原标题: 360黑匣子 背后的 暗战
360黑匣子事件已经不是360第一次中枪。而几乎每次类似事件之后,360的回应都是 有竞争对手在下 黑手
究竟是否有竞争对手在 黑 360?在这点上并无依据可以佐证。而在业界,百度、360、腾讯之间的微妙关系却昭然若揭
在这个互联网的江湖里,由于缺乏相应的规则,没有方法判断究竟谁对谁错。于是, 暗战 和 明战 持续上演
法治周末记者 肖莎
看到《每日经济新闻》(以下简称 每经 )刊发的《360黑匣子之谜》专题报道后,王伟的第一反应是: 卸载,还是接着用?
王伟是典型的文科出身。对于计算机技术一窍不通的他,和很多普通用户一样,电脑里安装着360安全、360安全浏览器、360杀毒软件等产品。
王伟之前也看到过网上有文章称 360涉嫌侵犯用户隐私 ,但那些文章对王伟的冲击力,远不如这组报道强大,因为 每经 采访的几位匿名专业人士,以技术测试的方式,试图证实360在360安全卫士、360安全浏览器等产品中植入非法程序,用于窃取用户隐私以打击竞争对手。
文章中关于技术方面的描述,王伟并看不太懂,但这篇报道却让王伟思考,如果真如 每经 的报道所称,360的产品中都装有 后门 ,那自己的电脑岂不就像是一个玩偶一样,可以随意被控制,而自己在电脑里所进行的一切操作,也就没有任何隐私可言。
360公司随后也对此作出了回应: 每经 报道是竞争对手在抹黑360。
自从去年8月16日360推出搜索so.com以来,百度市值跌了大约1000亿元人民币,360也不断遭到巨头的猛烈攻击。 360在试图反击 每经 报道中提到的内容之余,把此次争端的矛头,转移到了互联网企业之间的不正当竞争上。
但即便如此,王伟依然无法判断360的产品是否安全。
一位在网络安全领域工作达10余年的人士李克告诉法治周末记者, 每经 报道里提到的,可能涉嫌盗取用户隐私、控制用户电脑的技术手段,理论上都是可以做到的,而且很多互联网企业都能做到。
用户隐私危机
事实上,很多互联网企业都存在盗取用户隐私等技术能力,但是为何此次是360被推到风口浪尖,我想跟360公司本身有一定关系。 李克说。
这不是360第一次被指盗取用户隐私。
2010年12月31日,金山网络就曾召开发布会,称360通过客户端搜集用户信息,包括邮箱账号、密码、详尽的网页访问记录,甚至可以通过其邮箱、号等信息直接对应上相应的真实用户。 360则表示,这是金山方面用炮制假证据的手法陷害360,并称其搜集的信息只是360安全卫士在用户受到恶意网页攻击时上传的访问记录,不存在搜集用户个人隐私的行为,更不会上传可定位用户的信息。
此事后来不了了之。
这一次 每经 报道对360质疑的内容,与两年多前金山的质疑基本一致,只是 每经 这一次的报道内容更加详尽,并且有技术人员详细解释,比如360产品的 后门机制 等问题。
360方面的回复与2010年年底的回复也如出一辙。其一方面通过公开回应,对 每经 提到的内容进行反驳,坚称自己的产品是完全尊重用户隐私的,且360的种种做法不仅符合行规,其他安全企业也都这么做;另一方面也表示,这是竞争对手的又一次抹黑行为。
每经 的报道中称:360软件会窃取用户个人隐私,从而导致曾经有某家IT企业要上线一个产品的前一天,360上线了一个相同版本的产品。
360则回复: 360产品从来不会窃取用户的隐私信息。作为隐私保护专业人士国际联合会(IApp)的成员企业,360两年前已经将旗下所有产品的源代码托管给中国信息安全测评中心,任何个人和机构都可以查看360产品的源代码。任何人、任何机构在查看源代码的过程中发现360产品中有侵犯用户隐私的可疑之处,都可以向相关部门举报。
有人质疑360的这种回复避重就轻,并认为360的产品一直在升级,源代码也会升级,所以查看源代码并不能确认360产品是否侵犯用户隐私。
对于这种质疑,360企业沟通部相关负责人在接受法治周末记者采访时说: 我们托管给中国信息安全测评中心的源代码会伴随产品的更新而定期更新,任何个人和机构都可以查看360产品最新的源代码。
看起来,参与讨论的每一个所谓的专业人士似乎都知道,360的产品到底是怎样的运营机制。然而在这样的一轮轮民间质疑、360回复、再质疑、再回复的口水战中,最不明白的是普通用户。大多数人都和文章开头的王伟一样,因是技术盲而不知该相信哪一方。
但毕竟这样的问题最终影响的是用户的个人信息安全。北京市律师协会信息网络法律事务专业委员会主任李德成表示,当前情况下工信部可以联系公安部,对于涉嫌严重侵犯用户隐私权且危及互联网信息及系统安全的行为进行查处,给互联网用户一个交代。
未来则要健全法律制度,可以考虑借鉴香港的做法,通过立法建立专门的机构或者职务部门,负责对侵犯用户隐私权的行为,独立进行查处。 李德成说。
