捷克资安业者Avast因擅自搜集大量用户浏览资料,并将它们出售给上百家资料掮客,美国联邦交易委员会(Federal Trade Commission,FTC)周四(2/22)要求Avast停止相关行为,同时支付1,650万美元的罚款。
根据FTC的调查,Avast利用所开发的防毒软体及浏览器扩充程式来搜集用户的浏览资料,不仅无限期地储存这些用户资讯,还在未经用户同意且未告知的情况下,将它们透过子公司Jumpshot出售给全球超过100家的第三方资料掮客,用以执行目标式广告。
至少从2014年开始,Avast便利用浏览器扩充程式,或者是安装在手机及电脑上的防毒软体,来搜集用户的浏览资料,涵盖搜寻及所造访的网站,得以窥探使用者的宗教信仰、健康问题、政治倾向、位置、财务状况及其它敏感资讯。讽刺的是,Avast对外宣称其产品可以减少网路上的追踪,保护使用者的隐私,但在搜集及销售用户资料上,却从未告知或取得用户的同意。
此外,即便Avast表示是先利用演算法来删除身分识别资讯,再将资料出售,但FTC发现Avast所出售的资料针对每个浏览器与其所搜集的资料建立了唯一识别标记,涵盖所造访的网站、时间戳、装置及浏览器类型、城市及国家等,却对外声称只会以汇总与匿名方式传送消费者个资。
事实上,Google与Mozilla在2019年时,便曾因Avast所开发的4款浏览器扩充程式过度追踪使用者行为,而将相关扩充程式自Chrome与Firefox上的程式商店移除。且在2020年传出Avast出售用户浏览资料时,Avast接著便关闭了对外宣称拥有来自全球1亿台装置资料的行销子公司Jumpshot。
本周FTC除了要求Avast支付1,650万美元之外,也禁止Avast出售浏览资料,或者在出售前必须获得用户的明确同意,也必须删除当初转给Jumpshot的浏览资料,以及任何自该资料衍生的产品与演算法,并要求Avast实施全面的隐私计划。