誰解網(wǎng)絡(luò)安全之結(jié)

    一份來自中國科學(xué)院信息工程研究所的內(nèi)部報告，讓360搜索再度陷入侵犯用戶隱私、泄露網(wǎng)友信息的質(zhì)疑中，也讓社會各界對于網(wǎng)絡(luò)安全的擔(dān)憂和關(guān)心愈演愈烈。在上網(wǎng)購物、聊天、辦公等日益成為現(xiàn)代人生活一部分，信息社會日漸成熟的當(dāng)下，該如何維護用戶的隱私，確保網(wǎng)絡(luò)安全？多名專家向《中國科學(xué)報》記者表示，用戶的網(wǎng)絡(luò)隱私應(yīng)當(dāng)受到法律的保護，并需要更多的行業(yè)自律來推動我國隱私保護的司法完善，也需要成立專門的網(wǎng)絡(luò)隱私權(quán)保護自律組織。

    多份報告直指網(wǎng)絡(luò)安全

    這場網(wǎng)絡(luò)安全的風(fēng)波來得似乎悄無聲息。

    如果說一個月前的“方舟子大戰(zhàn)周鴻祎(微博)”，社會各界對于360搜索是否侵犯網(wǎng)友隱私尚存疑惑，那么這次來自內(nèi)部會議的報告，卻讓質(zhì)疑多了一份證據(jù)。

    11月21日，中科院信息工程研究所主辦的“隱私保護”學(xué)術(shù)研討會在京召開。會議邀請了包括人民大學(xué)教授石文昌等多位高校代表，共同研討網(wǎng)絡(luò)時代的網(wǎng)絡(luò)安全和用戶隱私問題。

    在這個未對媒體公開的研討會上，主辦方發(fā)布了由中科院保密技術(shù)攻防重點實驗室研究撰寫的《個人隱私泄露風(fēng)險的技術(shù)研究報告》，從常用軟件、網(wǎng)絡(luò)服務(wù)、移動終端以及聲光電磁等4個方面介紹了實驗室的研究結(jié)果和發(fā)現(xiàn)，涉及瀏覽器、即時通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個類別的內(nèi)容。

    《中國科學(xué)報》記者獲得的這份報告內(nèi)容顯示，目前網(wǎng)民日常使用的許多網(wǎng)絡(luò)服務(wù)都存在泄露隱私的風(fēng)險，國內(nèi)外許多知名互聯(lián)網(wǎng)公司的產(chǎn)品榜上有名，包括360瀏覽器、微軟的Hotmail、谷歌(微博)的Gmail等。

    從報告原文來看，以360為例，在瀏覽器隱私保護情況的研究章節(jié)里，研究人員對360安全瀏覽器進行了詳細研究和分析，并歸納列舉出該瀏覽器存在的3大安全問題，其中包括：收集用戶打開過的瀏覽頁面地址、收集用戶在瀏覽器地址欄輸入的信息以及預(yù)留后臺端口，在用戶不知情的情況下利用云端指令，在后臺執(zhí)行《安裝許可協(xié)議》規(guī)定之外的內(nèi)容等。

    調(diào)查中，研究人員通過專業(yè)技術(shù)手段，對整個軟件運行過程及環(huán)境進行了綜合測試，證實了“360確實存在安全問題”，并在實驗室進行了多次復(fù)現(xiàn)。報告舉例稱，當(dāng)用戶在360安全瀏覽器地址欄中輸入一個完整的網(wǎng)址時，瀏覽器會向360特定服務(wù)器依次發(fā)送用戶的每一次輸入數(shù)據(jù)，直至輸入完成，發(fā)送的信息包含了能夠確定用戶唯一性的ID，這可能會導(dǎo)致特定用戶的地址欄輸入信息和瀏覽記錄容易被跟蹤和泄露。同時，有分析顯示，“這些組件或以欺騙的方式被下載到電腦以實現(xiàn)360安全瀏覽器的某些未明示的功能，也可能造成用戶的電腦被惡意侵入”。

    11月22日，參與會議的石文昌在個人微博上，首次向外界談及此次會議的內(nèi)容，并上傳了研究報告的封面。此后，有關(guān)大企業(yè)涉嫌侵犯網(wǎng)友隱私權(quán)的新聞陸續(xù)出爐。

