誰(shuí)解網(wǎng)絡(luò)安全之結(jié)

    一份來(lái)自中國(guó)科學(xué)院信息工程研究所的內(nèi)部報(bào)告，讓360搜索再度陷入侵犯用戶(hù)隱私、泄露網(wǎng)友信息的質(zhì)疑中，也讓社會(huì)各界對(duì)于網(wǎng)絡(luò)安全的擔(dān)憂(yōu)和關(guān)心愈演愈烈。在上網(wǎng)購(gòu)物、聊天、辦公等日益成為現(xiàn)代人生活一部分，信息社會(huì)日漸成熟的當(dāng)下，該如何維護(hù)用戶(hù)的隱私，確保網(wǎng)絡(luò)安全？多名專(zhuān)家向《中國(guó)科學(xué)報(bào)》記者表示，用戶(hù)的網(wǎng)絡(luò)隱私應(yīng)當(dāng)受到法律的保護(hù)，并需要更多的行業(yè)自律來(lái)推動(dòng)我國(guó)隱私保護(hù)的司法完善，也需要成立專(zhuān)門(mén)的網(wǎng)絡(luò)隱私權(quán)保護(hù)自律組織。

    多份報(bào)告直指網(wǎng)絡(luò)安全

    這場(chǎng)網(wǎng)絡(luò)安全的風(fēng)波來(lái)得似乎悄無(wú)聲息。

    如果說(shuō)一個(gè)月前的“方舟子大戰(zhàn)周鴻祎(微博)”，社會(huì)各界對(duì)于360搜索是否侵犯網(wǎng)友隱私尚存疑惑，那么這次來(lái)自?xún)?nèi)部會(huì)議的報(bào)告，卻讓質(zhì)疑多了一份證據(jù)。

    11月21日，中科院信息工程研究所主辦的“隱私保護(hù)”學(xué)術(shù)研討會(huì)在京召開(kāi)。會(huì)議邀請(qǐng)了包括人民大學(xué)教授石文昌等多位高校代表，共同研討網(wǎng)絡(luò)時(shí)代的網(wǎng)絡(luò)安全和用戶(hù)隱私問(wèn)題。

    在這個(gè)未對(duì)媒體公開(kāi)的研討會(huì)上，主辦方發(fā)布了由中科院保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室研究撰寫(xiě)的《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》，從常用軟件、網(wǎng)絡(luò)服務(wù)、移動(dòng)終端以及聲光電磁等4個(gè)方面介紹了實(shí)驗(yàn)室的研究結(jié)果和發(fā)現(xiàn)，涉及瀏覽器、即時(shí)通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個(gè)類(lèi)別的內(nèi)容。

    《中國(guó)科學(xué)報(bào)》記者獲得的這份報(bào)告內(nèi)容顯示，目前網(wǎng)民日常使用的許多網(wǎng)絡(luò)服務(wù)都存在泄露隱私的風(fēng)險(xiǎn)，國(guó)內(nèi)外許多知名互聯(lián)網(wǎng)公司的產(chǎn)品榜上有名，包括360瀏覽器、微軟的Hotmail、谷歌(微博)的Gmail等。

    從報(bào)告原文來(lái)看，以360為例，在瀏覽器隱私保護(hù)情況的研究章節(jié)里，研究人員對(duì)360安全瀏覽器進(jìn)行了詳細(xì)研究和分析，并歸納列舉出該瀏覽器存在的3大安全問(wèn)題，其中包括：收集用戶(hù)打開(kāi)過(guò)的瀏覽頁(yè)面地址、收集用戶(hù)在瀏覽器地址欄輸入的信息以及預(yù)留后臺(tái)端口，在用戶(hù)不知情的情況下利用云端指令，在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定之外的內(nèi)容等。

