◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇   谁解网络安全之结   ■本报记者 彭科峰   《中国科学报》 (2012-12-13 第3版 深度)   一份来自中国科学院信息工程研究所的内部报告,让360搜索再度陷入侵犯 用户隐私、泄露网友信息的质疑中,也让社会各界对于网络安全的担忧和关心愈 演愈烈。在上网购物、聊天、办公等日益成为现代人生活一部分,信息社会日渐 成熟的当下,该如何维护用户的隐私,确保网络安全?多名专家向《中国科学报》 记者表示,用户的网络隐私应当受到法律的保护,并需要更多的行业自律来推动 我国隐私保护的司法完善,也需要成立专门的网络隐私权保护自律组织。   多份报告直指网络安全   这场网络安全的风波来得似乎悄无声息。   如果说一个月前的“方舟子大战周鸿祎”,社会各界对于360搜索是否侵犯 网友隐私尚存疑惑,那么这次来自内部会议的报告,却让质疑多了一份证据。   11月21日,中科院信息工程研究所主办的“隐私保护”学术研讨会在京召开。 会议邀请了包括人民大学教授石文昌等多位高校代表,共同研讨网络时代的网络 安全和用户隐私问题。   在这个未对媒体公开的研讨会上,主办方发布了由中科院保密技术攻防重点 实验室研究撰写的《个人隐私泄露风险的技术研究报告》,从常用软件、网络服 务、移动终端以及声光电磁等4个方面介绍了实验室的研究结果和发现,涉及浏 览器、即时通讯、电子商务、社区网站等多个类别的内容。   《中国科学报》记者获得的这份报告内容显示,目前网民日常使用的许多网 络服务都存在泄露隐私的风险,国内外许多知名互联网公司的产品榜上有名,包 括360浏览器、微软的Hotmail、谷歌的Gmail等。   从报告原文来看,以360为例,在浏览器隐私保护情况的研究章节里,研究 人员对360安全浏览器进行了详细研究和分析,并归纳列举出该浏览器存在的3大 安全问题,其中包括:收集用户打开过的浏览页面地址、收集用户在浏览器地址 栏输入的信息以及预留后台端口,在用户不知情的情况下利用云端指令,在后台 执行《安装许可协议》规定之外的内容等。   调查中,研究人员通过专业技术手段,对整个软件运行过程及环境进行了综 合测试,证实了“360确实存在安全问题”,并在实验室进行了多次复现。报告 举例称,当用户在360安全浏览器地址栏中输入一个完整的网址时,浏览器会向 360特定服务器依次发送用户的每一次输入数据,直至输入完成,发送的信息包 含了能够确定用户唯一性的ID,这可能会导致特定用户的地址栏输入信息和浏览 记录容易被跟踪和泄露。同时,有分析显示,“这些组件或以欺骗的方式被下载 到电脑以实现360安全浏览器的某些未明示的功能,也可能造成用户的电脑被恶 意侵入”。   11月22日,参与会议的石文昌在个人微博上,首次向外界谈及此次会议的内 容,并上传了研究报告的封面。此后,有关大企业涉嫌侵犯网友隐私权的新闻陆 续出炉。   11月30日,《中国科学报》记者联系到信息工程研究所副所长孙德刚。他向 记者确认,这份报告确实出自该所举办的内部学术研讨会议。但是,这次会议只 是一个针对部分学者的研究课题讨论会,对于部分安全软件的分析和演示也是出 于研究的角度进行考量,并不单独针对任何公司。“现在这份报告被媒体刊发了, 我们有些被人利用的感觉。好像变成一些公司相互攻击的材料了。”   对此,中国中文信息学会常务理事白硕认为,只要不泄密,不违反科学伦理, 研究人员没有能力也没有义务判断这个研究是否会被拿来炒作。“谁炒作是谁的 问题,绝不应该怪到研究人员头上。不是没授权就不该公开,而是没禁止就可以 公开。”   尽管孙德刚对于研究报告被媒体发布表示“很无奈”,但不可否认,正是这 份报告揭开了网友对于网络安全的质疑。   