Avast 被勒令停止出售其瀏覽隱私權應用程式的瀏覽數據

Avast 以其安全研究和防毒應用程式而聞名，長期以來一直提供 Chrome 擴充功能、行動應用程式和其他旨在增強隱私的工具。

Avast 的應用程式將“阻止收集您的瀏覽活動資料的惱人的追蹤cookie”，並阻止網路服務「追蹤您的線上活動」。在其隱私權政策的深處，Avast 表示，它收集的資訊將是“匿名的和匯總的」。Avast 的桌面軟體以最激烈的言辭聲稱它將阻止「駭客透過你的搜尋賺錢」。

據美國聯邦貿易委員會稱，所有這些語言都是在 Avast 從 2014 年到 2020 年收集用戶瀏覽器資訊時提供的，然後透過一個名為 Jumpshot 的實體將其出售給 100 多家其他公司。根據FTC 最近提出的一項命令(PDF)，Avast 必須支付 1650 萬美元，據 FTC 稱，這筆資金「預計將用於向消費者提供賠償」。Avast 也將被禁止出售未來的瀏覽數據，必須獲得未來數據收集的明確同意，通知客戶先前的數據出售情況，並實施「全面的隱私計畫」來解決先前的行為。

我們聯繫 Avast 徵求意見，該公司發表了一份聲明，指出該公司已於 2020 年初關閉 Jumpshot。「我們致力於保護和增強人們的數位生活的使命。雖然我們不同意聯邦貿易委員會的指控和對事實的描述，但我們很高興解決此事，並期待繼續為全球數百萬客戶提供服務，」聲明中寫道。

數據遠非匿名

FTC的投訴(PDF) 指出，Avast 在 2014 年初收購了當時的防毒競爭對手 Jumpshot 後，將該公司重新命名為分析銷售商。Jumpshot 宣傳稱，它可以為「全球超過 1 億線上消費者」的習慣提供「獨特的見解」。其中包括能夠「查看受眾在訪問您的網站或網站之前和之後的去向」。競爭對手的網站，甚至跟踪那些訪問特定URL 的人。”

雖然 Avast 和 Jumpshot 聲稱數據已刪除識別信息，但 FTC 認為這“還不夠”。Jumpshot 產品包括每個瀏覽器的唯一設備標識符，包含在“所有點擊源”、“搜索加點擊源”等數據中、”“交易源”等等。聯邦貿易委員會的投訴詳細說明了各公司如何購買這些來源，通常明確的目的是將它們與公司自己的數據配對，具體到個人用戶。投訴指出，一些 Jumpshot 合約試圖禁止重新識別 Avast 用戶，但「這些禁令是有限的」。

Avast 和 Jumpshot 之間的聯繫於 2020 年 1 月廣為人知，此前 Vice 和 PC Magazine 的報告顯示，包括家得寶、谷歌、微軟、百事可樂和麥肯錫在內的客戶正在從 Jumpshot 購買數據，正如機密合約中所見。這些出版物獲得的數據顯示，買家可以購買包括 Google 地圖查找、個人 LinkedIn 和 YouTube 頁面、色情網站等數據。一位消息人士告訴 Vice，“它非常精細，對於這些公司來說是很棒的數據，因為它可以細化到帶有時間戳的設備級別。”

FTC 的投訴提供了有關 Avast 如何在自己的網路論壇上試圖淡化其 Jumpshot 存在的更多細節。Avast 表示，只向Jumpshot 提供非聚合數據，並且在產品安裝過程中告知用戶收集數據，以「更好地了解新的和有趣的趨勢」。聯邦貿易委員會表示，這些說法都沒有被證明是正確的。鑑於其可重新識別的性質，收集到的數據遠非無害：

例如，受訪者保留的數萬億條目中只有 100 個條目的樣本
顯示消費者訪問了以下頁面：一篇關於
乳癌症狀研究的學術論文；參議員伊麗莎白沃倫 (Elizabeth Warren) 宣布競選總統；
有關免稅的CLE 課程；馬裡蘭州米德堡的政府工作，薪水超過
10 萬美元；指向 FAFSA（經濟援助）申請中點的連結（隨後中斷）；
Google 地圖上從一個地點到另一個地點的路線；西班牙語兒童
YouTube 影片；法國約會網站的鏈接，包括唯一的會員 ID；和角色扮演
色情作品。

FTC 高級律師 Lesley Fair在其公告附帶的部落格文章中寫道，除了Avast 隱私產品和Jumpshot 廣泛跟踪的雙重性質之外，FTC 越來越多地將瀏覽數據視為“需要格外小心的高度敏感信息” 。「有關一個人訪問的網站的數據不僅僅是另一種可供不受限制的商業利用的企業資產，」費爾寫道。

FTC 委員以 3 比 0 的投票結果發出投訴並接受擬議的同意協議。主席莉娜汗 (Lina Khan) 以及委員麗貝卡·斯勞特 (Rebecca Slaughter) 和阿爾瓦羅·貝多亞 (Alvaro Bedoya)就投票發表了聲明。

自 FTC 提出投訴及其 Jumpshot 業務以來，Avast 已被Gen Digital收購，該公司旗下包括 Norton、Avast、LifeLock、Avi​​ra、AVG、CCLeaner 和 ReputationDefender 等安全業務。

揭露：Ars Technica 的母公司 Condé Nast 在 Jumpshot 關閉前收到了該公司的數據。