一份來自中國(guó)科學(xué)院信息工程研究所的內(nèi)部報(bào)告,讓360搜索再度陷入侵犯用戶隱私、泄露網(wǎng)友信息的質(zhì)疑中,也讓社會(huì)各界對(duì)于網(wǎng)絡(luò)安全的擔(dān)憂和關(guān)心愈演愈烈。在上網(wǎng)購(gòu)物、聊天、辦公等日益成為現(xiàn)代人生活一部分,信息社會(huì)日漸成熟的當(dāng)下,該如何維護(hù)用戶的隱私,確保網(wǎng)絡(luò)安全?多名專家向《中國(guó)科學(xué)報(bào)》記者表示,用戶的網(wǎng)絡(luò)隱私應(yīng)當(dāng)受到法律的保護(hù),并需要更多的行業(yè)自律來推動(dòng)我國(guó)隱私保護(hù)的司法完善,也需要成立專門的網(wǎng)絡(luò)隱私權(quán)保護(hù)自律組織。
多份報(bào)告直指網(wǎng)絡(luò)安全
這場(chǎng)網(wǎng)絡(luò)安全的風(fēng)波來得似乎悄無聲息。
如果說一個(gè)月前的“方舟子大戰(zhàn)周鴻祎(微博)”,社會(huì)各界對(duì)于360搜索是否侵犯網(wǎng)友隱私尚存疑惑,那么這次來自內(nèi)部會(huì)議的報(bào)告,卻讓質(zhì)疑多了一份證據(jù)。
11月21日,中科院信息工程研究所主辦的“隱私保護(hù)”學(xué)術(shù)研討會(huì)在京召開。會(huì)議邀請(qǐng)了包括人民大學(xué)教授石文昌等多位高校代表,共同研討網(wǎng)絡(luò)時(shí)代的網(wǎng)絡(luò)安全和用戶隱私問題。
在這個(gè)未對(duì)媒體公開的研討會(huì)上,主辦方發(fā)布了由中科院保密技術(shù)攻防重點(diǎn)實(shí)驗(yàn)室研究撰寫的《個(gè)人隱私泄露風(fēng)險(xiǎn)的技術(shù)研究報(bào)告》,從常用軟件、網(wǎng)絡(luò)服務(wù)、移動(dòng)終端以及聲光電磁等4個(gè)方面介紹了實(shí)驗(yàn)室的研究結(jié)果和發(fā)現(xiàn),涉及瀏覽器、即時(shí)通訊、電子商務(wù)、社區(qū)網(wǎng)站等多個(gè)類別的內(nèi)容。
《中國(guó)科學(xué)報(bào)》記者獲得的這份報(bào)告內(nèi)容顯示,目前網(wǎng)民日常使用的許多網(wǎng)絡(luò)服務(wù)都存在泄露隱私的風(fēng)險(xiǎn),國(guó)內(nèi)外許多知名互聯(lián)網(wǎng)公司的產(chǎn)品榜上有名,包括360瀏覽器、微軟的Hotmail、谷歌(微博)的Gmail等。
從報(bào)告原文來看,以360為例,在瀏覽器隱私保護(hù)情況的研究章節(jié)里,研究人員對(duì)360安全瀏覽器進(jìn)行了詳細(xì)研究和分析,并歸納列舉出該瀏覽器存在的3大安全問題,其中包括:收集用戶打開過的瀏覽頁(yè)面地址、收集用戶在瀏覽器地址欄輸入的信息以及預(yù)留后臺(tái)端口,在用戶不知情的情況下利用云端指令,在后臺(tái)執(zhí)行《安裝許可協(xié)議》規(guī)定之外的內(nèi)容等。
