趨勢科技聲明:針對 Mac App 商店中趨勢科技 App問題的回應

關於近期報導趨勢科技「竊取用戶資料」並將其傳送至未經辨識的中國伺服器,這項指控是錯誤的。

趨勢科技針對在 MacOS 上產品的隱私疑慮進行瞭解及調查,確認 Dr. Cleaner、Dr. Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery和 Duplicate Finder 會一次性的蒐集瀏覽器歷史快照,此快照包含下載App前24小時內的紀錄。這項一次性的資料蒐集,出於安全性目的,為了分析使用者是否曾於前述時間中遭遇惡意廣告軟體或其他威脅,並藉此提升產品與服務。這項潛在的資料蒐集與瀏覽器歷史資料使用權限,明確地於最終用戶授權協定(EULA)和資料蒐集聲明中說明,並為用戶所同意  (請參考範例 Dr. Cleaner資料蒐集聲明)。瀏覽器歷史資料係回傳至美國AWS伺服器,並由趨勢科技所管控。

趨勢科技無論任何時刻都極度重視用戶回饋意見,並決定將此瀏覽器歷史紀錄蒐集的功能從上述的產品中移除。

9/10(美國時間)更新資訊 :

對於我們社群可能產生的疑慮,我們深感抱歉。不過請放心,您的資料是安全且沒有外洩的疑慮。

我們已採取對應處理並有三點與大家說明:

第一, 我們已將有疑慮的MacOS之消費性產品(即前述之 Cleaner、Dr. Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery和 Duplicate Finder)中的瀏覽器資料蒐集功能徹底移除。

第二, 我們已將之前累積的所有記錄從美國的 AWS 伺服器上徹底清除。其中包括使用者在安裝時同意保存三個月的一次性瀏覽器 24 小時瀏覽記錄。

第三,我們相信問題在於這些應用程式所使用的共用程式庫當中。目前發現這項瀏覽器資料蒐集功能是設計在我們數個應用程式所共用的程式庫當中,並且以相同的方式部署,不論是資安相關或非資安相關應用程式,例如前述所討論的應用程式,對於這一點我們已經修正。

9月11日(美國時間)更新資訊:

我們確認了此狀況只出現在上述的消費性軟體。其他的趨勢科技產品(包括消費者、中小企業或大型企業軟體)都沒有使用這些消費性軟體內的瀏覽器資料收集模組或行為。 我們在收集和使用客戶資料方面一直致力於完全地公開透明,此次事件突顯出我們仍有改進的空間。為此,我們目前正在重新檢視並確認所有趨勢科技產品的使用者告知、同意流程以及所發布的資料。

912日(美國時間)更新資訊:

請注意,“Open Any Files” 應用程式使用上述共用程式庫。此後,我們將不再發佈或支援此產品。我們已經更新了我們前述消費者應用程式,以完全符合Apple的要求,並且正在重新提交給Apple。我們知道我們的其他應用程式也已被暫停,我們正在努力盡快解決此問題,但到目前為止,這些應用程式被暫停的依據尚未釐清。我們正在積極尋求與Apple合作的機會,以進一步了解他們的決定並解決任何問題。

在我們閱讀您的問題時,首先我們必須說明,Adware Doctor 不是趨勢科技的產品。在您的問題與某些媒體的文章中,我們意識到Adware Doctor 與趨勢科技的消費性產品被混為一談。

問題回覆
趨勢科技會收集會一次性的蒐集下載App前24小時內的瀏覽器記錄的App包含哪一些?是MacOS上的消費性應用程式,包含 Dr. Cleaner、Dr. Cleaner Pro、Dr. Antivirus、Dr. Unarchiver、Dr. Battery、以及Duplicate Finder。
上述MacOS上的應用程式會收集什麼資料?蒐集原因為何?會一次性的蒐集瀏覽器歷史快照,此快照包含下載App前24小時內的紀錄。這項

一次性的資料蒐集,出於安全性目的,為了分析使用者是否曾於前述時間中遭遇惡意廣告軟體或其他威脅,並藉此提升產品與服務。

截至目前為止,趨勢科技採取哪些處理措施? 我們已將前述MacOS之消費性產品中的瀏覽器資料蒐集功能徹底移除。同時也已經停用要啟動資料蒐集功能必備的後端API。更進一步,我們已將之前累積的所有記錄從美國的 AWS 伺服器上徹底清除。其中包括使用者在安裝時同意保存三個月的一次性瀏覽器 24 小時瀏覽記錄。同時也更新Dr. Unarchiver,舊版本Dr. Unarchiver 在安裝時缺少明顯的彈出式對話框讓使用者可以連接到網站上趨勢科技的使用者授權、隱私政策與資料蒐集聲明。
“Open Any Files”  是趨勢科技的應用程式嗎?是的,但我們已決定不再發佈或更新此應用程式。
這些應用程式蒐集什麼資訊?我們的資料蒐集聲明中完整且透明地提供了有關應用程式所蒐集資料的說明。
https://success.trendmicro.com/data-collection-disclosure
這些應用程式是否獲得使用者對資料蒐集的同意?是的,在安裝過程中,用戶同意終端使用者授權合約(EULA),也提供載明產品資料蒐集聲明的網頁連結。
請注意,Dr. Unarchiver 雖然在產品介面中缺少包含終端使用者授權合約的彈出式視窗。但App商店的產品下載頁面中是包含了終端使用者授權合約的。針對這一點我們已進行改善,當此應用程式在App商店中可供下載時,即為調整後的版本。
媒體報導聲稱趨勢科技『竊取用戶資料』、且將資料傳至一個位於中國的伺服器,這是真的嗎?這是錯誤的。任何關於趨勢科技「竊取用戶資料」並將其傳送至未經辨識的中國伺服器的報導都是錯誤的。瀏覽器歷史資料係回傳至美國AWS伺服器,並由趨勢科技所管控。
為什麼趨勢科技的應用程式會從Mac App商店中移除?Apple 目前暫停我們的應用程式,我們正透過正式的爭議處理程序與 Apple 合作處理。我們已更新前述消費者應用程式,以完全符合 Apple 的要求,並且正在重新提交給Apple。我們知道我們的其他應用程式也已被暫停,我們正在努力盡快解決此問題,但到目前為止,這些應用程式被暫停的依據尚未釐清。我們也正在積極尋求與 Apple合作的機會,以進一步了解他們的決定並解決任何問題。

