Nykyaikaisessa autossa on jopa 100 miljoonaa riviä pelkkää koodia. Modernit autot tietävät ajotyylisi, ajotapasi, sekä ajoaikasi. Kameroilla varustetut autot tietävät miltä näytät, mitä sinulla on päälläsi, ketkä kulkevat kyydissäsi, sekä kuvaavat auton ympärillä olevia asioita ja ympäristöä. Autosi toimii puhelimena, mikrofonina, Hotspottina, WiFi-vastaanottimena, sekä Bluetooth lähettimenä. Autosi on pilvipalveluiden käyttäjä, sekä tarpeen tullen myös tekoälyavustaja. Voidaan siis todeta, että autosi on kuin älypuhelin, mutta ainoa ero on vain neljä pyörää, joilla se pääsee kulkemaan eteenpäin. Ja uskoit tai et, se tietää sinusta enemmän asioita kuin luulitkaan.

Uusien autojen on arvioitu keräävän noin 20-30 gigaa dataa joka tunti. Autoon asennetut anturit seuraavat käyttäytymistäsi siitä hetkestä kun avaat autosi oven: kiinnitätkö turvavyön ennen auton käynnistämistä, yhdistitkö puhelimesi välittömästi autoosi, ja niin edelleen. Ohjauspyörässäsi, kaasupolkimessasi, ja jarrupolkimessasi on anturit. GPS:n lisäksi useat anturit voivat paikantaa sinut myös reaaliaikaisesti. Onkin arvioitu, että vuoteen 2030 mennessä auton datan kaupallistamisesta voikin tulla jopa 800 miljardin dollarin arvoinen ala.

Mutta mihin meistä ja autoilustamme kerätty data ylipäätään kulkeutuu? On selvää, että ajon aikana kerätyllä datalla autonvalmistajat voivat kehittää ainakin autojensa turvallisuusominaisuuksia entistä paremmiksi. Olisiko meillä kuluttajina kuitenkin oikeus valita, mitä dataa haluamme itsestämme, sekä autoilustamme luovuttaa, vai pitäisikö meistä tehdyt, mahdolliset kuljettajaprofiilit kieltää kokonaan?

DISCLAIMER: Artikkelin tarkoituksena ei ole käännyttää sinua vaihtamaan auto heti takaisin 80-luvun vanhempaan malliin, vaan ennemminkin herätellä ajattelemaan, mitä kaikkea dataa tämän päivän modernit autot meistä keräävät, ja minne meistä kerätty data lopulta päätyy.

Mihin autostani kerätty data kulkeutuu?

Innostuin tutkimaan aihetta syvällisemmin luettuani Mozillan julkaiseman artikkelin “Privacy Nightmare on Wheels”, jossa 25:lle suosituimmalle autovalmistajalle teetettiin yksityisyystestit. Testien tarkoituksena oli arvioida, miten autonvalmistajat suoriutuvat kuluttajien yksityisyyden huolehtimisesta, sekä heidän tietosuojastaan. Testitulosten perusteella 84 % autonvalmistajista jakoi tai myi keräämänsä tiedot datavälittäjille ja alihankkijoille, sekä 76 % valmistajista kertoi, että dataa saatettiin luovuttaa viranomaisille myös epävirallisilla pyynnöillä. Mozillan artikkeli on julkaistu vuonna 2023, ja siinä tarkasteltiin automerkkien yksityisyys- ja tietoturva-aukkoja viidessä maassa: Yhdysvalloissa, Saksassa, Japanissa, Ranskassa ja Etelä-Koreassa.

Autojen teknologian kehityksessä tavoitellaan ennen kaikkea turvallisempaa autoilua sekä helppoutta, mutta se mahdollistaa valmistajille myös keinoja kerätä kuljettajista jopa sellaista dataa, jota he eivät välttämättä ajatelleet jakavansa kenellekään. Autoalaa herätellään tänä päivänä yhä vahvemmin ja selkeämmin tiedottamaan kuluttajia heidän tietosuojastaan, sekä mahdollisuudesta vaikuttaa heistä kerättyyn dataan. Voidaankin kysyä, kuka omistaa meistä ja ajotavastamme kerätyn datan, ja ketkä kaikki hyötyvät siitä? Hyvin todennäköisesti automme valmistaja, mutta onko osapuolia mahdollisesti myös muita?