    調(diào)查中，研究人員通過(guò)專(zhuān)業(yè)技術(shù)手段，對(duì)整個(gè)軟件運(yùn)行過(guò)程及環(huán)境進(jìn)行了綜合測(cè)試，證實(shí)了“360確實(shí)存在安全問(wèn)題”，并在實(shí)驗(yàn)室進(jìn)行了多次復(fù)現(xiàn)。報(bào)告舉例稱(chēng)，當(dāng)用戶(hù)在360安全瀏覽器地址欄中輸入一個(gè)完整的網(wǎng)址時(shí)，瀏覽器會(huì)向360特定服務(wù)器依次發(fā)送用戶(hù)的每一次輸入數(shù)據(jù)，直至輸入完成，發(fā)送的信息包含了能夠確定用戶(hù)唯一性的ID，這可能會(huì)導(dǎo)致特定用戶(hù)的地址欄輸入信息和瀏覽記錄容易被跟蹤和泄露。同時(shí)，有分析顯示，“這些組件或以欺騙的方式被下載到電腦以實(shí)現(xiàn)360安全瀏覽器的某些未明示的功能，也可能造成用戶(hù)的電腦被惡意侵入”。

    11月22日，參與會(huì)議的石文昌在個(gè)人微博上，首次向外界談及此次會(huì)議的內(nèi)容，并上傳了研究報(bào)告的封面。此后，有關(guān)大企業(yè)涉嫌侵犯網(wǎng)友隱私權(quán)的新聞陸續(xù)出爐。

    11月30日，《中國(guó)科學(xué)報(bào)》記者聯(lián)系到信息工程研究所副所長(zhǎng)孫德剛。他向記者確認(rèn)，這份報(bào)告確實(shí)出自該所舉辦的內(nèi)部學(xué)術(shù)研討會(huì)議。但是，這次會(huì)議只是一個(gè)針對(duì)部分學(xué)者的研究課題討論會(huì)，對(duì)于部分安全軟件的分析和演示也是出于研究的角度進(jìn)行考量，并不單獨(dú)針對(duì)任何公司。“現(xiàn)在這份報(bào)告被媒體刊發(fā)了，我們有些被人利用的感覺(jué)。好像變成一些公司相互攻擊的材料了�！�

    對(duì)此，中國(guó)中文信息學(xué)會(huì)常務(wù)理事白碩認(rèn)為，只要不泄密，不違反科學(xué)倫理，研究人員沒(méi)有能力也沒(méi)有義務(wù)判斷這個(gè)研究是否會(huì)被拿來(lái)炒作�！罢l(shuí)炒作是誰(shuí)的問(wèn)題，絕不應(yīng)該怪到研究人員頭上。不是沒(méi)授權(quán)就不該公開(kāi)，而是沒(méi)禁止就可以公開(kāi)�！�

    盡管孫德剛對(duì)于研究報(bào)告被媒體發(fā)布表示“很無(wú)奈”，但不可否認(rèn)，正是這份報(bào)告揭開(kāi)了網(wǎng)友對(duì)于網(wǎng)絡(luò)安全的質(zhì)疑。

    11月25日，互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室（IDF）也隨即公開(kāi)發(fā)布了兩份獨(dú)立檢測(cè)報(bào)告，直指360瀏覽器存在疑似后門(mén)的機(jī)制，對(duì)用戶(hù)信息安全構(gòu)成潛在威脅。

    IDF相關(guān)人員介紹，一般來(lái)說(shuō)，瀏覽器所涉及到的用戶(hù)隱私主要包含兩方面：第一，當(dāng)前的PC端瀏覽器都有賬戶(hù)密碼保存的功能，很多用戶(hù)在瀏覽網(wǎng)站時(shí)習(xí)慣自動(dòng)保存賬戶(hù)密碼，而這些信息是保存在用戶(hù)本地電腦上的，存在被惡意讀取或竊取的風(fēng)險(xiǎn)。一旦讀取其明文，便相當(dāng)于用戶(hù)的賬戶(hù)、密碼信息已經(jīng)被泄露。第二，瀏覽器的歷史瀏覽記錄等用戶(hù)操作的信息，對(duì)于部分用戶(hù)來(lái)說(shuō)會(huì)涉及個(gè)人隱私，這些記錄同樣存在被惡意者讀取的情況，從而造成隱私泄露。

    IDF創(chuàng)始人、IBM大中華區(qū)云計(jì)算服務(wù)部首席安全顧問(wèn)萬(wàn)濤指出，通過(guò)實(shí)驗(yàn)證實(shí)，360瀏覽器存在不明文件下載機(jī)制，加載這些文件將對(duì)上述用戶(hù)信息及系統(tǒng)安全造成的影響完全由被下載的文件內(nèi)容所決定。這種機(jī)制對(duì)于瀏覽器軟件來(lái)說(shuō)是不恰當(dāng)?shù)�，也并未�?60發(fā)布的隱私保護(hù)白皮書(shū)及安裝許可協(xié)議中提及，360官方至今也未對(duì)該機(jī)制作出合理解釋。同時(shí)，該機(jī)制的存在也給駭客提供了更多機(jī)會(huì)植入惡意代碼。

