英國軟件提供商 Avast Limited 指控英國軟件提供商 Avast Limited 通過欺騙性收集和出售用戶瀏覽數據而損害消費者隱私,與聯邦貿易委員會 (FTC) 達成具有里程碑意義的 1,650 萬美元和解協議的一部分,FTC 已開始向購買了欺騙性營銷防病毒軟件的消費者發送索賠表。
聯邦貿易委員會的抱怨於 2024 年 2 月提交的訴訟,指控 Avast 承諾保護隱私,同時銷售詳細且可重新識別的瀏覽數據,從而誤導消費者。 Avast 將自己定位為一家致力於阻止第三方跟踪的公司,但卻通過其防病毒軟件和瀏覽器擴展程序收集了大量的瀏覽歷史記錄。這些信息隨後通過 Avast 的捷克子公司 Jumpshot 出售給 100 多個第三方。
FTC 在訴狀中表示,Avast 通過該公司的瀏覽器擴展程序和防病毒軟件不公平地收集消費者的瀏覽信息,無限期地存儲這些信息,並在沒有充分通知和未經消費者同意的情況下出售這些信息。
FTC 還指控 Avast 欺騙用戶,聲稱該軟件將通過阻止第三方跟踪來保護消費者的隱私,但未能充分告知消費者它將出售其詳細的、可重新識別的瀏覽數據。
“Avast 向用戶承諾其產品將保護他們瀏覽數據的隱私,但結果卻恰恰相反,”聯邦貿易委員會消費者保護局局長塞繆爾·萊文 (Samuel Levine) 表示。 “Avast 的誘餌和轉換監控策略損害了消費者的隱私並違反了法律。”
FTC 表示,至少自 2014 年以來,Avast 一直通過瀏覽器擴展程序(可以修改或擴展消費者網絡瀏覽器的功能)以及通過安裝在消費者計算機和移動設備上的防病毒軟件收集消費者的瀏覽信息。這些瀏覽數據包括有關用戶的網絡搜索和訪問的網頁的信息,揭示了消費者的宗教信仰、健康問題、政治傾向、位置、財務狀況、對兒童導向內容的訪問和其他敏感信息。
此案凸顯了人們對數據隱私日益增長的擔憂,以及網絡安全公司履行保護用戶信息承諾的責任。
作為和解協議的一部分,Avast 不僅需要支付 1650 萬美元(這筆資金將用於補償受影響的消費者),而且 FTC 還禁止該公司歪曲其收集和使用數據的方式。明確禁止 Avast 出於廣告目的向第三方出售或許可從 Avast 品牌產品獲得的瀏覽數據。此外,Avast 必須實施全面的隱私計劃,以防止未來侵犯消費者的信任。
FTC 正在積極聯繫受影響的消費者,通過電子郵件向 2014 年 8 月至 2020 年 1 月期間購買 Avast 防病毒軟件的 3,690,813 名個人發送索賠表。這些消費者必須在 2025 年 6 月 5 日之前通過 FTC 建立的在線門戶提出索賠,該門戶強調提交索賠或接收退款不需要任何付款或帳戶信息,這強化了其對退款流程透明度的承諾。
聯邦貿易委員會的執法行動是在數字隱私問題達到歷史最高水平之際採取的。提供網絡安全解決方案的公司負有保護用戶的基本義務,但 Avast 的行為暴露了其承諾與實踐之間的鮮明矛盾。
FTC 的投訴詳細說明了 Avast 如何收集用戶數據,包括有關網絡搜索、訪問的頁面以及潛在敏感個人詳細信息(例如宗教信仰、健康問題、政治立場和財務狀況)的信息。這些數據被無限期地存儲,儘管聲稱是匿名的,但據稱沒有充分去識別化,從而可以將瀏覽歷史鏈接回個人用戶。
Avast 收購了 Jumpshot(一家分析公司,現已成為數據經紀行業的主要參與者)後,爭議愈演愈烈。 Jumpshot 將 Avast 收集的瀏覽數據出售給廣泛的客戶,包括廣告商、營銷商和數據經紀人。據 FTC 稱,Avast 錯誤地向用戶保證他們的個人數據只會以匯總和匿名的形式共享,但該公司未能實施足夠的保護措施來防止重新識別。
