FTC cáo buộc rằng công ty con Jumpshot có trụ sở tại Mỹ của Avast đã sử dụng các tiện ích mở rộng trình duyệt và phần mềm chống virus để thu thập, lưu trữ vô thời hạn và cho phép một công ty thứ ba bán lịch sử duyệt web của người dùng từ năm 2014 - 2020 mà không có thông báo đầy đủ và sự đồng ý của người tiêu dùng.

Cơ quan này cho biết Avast cũng lừa dối người dùng bằng cách tuyên bố rằng phần mềm sẽ bảo vệ quyền riêng tư của người tiêu dùng bằng cách chặn sự theo dõi của bên thứ ba. FTC cáo buộc trong đơn khiếu nại của mình rằng Avast đã rao bán dữ liệu duyệt web chi tiết và có thể nhận dạng lại của họ cho hơn 100 bên thứ ba thông qua công ty con Jumpshot. “Có thể nhận dạng lại” có nghĩa là dữ liệu có thể được kết hợp với dữ liệu được lưu trữ công khai khác hoặc được các nhà môi giới dữ liệu tích lũy để xác định danh tính của người tiêu dùng cụ thể.

Đơn khiếu nại của FTC cho biết rằng mặc dù Avast và các công ty con của hãng này đang thông báo với khách hàng rằng phần mềm của họ sẽ chặn các cookie theo dõi gây khó chịu thu thập dữ liệu về hoạt động duyệt web của người dùng và sẽ bảo vệ quyền riêng tư của người dùng bằng cách ngăn chặn dịch vụ web theo dõi hoạt động trực tuyến. Tuy nhiên trên thực tế, Avast đã thu lợi nhuận một cách trắng trợn từ dữ liệu của người dùng mà không đưa ra thông báo thích hợp.

Người phát ngôn của Avast, có trụ sở chính thức tại Mỹ, cho biết công ty đã làm việc với FTC để giải quyết cuộc điều tra về việc Avast cung cấp dữ liệu khách hàng trước đây cho công ty con Jumpshot mà Avast đã tự nguyện đóng cửa vào tháng 01/2020.

Tuyên bố cho biết: “Chúng tôi cam kết thực hiện sứ mệnh bảo vệ và trao quyền cho cuộc sống số của mọi người”. “Mặc dù chúng tôi không đồng ý với các cáo buộc và mô tả không đúng sự thật của FTC, nhưng chúng tôi rất vui lòng giải quyết vấn đề này và mong muốn được tiếp tục phục vụ hàng triệu khách hàng của mình trên toàn thế giới.”

Khiếu nại của FTC lưu ý rằng sản phẩm của Avast nhằm mục đích mang lại sự bảo mật và quyền riêng tư, tuy nhiên sự việc này đã khiến việc vi phạm quyền riêng tư của người tiêu dùng trở nên ngày càng nghiêm trọng hơn. Việc bán dữ liệu duyệt web thực tế được thực hiện bởi công ty con Jumpshot của Avast. Jumpshot, ban đầu là nhà cung cấp phần mềm chống vi-rút, đã được chuyển đổi thành công ty phân tích sau khi được Avast mua lại vào năm 2014. Công ty đã đóng cửa Jumpshot vào năm 2020.

FTC cho biết rằng khách hàng mua thông tin của Avast bao gồm các công ty tư vấn, công ty đầu tư, công ty quảng cáo, công ty phân tích dữ liệu tiếp thị, thương hiệu cá nhân, công ty tối ưu hóa công cụ tìm kiếm và nhà môi giới dữ liệu. FTC cho biết thêm rằng: “Việc sử dụng thuật toán độc quyền do Avast và Jumpshot phát triển nhằm mục đích tìm và xóa thông tin nhận dạng trước mỗi lần chuyển thông tin duyệt web của người tiêu dùng đến máy chủ của Jumpshot. Nhưng quy trình này không đủ để ẩn danh thông tin duyệt web của người tiêu dùng, thông tin mà Jumpshot sau đó đã bán, ở dạng không tổng hợp, thông qua nhiều sản phẩm khác nhau cho bên thứ ba”.