調(diào)查中,研究人員通過專業(yè)技術(shù)手段,對(duì)整個(gè)軟件運(yùn)行過程及環(huán)境進(jìn)行了綜合測(cè)試,證實(shí)了“360確實(shí)存在安全問題”,并在實(shí)驗(yàn)室進(jìn)行了多次復(fù)現(xiàn)。報(bào)告舉例稱,當(dāng)用戶在360安全瀏覽器地址欄中輸入一個(gè)完整的網(wǎng)址時(shí),瀏覽器會(huì)向360特定服務(wù)器依次發(fā)送用戶的每一次輸入數(shù)據(jù),直至輸入完成,發(fā)送的信息包含了能夠確定用戶唯一性的ID,這可能會(huì)導(dǎo)致特定用戶的地址欄輸入信息和瀏覽記錄容易被跟蹤和泄露。同時(shí),有分析顯示,“這些組件或以欺騙的方式被下載到電腦以實(shí)現(xiàn)360安全瀏覽器的某些未明示的功能,也可能造成用戶的電腦被惡意侵入”。
11月22日,參與會(huì)議的石文昌在個(gè)人微博上,首次向外界談及此次會(huì)議的內(nèi)容,并上傳了研究報(bào)告的封面。此后,有關(guān)大企業(yè)涉嫌侵犯網(wǎng)友隱私權(quán)的新聞陸續(xù)出爐。
11月30日,《中國(guó)科學(xué)報(bào)》記者聯(lián)系到信息工程研究所副所長(zhǎng)孫德剛。他向記者確認(rèn),這份報(bào)告確實(shí)出自該所舉辦的內(nèi)部學(xué)術(shù)研討會(huì)議。但是,這次會(huì)議只是一個(gè)針對(duì)部分學(xué)者的研究課題討論會(huì),對(duì)于部分安全軟件的分析和演示也是出于研究的角度進(jìn)行考量,并不單獨(dú)針對(duì)任何公司。“現(xiàn)在這份報(bào)告被媒體刊發(fā)了,我們有些被人利用的感覺。好像變成一些公司相互攻擊的材料了。”
對(duì)此,中國(guó)中文信息學(xué)會(huì)常務(wù)理事白碩認(rèn)為,只要不泄密,不違反科學(xué)倫理,研究人員沒有能力也沒有義務(wù)判斷這個(gè)研究是否會(huì)被拿來炒作!罢l(shuí)炒作是誰(shuí)的問題,絕不應(yīng)該怪到研究人員頭上。不是沒授權(quán)就不該公開,而是沒禁止就可以公開!
盡管孫德剛對(duì)于研究報(bào)告被媒體發(fā)布表示“很無奈”,但不可否認(rèn),正是這份報(bào)告揭開了網(wǎng)友對(duì)于網(wǎng)絡(luò)安全的質(zhì)疑。
11月25日,互聯(lián)網(wǎng)威懾防御實(shí)驗(yàn)室(IDF)也隨即公開發(fā)布了兩份獨(dú)立檢測(cè)報(bào)告,直指360瀏覽器存在疑似后門的機(jī)制,對(duì)用戶信息安全構(gòu)成潛在威脅。
IDF相關(guān)人員介紹,一般來說,瀏覽器所涉及到的用戶隱私主要包含兩方面:第一,當(dāng)前的PC端瀏覽器都有賬戶密碼保存的功能,很多用戶在瀏覽網(wǎng)站時(shí)習(xí)慣自動(dòng)保存賬戶密碼,而這些信息是保存在用戶本地電腦上的,存在被惡意讀取或竊取的風(fēng)險(xiǎn)。一旦讀取其明文,便相當(dāng)于用戶的賬戶、密碼信息已經(jīng)被泄露。第二,瀏覽器的歷史瀏覽記錄等用戶操作的信息,對(duì)于部分用戶來說會(huì)涉及個(gè)人隱私,這些記錄同樣存在被惡意者讀取的情況,從而造成隱私泄露。
