未经许可出售用户数据 杀毒软件巨头Avast在美国被罚1650万美元

2024年2月22日，总部位于英国的捷克杀毒软件公司Avast因擅自搜集大量用户浏览信息，并将它们出售给上百家数据掮客，被美国联邦交易委员会(Federal Trade Commission，FTC)责令停止相关行为，同时支付1,650万美元的罚款。

根据FTC的调查，Avast利用所开发的杀毒软体及浏览器扩充程式来搜集用户的浏览资料，不仅无限期地储存这些用户数据，还在未经用户同意且未告知的情况下，将它们透过子公司Jumpshot出售给全球超过100家的第三方数据掮客，用以开展定向广告营销。

至少从2014年开始，Avast便利用浏览器扩充程式，或者是安装在手机及电脑上的防毒软体，来搜集用户的浏览信息，涵盖搜寻及所造访的网站，得以窥探使用者的宗教信仰、健康问题、政治倾向、位置、财务状况及其它敏感信息。讽刺的是，Avast对外宣称其产品可以减少网络上的追踪，保护使用者的隐私，但在搜集及销售用户信息上，却从未告知或取得用户的同意。FTC 认为，Avast 错误地声称其软件会保护用户的隐私并阻止第三方跟踪，构成了对用户的欺诈。

此外，即便Avast表示是先利用算法删除了身份识别信息，再将数据出售，但FTC发现Avast所出售的数据针对每个浏览器与其所搜集的资料建立了唯一识别标记，涵盖所浏览的网站、时间戳、装置及浏览器类型、城市及国家等，却对外声称只会以汇总与匿名方式传送消费者个人信息。

事实上，Google与Mozilla在2019年时，便曾因Avast所开发的4款浏览器扩充程式过度追踪使用者行为，而将相关扩充程式自Chrome与Firefox上的程式商店移除。且在2020年传出Avast出售用户浏览信息时，Avast接着便关闭了对外宣称拥有来自全球1亿台装置资料的行销子公司Jumpshot。本周FTC除了要求Avast支付1,650万美元之外，也禁止Avast出售浏览信息，或者在出售前必须获得用户的明确同意，将 FTC的本次调查情况告知那些未经同意就出售浏览信息的消费者。FTC责令Avast必须删除已经传给Jumpshot的浏览信息，以及源自该数据衍生的一切产品与算法。同时，并要求Avast实施全面的隐私保护计划，以解决FTC所指出的不当行为。