此案中一個特別令人不安的方面是 Avast 構建其數據銷售的方式。 Jumpshot 的一些產品旨在允許客戶跟踪特定用戶並將瀏覽歷史記錄與其他可用數據源進行匹配。例如,Jumpshot 與廣告集團 Omnicom 之間達成的協議允許 Omnicom 訪問 Avast 用戶的瀏覽數據,並將其與來自數據經紀人的個人用戶信息集成。這種做法進一步加劇了消費者隱私面臨的風險,並違反了 Avast 自己的匿名聲明。
據 FTC 稱,Avast 聲稱在將數據傳輸給客戶之前使用特殊算法刪除識別信息。然而,聯邦貿易委員會表示,該公司未能充分匿名化通過各種產品以非匯總形式出售的消費者瀏覽信息。例如,其數據源包括其收集信息的每個網絡瀏覽器的唯一標識符,並且可能包括訪問的每個網站、精確的時間戳、設備和瀏覽器的類型以及城市、州和國家。訴狀稱,當 Avast 確實描述其數據共享做法時,聯邦貿易委員會表示,該公司錯誤地聲稱只會以匯總和匿名形式傳輸消費者的個人信息。
除了經濟處罰之外,FTC 的和解協議還對 Avast 提出了嚴格的新要求。除了禁止銷售 Avast 品牌產品的瀏覽數據外,該公司在銷售或許可其他非 Avast 產品的瀏覽數據之前還必須獲得用戶的明確同意。 Avast 還需要刪除之前傳輸到 Jumpshot 的所有瀏覽數據,以及從該數據派生的任何產品或算法。此外,公司必須將聯邦貿易委員會的行動通知所有受影響的消費者,並建立健全的隱私計劃,以確保遵守未來的數據保護法規。
聯邦貿易委員會決定採取如此強有力的措施,反映了讓公司對欺騙性數據行為承擔責任的承諾。該機構的執法工作符合更廣泛的監管趨勢,旨在在日益數字化的世界中遏制數據利用並加強消費者保護。
針對 Avast 的案件也為其他收集用戶數據並通過其貨幣化的科技公司敲響了警鐘。雖然數據分析和定向廣告仍然是利潤豐厚的行業,但企業必須負責任地把握這些機會,確保優先考慮透明度、安全性和用戶同意。全球監管機構日益嚴格的審查表明,未能遵守道德數據實踐的公司可能會面臨重大的法律和財務後果。
FTC 與 Avast 達成和解之前,針對濫用消費者數據的公司採取了一系列備受矚目的執法行動。僅 2024 年,FTC 就向受各行業欺騙性商業行為影響的消費者提供了超過 2.85 億美元的退款。該機構的交互式退款數據儀表板提供了對這些和解的各州分佈的深入了解。
對於受到 Avast 欺騙行為影響的消費者,和解協議提供了一種賠償形式。然而,它也引發了關於更廣泛的數字隱私領域的重要問題,以及用戶在多大程度上可以信任聲稱保護他們的公司。 Avast 案例清楚地提醒我們,消費者必須對其數據的收集、使用和共享方式保持警惕。
展望未來,Avast 遵守 FTC 命令的情況將受到密切監控。該公司重建消費者信任的能力將取決於其是否願意遵守更強有力的隱私保護和透明的數據政策。該和解不僅為受影響的消費者伸張正義,還為監管機構未來如何處理類似案件樹立了先例。
Avast 是一個FIDO 聯盟和去中心化身份基金會 (DIF) 等以身份為中心的組織。一月份的時候其名為 Avast Secure Identity 的身份保護功能可在美國以外的 15 個國家/地區使用,包括英國、法國、德國、澳大利亞、新西蘭、巴西、墨西哥、西班牙和意大利。
文章主題
||||||