    11月30日，《中國科學(xué)報》記者聯(lián)系到信息工程研究所副所長孫德剛。他向記者確認(rèn)，這份報告確實出自該所舉辦的內(nèi)部學(xué)術(shù)研討會議。但是，這次會議只是一個針對部分學(xué)者的研究課題討論會，對于部分安全軟件的分析和演示也是出于研究的角度進行考量，并不單獨針對任何公司�！艾F(xiàn)在這份報告被媒體刊發(fā)了，我們有些被人利用的感覺。好像變成一些公司相互攻擊的材料了�！�

    對此，中國中文信息學(xué)會常務(wù)理事白碩認(rèn)為，只要不泄密，不違反科學(xué)倫理，研究人員沒有能力也沒有義務(wù)判斷這個研究是否會被拿來炒作�！罢l炒作是誰的問題，絕不應(yīng)該怪到研究人員頭上。不是沒授權(quán)就不該公開，而是沒禁止就可以公開�！�

    盡管孫德剛對于研究報告被媒體發(fā)布表示“很無奈”，但不可否認(rèn)，正是這份報告揭開了網(wǎng)友對于網(wǎng)絡(luò)安全的質(zhì)疑。

    11月25日，互聯(lián)網(wǎng)威懾防御實驗室（IDF）也隨即公開發(fā)布了兩份獨立檢測報告，直指360瀏覽器存在疑似后門的機制，對用戶信息安全構(gòu)成潛在威脅。

    IDF相關(guān)人員介紹，一般來說，瀏覽器所涉及到的用戶隱私主要包含兩方面：第一，當(dāng)前的PC端瀏覽器都有賬戶密碼保存的功能，很多用戶在瀏覽網(wǎng)站時習(xí)慣自動保存賬戶密碼，而這些信息是保存在用戶本地電腦上的，存在被惡意讀取或竊取的風(fēng)險。一旦讀取其明文，便相當(dāng)于用戶的賬戶、密碼信息已經(jīng)被泄露。第二，瀏覽器的歷史瀏覽記錄等用戶操作的信息，對于部分用戶來說會涉及個人隱私，這些記錄同樣存在被惡意者讀取的情況，從而造成隱私泄露。

    IDF創(chuàng)始人、IBM大中華區(qū)云計算服務(wù)部首席安全顧問萬濤指出，通過實驗證實，360瀏覽器存在不明文件下載機制，加載這些文件將對上述用戶信息及系統(tǒng)安全造成的影響完全由被下載的文件內(nèi)容所決定。這種機制對于瀏覽器軟件來說是不恰當(dāng)?shù)�，也并未�?60發(fā)布的隱私保護白皮書及安裝許可協(xié)議中提及，360官方至今也未對該機制作出合理解釋。同時，該機制的存在也給駭客提供了更多機會植入惡意代碼。

    萬濤強調(diào)，IDF的報告是中立的，選擇在這個時候發(fā)布，是為了說明網(wǎng)絡(luò)安全的緊迫性，也為了證明“民間網(wǎng)民的舉報不是捏造的”。

    網(wǎng)絡(luò)隱私侵權(quán)第一案

    由信息工程研究所的內(nèi)部報告引發(fā)的風(fēng)波，還遠未結(jié)束。

    11月27日，北京市雙利律師事務(wù)所的律師助理林芳（化名）發(fā)起了向奇虎360公司維護個人隱私權(quán)的民事起訴，這也是迄今為止中國用戶向互聯(lián)網(wǎng)企業(yè)發(fā)起的首個隱私權(quán)保護訴訟案例。

    林芳介紹，她個人使用奇虎360公司設(shè)計、開發(fā)的網(wǎng)絡(luò)瀏覽器多年，并通過該瀏覽器制作各種文書、欣賞視聽資料等。因為360瀏覽器確實提供了瀏覽網(wǎng)頁的便利，又因為有“安全瀏覽器”的名號，所以之前對其并未產(chǎn)生過懷疑。

    “11月23日，我正是通過360安全瀏覽器查看網(wǎng)絡(luò)新聞時，無意中看到中科院下屬實驗室撰寫了個人隱私泄露風(fēng)險報告的新聞，其內(nèi)容直指示360瀏覽器的諸多問題，加上第二天有關(guān)部門的證實，讓我存在不安�！绷址颊J(rèn)為，鑒于自己常年使用360瀏覽器，“有理由相信本人的隱私權(quán)已經(jīng)遭到侵犯”。

