英国软件提供商 Avast Limited 指控英国软件提供商 Avast Limited 通过欺骗性收集和出售用户浏览数据而损害消费者隐私,与联邦贸易委员会 (FTC) 达成具有里程碑意义的 1,650 万美元和解协议的一部分,FTC 已开始向购买了欺骗性营销防病毒软件的消费者发送索赔表。
联邦贸易委员会的抱怨于 2024 年 2 月提交的诉讼,指控 Avast 承诺保护隐私,同时销售详细且可重新识别的浏览数据,从而误导消费者。 Avast 将自己定位为一家致力于阻止第三方跟踪的公司,但却通过其防病毒软件和浏览器扩展程序收集了大量的浏览历史记录。这些信息随后通过 Avast 的捷克子公司 Jumpshot 出售给 100 多个第三方。
FTC 在诉状中表示,Avast 通过该公司的浏览器扩展程序和防病毒软件不公平地收集消费者的浏览信息,无限期地存储这些信息,并在没有充分通知和未经消费者同意的情况下出售这些信息。
FTC 还指控 Avast 欺骗用户,声称该软件将通过阻止第三方跟踪来保护消费者的隐私,但未能充分告知消费者它将出售其详细的、可重新识别的浏览数据。
“Avast 向用户承诺其产品将保护他们浏览数据的隐私,但结果却恰恰相反,”联邦贸易委员会消费者保护局局长塞缪尔·莱文 (Samuel Levine) 表示。 “Avast 的诱饵和转换监控策略损害了消费者的隐私并违反了法律。”
FTC 表示,至少自 2014 年以来,Avast 一直通过浏览器扩展程序(可以修改或扩展消费者网络浏览器的功能)以及通过安装在消费者计算机和移动设备上的防病毒软件收集消费者的浏览信息。这些浏览数据包括有关用户的网络搜索和访问的网页的信息,揭示了消费者的宗教信仰、健康问题、政治倾向、位置、财务状况、对儿童导向内容的访问和其他敏感信息。
此案凸显了人们对数据隐私日益增长的担忧,以及网络安全公司履行保护用户信息承诺的责任。
作为和解协议的一部分,Avast 不仅需要支付 1650 万美元(这笔资金将用于补偿受影响的消费者),而且 FTC 还禁止该公司歪曲其收集和使用数据的方式。明确禁止 Avast 出于广告目的向第三方出售或许可从 Avast 品牌产品获得的浏览数据。此外,Avast 必须实施全面的隐私计划,以防止未来侵犯消费者的信任。
FTC 正在积极联系受影响的消费者,通过电子邮件向 2014 年 8 月至 2020 年 1 月期间购买 Avast 防病毒软件的 3,690,813 名个人发送索赔表。这些消费者必须在 2025 年 6 月 5 日之前通过 FTC 建立的在线门户提出索赔,该门户强调提交索赔或接收退款不需要任何付款或帐户信息,这强化了其对退款流程透明度的承诺。
联邦贸易委员会的执法行动是在数字隐私问题达到历史最高水平之际采取的。提供网络安全解决方案的公司负有保护用户的基本义务,但 Avast 的行为暴露了其承诺与实践之间的鲜明矛盾。
FTC 的投诉详细说明了 Avast 如何收集用户数据,包括有关网络搜索、访问的页面以及潜在敏感个人详细信息(例如宗教信仰、健康问题、政治立场和财务状况)的信息。这些数据被无限期地存储,尽管声称是匿名的,但据称没有充分去识别化,从而可以将浏览历史链接回个人用户。
Avast 收购了 Jumpshot(一家分析公司,现已成为数据经纪行业的主要参与者)后,争议愈演愈烈。 Jumpshot 将 Avast 收集的浏览数据出售给广泛的客户,包括广告商、营销商和数据经纪人。据 FTC 称,Avast 错误地向用户保证他们的个人数据只会以汇总和匿名的形式共享,但该公司未能实施足够的保护措施来防止重新识别。
此案中一个特别令人不安的方面是 Avast 构建其数据销售的方式。 Jumpshot 的一些产品旨在允许客户跟踪特定用户并将浏览历史记录与其他可用数据源进行匹配。例如,Jumpshot 与广告集团 Omnicom 之间达成的协议允许 Omnicom 访问 Avast 用户的浏览数据,并将其与来自数据经纪人的个人用户信息集成。这种做法进一步加剧了消费者隐私面临的风险,并违反了 Avast 自己的匿名声明。
据 FTC 称,Avast 声称在将数据传输给客户之前使用特殊算法删除识别信息。然而,联邦贸易委员会表示,该公司未能充分匿名化通过各种产品以非汇总形式出售的消费者浏览信息。例如,其数据源包括其收集信息的每个网络浏览器的唯一标识符,并且可能包括访问的每个网站、精确的时间戳、设备和浏览器的类型以及城市、州和国家。诉状称,当 Avast 确实描述其数据共享做法时,联邦贸易委员会表示,该公司错误地声称只会以汇总和匿名形式传输消费者的个人信息。
除了经济处罚之外,FTC 的和解协议还对 Avast 提出了严格的新要求。除了禁止销售 Avast 品牌产品的浏览数据外,该公司在销售或许可其他非 Avast 产品的浏览数据之前还必须获得用户的明确同意。 Avast 还需要删除之前传输到 Jumpshot 的所有浏览数据,以及从该数据派生的任何产品或算法。此外,公司必须将联邦贸易委员会的行动通知所有受影响的消费者,并建立健全的隐私计划,以确保遵守未来的数据保护法规。
联邦贸易委员会决定采取如此强有力的措施,反映了让公司对欺骗性数据行为承担责任的承诺。该机构的执法工作符合更广泛的监管趋势,旨在在日益数字化的世界中遏制数据利用并加强消费者保护。
针对 Avast 的案件也为其他收集用户数据并通过其货币化的科技公司敲响了警钟。虽然数据分析和定向广告仍然是利润丰厚的行业,但企业必须负责任地把握这些机会,确保优先考虑透明度、安全性和用户同意。全球监管机构日益严格的审查表明,未能遵守道德数据实践的公司可能会面临重大的法律和财务后果。
FTC 与 Avast 达成和解之前,针对滥用消费者数据的公司采取了一系列备受瞩目的执法行动。仅 2024 年,FTC 就向受各行业欺骗性商业行为影响的消费者提供了超过 2.85 亿美元的退款。该机构的交互式退款数据仪表板提供了对这些和解的各州分布的深入了解。
对于受到 Avast 欺骗行为影响的消费者,和解协议提供了一种赔偿形式。然而,它也引发了关于更广泛的数字隐私领域的重要问题,以及用户在多大程度上可以信任声称保护他们的公司。 Avast 案例清楚地提醒我们,消费者必须对其数据的收集、使用和共享方式保持警惕。
展望未来,Avast 遵守 FTC 命令的情况将受到密切监控。该公司重建消费者信任的能力将取决于其是否愿意遵守更强有力的隐私保护和透明的数据政策。该和解不仅为受影响的消费者伸张正义,还为监管机构未来如何处理类似案件树立了先例。
Avast 是一个FIDO 联盟和去中心化身份基金会 (DIF) 等以身份为中心的组织。一月份的时候其名为 Avast Secure Identity 的身份保护功能可在美国以外的 15 个国家/地区使用,包括英国、法国、德国、澳大利亚、新西兰、巴西、墨西哥、西班牙和意大利。
文章主题
||||||
