谁解网络安全之结?

一份来自中国科学院信息工程研究所的内部报告，让360搜索再度陷入侵犯用户隐私、泄露网友信息的质疑中，也让社会各界对于网络安全的担忧和关心愈演愈烈。在上网购物、聊天、办公等日益成为现代人生活一部分，信息社会日渐成熟的当下，该如何维护用户的隐私，确保网络安全？多名专家向《中国科学报》记者表示，用户的网络隐私应当受到法律的保护，并需要更多的行业自律来推动我国隐私保护的司法完善，也需要成立专门的网络隐私权保护自律组织。

    多份报告直指网络安全

    这场网络安全的风波来得似乎悄无声息。

    如果说一个月前的“方舟子大战周鸿(微博)”，社会各界对于360搜索是否侵犯网友隐私尚存疑惑，那么这次来自内部会议的报告，却让质疑多了一份证据。

    11月21日，中科院信息工程研究所主办的“隐私保护”学术研讨会在京召开。会议邀请了包括人民大学教授石文昌等多位高校代表，共同研讨网络时代的网络安全和用户隐私问题。

    在这个未对媒体公开的研讨会上，主办方发布了由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》，从常用软件、网络服务、移动终端以及声光电磁等4个方面介绍了实验室的研究结果和发现，涉及浏览器、即时通讯、电子商务、社区网站等多个类别的内容。

    《中国科学报》记者获得的这份报告内容显示，目前网民日常使用的许多网络服务都存在泄露隐私的风险，国内外许多知名互联网公司的产品榜上有名，包括360浏览器、微软的Hotmail、谷歌(微博)的Gmail等。

    从报告原文来看，以360为例，在浏览器隐私保护情况的研究章节里，研究人员对360安全浏览器进行了详细研究和分析，并归纳列举出该浏览器存在的3大安全问题，其中包括：收集用户打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口，在用户不知情的情况下利用云端指令，在后台执行《安装许可协议》规定之外的内容等。

    调查中，研究人员通过专业技术手段，对整个软件运行过程及环境进行了综合测试，证实了“360确实存在安全问题”，并在实验室进行了多次复现。报告举例称，当用户在360安全浏览器地址栏中输入一个完整的网址时，浏览器会向360特定服务器依次发送用户的每一次输入数据，直至输入完成，发送的信息包含了能够确定用户唯一性的ID，这可能会导致特定用户的地址栏输入信息和浏览记录容易被跟踪和泄露。同时，有分析显示，“这些组件或以欺骗的方式被下载到电脑以实现360安全浏览器的某些未明示的功能，也可能造成用户的电脑被恶意侵入”。

    11月22日，参与会议的石文昌在个人微博上，首次向外界谈及此次会议的内容，并上传了研究报告的封面。此后，有关大企业涉嫌侵犯网友隐私权的新闻陆续出炉。

    11月30日，《中国科学报》记者联系到信息工程研究所副所长孙德刚。他向记者确认，这份报告确实出自该所举办的内部学术研讨会议。但是，这次会议只是一个针对部分学者的研究课题讨论会，对于部分安全软件的分析和演示也是出于研究的角度进行考量，并不单独针对任何公司。“现在这份报告被媒体刊发了，我们有些被人利用的感觉。好像变成一些公司相互攻击的材料了。”

    对此，中国中文信息学会常务理事白硕认为，只要不泄密，不违反科学伦理，研究人员没有能力也没有义务判断这个研究是否会被拿来炒作。“谁炒作是谁的问题，绝不应该怪到研究人员头上。不是没授权就不该公开，而是没禁止就可以公开。”

    尽管孙德刚对于研究报告被媒体发布表示“很无奈”，但不可否认，正是这份报告揭开了网友对于网络安全的质疑。

    11月25日，互联网威慑防御实验室（IDF）也随即公开发布了两份独立检测报告，直指360浏览器存在疑似后门的机制，对用户信息安全构成潜在威胁。

    IDF相关人员介绍，一般来说，浏览器所涉及到的用户隐私主要包含两方面：第一，当前的PC端浏览器都有账户密码保存的功能，很多用户在浏览网站时习惯自动保存账户密码，而这些信息是保存在用户本地电脑上的，存在被恶意读取或窃取的风险。一旦读取其明文，便相当于用户的账户、密码信息已经被泄露。第二，浏览器的历史浏览记录等用户操作的信息，对于部分用户来说会涉及个人隐私，这些记录同样存在被恶意者读取的情况，从而造成隐私泄露。

