◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇   南京网民状告奇虎360窃取“隐私”   2013-03-22南京晨报   年前,“打假斗士”方舟子与“红衣战士”周鸿祎在网络上掀起了一场轰轰 烈烈的口水战,战火蔓延到互联网领域的信息安全问题。今年315晚会,也曝光 了有关Cookies分析用户上网行为许多网民都开始寻找清除Cookies信息保护个人 隐私的方法,仅新浪微博的搜索量超过100余万。这不,南京消费者黄佳(应消 费者要求使用化名)意外发现,自己使用的360安全浏览器,几乎在“偷窥”着 自己网上的举动,一怒之下,将360给告了。记者了解到,目前南京鼓楼区法院 已经立案。   和朋友闲聊后   发现隐私被“泄露”了   “网络隐私”这个词汇,对很多人来说,都是个新名词。我在网上的浏览了 什么网站、有什么喜好、使用了什么软件,这样的“隐私”有没有得到保护?去 年9月的一天,黄佳和几个IT界的朋友正好聚在一起闲聊,大家就聊到了“网络 隐私”。黄佳一时兴起,很想知道,到底自己使用的360安全浏览器,是不是真 的保障了自己隐私的“安全”?于是他就委托IT界的朋友们帮他一探究竟。   IT界的朋友们使用了一个软件来查看,这个软件是微软的官方软件,名叫 “Fiddler”。这个软件做什么用的?据了解,Fiddler是一个http调试代理,它 能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看Fiddle 所有的“进出”的数据。而通过显示所有的http通讯,可以轻松地演示哪些用来 生成一个页面,你可以看到你请求的某个页面,总共请求了多少次,以及多少字 节被转化了。   听起来很复杂,到底什么意思?黄佳全权委托江苏博事达律师事务所的孟伟 律师代理此案的所有事宜,而孟伟给记者举了一个例子。“就好比你去看纽约时 报网站,你需要先向服务器发送一个指令,然后指令发送到纽约时报,然后纽约 时报那边的服务器反馈过来,你就看到了这个网站。Fiddler就可以将这个行为 反应出来,相当于将网站对你的行为像‘录像机’一样录下来,通过“抓包”能 够监控到其他网站对你的数据交互行为”。   没想到,使用了这个软件之后,黄佳居然发现,自己的“隐私”好像被泄露 了。他发现了两个疑点:首先是自己通过360浏览器曾经浏览过的比如淘宝网、 工商银行、人人网等相关的浏览记录,和360的服务器存在交互行为,也就是360 浏览器也会实时将用户的浏览网址记录上传到其服务器上。   更让他惊讶的是,他发现360甚至可以“扫描”自己电脑中已经安装的软件, 当其安装或卸载360安全浏览器时,浏览器会监控其电脑中的软件安装情况。他 多次试验发现,只要电脑中安装了QQ、QQ管家、金山毒霸、遨游浏览器、搜狗输 入法、腾讯TT浏览器、火狐浏览器、Chrome浏览器、阿里巴巴浏览器等十余种软 件,浏览器都会将安装信息收集上传到360服务器上。   消费者要求360道歉   并索赔5万元   黄佳在得到这样的结果后,很是不满,觉得个人隐私被泄露了,黄佳认为, 浏览网页属于隐私行为,浏览了什么网站,不应该让别人都知道,就好比我在家 里做什么都被人盯着看。孟伟称,如果这样,用户的软件操作习惯、作息时间、 网页浏览行为无疑都暴露了。   黄佳觉得,不是自己一个人被“偷窥”,很多使用360浏览器的用户,都存 在同样的问题。而在使用360浏览器的时候,明明有个用户协议,自己是打了一 个“小勾”在这个协议上,才安装的浏览器。这个《360浏览器安装许可协议》 中所承诺,“不会监控用户网上、网下的行为,不会收集用户使用其他软件、文 档等个人信息,不会泄露用户隐私”。孟伟说,360安全浏览器的上述行为已超 出浏览器的基本功能和作用,违反了这个安装协议。   于是黄佳找到了江苏博事达律师事务所的孟伟律师,决定要起诉360,给自 己的“隐私权”讨个说法。南京市鼓楼区法院在收到诉状后,于今年的元月10日 下达了案件受理通知书。记者在该通知书中看到,法院认为该起诉“符合法定受 理条件,本院决定立案受理”。   黄佳有什么要求呢?在起诉书中,黄佳称,要求360立即停止侵犯自己的隐 私,在自己的网站以及《法制日报》上连续10日道歉,并要求赔偿自己的精神损 害抚慰金5万元等。   360公司:   “网址云安全”是所有安全软件的通用做法   360公司也的确收到了法院邮寄送达的诉状。记者日前联系上了360公司的相 关负责人,在360公司给晨报记者的书面答复中,360进行了澄清。   360表示,“把消费者的浏览网址记录上传到服务器”这一说法,本身就是 不准确的。360公司称事实情况是,会把用户访问的网址通过不可逆的哈希算法 转化为一个字符串,这个字符串用通俗的话来说,就是“网址指纹”,然后再与 服务器端的恶意网址库进行比对,以便用户访问挂马、钓鱼等恶意网址时进行拦 截。这项功能名为“网址云安全”,也是所有安全软件的通用做法,包括国外的 赛门铁克、趋势科技、谷歌浏览器,国内的瑞星、金山等,都在采用相同机制拦 截恶意网址。   