IDF創(chuàng)始人、IBM大中華區(qū)云計(jì)算服務(wù)部首席安全顧問萬(wàn)濤指出,通過實(shí)驗(yàn)證實(shí),360瀏覽器存在不明文件下載機(jī)制,加載這些文件將對(duì)上述用戶信息及系統(tǒng)安全造成的影響完全由被下載的文件內(nèi)容所決定。這種機(jī)制對(duì)于瀏覽器軟件來說是不恰當(dāng)?shù)模膊⑽丛?60發(fā)布的隱私保護(hù)白皮書及安裝許可協(xié)議中提及,360官方至今也未對(duì)該機(jī)制作出合理解釋。同時(shí),該機(jī)制的存在也給駭客提供了更多機(jī)會(huì)植入惡意代碼。
萬(wàn)濤強(qiáng)調(diào),IDF的報(bào)告是中立的,選擇在這個(gè)時(shí)候發(fā)布,是為了說明網(wǎng)絡(luò)安全的緊迫性,也為了證明“民間網(wǎng)民的舉報(bào)不是捏造的”。
網(wǎng)絡(luò)隱私侵權(quán)第一案
由信息工程研究所的內(nèi)部報(bào)告引發(fā)的風(fēng)波,還遠(yuǎn)未結(jié)束。
11月27日,北京市雙利律師事務(wù)所的律師助理林芳(化名)發(fā)起了向奇虎360公司維護(hù)個(gè)人隱私權(quán)的民事起訴,這也是迄今為止中國(guó)用戶向互聯(lián)網(wǎng)企業(yè)發(fā)起的首個(gè)隱私權(quán)保護(hù)訴訟案例。
林芳介紹,她個(gè)人使用奇虎360公司設(shè)計(jì)、開發(fā)的網(wǎng)絡(luò)瀏覽器多年,并通過該瀏覽器制作各種文書、欣賞視聽資料等。因?yàn)?60瀏覽器確實(shí)提供了瀏覽網(wǎng)頁(yè)的便利,又因?yàn)橛小鞍踩珵g覽器”的名號(hào),所以之前對(duì)其并未產(chǎn)生過懷疑。
“11月23日,我正是通過360安全瀏覽器查看網(wǎng)絡(luò)新聞時(shí),無意中看到中科院下屬實(shí)驗(yàn)室撰寫了個(gè)人隱私泄露風(fēng)險(xiǎn)報(bào)告的新聞,其內(nèi)容直指示360瀏覽器的諸多問題,加上第二天有關(guān)部門的證實(shí),讓我存在不安!绷址颊J(rèn)為,鑒于自己常年使用360瀏覽器,“有理由相信本人的隱私權(quán)已經(jīng)遭到侵犯”。
因?yàn)樽约罕緛砭褪欠尚袠I(yè)的從業(yè)者,林芳決定,自行起草民事起訴書,要求法院判定奇虎360公司立即停止侵害(個(gè)人隱私權(quán))、排除妨害,“同時(shí)請(qǐng)求法院判令其承擔(dān)訴訟費(fèi)”。
林芳此后專心研究網(wǎng)絡(luò)個(gè)人隱私遭侵害的有關(guān)資料和相關(guān)法律,決定做第一個(gè)“吃螃蟹的人”,為了保護(hù)自己的隱私權(quán),和360對(duì)簿公堂。
利用周末休息時(shí)間寫完起訴狀后,林芳頗為感慨,“網(wǎng)絡(luò)隱私權(quán)維權(quán)不容易,挺有技術(shù)含量”。
11月27日,林芳到其戶籍所在地的大興法院立案庭遞交了民事起訴狀。因?yàn)榫W(wǎng)絡(luò)隱私權(quán)是一個(gè)新的案由,負(fù)責(zé)接待的法官向林芳問了不少問題。最后,他們還是收下了林芳的起訴狀,讓她回去等候通知。“還好領(lǐng)導(dǎo)比較寬容,也支持我的這場(chǎng)訴訟!彼f。
林芳指出,目前我國(guó)沒有把隱私權(quán)確定為一項(xiàng)獨(dú)立的人格權(quán),而是采取按照名譽(yù)權(quán)保護(hù)的間接保護(hù)方式。她個(gè)人期盼,能在未來的民法典中對(duì)隱私權(quán)這一重要的人格權(quán)加以規(guī)定。
