金山涉嫌泄露網民隱私,專家稱不存在主觀動機

新年過后，一條消息震驚全國網民。

有網友在著名反病毒論壇“卡飯”曝光，通過百度、谷歌等搜索工具發現，在金山公司的一臺服務器上記錄了大量全國各地網友的用戶名、密碼以及上網記錄，搜索結果高達3100多萬條！其中包括用戶的QQ空間、新浪微博、人人網、開心網等常用網站，目前已有一些不法分子下載這些隱私。

為驗證這些信息是否真實，記者按照金山收集的一條隱私，順利訪問到中移動山西分公司給中小企業的企業信息化平臺“企信通”頁面，查看到某電器公司、某醫院甚至交警支隊的短信記錄。

數據顯示，金山毒霸用戶量大約有1500多萬，其中不少是企業用戶，加之國內最大的聊天軟件QQ近期正大力推廣“QQ電腦管家+金山毒霸”的所謂“安全組合”，如果該隱患一旦涉及6億QQ用戶，后果不堪設想。

對此，金山毒霸聲明稱，部分網友提交了包含自己隱私的資料。對此有網友調侃說：用戶真不怕麻煩，手工提交了3100萬條數據給金山？還有網友貼出截圖證明，金山服務器泄露的用戶名和密碼早在去年11月就能搜到。

專家提醒，金山毒霸的用戶應盡快修改自己的各種密碼、登錄信息等敏感個人資料。使用金山毒霸的企業網管，則可以立即在運行核心服務、關鍵數據庫的PC和服務器上卸載金山的相關軟件，避免機密數據繼續外泄，并建議所有正在使用或曾經使用過金山相關軟件的用戶，立即修改重要賬號、登錄密碼。

此前的2010年12月31日晚，金山公司曾緊急召開新聞發布會，宣稱其競爭同行360搜集和泄露用戶的隱私信息，并通過網站專題和全網彈窗，高調發布中國互聯網“一級安全預警”。然而元旦長假剛過，事情就發生了戲劇性的轉變，金山悄然撤下了所有360的負面專題與文章，并撤回“預警”。

面對來自金山的公開指責，360方面回應稱沒有收集任何的用戶名和密碼信息，并對外公布了360網盾網址云查詢技術原理，并表示公司與金山同樣采用的都是“惡意網址上傳機制”。360技術副總裁譚曉生解釋稱，這是行業通行做法：安全軟件在發現用戶瀏覽器受到惡意代碼攻擊時，會將可疑惡意網址上傳到服務器進行自動分析，然后把鑒定出來的掛馬網址加入惡意網址庫，除了金山和360外，諾頓、趨勢等也都有類似的機制。

對國內安全軟件的這場亂戰，北京郵電大學信息安全中心副教授辛陽博士表示，實際上，金山和360等各安全企業都采用了相似的云安全樣本采集機制，也面臨類似的問題。即便存在無意中上傳用戶隱私的情況，相信并非是安全企業主觀上去故意搜集用戶隱私信息。搜集用戶隱私是很嚴重的問題，企業不會觸碰這個火線，而且從動機學的角度來看，企業也沒有這樣做的動機，不可能通過這個獲利。

“但安全行業是一個相對的概念，沒有一個廠家敢說自己的產品沒有任何漏洞。關鍵是，發現問題該如何補救。現在安全企業應該把精力放到如何提高技術、提升產品質量上來，而不是打口水戰，這對行業沒有任何好處。”辛陽博士說，“對用戶來說，應盡量采用大品牌的軟件，同時盡量少上不信任的網站，定期升級系統。對于特別保密的信息，應該采取特別保護措施。”

金山毒霸“隱私門”給人們又敲響了一記警鐘。專家呼吁：有關部門應盡快立法。公益律師聯盟秘書長姚克豐對記者表示，此事暴露了三大問題：第一是金山等企業收集用戶隱私是否合法？第二是即使用戶允許收集，保留用戶隱私的方式是否安全？第三是造成隱私泄露，應當承擔什么法律責任？云安全在給網民帶來更多安全保障的同時，是否可以在主管部門的監督與引導下，建立一種企業間自查與互查機制，以避免可能存在的安全漏洞？