    萬(wàn)濤強(qiáng)調(diào)，IDF的報(bào)告是中立的，選擇在這個(gè)時(shí)候發(fā)布，是為了說(shuō)明網(wǎng)絡(luò)安全的緊迫性，也為了證明“民間網(wǎng)民的舉報(bào)不是捏造的”。

    網(wǎng)絡(luò)隱私侵權(quán)第一案

    由信息工程研究所的內(nèi)部報(bào)告引發(fā)的風(fēng)波，還遠(yuǎn)未結(jié)束。

    11月27日，北京市雙利律師事務(wù)所的律師助理林芳（化名）發(fā)起了向奇虎360公司維護(hù)個(gè)人隱私權(quán)的民事起訴，這也是迄今為止中國(guó)用戶(hù)向互聯(lián)網(wǎng)企業(yè)發(fā)起的首個(gè)隱私權(quán)保護(hù)訴訟案例。

    林芳介紹，她個(gè)人使用奇虎360公司設(shè)計(jì)、開(kāi)發(fā)的網(wǎng)絡(luò)瀏覽器多年，并通過(guò)該瀏覽器制作各種文書(shū)、欣賞視聽(tīng)資料等。因?yàn)?60瀏覽器確實(shí)提供了瀏覽網(wǎng)頁(yè)的便利，又因?yàn)橛小鞍踩珵g覽器”的名號(hào)，所以之前對(duì)其并未產(chǎn)生過(guò)懷疑。

    “11月23日，我正是通過(guò)360安全瀏覽器查看網(wǎng)絡(luò)新聞時(shí)，無(wú)意中看到中科院下屬實(shí)驗(yàn)室撰寫(xiě)了個(gè)人隱私泄露風(fēng)險(xiǎn)報(bào)告的新聞，其內(nèi)容直指示360瀏覽器的諸多問(wèn)題，加上第二天有關(guān)部門(mén)的證實(shí)，讓我存在不安�！绷址颊J(rèn)為，鑒于自己常年使用360瀏覽器，“有理由相信本人的隱私權(quán)已經(jīng)遭到侵犯”。

    因?yàn)樽约罕緛?lái)就是法律行業(yè)的從業(yè)者，林芳決定，自行起草民事起訴書(shū)，要求法院判定奇虎360公司立即停止侵害（個(gè)人隱私權(quán)）、排除妨害，“同時(shí)請(qǐng)求法院判令其承擔(dān)訴訟費(fèi)”。

    林芳此后專(zhuān)心研究網(wǎng)絡(luò)個(gè)人隱私遭侵害的有關(guān)資料和相關(guān)法律，決定做第一個(gè)“吃螃蟹的人”，為了保護(hù)自己的隱私權(quán)，和360對(duì)簿公堂。

    利用周末休息時(shí)間寫(xiě)完起訴狀后，林芳頗為感慨，“網(wǎng)絡(luò)隱私權(quán)維權(quán)不容易，挺有技術(shù)含量”。

    11月27日，林芳到其戶(hù)籍所在地的大興法院立案庭遞交了民事起訴狀。因?yàn)榫W(wǎng)絡(luò)隱私權(quán)是一個(gè)新的案由，負(fù)責(zé)接待的法官向林芳問(wèn)了不少問(wèn)題。最后，他們還是收下了林芳的起訴狀，讓她回去等候通知�！斑�好領(lǐng)導(dǎo)比較寬容，也支持我的這場(chǎng)訴訟�！彼�說(shuō)。

    林芳指出，目前我國(guó)沒(méi)有把隱私權(quán)確定為一項(xiàng)獨(dú)立的人格權(quán)，而是采取按照名譽(yù)權(quán)保護(hù)的間接保護(hù)方式。她個(gè)人期盼，能在未來(lái)的民法典中對(duì)隱私權(quán)這一重要的人格權(quán)加以規(guī)定。

