении без согласия.

🌍 Универсальная проблема современных автомобилей

История с GM — лишь верхушка айсберга. Подобные телематические программы есть у Honda, Hyundai, Kia, Toyota, Mitsubishi, Subaru и многих других производителей. По данным Mozilla Foundation, опубликованным в августе 2023 года, большинство современных автомобилей собирают больше персональных данных, чем любая другая категория потребительских устройств — и часто передают эти данные третьим лицам. Сенаторы Рон Уайден и Эдвард Марки в июле 2024 года уже запросили FTC расследовать практики Honda и Hyundai. Параллельно National Association of Insurance Commissioners (NAIC) в начале 2026 года начал общенациональную проверку использования ИИ в автостраховании — и брокерские телематические данные одна из её ключевых целей.

Окружной прокурор Сан-Франциско Брук Дженкинс резюмировала суть проблемы точно: «Современные автомобили — это передвижные машины сбора данных». Любая машина с активной онлайн-телематикой — будь то американская, европейская, китайская или корейская — собирает геолокацию, скорость, манеру торможения и десятки других параметров. Куда именно эти данные уходят и кто их перепродаёт, владельцу почти никогда не сообщают явно.

🎯 Что это значит для индустрии

Главный вывод из кейса GM выходит далеко за рамки одной американской компании. Эпоха, когда автомобиль собирал и продавал данные владельца без явного согласия и без последствий для производителя, заканчивается — по крайней мере в юрисдикциях с сильным законодательством о персональных данных. Исполнительный директор CalPrivacy Том Кемп прямо назвал калифорнийское урегулирование «первым» — намекая, что в очереди стоят и другие дела против автопроизводителей.

И если 12,75 миллиона для GM с её рыночной капитализацией 71 миллиард долларов — символическая сумма, то техасские 18+ миллиардов уже могут стать ощутимым ударом по бухгалтерскому балансу корпорации. Прецедент создан — теперь вопрос только в том, кто следующий из автогигантов окажется на скамье ответчиков. 🔥