为什么必须采用“网址云安全”功能拦截恶意网站呢?360公司称,首先, 这个方法相对快,可以在云端实时更新恶意网址库,客户端第一时间拦截;其次 也很省资源:用户电脑无需加载庞大的恶意网址库,也不用每天更新大约3MB的 网址特征(一年约1.1GB);最后,是因为其高效率:通过云端URL/IP/信誉等多 维度数据库关联分析,就可以大幅提高钓鱼拦截效果。   360公司还给记者一个使用360安全浏览器拦截假冒工行网银钓鱼网站的实例, 当输入一个假冒工商银行网址的时候,就跳出一个窗口称,经过360互联网安全 中心认证,当前页面是假冒的中国工商银行登录界面,并提示用户访问真正的中 国工商银行。   “如果用户不希望提交网址指纹和服务器端恶意网址库进行比对,只要在 360软件设置中关闭‘网址云安全’即可。但这样就无法识别和拦截各种钓鱼和 挂马网站了。”   对于用户使用的QQ等软件也被“反馈”给360公司,360表示,反馈的QQ浏览 器信息,只是QQ浏览器程序的文件指纹、数字签名等安全检测必需的参数,并不 涉及其个人使用数据。“举个简单的例子,当一个用户下载安装QQ浏览器或者 QVOD播放器时,他可能是通过某个盗版软件站下载了捆绑木马的软件安装包。这 时,任何一款安全软件都会检测安装包,否则根本无法拦截木马病毒。”   能不能在南京告   又成为焦点   采访中,有人认为两者说法公说公有理婆说婆有理,也有一些IT界业内人士 认为,360公司的解释似乎不能自圆其说。安全软件的通行做法是将“可疑网址” 收集至服务器端并比对。而“淘宝、搜狐、人人网”明显不是“可疑网址”,但 却均被360将用户的浏览信息收集到服务器,这种行为似乎超出了安全软件的范 畴,的确感觉侵犯了用户的隐私。其次,如果是为了拦截木马病毒,应该是在下 载或安装该软件(如QQ浏览器)时检测相关参数和信息,但现在360浏览器的行 为是在安装或卸载360浏览器时去检测用户电脑是否安装有其他产品的参数信息 并传回,因此“为了拦截病毒”一说似乎站不住脚。   而黄佳发现,即便你将“云安全”关闭,依然可以上传自己的浏览记录。   “该案件原定在3月底开庭,但现在360公司向鼓楼区法院提出了‘管辖权异 议’”。孟伟说,360公司指出,北京奇虎公司的所在地是北京市西城区人民法 院,用户不应该在南京的法院起诉。   孟伟说,依照法律规定,侵权行为可以在侵权结果发生地或者被告所在地起 诉,而侵权结果发生地,无疑就是黄佳南京的电脑。因此消费者当然可以不必大 费周章去北京,在南京告也是理所当然。但360公司认为,“侵权结果可以在任 何一台联网的计算机终端显现,这样许多地方均可视为侵权结果发生地,具有显 着扩散性,而不具有确定性,因此对申请人而言极不公平”。360公司还认为, “网络侵权案件的管辖地确认,应该以被告住所地或侵权行为实施地为原则,以 侵权结果发生地为例外”。   到底在南京能不能告?在360公司提出管辖权异议之后,南京鼓楼区法院就 需要走法律程序,裁定到底这个异议成立还是不成立。所以原定的3月底开庭, 显然不可能实现了。   制度疏漏   我的隐私谁做主?   黄佳和孟伟说,其实这次去告360,就是希望能够唤起大家对自己网络隐私 的“保护意识”。“就好比我请个保安看家,但你不能打着安全的名号,把我家 所有的东西都翻一遍”,“目前个人的隐私还很难界定,法律规定还不健全,这 个案子说明,目前人的活动已经向网络转移,隐私权在网络中如何体现和保护成 了法律亟待解决的问题,并且个人隐私行为和消费者的经济和财产属性直接挂钩, 作为消费者可以对经营者让渡一部分信息,但不是没有边界的,消费者有没有被 告知呢?经营者有没有遵循最小使用的原则,还是肆无忌惮地搜集所有的信息?” 孟伟律师在谈到维护消费者的隐私权时说道。   360公司表示,其实自己一直很重视消费者的隐私。自己不仅加入了全球最 大隐私保护组织IAPP(隐私专业人员国际协会),而且将引进吸收国际上在用户 隐私保护方面的先进经验,并按国际标准来要求自己。在360发布的《用户隐私 保护白皮书》中,也把各个软件的工作原理、实现哪些功能需要交互什么数据全 都公开、透明,接受公众的严格监督。   其实关于侵犯用户隐私权的行为并不鲜见,美国就曾对谷歌公司侵犯用户隐 私开出巨额罚单。2012年年初,谷歌公司被曝借助苹果公司Safari浏览器的漏洞, 绕过该浏览器的隐私设定,追踪用户的上网习惯。随后,美国联邦贸易委员会 (FTC)对谷歌侵权一事展开调查。8月,谷歌与FTC达成和解协议,FTC要求谷歌 缴纳2250万美元的罚款并彻底停止追踪用户上网习惯的侵权行为。11月初,美国 地方法院批准了FTC的这一处罚决定。   2013年2月1日,我国颁布了首个个人信息保护的国家标准《信息技术安全公 共及商用服务信息系统个人信息保护指南》,《指南》的实施标志着我国将告别 针对个人信息处理行为“无标可依”的历史,使公民对个人信息保护的诉求得到 有效解决。   (本文来源:南京晨报 作者:王静静 杨静) (XYS20130326) ◇◇新语丝(www.xys.org)(xys7.dxiong.com)(xys.ebookdiy.com)(xys2.dropin.org)◇◇