盡管有不少網(wǎng)友質(zhì)疑,林芳此舉是為了提高自己的名氣進(jìn)行炒作,但她堅(jiān)持認(rèn)為,“我覺得自己是在打公益訴訟,為了那么多至今仍不明就里的人”。
立法與自律
網(wǎng)絡(luò)安全與個(gè)人隱私,正是隨著互聯(lián)網(wǎng)快速發(fā)展而產(chǎn)生的新問題。
國(guó)際電信聯(lián)盟此前發(fā)布的報(bào)告稱,隨著互聯(lián)網(wǎng)的普遍應(yīng)用,公共空間和個(gè)人空間的界限逐漸模糊,個(gè)人身份管理、個(gè)人隱私的保護(hù)以及安全,越來越引起業(yè)界以及消費(fèi)者的關(guān)注。
個(gè)人數(shù)字技術(shù)以革命性的速度擴(kuò)展,對(duì)人們的生活產(chǎn)生了普遍深入的影響。這種趨勢(shì)不僅改變了人們的商業(yè)活動(dòng)模式,而且開始對(duì)人際交往和隱私產(chǎn)生深刻影響。
國(guó)際電信聯(lián)盟稱,那些在多家網(wǎng)站上輸入同樣姓名和口令的電腦用戶正面臨著身份被盜用的嚴(yán)重威脅,比如說網(wǎng)絡(luò)銀行、旅行社和圖書銷售商的網(wǎng)站。另外,一些網(wǎng)站在沒有完全必要的情況下要求輸入個(gè)人信息,也容易造成個(gè)人資料的泄露。
多名專家表示,目前我國(guó)還沒有一部專門關(guān)于網(wǎng)絡(luò)隱私權(quán)的法律、法規(guī)。為此,要想加強(qiáng)用戶的網(wǎng)絡(luò)安全保護(hù),必須靠行業(yè)自律和法律威懾兩個(gè)途徑來解決。企業(yè),首先要進(jìn)行自律,要有自己的道德觀;其次,國(guó)家的監(jiān)管很重要,包括國(guó)家法律的完善和威懾以及行業(yè)標(biāo)準(zhǔn)的制定。
在11月28日的網(wǎng)絡(luò)安全沙龍上,中國(guó)人民大學(xué)副教授梁彬向《中國(guó)科學(xué)報(bào)》記者介紹,目前最大的挑戰(zhàn)是,“進(jìn)攻占據(jù)了主動(dòng)權(quán),防守很被動(dòng)”,從技術(shù)層面上竊取隱私太容易,保護(hù)隱私卻相對(duì)困難。未來越來越多智能手機(jī)與用戶綁定,隱私問題將比桌面電腦更大。未來這一切都需要法律約束,否則隱私問題不堪設(shè)想。
萬(wàn)濤也認(rèn)為,由于目前網(wǎng)絡(luò)用戶的隱私數(shù)據(jù)背后存在著巨大的利益,如何規(guī)范安全廠商的行為是政府監(jiān)管部門必須要考慮的問題,而不能僅僅依靠廠商自律。在成熟市場(chǎng)上,安全軟件能夠收集什么信息、擁有哪些特權(quán),都是受到法律嚴(yán)格限制的,而這一環(huán)節(jié)在我國(guó)還處于缺失狀態(tài)。
互聯(lián)網(wǎng)法律專家、知識(shí)產(chǎn)權(quán)律師胡鋼向《中國(guó)科學(xué)報(bào)》記者表示,部分安全軟件涉嫌超范圍收集政府、機(jī)構(gòu)、個(gè)人隱私信息的行為是不可取的!白鳛榈讓榆浖踩浖(yīng)該是網(wǎng)民隱私安全的保護(hù)傘,而不能隨意搜集用戶個(gè)人信息,侵犯用戶隱私。這就好比醫(yī)生,每個(gè)學(xué)醫(yī)的學(xué)生都知道,技術(shù)、能力和智慧是用來救死扶傷,幫助病患的,嚴(yán)禁濫用醫(yī)術(shù)對(duì)任何人加以毒害!
