ג'נרל מוטורס (GM) תשלם 12.75 מיליון דולר בשל מכירה לא-חוקית של נתוני מיקום ונתוני התנהגות נהיגה של מאות אלפי תושבי קליפורניה. כך הודיע התובע הכללי של קליפורניה, רוב בונטה, יחד עם פרקליטויות המחוז של סן פרנסיסקו, לוס אנג'לס, נאפה וסונומה, ובתמיכת הרשות הקליפורנית להגנת הפרטיות (CalPrivacy). נודע שזה הסכום הגבוה בתולדות אכיפת החוק הקליפורני להגנת הפרטיות (CCPA), והתיק הראשון שנאכף בקליפורניה על בסיס עקרון מזעור מידע (data minimization).

על-פי כתב התביעה, בשנים 2020–2024 מכרה GM לשני סוחרי מידע – Verisk Analytics ו-LexisNexis Risk Solutions – שמות, פרטי קשר, מיקומים מדויקים ונתונים על דפוסי נהיגה שנאספו דרך שירות OnStar. סוחרי המידע ביקשו לפתח כלי-דירוג נהגים אותם תכננו לשווק לחברות ביטוח רכב לצורך קביעת פרמיות. הרווח של GM מהמכירות נאמד בכ-20 מיליון דולר ברחבי ארה"ב. תושבי קליפורניה לא ניזוקו ישירות, שכן הדין במדינה אוסר על שימוש בנתוני נהיגה לקביעת תעריפי ביטוח – בשונה ממדינות אחרות.

החקירה העלתה כי GM לא יידעה את הצרכנים על מכירת הנתונים, והטעתה אותם במדיניות הפרטיות שלה, בה הצהירה במפורש כי אינה מוכרת נתוני נהיגה או מיקום. בנוסף, החברה שמרה נתונים זמן רב מעבר לנדרש לאספקת השירות – בניגוד לעקרונות הגבלת המטרה ומזעור הנתונים, שהוטמעו ב-CCPA ב-2023.

בהסדר, שעוד כפוף לאישור בית-המשפט, התחייבה GM לשלם את הקנס; להפסיק למכור נתוני נהיגה לסוכנויות דיווח לצרכן ולמתווכי מידע למשך חמש שנים; למחוק תוך 180 יום את נתוני הנהיגה שבידיה, למעט שימושים פנימיים מוגדרים, בהיעדר הסכמה מפורשת; לדרוש מ-Verisk ומ-Lexis למחוק את הנתונים שקיבלו; ולפתח תוכנית פרטיות מקיפה הכוללת הערכות סיכון תקופתיות שיועברו לרשויות.