  IDF创始人、IBM大中华区云计算服务部首席安全顾问万涛指出，通过实验证实，360浏览器存在不明文件下载机制，加载这些文件将对上述用户信息及系统安全造成的影响完全由被下载的文件内容所决定。这种机制对于浏览器软件来说是不恰当的，也并未在360发布的隐私保护白皮书及安装许可协议中提及，360官方至今也未对该机制作出合理解释。同时，该机制的存在也给骇客提供了更多机会植入恶意代码。

    万涛强调，IDF的报告是中立的，选择在这个时候发布，是为了说明网络安全的紧迫性，也为了证明“民间网民的举报不是捏造的”。

    网络隐私侵权第一案

    由信息工程研究所的内部报告引发的风波，还远未结束。

    11月27日，北京市双利律师事务所的律师助理林芳（化名）发起了向奇虎360公司维护个人隐私权的民事起诉，这也是迄今为止中国用户向互联网企业发起的首个隐私权保护诉讼案例。

    林芳介绍，她个人使用奇虎360公司设计、开发的网络浏览器多年，并通过该浏览器制作各种文书、欣赏视听资料等。因为360浏览器确实提供了浏览网页的便利，又因为有“安全浏览器”的名号，所以之前对其并未产生过怀疑。

    “11月23日，我正是通过360安全浏览器查看网络新闻时，无意中看到中科院下属实验室撰写了个人隐私泄露风险报告的新闻，其内容直指示360浏览器的诸多问题，加上第二天有关部门的证实，让我存在不安。”林芳认为，鉴于自己常年使用360浏览器，“有理由相信本人的隐私权已经遭到侵犯”。

    因为自己本来就是法律行业的从业者，林芳决定，自行起草民事起诉书，要求法院判定奇虎360公司立即停止侵害（个人隐私权）、排除妨害，“同时请求法院判令其承担诉讼费”。

    林芳此后专心研究网络个人隐私遭侵害的有关资料和相关法律，决定做第一个“吃螃蟹的人”，为了保护自己的隐私权，和360对簿公堂。

    利用周末休息时间写完起诉状后，林芳颇为感慨，“网络隐私权维权不容易，挺有技术含量”。

    11月27日，林芳到其户籍所在地的大兴法院立案庭递交了民事起诉状。因为网络隐私权是一个新的案由，负责接待的法官向林芳问了不少问题。最后，他们还是收下了林芳的起诉状，让她回去等候通知。“还好领导比较宽容，也支持我的这场诉讼。”她说。

    林芳指出，目前我国没有把隐私权确定为一项独立的人格权，而是采取按照名誉权保护的间接保护方式。她个人期盼，能在未来的民法典中对隐私权这一重要的人格权加以规定。

    尽管有不少网友质疑，林芳此举是为了提高自己的名气进行炒作，但她坚持认为，“我觉得自己是在打公益诉讼，为了那么多至今仍不明就里的人”。

    立法与自律

    网络安全与个人隐私，正是随着互联网快速发展而产生的新问题。

    国际电信联盟此前发布的报告称，随着互联网的普遍应用，公共空间和个人空间的界限逐渐模糊，个人身份管理、个人隐私的保护以及安全，越来越引起业界以及消费者的关注。

    个人数字技术以革命性的速度扩展，对人们的生活产生了普遍深入的影响。这种趋势不仅改变了人们的商业活动模式，而且开始对人际交往和隐私产生深刻影响。

    国际电信联盟称，那些在多家网站上输入同样姓名和口令的电脑用户正面临着身份被盗用的严重威胁，比如说网络银行、旅行社和图书销售商的网站。另外，一些网站在没有完全必要的情况下要求输入个人信息，也容易造成个人资料的泄露。

    多名专家表示，目前我国还没有一部专门关于网络隐私权的法律、法规。为此，要想加强用户的网络安全保护，必须靠行业自律和法律威慑两个途径来解决。企业，首先要进行自律，要有自己的道德观；其次，国家的监管很重要，包括国家法律的完善和威慑以及行业标准的制定。