FIAn julkaiseman artikkelin mukaan ajoneuvodata on henkilötietoa, ja kaikki autosta kerätty data, joka voidaan yhdistää tiettyyn henkilöön, esimerkiksi auton sijaintitiedot ja VIN, katsotaan henkilötiedoksi. Voisi toki väittää, että lähes kaikki data on jollain tavalla henkilökohtaista tietoa, mutta kysymys onkin siitä, kuinka helposti datasta pääsee käsiksi sen takana olevaan henkilöön.

Kuluttajille jää tänä päivänä myös epäselväksi, miten heidän tietojaan käytetään – tai että niitä ylipäätään käytetään. Kuluttajille on myös epäselvää, kenellä kaikilla on pääsy heidän ajoneuvostaan kerättyyn dataan, sekä mitä kaikkea dataa heistä, ja heidän autoilustaan tallennetaan. Salesforce’n tekemän kyselyn perusteella harvat amerikkalaiset kuljettajat ymmärsivät, mitä "yhdistetty auto" ylipäätään tarkoittaa ja mitä tietoja kuluttajista kerätään.

Mitä EU sanoo autojen keräämästä datasta?

Autonvalmistajat ylläpitävät tietosuojaselosteita verkkosivuillaan, ja esimerkiksi Euroopan alueella ne ovatkin jo pitkään olleet GDPR:n edellyttämiä. Monella valmistajalla on kuitenkin tarjolla useita eri selosteita samanaikaisesti: yksi auton *infotainment-järjestelmälle, toinen valmistajan mobiilisovellukselle, sekä kolmas heidän omille verkkosivuilleen.

*Infotainment-järjestelmällä tarkoitetaan auton, usein kuljettajan oikealle puolelle sijoitettua, kosketusnäytöllistä viihdejärjestelmää. Tähän on yhdistetty monesti auton hallintajärjestelmät, radio, navigointi, puhelin jne.

Monet autonvalmistajat olettavat matkustajan hyväksyvän tietosuojan vain hyppäämällä auton kyytiin, ja vastuu tiedon jakamisesta siirretäänkin kuljettajalle. Otetaan esimerkkinä Tesla, jonka Sentry Mode tallenti jatkuvasti tuntien videopätkiä auton ulkopuolella tapahtuvista asioista. Reutersin julkaiseman vuoden 2023 artikkelin mukaan Teslan työntekijät olivat katsoneet kuljettajista kerättyä kuva- ja videomateriaalia, vaikka videomateriaalin kerrottiin kuluttajille pysyvän anonyyminä, eikä videoiden perusteella ajoneuvoja, ja kuljettajia olisi pystynyt yhdistämään toisiinsa. Tesla säästy kuin säästyikin tietosuojaloukkaukseen liittyviltä sakoilta, ja autojen Sentry Modea onkin parannettu jälkeenpäin. Vastuu kuvaamisesta on kuitenkin yhä kuljettajalla, ja kuljettajan tuleekin arvioida ominaisuutta käyttäessä, täyttääkö julkisella paikalla kuvaaminen GDPR:n vaatimukset.

Moni autonvalmistaja antaa kuljettajille toki mahdollisuuden rajoittaa tiedonkeruuta. Valmistajat mainitsevat tietosuojaselosteissaan, mikäli jonkin datan kerääminen on välttämätöntä, ja minkä tiedon osalta kuljettaja voi päättää vuorostaan itse, jakaako hän dataa valmistajalle vai ei. Joissain tilanteissa suostumuksen antamatta jättäminen kuitenkin tarkoittaa, että auto ei välttämättä toimi niin kuin sen kuuluisi. Missä tilanteessa kuljettaja tekee siis kompromissin?

Syyskuussa 2025 autoalalle voimaan tuleva EU Data Act datasäädöksellä halutaan korostaa käyttäjien oikeuksia sekä heidän henkilötietojen suojaa. Ajoneuvon omistaja saa varsinaisen oikeuden hallita ja jakaa autonsa dataa oman valintansa mukaan. Autonvalmistajien tulee myös informoida kuluttajia selkeästi siitä, mitä dataa kerätään, miten sitä käytetään, ja kuka pääsee siihen käsiksi.