10月4日 (美國時間) 更新資訊:

近幾個禮拜以來,對於趨勢科技在Apple App Store 商店上架的應用程式的後續作業, 我們持續秉持著嚴謹態度並與Apple進行密切的溝通。隨著逐步深入掌握問題的情況,在此與大家說明最新的狀況。

在9 月 10 日Apple 基於資料隱私與揭露的考量,將我們某幾款應用程式從 App Store 下架,包含6 款會蒐集瀏覽器歷史記錄的 MacOS 應用程式。我們必須再次重申,這個蒐集上傳的動作只會在安裝時執行一次,蒐集內容為安裝前 24 小時的歷史記錄,目的是為了進行安全掃瞄。因為根據我們的經驗,有很高比例的客戶都是在瀏覽惡意網址遭感染之後才去下載資安產品來安裝。所以,搜尋新的感染途徑是一項很合理的保護動作,同時也能保護使用者並防範惡意程式或廣告程式進一步擴散。這些蒐集到的瀏覽器歷史記錄檔案會經由安全的方式上傳至位於美國的一台 AWS 伺服器,並由趨勢科技負責管理與掌控,這些收到的歷史資料檔案會隨機命名,因此無法透過使用者的身分來編製索引或進行搜尋,且會根據我們的 GDPR 政策在三個月後自動清除。這些資料從未與任何第三方對象分享,更不會用來賺取廣告利潤,或者用於任何其他非保護使用者相關的用途。

儘管我們相信這資料蒐集動作和使用方式完全合乎 GDPR 以及其他隱私權法規的規範,但我們也在初步調查之後發現了少數幾項問題,包括導致某些非資安相關應用程式也會蒐集瀏覽器記錄的共用程式碼模組的問題,以及付費應用程式沒有再次提供同意蒐集匿名使用者資料的選項給使用者進行同意確認,為此我們立即在更新版本中加以修正。針對以上的問題,我們再次感到抱歉,也希望客戶能了解這些資料從未外流或用於其他非資安相關的用途。

至目前為止我們已經採取的動作

因應 Apple 的決定以及社會大眾關於瀏覽器歷史資料的疑慮,我們已立即停用了歷史資料蒐集的應用程式開發介面 (API),並且刪除了 AWS 上所有已蒐集的資料,此外也從有疑慮的相關應用程式當中移除了資料蒐集模組。此外,我們也在所有上架到 App Store 的適用產品當中都增加了一道讓使用者同意我們蒐集匿名資料的程序,並在一開始遭到下架後的幾天之內便將新版的應用程式重新送交 Apple 審查。但新版應用程式須等到Apple完成應用程式審核後才能提供使用者使用,我們相信此問題目前已有不錯的進展,也相信部分的應用程式很快就能重新上架。

自從我們的應用程式遭到下架以來,我們一直透過 Apple 的正式申訴管道來讓我們的應用程式能重新在 App Store 上架。過去幾週以來,我們已和 Apple App Store 負責審查的團隊代表直接接洽以確保雙方對於該如何讓應用程式重新上架都有清楚的共識。同時,我們內部也在同步進行一些改進,以提升我們所有 App Store 上的產品透明度。

著眼未來

身為一家資安廠商,我們非常嚴肅看待隱私和法規遵循的問題,並且一向秉持客戶優先的原則。對於 Apple 致力保障消費者隱私的做法我們相當支持,並且也會藉由這次的機會,進一步改善我們自己的作業方式,不單只為了達成法規的基本要求,更為了提升客戶的信賴與使用體驗。

為了提升使用者的信賴與體驗,我們將採取以下幾項作法:

  • 在所有應用程式送出之前,實施更嚴格的內部隱私相關審查流程。
  • 進一步檢驗全產品線有關任何個人資料的蒐集流程,簡化並盡量減少任何個人資料的蒐集與保存,只蒐集達成我們客戶期望之價值和功能所絕對必要的資訊。
  • 針對新開發或改版的 App Store 應用程式,改進其資料蒐集告知與使用者同意程序以提升透明度。多增加一道讓使用者自行同意我們蒐集匿名資料的手續,即使是免費的應用程式亦然。

由於應用程式審查與更新流程需要一段時間,因此,非常感謝您的耐心和支持。我們有信心已清楚明瞭該做哪些更新才能符合(並且希望能超越) Apple 與客戶的期望。