    盡管有不少網(wǎng)友質(zhì)疑，林芳此舉是為了提高自己的名氣進(jìn)行炒作，但她堅(jiān)持認(rèn)為，“我覺(jué)得自己是在打公益訴訟，為了那么多至今仍不明就里的人”。

    立法與自律

    網(wǎng)絡(luò)安全與個(gè)人隱私，正是隨著互聯(lián)網(wǎng)快速發(fā)展而產(chǎn)生的新問(wèn)題。

    國(guó)際電信聯(lián)盟此前發(fā)布的報(bào)告稱(chēng)，隨著互聯(lián)網(wǎng)的普遍應(yīng)用，公共空間和個(gè)人空間的界限逐漸模糊，個(gè)人身份管理、個(gè)人隱私的保護(hù)以及安全，越來(lái)越引起業(yè)界以及消費(fèi)者的關(guān)注。

    個(gè)人數(shù)字技術(shù)以革命性的速度擴(kuò)展，對(duì)人們的生活產(chǎn)生了普遍深入的影響。這種趨勢(shì)不僅改變了人們的商業(yè)活動(dòng)模式，而且開(kāi)始對(duì)人際交往和隱私產(chǎn)生深刻影響。

    國(guó)際電信聯(lián)盟稱(chēng)，那些在多家網(wǎng)站上輸入同樣姓名和口令的電腦用戶(hù)正面臨著身份被盜用的嚴(yán)重威脅，比如說(shuō)網(wǎng)絡(luò)銀行、旅行社和圖書(shū)銷(xiāo)售商的網(wǎng)站。另外，一些網(wǎng)站在沒(méi)有完全必要的情況下要求輸入個(gè)人信息，也容易造成個(gè)人資料的泄露。

    多名專(zhuān)家表示，目前我國(guó)還沒(méi)有一部專(zhuān)門(mén)關(guān)于網(wǎng)絡(luò)隱私權(quán)的法律、法規(guī)。為此，要想加強(qiáng)用戶(hù)的網(wǎng)絡(luò)安全保護(hù)，必須靠行業(yè)自律和法律威懾兩個(gè)途徑來(lái)解決。企業(yè)，首先要進(jìn)行自律，要有自己的道德觀；其次，國(guó)家的監(jiān)管很重要，包括國(guó)家法律的完善和威懾以及行業(yè)標(biāo)準(zhǔn)的制定。

    在11月28日的網(wǎng)絡(luò)安全沙龍上，中國(guó)人民大學(xué)副教授梁彬向《中國(guó)科學(xué)報(bào)》記者介紹，目前最大的挑戰(zhàn)是，“進(jìn)攻占據(jù)了主動(dòng)權(quán)，防守很被動(dòng)”，從技術(shù)層面上竊取隱私太容易，保護(hù)隱私卻相對(duì)困難。未來(lái)越來(lái)越多智能手機(jī)與用戶(hù)綁定，隱私問(wèn)題將比桌面電腦更大。未來(lái)這一切都需要法律約束，否則隱私問(wèn)題不堪設(shè)想。

    萬(wàn)濤也認(rèn)為，由于目前網(wǎng)絡(luò)用戶(hù)的隱私數(shù)據(jù)背后存在著巨大的利益，如何規(guī)范安全廠(chǎng)商的行為是政府監(jiān)管部門(mén)必須要考慮的問(wèn)題，而不能僅僅依靠廠(chǎng)商自律。在成熟市場(chǎng)上，安全軟件能夠收集什么信息、擁有哪些特權(quán)，都是受到法律嚴(yán)格限制的，而這一環(huán)節(jié)在我國(guó)還處于缺失狀態(tài)。

    互聯(lián)網(wǎng)法律專(zhuān)家、知識(shí)產(chǎn)權(quán)律師胡鋼向《中國(guó)科學(xué)報(bào)》記者表示，部分安全軟件涉嫌超范圍收集政府、機(jī)構(gòu)、個(gè)人隱私信息的行為是不可取的。“作為底層軟件，安全軟件應(yīng)該是網(wǎng)民隱私安全的保護(hù)傘，而不能隨意搜集用戶(hù)個(gè)人信息，侵犯用戶(hù)隱私。這就好比醫(yī)生，每個(gè)學(xué)醫(yī)的學(xué)生都知道，技術(shù)、能力和智慧是用來(lái)救死扶傷，幫助病患的，嚴(yán)禁濫用醫(yī)術(shù)對(duì)任何人加以毒害�！�

    胡鋼認(rèn)為，安全廠(chǎng)商侵犯用戶(hù)隱私的行為是需要立法監(jiān)管的。雖然目前我國(guó)沒(méi)有出臺(tái)專(zhuān)門(mén)的個(gè)人隱私法，但是整個(gè)國(guó)家對(duì)隱私是非常關(guān)注的，目前在隱私方面也是有相關(guān)法律規(guī)定的。在《侵權(quán)責(zé)任法》第2條中，民事權(quán)益的范圍中就包括了隱私權(quán)。其中，第9條和第10條明確規(guī)定“泄露公民的個(gè)人材料或公諸于眾”以及“收集公民不愿向社會(huì)公開(kāi)的純屬個(gè)人的情況”都可歸入侵犯隱私權(quán)的范疇。

    法律專(zhuān)家付莊則認(rèn)為，由于存在技術(shù)難題，網(wǎng)絡(luò)隱私保護(hù)方面用戶(hù)面臨舉證難的問(wèn)題。因此，在法律威懾短期難以有效落實(shí)的情況下，企業(yè)自律就顯得尤為重要。

    騰訊公司技術(shù)工程師馬勁松則表示，網(wǎng)絡(luò)安全行業(yè)需要一個(gè)非常完整的產(chǎn)業(yè)制度，才能真正讓安全回歸個(gè)人，同時(shí)呼吁建立安全行業(yè)標(biāo)準(zhǔn)，加大處罰力度，使得法律可以起到必要的威懾作用。

    金山安全反病毒專(zhuān)家李鐵軍(微博)認(rèn)為，僅靠安全廠(chǎng)商的自律并不靠譜，而是需要業(yè)界有一個(gè)公開(kāi)透明的第三方監(jiān)督機(jī)制�！爸挥性谝粋�(gè)真正有效的監(jiān)督機(jī)制下面，才有可能做到自律。”

    中國(guó)信息協(xié)會(huì)信息安全專(zhuān)業(yè)委員會(huì)專(zhuān)家李少鵬認(rèn)為，監(jiān)督的力量應(yīng)該來(lái)自多方面，目前我國(guó)的法律法規(guī)還沒(méi)有出臺(tái)，正在完善。但與此同時(shí)，行業(yè)協(xié)會(huì)和民間的力量也應(yīng)該發(fā)揮更大作用，包括獨(dú)立檢測(cè)機(jī)構(gòu)提供客觀技術(shù)服務(wù)等，而不是簡(jiǎn)單的企業(yè)聲明或官方檢測(cè)報(bào)告的形式。

    胡鋼建議，應(yīng)該以行業(yè)自律的方式推動(dòng)法律規(guī)范完善。“信息產(chǎn)業(yè)是不斷自我完善和發(fā)展的，互聯(lián)網(wǎng)界也在不斷向前推動(dòng)整個(gè)隱私保護(hù)。每個(gè)參與者都應(yīng)該遵守用戶(hù)隱私底線(xiàn)，這是發(fā)展的基本前提。國(guó)有國(guó)法、行有行規(guī)，在法律規(guī)范缺失的時(shí)候，行業(yè)自律對(duì)司法完善也是有輔助作用的�！�

    對(duì)于相關(guān)法律法規(guī)的完善進(jìn)程，胡鋼保持樂(lè)觀態(tài)度。他表示，今年6月，國(guó)務(wù)院發(fā)布了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》，國(guó)家信息化領(lǐng)導(dǎo)小組、網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組都參與其中，這被認(rèn)為是從國(guó)家層面的高度概括。

    據(jù)悉，工業(yè)和信息化部正在推動(dòng)信息安全條例，其中就包含了隱私問(wèn)題，強(qiáng)調(diào)了頂層設(shè)計(jì)。胡鋼認(rèn)為，“政府機(jī)構(gòu)并不是對(duì)隱私問(wèn)題不關(guān)注，實(shí)際上是越來(lái)越關(guān)注，而且將在法律、司法、生活習(xí)慣等方面越來(lái)越多地關(guān)注隱私保護(hù)和企業(yè)自律”。