周三下午，加州總檢察長辦公室的一份公告讓數百萬車主后背發涼——你每次急剎車、深夜加油、周末短途出行的軌跡，可能被默默標價出售了五年。

通用汽車（GM）與加州當局達成1275萬美元和解協議，創下該州隱私執法史上最高罰款紀錄。這筆罰單指向一個簡單事實：2020年至2024年間，這家擁有雪佛蘭、凱迪拉克、別克、GMC四大品牌的美國車企，通過OnStar車載系統和"Smart Driver"功能，持續收集并轉賣加州居民的駕駛行為與精確位置數據。

買家是誰？數據經紀商Verisk Analytics和LexisNexis Risk Solutions。用途？生成駕駛員評分產品，供保險公司參考。通用從中獲利多少？全美范圍內2000萬美元——而加州司機的數據只是其中一部分。

調查始于2024年的媒體報道。當時外界發現多家車企向保險公司共享駕駛行為數據，加州檢方隨即介入。調查結論相當直白：通用從未充分告知消費者數據收集的存在，更未獲取有效同意；數據留存時間遠超必要期限，還被二次加工用于銷售。

"通用汽車在無數次聲明中向司機保證不會出售數據，背地里卻恰恰相反，"加州總檢察長Rob Bonta在聲明中措辭嚴厲，"這批信息包含精確的個人位置數據，足以還原加州居民的日常習慣和行動軌跡。"

這筆1275萬美元罰款的特殊之處在于，它是加州首次針對"數據最小化"原則開出的執法罰單。CCPA（加州消費者隱私法）不僅要求企業告知和獲取同意，更強制規定：收集的數據不得超過業務必需范圍，留存時間不得超過處理目的所需期限。通用的做法——超期保留、改作他用——恰好踩中這條紅線。

和解協議的附加條款比罰款本身更具約束力。通用被禁止在五年內向消費者報告機構和數據經紀商出售駕駛數據；必須在180天內刪除已保留的駕駛數據，除非消費者明確同意繼續留存；還須要求Verisk和LexisNexis刪除此前接收的全部數據。此外，通用需建立更嚴格的隱私合規體系，并定期向監管機構提交評估報告。

值得注意的是，加州官員表示，當地司機大概率未因數據泄露而面臨保費上漲——因為州法律明確禁止保險公司使用駕駛數據設定費率。但這不意味著其他州的消費者同樣安全。通用的數據銷售覆蓋全國，而各州監管尺度參差不齊。

這并非通用首次因此類行為受罰。美國聯邦貿易委員會（FTC）此前已對其非法數據收集提出批評，并禁止該公司在五年內出售司機數據。FTC的禁令與加州和解的五年禁售期形成疊加，意味著通用在數據變現這條路上被雙重鎖死。

事件暴露車載系統的隱私黑洞。OnStar作為通用1996年推出的車載服務，原本主打緊急救援和導航；Smart Driver功能則包裝為"幫助用戶改善駕駛習慣"的增值服務。兩者疊加，構成了一個持續運轉的數據采集網絡——剎車力度、轉彎速度、行駛里程、停車地點，全部落入數據庫。

車企的商業模式正在發生微妙位移。賣車利潤變薄，軟件服務收入被寄予厚望，而駕駛數據正是這座金礦的核心礦脈。通用的2000萬美元收入相對于其整體營收微不足道，卻揭示了行業試探監管邊界的普遍沖動——直到撞上加州的CCPA鐵墻。

截至發稿，BleepingComputer向通用發出的置評請求未獲回應。而1275萬美元的罰單已經落定：你的駕駛習慣值多少錢，終于有了第一個官方定價。