Avast出售用戶瀏覽資料，被罰1,650萬美元

捷克資安業者Avast因擅自蒐集大量用戶瀏覽資料，並將它們出售給上百家資料掮客，美國聯邦交易委員會（Federal Trade Commission，FTC）周四（2/22）要求Avast停止相關行為，同時支付1,650萬美元的罰款。

根據FTC的調查，Avast利用所開發的防毒軟體及瀏覽器擴充程式來蒐集用戶的瀏覽資料，不僅無限期地儲存這些用戶資訊，還在未經用戶同意且未告知的情況下，將它們透過子公司Jumpshot出售給全球超過100家的第三方資料掮客，用以執行目標式廣告。

至少從2014年開始，Avast便利用瀏覽器擴充程式，或者是安裝在手機及電腦上的防毒軟體，來蒐集用戶的瀏覽資料，涵蓋搜尋及所造訪的網站，得以窺探使用者的宗教信仰、健康問題、政治傾向、位置、財務狀況及其它敏感資訊。諷刺的是，Avast對外宣稱其產品可以減少網路上的追蹤，保護使用者的隱私，但在蒐集及銷售用戶資料上，卻從未告知或取得用戶的同意。

此外，即便Avast表示是先利用演算法來刪除身分識別資訊，再將資料出售，但FTC發現Avast所出售的資料針對每個瀏覽器與其所蒐集的資料建立了唯一識別標記，涵蓋所造訪的網站、時間戳、裝置及瀏覽器類型、城市及國家等，卻對外聲稱只會以匯總與匿名方式傳送消費者個資。

事實上，Google與Mozilla在2019年時，便曾因Avast所開發的4款瀏覽器擴充程式過度追蹤使用者行為，而將相關擴充程式自Chrome與Firefox上的程式商店移除。且在2020年傳出Avast出售用戶瀏覽資料時，Avast接著便關閉了對外宣稱擁有來自全球1億臺裝置資料的行銷子公司Jumpshot。

本周FTC除了要求Avast支付1,650萬美元之外，也禁止Avast出售瀏覽資料，或者在出售前必須獲得用戶的明確同意，也必須刪除當初轉給Jumpshot的瀏覽資料，以及任何自該資料衍生的產品與演算法，並要求Avast實施全面的隱私計畫。