【量子位 2025年12月8日讯】美国联邦贸易委员会(FTC)于12月8日正式宣布,驳回跟踪软件(Stalkerware)开发商斯科特·朱克曼(Scott Zuckerman)申请撤销2021年禁令的请求。这意味着朱克曼将继续被永久禁止从事监控类应用、服务及相关业务,同时需严格履行数据删除、企业 cybersecurity 审计等义务。FTC强调,朱克曼不仅曾因安全漏洞泄露数万用户敏感数据,还试图通过隐秘关联公司规避禁令,其申诉理由“缺乏事实与法律依据”。
禁令溯源:2018年数据泄露暴露恶性问题,2021年FTC出手全面封禁
此次FTC驳回申诉,源于朱克曼及其旗下公司长期存在的违法违规行为,核心矛盾集中在“恶意监控工具开发”与“严重数据安全失职”两大层面:
-
开发 stalkerware 助长效仿犯罪:朱克曼创办的Support King公司(以SpyFone、OneClickMonitor为主要品牌),长期销售可“隐秘监控设备”的软件。根据FTC 2021年调查,这类工具能在设备所有者不知情的情况下,强制关闭手机安全防护功能,窃取用户自拍、短信、聊天记录、音频录音、实时定位等敏感信息,甚至同步记录账号密码。更严重的是,公司未对购买者身份与使用目的进行任何审核,导致工具频繁被用于家庭暴力跟踪、非法监视等场景,FTC在当时的指控文件中直言“这是在为 stalker 提供犯罪武器”。
-
2018年漏洞致3666部手机数据“裸奔”:禁令的直接导火索是2018年的重大数据泄露事件——安全研究员发现SpyFone的亚马逊S3存储桶未设权限保护,包含44109个唯一邮箱地址、至少2208名“监控者”客户数据,以及3666部被安装跟踪软件的手机全量信息。这些数据中,既有被监控者的私人照片、定位轨迹,也有监控者的登录凭证,任何人可通过网络直接访问下载。FTC调查后认定,公司“完全无视数据安全,将用户隐私置于极高风险中”。
基于上述问题,FTC在2021年与朱克曼达成的和解令中,出台三项核心限制:一是永久禁止其“提供、推广、销售任何监控类应用或业务”;二是要求立即删除SpyFone收集的全部用户数据,不得留存备份;三是其名下所有现有及未来业务,都必须建立符合FTC标准的信息安全体系,并每两年接受第三方审计,提交合规报告。
申诉被拒:以“经营餐厅负担重”为由辩解,FTC指其“毫无悔意”
2025年7月,朱克曼向FTC提交申诉,请求撤销或修改禁令,理由看似“合理”却被逐一驳斥:
-
申诉理由:合规成本影响其他业务:朱克曼在申诉中称,Support King已停业,自己目前仅在波多黎各经营一家餐厅,并计划开展旅游业务,而禁令要求的“安全审计、合规报告”等义务,需持续投入资金,对“非科技类小生意”构成“过度且不必要的负担”,阻碍业务扩张。他甚至提出,希望至少免除现有业务的审计与报告要求。
-
FTC反驳:曾屡次规避禁令,无整改诚意:FTC在驳回文件中指出,朱克曼的辩解“完全忽视其过往违规行为的严重性”,且存在明显诚信问题。最关键的证据是2022年TechCrunch曝光的“SpyTrac事件”——朱克曼表面退出监控行业,实则通过支持过Support King的自由开发者,暗中运营新跟踪软件SpyTrac。调查显示,SpyTrac不仅沿用SpyFone的核心技术逻辑,其数据中还包含本应被删除的SpyFone历史记录,甚至存有OneClickMonitor的云存储访问密钥,显然是“蓄意绕过禁令,继续获利”。
-
最终裁定:无事实或法律依据变更禁令:FTC经过审查27条公众意见(其中多数来自隐私保护组织,反对撤销禁令),以2:0投票否决申诉。委员会明确表示,朱克曼未能证明“事实或法律环境发生重大变化”,其所谓的“经济负担”,本质是“履行合规义务的必要成本”,不能成为规避责任的理由。FTC消费者保护局现任负责人强调:“禁令的目的不仅是惩罚,更是预防——若允许其逃避义务,将向整个 stalkerware 行业释放错误信号,危及更多消费者隐私安全。”
行业意义:FTC强化监管态度,隐私组织称“是重要里程碑”
此次FTC驳回申诉,不仅是对朱克曼个人的约束,更对整个 stalkerware 行业释放强烈监管信号:
-
对从业者:违法成本将持续高企:根据TechCrunch统计,过去8年全球至少有26家跟踪软件公司发生数据泄露,但此前多数仅面临罚款或短期整改要求。而朱克曼案是FTC首次对个人实施“终身行业禁入”,且严格执行后续合规监控,这意味着未来类似企业及负责人,可能面临更严厉的惩罚,包括个人从业限制、业务全面整改等。
-
对隐私保护:为反 stalkerware 提供执法范本:电子前沿基金会(EFF)网络安全负责人伊娃·加尔佩林(Eva Galperin)对此次裁定表示欢迎,她指出:“朱克曼显然以为躲几年就能蒙混过关,但FTC的决定证明,针对 stalkerware 的监管不会松懈。这为保护家庭暴力受害者、普通用户免受非法监控,提供了关键的执法支撑。”包括EPIC(电子隐私信息中心)在内的多家隐私组织,此前也联合提交意见,反对修改禁令,认为这关系到“FTC执法权威与消费者信任”。
目前,朱克曼通过邮件回复TechCrunch时,拒绝进一步评论,仅表示相关问题由律师处理。而FTC已明确,若其未来再违反禁令,将启动民事处罚程序,最高可对每次违规处以43792美元罚款,情节严重时还可能移交刑事调查。这场持续数年的“监管与规避”博弈,最终以FTC的强硬态度收尾,也为全球反 stalkerware 治理写下重要一笔。