Auto tallentaa tietoja myös puhelimestasi

Monet autot tallentavat puhelimen yhteystietoja, soittohistoriaa, kalenterimerkintöjä, tekstiviestejä, ja jopa sijaintihistoriaa, kun yhdistämme puhelimen autoomme joko Bluetoothilla tai USB:n avulla. Tämän lisäksi autonvalmistajat tarjoavat usein oman mobiilisovelluksensa auton hallintaan etänä. Myös Google, sekä Apple tarjoavat omat applikaationsa puhelimen hallintaan ajon aikana.

Toyota kertoo sivuillaan älypuhelimen integroimisesta seuraavasti:

”Siriltä voi kysyä ajon aikana esimerkiksi kalenterimerkintöjä tai säätietoja, tai sen avulla voi käydä WhatsApp-keskustelua. Turvallisuussyistä Siri lukee saapuneet viestit ääneen ja niihin on mahdollista vastata ääniohjauksen avulla.”

Tämä ominaisuus kuulostaa hienolta, mutta on tärkeää muistaa yksi seikka: jos päätät joku päivä myydä autosi, muistathan poistaa auton järjestelmään tallentuneet WhatsApp-keskustelut ensin. Sama koskee myös vuokra-autoja, joihin yhdistät älypuhelimesi.

Kaikki autoon tallentuneet sijaintitiedot, sekä muu tärkeä data voi jäädä seuraavan käyttäjän nähtäväksi. Haluaisitko paljastaa täysin tuntemattomalle vuokra-auton asiakkaalle vaikkapa sinun kotiosoitteesi? On hyvä muistaa, että vaikka purkaisit puhelimesi USB, tai Bluetooth-liitoksen autosi kanssa, data voi kuitenkin jäädä autoosi muistiin.

Autojen tietovuodot

Entä voivatko autot joutua kyberhyökkäyksen kohteeksi? Palataampa artikkelin alkuun, jossa kävimme läpi mitä kaikkea dataa ajoneuvot, sekä auton valmistajien sovellukset keräävät. Vuonna 2024 jopa 60 % kyberturvallisuustapauksista auto- ja älyliikkumisalalla vaikutti tuhansiin tai miljooniin liikkumiseen liittyviin kohteisiin, kuten ajoneuvoihin, sähköautojen latausasemille, mobiilisovelluksiin, sekä muihin liikkumiseen yhdistettyihin laitteisiin. Pelkän kuljettajista kerätyn datan lisäksi auton toimintoja on pyritty manipuloimaan, tai ottamaan jopa haltuun ajon aikana.

💡 Volkswagen ja Audin tietovuodossa 800 000 sähköauton sijaintitiedot vuotivat julki.

💡 Toyota on kohdannut useita tietovuotoja yli 2,15 miljoonasta käyttäjästä kymmenen vuoden aikana vuosina 2013–2023.

💡 Kesäkuussa 2022 Mercedes-Benz paljasti kolmannen osapuolen toimittajan tietovuodon, jossa paljastui enintään 1,6 miljoonan potentiaalisen ja nykyisen asiakkaan henkilötietoja, mukaan lukien nimet, katuosoitteet, sähköpostiosoitteet ja puhelinnumerot.

Entä miten tästä eteenpäin? Tutustu autoosi, sekä valmistajan tarjoamaan tietosuojaselosteeseen: mitkä ovat mahdollisuutesi kuljettajana rajoittaa oman datan jakamista. Autosi infotainment-järjestelmästä löydät yksityisyysasetuksia, joiden toimintoja on mahdollista kytkeä päälle, tai pois päältä. Päätös rajoittaa datan jakamista voi kuitenkin vaikuttaa auton toimintojen käytettävyyteen.

Kun päätät luopua autostasi, tarkista kuinka saat resetoitua autosi infotainment-järjestelmän, sekä pyyhittyä kaiken datasi pois. Tulevaisuudessa mahdollisesti In Car Payment -ominaisuuden yleistyessä, jossa esimerkiksi polttoaineen maksamisen voi suorittaa infotainment-järjestelmän kautta, on tärkeää huolehtia luottokorttitietojen poistamisesta autosta ennen sen luovuttamista eteenpäin.