清官与贪官
360提供的安全卫士等安全类产品,作为保护电脑的软件,很可能会为了360自身利益,直接通过技术手段在用户电脑里不经用户同意就 杀掉 跟360有竞争关系的软件,这是此次360被诟病的另外一个问题。
360绝不会偷偷卸载竞争对手产品和安装推广软件。 360的回复依然是否认。
不过法治周末记者在使用360安全卫士时的确发现,其提供的一键清理功能,会把百度工具栏、腾讯搜索插件等当做不必要的软件删除掉。
而百度和腾讯无疑是近两年来360的宿敌,3B大战和3Q大战所透露出的360与百度、腾讯之间的关系非常明朗。
此前也有媒体报道称,360的一键修复功能,会把其竞争对手的软件以 恶评软件 的名义删除掉。
360如何区分不必要的插件、恶评软件? 法治周末记者在采访中问道。
360企业沟通部相关负责人对此的回应是: 软件在用户电脑和各种移动终端中的不良行为,可能会导致您的个人隐私信息处于泄露的危险之中。360认为健康的软件行为应该遵循 四不、三必须 的规范,违背相应原则的,则称为不健康软件。 四不 是指:不该看的不看,不该传的不传,不该存的不存,不该用的不用。 三必须 是指:一切行为必须明示,尊重用户的知情权和选择权,必须经过用户许可;软件不能未经授权上传个人信息;必须对收集的用户隐私信息负责。
360有这样的规则是好的,但是对于电脑系统来说,安全软件就像是一个立志要整治贪官的、自称清官的角色,但是谁能监督安全软件,以保证其也是个 清官 呢? 李克认为,国内没有相关部门对安全软件的行为进行严格监督,导致很多安全软件都处于某种道德风险之下。
为何是360
在接受法治周末记者采访时,李克说在互联网圈里,被质疑盗取用户隐私的并不只是360一家,包括腾讯、百度,都曾遭受过这样的质疑,同时也并非只有360一家的安全软件存在着 攻击竞争对手软件 的道德风险。
比如就在今年1月份,360还质疑百度凤巢平台正在大规模部署 偷拍插件 ,以采集用户系统信息,包括电脑的CpU信息、磁盘序列号、网络地址和网卡信息、当前所有进程列表和浏览器进程名,并在用户登录百度凤巢时对电脑屏幕截屏,再将这些信息一并上传到百度服务器等。
而腾讯QQ此前也曾被质疑会扫描用户磁盘,涉嫌盗取用户隐私。
做这些事情,从技术上来讲并不难。而360之所以被推到风口浪尖,受到质疑,我想跟360的 发家史 及其之前的一些特别的做法有关。 李克说。
或许是因为360这几年在圈里太 高调 了,李克讲起360的发家史就像讲自己的故事一样: 你知道周鸿祎有个称号叫 中国流氓软件之父 吧。周鸿祎最初是开发3721上网助手的,这个软件一旦安装上就很难卸载,被称为 流氓软件 。后来周鸿祎到了360公司,就通过开发360安全卫士,帮用户强力卸载3721上网助手,被人戏称 血刃3721 。
2008年前后,微软开始打击盗版软件,使得凡是使用盗版软件的都不能打补丁进行升级。在那个时候,盗版软件的用户很大,360抓住了这个机会,通过升级360安全卫士的功能,让盗版微软使用者也可以打补丁,从而获得了空前的装机量。
再后来,360开发浏览器时,就将浏览器伪装成微软的补丁,诱导用户安装,从而提高360浏览器的装机量。 李克说。
尽管360曾经在声明中表示: 伪装微软补丁一事是对360的误解 ,但今年1月24日北京市工商局在向360进行行政告诫的文中却对此有所提及: 用户使用360安全卫士软件时,奇虎公司用推荐诱导、默认同步安装甚至伪装成微软官方补丁等方式,将其旗下的360浏览器、360网址导航等产品强行安装至网民电脑中,通过默认设置、强制升级等方式,修改用户的浏览器和主页设置。
北京市工商局在告诫360时,还提到了360其他的 不良 做法: 360安全卫士高举免费大旗,在我国安全软件市场上迅速扩张,目前已拥有超过八成的市场份额。利用这一垄断性市场优势,奇虎公司通过360安全卫士诱导用户使用360浏览器,并通过不兼容、难卸载等方式阻止网民安装其他安全软件。
李克认为,正是由于360此前的种种特殊做法,使得当所有企业都存在盗窃用户隐私嫌疑的时候,行业对360的质疑和关注会相对比较多。
技术标准缺失
如李克所说,很多互联网公司都有技术能力在用户电脑上安装 后门 ,搜集用户相关信息。那也就意味着,一旦某些公司突破道德底线,为了打击竞争对手,用户的电脑或手机就会变成一个没有硝烟的战场。
李德成甚至担心,会有互联网企业的产品将用户的相关访问记录上传至服务器或者以其他的方式整理后使用。如果这种情况属实,会直接构成对用户隐私权的侵犯。
在有这种风险的基础上,行业里是否有相应的规范来规制互联网企业的行为?
