在工信部表态要调查方舟子和奇虎360公司之间的纠纷后,最近,一份由国内网络安全组织——互联网威慑防御实验室(简称IDF)发布的检测报告再次引发了网民对网络安全的担忧。网民隐私到底该由谁来保护?维护网络安全,是靠 “自律”还是 “他律”?在日前由易观国际主办的易士堂网络安全论坛,来自国家信息中心、中国信息安全测评中心、中国科学院软件研究所等学者,以及来自腾讯、金山、奇虎360、华为、知道创宇、易宝支付、 IDF等企业界和第三方评测机构的代表展开了讨论。
在会上, IDF介绍了两份关于 “360安全卫士窃取用户隐私”及 “360安全浏览器暗藏后门”的检测报告。报告称,360安全卫士在用户不知情的情况下,搜集用户软件操作信息并上传至服务器,随后删除信息搜集过程中产生的临时文件;用户取消 “加入云安全计划”亦不能阻止信息记录文件的上传等。金山反病毒安全专家李铁军演示并技术讲解了网友上传的视频,该视频通过录屏方式复现了360安全卫士操控用户电脑,超范围采集政府、企业及个人用户隐私信息的全过程。中国人民大学副教授梁彬说,目前最大的挑战是进攻占据了主动权,防守很被动,从技术层面上窃取隐私太容易,保护隐私却相对困难。未来越来越多智能手机与用户绑定,隐私问题将比桌面电脑更大。
与会专家学者认为,要防止侵犯用户隐私事件上演,不仅要靠自律,更要靠他律。李铁军表示,安全软件确实在系统当中具有非常高的权限,而且越来越多地使用了云的技术,但云端又变得非常灵活,单纯靠客户端很难捕捉到完整的不法行为。在这种情况下,最根本的原则是要对用户有一个底线,不能碰的领域绝对不能碰,用户的数据文件是绝对不可以去碰的。但光靠厂商保证肯定是有问题的,需要公众监督机制,只有在一个真正有效的监督机制下面,才有可能做到自律。
中国信息协会信息安全专委会专家李少鹏认为,监督的力量应该来自多方面,目前我国的法律法规还没有出台,正在完善。但与此同时,行业协会和民间的力量也应该发挥更大作用,包括用户意识的觉醒和提高,独立检测机构提供客观技术服务等等,而不是简单的企业声明或官方检测报告的形式。
商业应用软件开发商厂商与安全厂商唇齿相依,同用户一样,他们也最有可能成为恶性竞争的牺牲品。易宝支付代表表示,易宝支付一直在密切关注用户信息安全的话题。 “之前都是约定君子协议,但有一些公司打破了,现在其他安全厂家都在为解决这些问题做努力,希望呼吁约定法律法规,甚至是第三方独立机构制约与监测。 ”