11月25日,互联网威慑防御实验室(IDF)也随即公开发布了两份独立检测 报告,直指360浏览器存在疑似后门的机制,对用户信息安全构成潜在威胁。   IDF相关人员介绍,一般来说,浏览器所涉及到的用户隐私主要包含两方面: 第一,当前的PC端浏览器都有账户密码保存的功能,很多用户在浏览网站时习惯 自动保存账户密码,而这些信息是保存在用户本地电脑上的,存在被恶意读取或 窃取的风险。一旦读取其明文,便相当于用户的账户、密码信息已经被泄露。第 二,浏览器的历史浏览记录等用户操作的信息,对于部分用户来说会涉及个人隐 私,这些记录同样存在被恶意者读取的情况,从而造成隐私泄露。   IDF创始人、IBM大中华区云计算服务部首席安全顾问万涛指出,通过实验证 实,360浏览器存在不明文件下载机制,加载这些文件将对上述用户信息及系统 安全造成的影响完全由被下载的文件内容所决定。这种机制对于浏览器软件来说 是不恰当的,也并未在360发布的隐私保护白皮书及安装许可协议中提及,360官 方至今也未对该机制作出合理解释。同时,该机制的存在也给骇客提供了更多机 会植入恶意代码。   万涛强调,IDF的报告是中立的,选择在这个时候发布,是为了说明网络安 全的紧迫性,也为了证明“民间网民的举报不是捏造的”。   网络隐私侵权第一案   由信息工程研究所的内部报告引发的风波,还远未结束。   11月27日,北京市双利律师事务所的律师助理林芳(化名)发起了向奇虎 360公司维护个人隐私权的民事起诉,这也是迄今为止中国用户向互联网企业发 起的首个隐私权保护诉讼案例。   林芳介绍,她个人使用奇虎360公司设计、开发的网络浏览器多年,并通过 该浏览器制作各种文书、欣赏视听资料等。因为360浏览器确实提供了浏览网页 的便利,又因为有“安全浏览器”的名号,所以之前对其并未产生过怀疑。   “11月23日,我正是通过360安全浏览器查看网络新闻时,无意中看到中科 院下属实验室撰写了个人隐私泄露风险报告的新闻,其内容直指示360浏览器的 诸多问题,加上第二天有关部门的证实,让我存在不安。”林芳认为,鉴于自己 常年使用360浏览器,“有理由相信本人的隐私权已经遭到侵犯”。   因为自己本来就是法律行业的从业者,林芳决定,自行起草民事起诉书,要 求法院判定奇虎360公司立即停止侵害(个人隐私权)、排除妨害,“同时请求 法院判令其承担诉讼费”。   林芳此后专心研究网络个人隐私遭侵害的有关资料和相关法律,决定做第一 个“吃螃蟹的人”,为了保护自己的隐私权,和360对簿公堂。   利用周末休息时间写完起诉状后,林芳颇为感慨,“网络隐私权维权不容易, 挺有技术含量”。   11月27日,林芳到其户籍所在地的大兴法院立案庭递交了民事起诉状。因为 网络隐私权是一个新的案由,负责接待的法官向林芳问了不少问题。最后,他们 还是收下了林芳的起诉状,让她回去等候通知。“还好领导比较宽容,也支持我 的这场诉讼。”她说。   林芳指出,目前我国没有把隐私权确定为一项独立的人格权,而是采取按照 名誉权保护的间接保护方式。她个人期盼,能在未来的民法典中对隐私权这一重 要的人格权加以规定。   尽管有不少网友质疑,林芳此举是为了提高自己的名气进行炒作,但她坚持 认为,“我觉得自己是在打公益诉讼,为了那么多至今仍不明就里的人”。   立法与自律   网络安全与个人隐私,正是随着互联网快速发展而产生的新问题。   国际电信联盟此前发布的报告称,随着互联网的普遍应用,公共空间和个人 空间的界限逐渐模糊,个人身份管理、个人隐私的保护以及安全,越来越引起业 界以及消费者的关注。   个人数字技术以革命性的速度扩展,对人们的生活产生了普遍深入的影响。 这种趋势不仅改变了人们的商业活动模式,而且开始对人际交往和隐私产生深刻 影响。   国际电信联盟称,那些在多家网站上输入同样姓名和口令的电脑用户正面临 着身份被盗用的严重威胁,比如说网络银行、旅行社和图书销售商的网站。