    因為自己本來就是法律行業(yè)的從業(yè)者，林芳決定，自行起草民事起訴書，要求法院判定奇虎360公司立即停止侵害（個人隱私權(quán)）、排除妨害，“同時請求法院判令其承擔(dān)訴訟費”。

    林芳此后專心研究網(wǎng)絡(luò)個人隱私遭侵害的有關(guān)資料和相關(guān)法律，決定做第一個“吃螃蟹的人”，為了保護自己的隱私權(quán)，和360對簿公堂。

    利用周末休息時間寫完起訴狀后，林芳頗為感慨，“網(wǎng)絡(luò)隱私權(quán)維權(quán)不容易，挺有技術(shù)含量”。

    11月27日，林芳到其戶籍所在地的大興法院立案庭遞交了民事起訴狀。因為網(wǎng)絡(luò)隱私權(quán)是一個新的案由，負(fù)責(zé)接待的法官向林芳問了不少問題。最后，他們還是收下了林芳的起訴狀，讓她回去等候通知。“還好領(lǐng)導(dǎo)比較寬容，也支持我的這場訴訟。”她說。

    林芳指出，目前我國沒有把隱私權(quán)確定為一項獨立的人格權(quán)，而是采取按照名譽權(quán)保護的間接保護方式。她個人期盼，能在未來的民法典中對隱私權(quán)這一重要的人格權(quán)加以規(guī)定。

    盡管有不少網(wǎng)友質(zhì)疑，林芳此舉是為了提高自己的名氣進行炒作，但她堅持認(rèn)為，“我覺得自己是在打公益訴訟，為了那么多至今仍不明就里的人”。

    立法與自律

    網(wǎng)絡(luò)安全與個人隱私，正是隨著互聯(lián)網(wǎng)快速發(fā)展而產(chǎn)生的新問題。

    國際電信聯(lián)盟此前發(fā)布的報告稱，隨著互聯(lián)網(wǎng)的普遍應(yīng)用，公共空間和個人空間的界限逐漸模糊，個人身份管理、個人隱私的保護以及安全，越來越引起業(yè)界以及消費者的關(guān)注。

    個人數(shù)字技術(shù)以革命性的速度擴展，對人們的生活產(chǎn)生了普遍深入的影響。這種趨勢不僅改變了人們的商業(yè)活動模式，而且開始對人際交往和隱私產(chǎn)生深刻影響。

    國際電信聯(lián)盟稱，那些在多家網(wǎng)站上輸入同樣姓名和口令的電腦用戶正面臨著身份被盜用的嚴(yán)重威脅，比如說網(wǎng)絡(luò)銀行、旅行社和圖書銷售商的網(wǎng)站。另外，一些網(wǎng)站在沒有完全必要的情況下要求輸入個人信息，也容易造成個人資料的泄露。

    多名專家表示，目前我國還沒有一部專門關(guān)于網(wǎng)絡(luò)隱私權(quán)的法律、法規(guī)。為此，要想加強用戶的網(wǎng)絡(luò)安全保護，必須靠行業(yè)自律和法律威懾兩個途徑來解決。企業(yè)，首先要進行自律，要有自己的道德觀；其次，國家的監(jiān)管很重要，包括國家法律的完善和威懾以及行業(yè)標(biāo)準(zhǔn)的制定。

    在11月28日的網(wǎng)絡(luò)安全沙龍上，中國人民大學(xué)副教授梁彬向《中國科學(xué)報》記者介紹，目前最大的挑戰(zhàn)是，“進攻占據(jù)了主動權(quán)，防守很被動”，從技術(shù)層面上竊取隱私太容易，保護隱私卻相對困難。未來越來越多智能手機與用戶綁定，隱私問題將比桌面電腦更大。未來這一切都需要法律約束，否則隱私問題不堪設(shè)想。