胡鋼認(rèn)為,安全廠商侵犯用戶隱私的行為是需要立法監(jiān)管的。雖然目前我國(guó)沒有出臺(tái)專門的個(gè)人隱私法,但是整個(gè)國(guó)家對(duì)隱私是非常關(guān)注的,目前在隱私方面也是有相關(guān)法律規(guī)定的。在《侵權(quán)責(zé)任法》第2條中,民事權(quán)益的范圍中就包括了隱私權(quán)。其中,第9條和第10條明確規(guī)定“泄露公民的個(gè)人材料或公諸于眾”以及“收集公民不愿向社會(huì)公開的純屬個(gè)人的情況”都可歸入侵犯隱私權(quán)的范疇。
法律專家付莊則認(rèn)為,由于存在技術(shù)難題,網(wǎng)絡(luò)隱私保護(hù)方面用戶面臨舉證難的問題。因此,在法律威懾短期難以有效落實(shí)的情況下,企業(yè)自律就顯得尤為重要。
騰訊公司技術(shù)工程師馬勁松則表示,網(wǎng)絡(luò)安全行業(yè)需要一個(gè)非常完整的產(chǎn)業(yè)制度,才能真正讓安全回歸個(gè)人,同時(shí)呼吁建立安全行業(yè)標(biāo)準(zhǔn),加大處罰力度,使得法律可以起到必要的威懾作用。
金山安全反病毒專家李鐵軍(微博)認(rèn)為,僅靠安全廠商的自律并不靠譜,而是需要業(yè)界有一個(gè)公開透明的第三方監(jiān)督機(jī)制!爸挥性谝粋(gè)真正有效的監(jiān)督機(jī)制下面,才有可能做到自律。”
中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)專家李少鵬認(rèn)為,監(jiān)督的力量應(yīng)該來自多方面,目前我國(guó)的法律法規(guī)還沒有出臺(tái),正在完善。但與此同時(shí),行業(yè)協(xié)會(huì)和民間的力量也應(yīng)該發(fā)揮更大作用,包括獨(dú)立檢測(cè)機(jī)構(gòu)提供客觀技術(shù)服務(wù)等,而不是簡(jiǎn)單的企業(yè)聲明或官方檢測(cè)報(bào)告的形式。
胡鋼建議,應(yīng)該以行業(yè)自律的方式推動(dòng)法律規(guī)范完善!靶畔a(chǎn)業(yè)是不斷自我完善和發(fā)展的,互聯(lián)網(wǎng)界也在不斷向前推動(dòng)整個(gè)隱私保護(hù)。每個(gè)參與者都應(yīng)該遵守用戶隱私底線,這是發(fā)展的基本前提。國(guó)有國(guó)法、行有行規(guī),在法律規(guī)范缺失的時(shí)候,行業(yè)自律對(duì)司法完善也是有輔助作用的!
對(duì)于相關(guān)法律法規(guī)的完善進(jìn)程,胡鋼保持樂觀態(tài)度。他表示,今年6月,國(guó)務(wù)院發(fā)布了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》,國(guó)家信息化領(lǐng)導(dǎo)小組、網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組都參與其中,這被認(rèn)為是從國(guó)家層面的高度概括。
據(jù)悉,工業(yè)和信息化部正在推動(dòng)信息安全條例,其中就包含了隱私問題,強(qiáng)調(diào)了頂層設(shè)計(jì)。胡鋼認(rèn)為,“政府機(jī)構(gòu)并不是對(duì)隱私問題不關(guān)注,實(shí)際上是越來越關(guān)注,而且將在法律、司法、生活習(xí)慣等方面越來越多地關(guān)注隱私保護(hù)和企業(yè)自律”。