另外, 一些网站在没有完全必要的情况下要求输入个人信息,也容易造成个人资料的泄 露。   多名专家表示,目前我国还没有一部专门关于网络隐私权的法律、法规。为 此,要想加强用户的网络安全保护,必须靠行业自律和法律威慑两个途径来解决。 企业,首先要进行自律,要有自己的道德观;其次,国家的监管很重要,包括国 家法律的完善和威慑以及行业标准的制定。   在11月28日的网络安全沙龙上,中国人民大学副教授梁彬向《中国科学报》 记者介绍,目前最大的挑战是,“进攻占据了主动权,防守很被动”,从技术层 面上窃取隐私太容易,保护隐私却相对困难。未来越来越多智能手机与用户绑定, 隐私问题将比桌面电脑更大。未来这一切都需要法律约束,否则隐私问题不堪设 想。   万涛也认为,由于目前网络用户的隐私数据背后存在着巨大的利益,如何规 范安全厂商的行为是政府监管部门必须要考虑的问题,而不能仅仅依靠厂商自律。 在成熟市场上,安全软件能够收集什么信息、拥有哪些特权,都是受到法律严格 限制的,而这一环节在我国还处于缺失状态。   互联网法律专家、知识产权律师胡钢向《中国科学报》记者表示,部分安全 软件涉嫌超范围收集政府、机构、个人隐私信息的行为是不可取的。“作为底层 软件,安全软件应该是网民隐私安全的保护伞,而不能随意搜集用户个人信息, 侵犯用户隐私。这就好比医生,每个学医的学生都知道,技术、能力和智慧是用 来救死扶伤,帮助病患的,严禁滥用医术对任何人加以毒害。”   胡钢认为,安全厂商侵犯用户隐私的行为是需要立法监管的。虽然目前我国 没有出台专门的个人隐私法,但是整个国家对隐私是非常关注的,目前在隐私方 面也是有相关法律规定的。在《侵权责任法》第2条中,民事权益的范围中就包 括了隐私权。其中,第9条和第10条明确规定“泄露公民的个人材料或公诸于众” 以及“收集公民不愿向社会公开的纯属个人的情况”都可归入侵犯隐私权的范畴。   法律专家付庄则认为,由于存在技术难题,网络隐私保护方面用户面临举证 难的问题。因此,在法律威慑短期难以有效落实的情况下,企业自律就显得尤为 重要。   腾讯公司技术工程师马劲松则表示,网络安全行业需要一个非常完整的产业 制度,才能真正让安全回归个人,同时呼吁建立安全行业标准,加大处罚力度, 使得法律可以起到必要的威慑作用。   金山安全反病毒专家李铁军认为,仅靠安全厂商的自律并不靠谱,而是需要 业界有一个公开透明的第三方监督机制。“只有在一个真正有效的监督机制下面, 才有可能做到自律。”   中国信息协会信息安全专业委员会专家李少鹏认为,监督的力量应该来自多 方面,目前我国的法律法规还没有出台,正在完善。但与此同时,行业协会和民 间的力量也应该发挥更大作用,包括独立检测机构提供客观技术服务等,而不是 简单的企业声明或官方检测报告的形式。   胡钢建议,应该以行业自律的方式推动法律规范完善。“信息产业是不断自 我完善和发展的,互联网界也在不断向前推动整个隐私保护。每个参与者都应该 遵守用户隐私底线,这是发展的基本前提。国有国法、行有行规,在法律规范缺 失的时候,行业自律对司法完善也是有辅助作用的。”   对于相关法律法规的完善进程,胡钢保持乐观态度。他表示,今年6月,国 务院发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》,国家 信息化领导小组、网络与信息安全工作领导小组都参与其中,这被认为是从国家 层面的高度概括。   据悉,工业和信息化部正在推动信息安全条例,其中就包含了隐私问题,强 调了顶层设计。胡钢认为,“政府机构并不是对隐私问题不关注,实际上是越来 越关注,而且将在法律、司法、生活习惯等方面越来越多地关注隐私保护和企业 自律”。 (XYS20121212) ◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