Dữ liệu có thể nhận dạng lại cực kỳ chi tiết

Đơn khiếu nại của FTC cho biết mức độ chi tiết của dữ liệu duyệt web mà Jumpshot được cho là đã bán rất đáng kinh ngạc, bao gồm từng trang web được truy cập, dấu thời gian chính xác, loại thiết bị và trình duyệt được sử dụng cũng như thành phố, tiểu bang và quốc gia nơi người dùng sinh sống. FTC cho biết thêm rằng phần lớn dữ liệu được bán bao gồm “số nhận dạng thiết bị duy nhất và liên tục được liên kết với từng trình duyệt cụ thể… cho phép Jumpshot và người mua bên thứ ba theo dõi các cá nhân trên nhiều miền theo thời gian”.

Jumpshot đã bán dữ liệu cho các công ty có quy mô lớn, bao gồm cả gã khổng lồ quảng cáo Omnicom. Hợp đồng năm 2017 với Omnicom có ​​chứa các điều khoản yêu cầu Jumpshot cung cấp “Nguồn cấp dữ liệu tất cả lần nhấp” - nghĩa là tất cả các URL “được nhấp trong các phiên duyệt web của người tiêu dùng cụ thể” - cho một nửa số khách hàng ở Hoa Kỳ, Anh, Mexico, Úc, Canada và Đức của Omnicom, trên tất cả tên miền. FTC cho biết trong một thông cáo báo chí  rằng Omnicom cũng được phép liên kết dữ liệu của Avast với nguồn dữ liệu của nhà môi giới dữ liệu, trên cơ sở người dùng cá nhân. Hợp đồng cũng cho phép Omnicom truyền, tiếp thị và cấp phép lại cho khách hàng của mình các sản phẩm có nguồn gốc từ dữ liệu thô và phí của Jumpshot trong thỏa thuận là khoảng 2 triệu USD mỗi năm.

Những người ủng hộ bảo vệ quyền riêng tư đã rất bất ngờ trước mức độ vi phạm và gọi vụ việc này là sự kiện chưa từng có từ trước đến nay.

John Davisson, Giám đốc tại Trung tâm thông tin quyền riêng tư điện tử cho biết: “Thật khó có thể nói hết về hành động của Avast. Thông tin duyệt web là một trong những dữ liệu cá nhân nhạy cảm nhất, thường mang lại những hiểu biết riêng tư mà người tiêu dùng thậm chí không chia sẻ với gia đình hoặc bạn bè”.

Việc bán dữ liệu hoạt động như thế nào

Trước khi đóng cửa, Jumpshot chưa bao giờ xóa bất kỳ dữ liệu nào mà họ tích lũy được trong sáu năm lấy dữ liệu từ công ty Avast. Đơn khiếu nại của FTC cho biết khi đóng cửa vào tháng 01/2020, Jumpshot đã lưu giữ hơn 8 petabyte thông tin duyệt web kể từ năm 2014.

Chỉ vào một mẫu ngẫu nhiên gồm 100 mục dữ liệu, FTC cho biết họ đã tìm thấy các tìm kiếm về các triệu chứng ung thư; một thông báo về việc ứng cử tổng thống của Thượng nghị sĩ Elizabeth Warren; chỉ đường trên Google Maps từ vị trí này đến vị trí khác; một liên kết đến một trang web hẹn hò của Pháp, bao gồm ID thành viên duy nhất;... Thông tin duyệt web này sau đó được ghép nối với mã nhận diện thường trực (PID), bao gồm cả việc xác định thiết bị truy cập của mỗi người tiêu dùng.

Điều gì sẽ xảy ra tiếp theo

Khoản tiền phạt 16,5 triệu USD đi kèm với một số điều kiện nhằm ngăn Avast và các công ty con của họ lừa dối người tiêu dùng về cách xử lý dữ liệu. Những điều kiện này, được FTC đề xuất bao gồm:

• Cấm bán dữ liệu duyệt web cho bên thứ ba để quảng cáo.
• Yêu cầu phải nhận được sự đồng ý rõ ràng từ người tiêu dùng trước khi “bán hoặc cấp phép dữ liệu duyệt web từ các sản phẩm không phải của Avast cho bên thứ ba vì mục đích quảng cáo”.
• Việc tạo ra một chương trình xóa dữ liệu và mô hình, theo đó công ty sẽ xóa thông tin duyệt web mà họ vẫn đang lưu giữ.
• Yêu cầu thông báo cho người tiêu dùng có thông tin duyệt web bị bán mà không có sự đồng ý.
• Nhiệm vụ đối với một chương trình bảo mật nhằm giải quyết các hành vi sai trái được FTC xác định.