近段时间,关于奇虎360软件涉嫌侵犯用户隐私的相关话题事件引发了社会公众的高度关注,对于网络安全行业自身问题和未来发展的讨论反省也一直在继续。11月28日,由易观国际举办的主题为“网络安全路在何方”第二期易士堂论坛再次就网络安全话题进行了更深入的交流和探讨,“道德自律与监管震慑”成为与会专家达成的最强呼声。
论坛上,来自企业界、学术界、法律界、新闻媒体及国家信息安全委员会的专家系数出席并阐述了自己对网络信息安全、隐私保护方面的现状认识及思考,督促安全企业应秉承开放、透明、自律的态度,并呼吁行业制定规范标准,同时国家监管部门应该加大处罚监管力度,尽快出台更严格的安全立法。
360剽窃隐私再添新证据
近期,持续发酵的360产品窃取隐私事件引发民间维权人士关注。11月27日,北京市双利律师事务所85后实习女律师“新元124”在微博中发布了向奇虎360维护个人隐私权的民事起诉状,目前北京市大兴区人民法院已收下起诉状。这是迄今为止,中国用户向互联网企业发起的首个隐私权保护诉讼案例。
针对网民关注的侵犯隐私问题,国内网络安全组织——互联网威慑防御实验室(简称IDF)于日前公开发布了两份关于“360安全浏览器暗藏后门”及“360安全卫士窃取用户隐私”的检测报告,迅速引发轩然大波。
在28日的易观国际“网络安全路在何方”第二期易士堂论坛上,IDF实验室的工程师代表受邀出席,现场对《关于360安全浏览器暗藏后门证据的独立检测报告》和《关于360安全卫士涉嫌窃取用户隐私的独立检测报告》进行了深入解读,报告表明360的软件侵犯了用户的隐私。
通过IDF工程师现场演示的相关证据,可以清晰的看到360安全浏览器安装路径中的ExtSmartWiz.dll文件在用户不知情的情况下,每隔5分钟下载360远程服务器DLL文件并进行加载操作,且无该文件功能说明。而360安全卫士则在用户不知情的情况下,搜集用户软件操作信息并上传至服务器,随后删除信息搜集过程中产生的临时文件。用户取消“加入云安全计划”亦不能阻止信息记录文件的上传。
来自金山公司的安全专家李铁军现场演示的一段“360泄露服务器文件”的三分钟视频更是令人触目惊心,视频中显示2010年曾经被网上曝出来的360SIFT.COM服务器日志,其中记录了大量的用户账户等牵涉个人隐私的相关内容,再次证明了360存在窃取用户隐私的行为。
在此之前,一份来自于中科院的“内部交流报告”也确认了360安全浏览器后门机制的存在,并归纳列举出360安全浏览器收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口等三大安全问题,在用户不知情的情况利用云端指令,在后台执行《安装许可协议》规定内容之外的功能等。
专家愤怒对峙却遭360哑口
360浏览器存在后门和360安全卫士存在窃取用户隐私嫌疑的相关证据,引发了与会嘉宾的强烈震惊。除腾讯、金山、安全宝、知道创宇、IDF实验室、国家信息安全委员会等机构相关技术专家外,360公司也有代表出席论坛。 中国人民大学的梁彬副教授对于用户隐私侵犯现象表示非常痛心,认为在缺乏企业自律和国家法律法规威慑的形势下,很难得到大的扭转。
国家信息安全委员会李少鹏建议,应该首先明确用户隐私的范畴,从法律法规层面规范行业标准。法律专家付庄也表示,虽然当前国家有很多用户隐私保护方面的法律法规,但是具体到网络隐私保护方面,由于牵涉到技术层面,用户面临举证难的尴尬境地。比如此次360涉嫌窃取用户隐私和暗藏后门事件,由于其中存在复杂的技术手段,而且对于检测手段也莫衷一是,各方众说纷纭,至今没有明确结论。
在痛心行业乱象的同时,各方专家学者也都认为在当前环境下,企业自律已经成为当务之急。知道创宇副总裁董明武认为,技术本身没有好坏之分,只在技术开发者的初衷。作为从业者,要有道德底线,要不断地约束自己。来自金山的李铁军则认为仅仅靠企业自身自律是不现实的,应该引入公众监督的机制。他表示,只有在一个真正有效的监督机制下面,企业才有可能做到真正自律。
动员全社会都来关注网络安全也成为与会专家的共识。国家权威行业期刊、《中国信息安全》执行主编崔光耀认为,安全已经远远不是一个小众问题,而是一个大众问题。解决信息安全问题,不仅仅是信息安全行业的问题,也有赖于所有互联网公司,包括广大的网民,需要各方在管理方面技术方面和安全意识方面来共同努力,来打造一个安全的网络空间。
关于安全产品的设计原则,IDF实验室的工程师表示,任何涉及用户信息的软件产品都需具备如下信息处理特性:知情权、选择权、授权性、可控性,即让我知道、让我选择、由我授权、我可删除,真正让用户主导,而不是隐瞒欺骗用户。同时,IDF也呼吁推动行业自律、透明,建立第三方检测验证机制及业内隐私保护统一规范,防止自说自话的企业行为!
腾讯电脑管家安全专家马劲松则呼吁“安全要回归到本人,安全就是解决用户安全问题,而不是借着安全名义去恐吓用户达到自己的商业目的”,网络首先要有相关行业标准,同时加大处罚力度,使得法律可以起到必要的威慑作用。
面对与会嘉宾的指责和声讨,最后到会的奇虎360代表则以非技术人员不懂技术为由,拒绝正面解答技术问题。对此,与会专家希望奇虎360可以正视自己存在的问题,尽早拿出令公众满意的整改方案。 |