李克告诉法治周末记者,尽管2012年12月28日全国人大常委会发布了《关于加强网络信息保护的决定》,对加强网络信息保护提出了一些原则性的要求,但这个决定还需要通过更加细化的规则得以 着地 ,以切实保护互联网用户的个人信息。
于是,在当前情况下,关于互联网公司如何采集、使用、销毁采集到的用户信息,依然没有技术性规制。
缺乏技术性标准带来的后果是什么?
李克给法治周末记者举了个例子:比如 每经 质疑360安全卫士记录和上传软件操作行为,可能会泄露用户信息、窃取用户隐私。但360解释说,云安全软件判断进程安全性的过程中必然要与云端进行交互,安全软件都有进程防护功能,也就是对即将运行的程序的安全性进行判断,传统安全软件是比对本地的特征库,而基于云的安全软件需要把运行程序的各种特征与云端的海量的特征进行比对,进而判断其安全性。因此云安全软件在判断进程的安全性的过程中必然要与云端进行交互。
在这个过程中,什么时候可以上传信息、什么样的信息可以上传、什么样的信息不能上传、信息上传了之后互联网公司应该怎么处理,都是问题。但在没有技术性标准的前提下,互联网公司的行为就变成了没有监督的行为,而且在这样的前提下,每个公司都可以有一套自己的说辞,证明其公司是保护用户隐私的。 李克解释道。
李克告诉记者,国外互联网公司由于有相应的技术标准,在个人信息的搜集、使用等方面就做得比较好,比如搜集层面,当一个软件向服务器发送错误报告时,至少会询问用户是否同意,仅这一点国内很多互联网企业就做不到。
黑手 后的互联网乱象
我们可以看到,几乎每一次360被质疑涉嫌盗窃用户隐私,360的说辞之一都是 这是竞争对手对360的抹黑、诬陷 。
比如这一次,360方面就认为这次因为其搜索业务的迅猛发展,导致竞争对手百度对其的抹黑,并称将起诉发布报道的《每日经济新闻》。
在接受法治周末记者采访时,360企业沟通部相关负责人表示,起诉 每经 的工作正在进行,360要求每经公开赔礼道歉,消除影响,并赔偿经济损失。
至于 百度抹黑360 一说,360方面是否有充分的证据?
具体相关的证据我们会向司法部门提交,目前尚不方便透露更多的细节。 360企业沟通部相关负责人说。
而对于360的指责,法治周末记者也联系了百度方面予以求证,百度的答复则是不予置评。
虽然互联网企业竞争背后是否是行业 黑手 作祟并不确定,但这在某种程度上反映了互联网行业竞争的无序性。
互联网经营者之间的不正当竞争行为有着与传统行业不同的特点,其方式和手段更加隐蔽,更加多样化,包括在已有系统内暗设机关屏蔽其他公司的产品和信息、彼此雇用水军海量发帖公关,在网上公开或半公开诋毁对方的商誉,都涉嫌不正当竞争行为。 研究互联网领域不正当竞争行为的对外经济贸易大学ICT产业竞争实验室主任黄勇告诉法治周末记者。
李克也跟记者分享了他对互联网企业近年来竞争秩序的感受: 不少企业以保护用户之名,行不正当竞争之实,最终损害的恰恰是用户的利益。
黄勇告诉法治周末记者,他呼吁互联网企业要加强自律,注重各自行为的合规性,毕竟好多公司都已上市。
至于当下互联网行业内的不正当竞争为何比较严重,除了相关技术标准缺失之外,李德成认为跟当下行政监管不力、管理制度严重滞后、不正当竞争行为的违法成本太低、刑法关于毁损商誉犯罪的刑事执法力度太弱等原因有关。
比如现行的网络安全产品还是实行销售许可证制度,在当今云查杀技术快速发展的今天,销售许可证制度已经远远滞后,如果没有进一步的得力措施出台,云查杀就可能会成为云暗杀,因为网络安全产品厂商完全可以通过云端下发指令到客户端瞬间完成 清除 行动。 李德成建议,对于从事网络安全产品服务的特殊主体,要有准入制度,即可以考虑设置行政许可证制度,并在其基础上规定违法行为的退出机制,这样就会加大违法成本。
在李德成看来,有了主体准入制度,违法的成本加大了,用户隐私权的保护才真正的成为可能。
除此之外,李德成还建议集团诉讼如在中国能够真正发展起来,这对于违规的互联网企业来讲是有压力的,因为如果有集团诉讼,互联网企业一旦侵犯用户权益,其面临的就不是一个或者几个原告,而是成千上万的原告。
(应受访者要求,文中王伟、李克为化名)