趨勢科技 Dr. 系列軟體個資事件的更新與省思：GDPR 時代的告知義務

昨天（2018.9.10）趨勢科技推出的一系列 Mac App，被爆出會自動上傳用戶的瀏覽記錄、Google 搜尋記錄和軟體安裝清單，這事在用戶之間引發相當大的迴響。

如果你還不清楚這件事的起因，可以先看看昨天我寫的這篇文章：

事件經過媒體報導和社群平台的發酵，趨勢科技的英文網站終於發表了一份公告，試圖澄清整起事件：

這份公告中提到幾個重點：

• 第一段先說所有關於趨勢科技「竊取用戶資料」並且傳送到不明中國伺服器的相關報導，都是錯的（absolutely false）；
• 所有 Dr. 系列軟體收集並上傳的資料限於軟體安裝前24小時，而且都只做一次，目的是為了改善產品與服務；
• 在 EULA （終端用戶授權使用條款）中有明示軟體會收集資料，而且是在用戶同意下進行；
• 資料是上傳到 AWS 位在美國的伺服器，而且是由趨勢科技管理；
• 未來趨勢的產品不會再收集用戶的瀏覽記錄。

我自己對這份公告的解釋只能買單一部分，原因在於：

• 如果是系統安全相關的軟體，收集這些資料還說得過去；我無法理解為什麼解壓縮軟體 Dr. Unarchiver 和電池管理軟體 Dr. Battery 也要這麼雞婆，以幫用戶清理垃圾檔案或其他服務為由，收集和軟體功能沒有顯著相關的資料？
• 像這種在軟體內會進行的資料搜集動作，應該更明確地在操作過程當下告知用戶；放在 EULA 裡，用戶真的看得到嗎？

趨勢在 Twitter 上這篇公告的推文下方，也有不少類似的質疑，例如這幾篇；大家也可以展開來看一下。

總之，這份公告看起來只解決了部分的問題；但會不會引發更大的反彈？也還值得繼續觀察。

GDPR時代的告知義務

我的另一個想法是，這年頭的廠商已經不能再把告知義務僅僅視為一種法律上最低限度的要求了。像這樣把攸關用戶隱私的資料收集行為隱藏在 EULA 中的做法，在 GDPR 時代是行不通的。

要是趨勢是在軟體執行當下明確告知用戶，並且提供足夠資訊，讓用戶選擇的話，想必不致釀成如此公關危機；也不會被這樣批評：

這事件對趨勢科技造成的傷害想必十分嚴重，姑且不論軟體被 Mac App Store 下架，更糟的是公司的形象大受打擊：一個資安公司竟然造成用戶資安疑慮，有比這更諷刺的事嗎？

事前清楚告知，就不致事後忙於滅火；這個教訓值得所有業者省思。

關於 EULA 和 GDPR 時代應有的用戶隱私保護觀念，推薦大家讀讀這篇佳作：