暢游互聯(lián)網(wǎng)，用戶安全如何保障？

本刊記者 | 梁辰

暢游互聯(lián)網(wǎng)，用戶安全如何保障？

本刊記者 | 梁辰

對(duì)話嘉賓：

騰訊桌面安全產(chǎn)品部副總經(jīng)理 .........吳波

網(wǎng)秦首席安全官 .....................嚴(yán)挺

金山安全反病毒專家 ...............李鐵軍

吳波

嚴(yán)挺

李鐵軍

>> 殺毒過程中，掃描文件不會(huì)涉及到用戶的隱私。

中國(guó)互聯(lián)網(wǎng)最具火藥味的焦點(diǎn)不是搜索，也不是即時(shí)通信，而是安全。此前有媒體報(bào)道，試圖將國(guó)內(nèi)某軟件公司作惡隱秘鏈條揭示在世人面前，然而，在這背后的更多的是廠商之間的博弈和商業(yè)良心的討論。

3月初，“3.15劍指流氓軟件 網(wǎng)民隱私保護(hù)和軟件良性發(fā)展研討會(huì)”在北京舉行。雖然并未像此前預(yù)告的那樣，會(huì)有諸多安全廠商參與，但是值得注意的是，在隔壁房間，另一個(gè)業(yè)界討論會(huì)也在召開，主辦方則是奇虎360。

為了了解安全是如何對(duì)用戶產(chǎn)生影響的，《通信世界》就此采訪了幾家安全廠商相關(guān)負(fù)責(zé)人。

吳波：在殺毒過程中，掃描文件是不會(huì)對(duì)文件的內(nèi)容進(jìn)行掃描的。比如word宏病毒，在掃描的時(shí)候是直接定位到word文件中宏的部分并進(jìn)行解析，不會(huì)掃描其中的明文內(nèi)容。

嚴(yán)挺：通常在殺毒、清理內(nèi)存時(shí)并不需要掃描文件內(nèi)容，而是根據(jù)特征文件進(jìn)行掃描，這不會(huì)涉及到用戶的隱私。以電子書IReader為例，在查殺病毒的過程中，在掃描過程中不會(huì)掃描書的內(nèi)容，只是根據(jù)安全的特征文件進(jìn)行掃描看是否是惡意軟件，以確定該軟件是否安全。其文件和電子書內(nèi)容文件是分開的。

《通信世界》：收集用戶使用信息有哪些作用？如何辨別正常上傳與竊取用戶隱私？

吳波：我們不會(huì)收集用戶個(gè)人的隱私信息，如信用卡，上網(wǎng)記錄、購物內(nèi)容等；對(duì)于安全軟件本身的使用，如問題和建議、使用的時(shí)長(zhǎng)等我們會(huì)顯式詢問用戶，征得他們同意的情況下來上傳后臺(tái)服務(wù)器，最終用于產(chǎn)品的改進(jìn)和提高，但是這里不會(huì)涉及到用戶個(gè)人的隱私和身份信息，更多是一種統(tǒng)計(jì)上的數(shù)據(jù)分析。

嚴(yán)挺：如果網(wǎng)友愿意幫助改善產(chǎn)品做上傳，可以自行根據(jù)個(gè)人意愿自由選擇。事實(shí)上，工信部對(duì)此也提出了明確的要求，即生產(chǎn)企業(yè)不能在移動(dòng)終端中安裝含有惡意代碼的軟件；不得安裝未向用戶明示并經(jīng)用戶同意就擅自收集、修改用戶個(gè)人信息的軟件；不得安裝未向用戶明示并經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成流量耗費(fèi)、費(fèi)用損失、信息泄露等的軟件。

網(wǎng)秦會(huì)遵循“最小特權(quán)原則”，不會(huì)涉及保護(hù)用戶安全無關(guān)的個(gè)人隱私，給予軟件“必不可少”的特權(quán)，把選擇權(quán)給用戶，保證其能完成相應(yīng)的任務(wù)。

李鐵軍：流氓軟件的上傳通道是有特別的加密，在實(shí)際中，我們抓到了很多這樣的后門，或者是惡意的廣告插件都具備這樣的功能，它的地址會(huì)經(jīng)常變更，所以有些信息你必須要反復(fù)的追蹤之后才能把它破解，這與一般的安全軟件上傳信息的規(guī)律并不相同，用戶很難察覺。

《通信世界》：安全廠商應(yīng)當(dāng)如何監(jiān)督？是否需要政府介入？

吳波：安全廠商需要監(jiān)督。可以由政府出面，制定一系列詳細(xì)的關(guān)于用戶隱私數(shù)據(jù)的收集、使用、公布等環(huán)節(jié)的規(guī)范和準(zhǔn)則，對(duì)企業(yè)的行為進(jìn)行必要的審查，并建立一套行之有效的懲罰機(jī)制，完善這方面的法律，這樣才能真正對(duì)部分無良企業(yè)起到有效的約束。

嚴(yán)挺：一般而言，個(gè)人信息獲得者必須明確在獲取個(gè)人信息時(shí)，要明確告知用戶，個(gè)人信息的收集方式和手段、收集的具體內(nèi)容和留存時(shí)限、使用范圍、被收集后的個(gè)人信息保護(hù)措施、個(gè)人信息主體的投訴渠道等。如果要將個(gè)人信息轉(zhuǎn)移或委托于其他組織和機(jī)構(gòu)時(shí)，也必須向用戶明確告知轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個(gè)人信息的具體內(nèi)容和使用范圍、接受委托的個(gè)人信息獲得者的名稱、地址、聯(lián)系方式等。而這些能否落實(shí)到位，除了企業(yè)自律外，關(guān)鍵都在于有法可依，要讓企業(yè)的行為在一定的規(guī)則內(nèi)行事，才能最大程度上保護(hù)用戶的隱私信息。

目前，工業(yè)和信息化部正在推動(dòng)信息安全條例，其中就包含了隱私問題，強(qiáng)調(diào)了頂層設(shè)計(jì)。政府機(jī)構(gòu)并不是對(duì)隱私問題不關(guān)注，實(shí)際上是越來越關(guān)注，而且將來在法律、司法、生活習(xí)慣等方面越來越多地關(guān)注隱私保護(hù)和企業(yè)自律。

此外，中國(guó)首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)——《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》已于2月1日起開始實(shí)施，該標(biāo)準(zhǔn)有望在個(gè)人信息收集和利用方面給出一定的規(guī)范。但如何具體落實(shí)，執(zhí)行力度是否到位，還需時(shí)間檢驗(yàn)。

《通信世界》：文件掃描的過程備受爭(zhēng)議，軟件在執(zhí)行這個(gè)操作的時(shí)候是否掃描了用戶的文件內(nèi)容？