Avast는 브라우징 개인 정보 보호 앱에서 브라우징 데이터 판매를 중단하라는 명령을 받았습니다.

보안 연구 및 바이러스 백신 앱 으로 유명한 Avast는 오랫동안 개인 정보 보호 강화를 목표로 하는 Chrome 확장 프로그램, 모바일 앱 및 기타 도구를 제공해 왔습니다.

Avast의 앱은 “귀하의 탐색 활동에 대한 데이터를 수집하는 성가신 추적 쿠키를 차단”하고 웹 서비스가 “귀하의 온라인 활동을 추적”하는 것을 방지합니다. Avast는 개인정보 보호정책에 대해 심층적으로 수집한 정보가 “익명 및 집계”라고 밝혔습니다. 가장 격렬한 수사로 Avast의 데스크톱 소프트웨어는 “해커가 검색으로 돈을 버는 것”을 막을 것이라고 주장했습니다.

연방거래위원회(Federal Trade Commission)에 따르면 Avast가 2014년부터 2020년까지 사용자의 브라우저 정보를 수집한 후 Jumpshot으로 알려진 이후 폐쇄된 법인을 통해 100개 이상의 다른 회사에 판매하는 동안 해당 언어가 모두 제공되었습니다 . 최근 제안된 FTC 명령 (PDF) 에 따라 Avast는 1,650만 달러를 지불해야 하며, FTC에 따르면 이 금액은 “소비자에게 구제책을 제공하는 데 사용될 것으로 예상됩니다” . 또한 Avast는 향후 검색 데이터 판매가 금지되고, 향후 데이터 수집에 대한 명시적 동의를 얻어야 하며, 고객에게 사전 데이터 판매에 대해 알리고, 사전 행위를 해결하기 위한 “포괄적 개인정보 보호 프로그램”을 구현해야 합니다.

의견을 구한 Avast는 2020년 초 회사의 Jumpshot 폐쇄를 언급하는 성명을 제공했습니다. “우리는 사람들의 디지털 생활을 보호하고 역량을 강화한다는 사명에 최선을 다하고 있습니다. 우리는 FTC의 주장과 사실의 특성에 동의하지 않지만 이 문제를 해결하게 되어 기쁘고 전 세계 수백만 명의 고객에게 계속 서비스를 제공할 수 있기를 기대합니다.”라고 성명서는 밝혔습니다.

데이터는 익명성과 거리가 멀었습니다

FTC 의 불만 사항 (PDF)에는 Avast가 2014년 초 당시 바이러스 백신 경쟁업체인 Jumpshot을 인수한 후 회사 브랜드를 분석 판매자로 변경했다고 명시되어 있습니다. Jumpshot은 “전 세계적으로 1억 명이 넘는 온라인 소비자”의 습관에 대한 “독특한 통찰력”을 제공한다고 광고했습니다. 여기에는 “청중이 귀하의 사이트 또는 경쟁사의 사이트를 분석하고 특정 URL을 방문한 사람들을 추적할 수도 있습니다.”

Avast와 Jumpshot은 데이터에서 식별 정보가 제거되었다고 주장했지만 FTC는 이것이 “충분하지 않다”고 주장합니다. Jumpshot 제품에는 “모든 클릭 피드”, “Search Plus Click Feed”와 같은 데이터에 포함된 각 브라우저에 대한 고유 장치 식별자가 포함되어 있습니다. ,””거래 피드”등이 있습니다. FTC의 불만 사항에는 다양한 회사가 이러한 피드를 구매하는 방법이 자세히 설명되어 있으며, 종종 이를 회사의 자체 데이터와 연결하려는 명시적인 목적을 가지고 개인 사용자 단위까지 제공합니다. 일부 Jumpshot 계약에서는 Avast 사용자의 재식별을 금지하려고 시도했지만 “이러한 금지는 제한적이었습니다”라고 불만 사항이 명시되어 있습니다.

Avast와 Jumpshot의 관계는 Vice와 PC Magazine의 보고 이후 Home Depot, Google, Microsoft, Pepsi, McKinsey를 포함한 클라이언트가 기밀 계약에서 볼 수 있듯이 Jumpshot에서 데이터를 구매하고 있다는 사실이 밝혀진 후 2020년 1월에 널리 알려졌습니다. 간행물을 통해 얻은 데이터에 따르면 구매자는 Google 지도 조회, 개별 LinkedIn 및 YouTube 페이지, 포르노 사이트 등을 포함한 데이터를 구매할 수 있었습니다. 한 소식통은 Vice에 “매우 세부적이며 타임스탬프가 있는 장치 수준까지 내려가기 때문에 이러한 회사에 훌륭한 데이터입니다”라고 말했습니다.

FTC의 불만 사항은 자체 웹 포럼에서 Avast가 어떻게 Jumpshot의 존재를 과소평가하려고 했는지에 대한 자세한 내용을 제공합니다. Avast는 집계되지 않은 데이터만 Jumpshot에 제공되었으며 “새롭고 흥미로운 추세를 더 잘 이해”하기 위해 제품 설치 중에 사용자에게 데이터 수집에 대한 정보를 제공했다고 제안했습니다. FTC는 이러한 주장 중 어느 것도 사실이 아니라고 제안했습니다. 그리고 수집된 데이터는 재식별이 가능하다는 점에서 전혀 무해하지 않았습니다.

예를 들어, 응답자가 보유하고 있는 수조 개의 항목 중 단 100개의 항목에 대한 샘플을
보면 소비자가 다음 페이지를 방문한 것으로 나타났습니다.
유방암 증상 연구에 관한 학술 논문; 엘리자베스 워렌 상원의원의 대선 출마 발표; 세금 면제에 관한 CLE 과정
; 메릴랜드 주 포트미드에서 $100,000 이상의 급여를 받는 정부 일자리
; FAFSA(재정 지원) 신청 중간 지점으로 연결되는 링크(그러다가 끊어짐)
한 위치에서 다른 위치로의 Google 지도 방향 안내 스페인어 어린이용
YouTube 동영상 고유한 회원 ID를 포함한 프랑스 데이트 웹사이트 링크 그리고 코스프레
에로티카.

발표와 함께 제공되는 블로그 게시물 에서 FTC 선임 변호사 Lesley Fair는 Avast의 개인 정보 보호 제품과 Jumpshot의 광범위한 추적의 이중 특성 외에도 FTC가 점점 더 검색 데이터를 “최대한의 주의가 필요한 매우 민감한 정보”로 보고 있다고 썼습니다. “개인이 방문하는 웹사이트에 대한 데이터는 상업적으로 자유롭게 이용될 수 있는 또 다른 기업 자산이 아닙니다.”라고 Fair는 썼습니다.

FTC 위원들은 불만 사항을 제기하고 제안된 동의 계약을 수락하기 위해 3대0으로 투표했습니다. Lina Khan 의장은 Rebecca Slaughter 및 Alvaro Bedoya 위원과 함께 투표에 대한 성명을 발표했습니다.

FTC의 고소 및 Jumpshot 사업 이후 Avast는 Norton, Avast, LifeLock, Avira, AVG, CCLeaner 및 ReputationDefender를 비롯한 여러 보안 사업을 보유한 회사인 Gen Digital 에 인수되었습니다.

공개: Ars Technica의 모회사인 Condé Nast는 폐쇄되기 전에 Jumpshot으로부터 데이터를 받았습니다.