    萬濤也認(rèn)為，由于目前網(wǎng)絡(luò)用戶的隱私數(shù)據(jù)背后存在著巨大的利益，如何規(guī)范安全廠商的行為是政府監(jiān)管部門必須要考慮的問題，而不能僅僅依靠廠商自律。在成熟市場上，安全軟件能夠收集什么信息、擁有哪些特權(quán)，都是受到法律嚴(yán)格限制的，而這一環(huán)節(jié)在我國還處于缺失狀態(tài)。

    互聯(lián)網(wǎng)法律專家、知識產(chǎn)權(quán)律師胡鋼向《中國科學(xué)報》記者表示，部分安全軟件涉嫌超范圍收集政府、機構(gòu)、個人隱私信息的行為是不可取的�！白鳛榈讓榆浖�，安全軟件應(yīng)該是網(wǎng)民隱私安全的保護傘，而不能隨意搜集用戶個人信息，侵犯用戶隱私。這就好比醫(yī)生，每個學(xué)醫(yī)的學(xué)生都知道，技術(shù)、能力和智慧是用來救死扶傷，幫助病患的，嚴(yán)禁濫用醫(yī)術(shù)對任何人加以毒害�！�

    胡鋼認(rèn)為，安全廠商侵犯用戶隱私的行為是需要立法監(jiān)管的。雖然目前我國沒有出臺專門的個人隱私法，但是整個國家對隱私是非常關(guān)注的，目前在隱私方面也是有相關(guān)法律規(guī)定的。在《侵權(quán)責(zé)任法》第2條中，民事權(quán)益的范圍中就包括了隱私權(quán)。其中，第9條和第10條明確規(guī)定“泄露公民的個人材料或公諸于眾”以及“收集公民不愿向社會公開的純屬個人的情況”都可歸入侵犯隱私權(quán)的范疇。

    法律專家付莊則認(rèn)為，由于存在技術(shù)難題，網(wǎng)絡(luò)隱私保護方面用戶面臨舉證難的問題。因此，在法律威懾短期難以有效落實的情況下，企業(yè)自律就顯得尤為重要。

    騰訊公司技術(shù)工程師馬勁松則表示，網(wǎng)絡(luò)安全行業(yè)需要一個非常完整的產(chǎn)業(yè)制度，才能真正讓安全回歸個人，同時呼吁建立安全行業(yè)標(biāo)準(zhǔn)，加大處罰力度，使得法律可以起到必要的威懾作用。

    金山安全反病毒專家李鐵軍(微博)認(rèn)為，僅靠安全廠商的自律并不靠譜，而是需要業(yè)界有一個公開透明的第三方監(jiān)督機制�！爸挥性谝粋�真正有效的監(jiān)督機制下面，才有可能做到自律�！�

    中國信息協(xié)會信息安全專業(yè)委員會專家李少鵬認(rèn)為，監(jiān)督的力量應(yīng)該來自多方面，目前我國的法律法規(guī)還沒有出臺，正在完善。但與此同時，行業(yè)協(xié)會和民間的力量也應(yīng)該發(fā)揮更大作用，包括獨立檢測機構(gòu)提供客觀技術(shù)服務(wù)等，而不是簡單的企業(yè)聲明或官方檢測報告的形式。

    胡鋼建議，應(yīng)該以行業(yè)自律的方式推動法律規(guī)范完善。“信息產(chǎn)業(yè)是不斷自我完善和發(fā)展的，互聯(lián)網(wǎng)界也在不斷向前推動整個隱私保護。每個參與者都應(yīng)該遵守用戶隱私底線，這是發(fā)展的基本前提。國有國法、行有行規(guī)，在法律規(guī)范缺失的時候，行業(yè)自律對司法完善也是有輔助作用的�！�

    對于相關(guān)法律法規(guī)的完善進程，胡鋼保持樂觀態(tài)度。他表示，今年6月，國務(wù)院發(fā)布了《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》，國家信息化領(lǐng)導(dǎo)小組、網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組都參與其中，這被認(rèn)為是從國家層面的高度概括。

    據(jù)悉，工業(yè)和信息化部正在推動信息安全條例，其中就包含了隱私問題，強調(diào)了頂層設(shè)計。胡鋼認(rèn)為，“政府機構(gòu)并不是對隱私問題不關(guān)注，實際上是越來越關(guān)注，而且將在法律、司法、生活習(xí)慣等方面越來越多地關(guān)注隱私保護和企業(yè)自律”。