暢游互聯(lián)網(wǎng)，用戶安全如何保障？

本刊記者 | 梁辰

暢游互聯(lián)網(wǎng)，用戶安全如何保障？

本刊記者 | 梁辰

對話嘉賓：

騰訊桌面安全產(chǎn)品部副總經(jīng)理 .........吳波

網(wǎng)秦首席安全官 .....................嚴挺

金山安全反病毒專家 ...............李鐵軍

吳波

嚴挺

李鐵軍

>> 殺毒過程中，掃描文件不會涉及到用戶的隱私。

中國互聯(lián)網(wǎng)最具火藥味的焦點不是搜索，也不是即時通信，而是安全。此前有媒體報道，試圖將國內(nèi)某軟件公司作惡隱秘鏈條揭示在世人面前，然而，在這背后的更多的是廠商之間的博弈和商業(yè)良心的討論。

3月初，“3.15劍指流氓軟件 網(wǎng)民隱私保護和軟件良性發(fā)展研討會”在北京舉行。雖然并未像此前預(yù)告的那樣，會有諸多安全廠商參與，但是值得注意的是，在隔壁房間，另一個業(yè)界討論會也在召開，主辦方則是奇虎360。

為了了解安全是如何對用戶產(chǎn)生影響的，《通信世界》就此采訪了幾家安全廠商相關(guān)負責(zé)人。

吳波：在殺毒過程中，掃描文件是不會對文件的內(nèi)容進行掃描的。比如word宏病毒，在掃描的時候是直接定位到word文件中宏的部分并進行解析，不會掃描其中的明文內(nèi)容。

嚴挺：通常在殺毒、清理內(nèi)存時并不需要掃描文件內(nèi)容，而是根據(jù)特征文件進行掃描，這不會涉及到用戶的隱私。以電子書IReader為例，在查殺病毒的過程中，在掃描過程中不會掃描書的內(nèi)容，只是根據(jù)安全的特征文件進行掃描看是否是惡意軟件，以確定該軟件是否安全。其文件和電子書內(nèi)容文件是分開的。

《通信世界》：收集用戶使用信息有哪些作用？如何辨別正常上傳與竊取用戶隱私？

吳波：我們不會收集用戶個人的隱私信息，如信用卡，上網(wǎng)記錄、購物內(nèi)容等；對于安全軟件本身的使用，如問題和建議、使用的時長等我們會顯式詢問用戶，征得他們同意的情況下來上傳后臺服務(wù)器，最終用于產(chǎn)品的改進和提高，但是這里不會涉及到用戶個人的隱私和身份信息，更多是一種統(tǒng)計上的數(shù)據(jù)分析。

嚴挺：如果網(wǎng)友愿意幫助改善產(chǎn)品做上傳，可以自行根據(jù)個人意愿自由選擇。事實上，工信部對此也提出了明確的要求，即生產(chǎn)企業(yè)不能在移動終端中安裝含有惡意代碼的軟件；不得安裝未向用戶明示并經(jīng)用戶同意就擅自收集、修改用戶個人信息的軟件；不得安裝未向用戶明示并經(jīng)用戶同意，擅自調(diào)用終端通信功能，造成流量耗費、費用損失、信息泄露等的軟件。

網(wǎng)秦會遵循“最小特權(quán)原則”，不會涉及保護用戶安全無關(guān)的個人隱私，給予軟件“必不可少”的特權(quán)，把選擇權(quán)給用戶，保證其能完成相應(yīng)的任務(wù)。

李鐵軍：流氓軟件的上傳通道是有特別的加密，在實際中，我們抓到了很多這樣的后門，或者是惡意的廣告插件都具備這樣的功能，它的地址會經(jīng)常變更，所以有些信息你必須要反復(fù)的追蹤之后才能把它破解，這與一般的安全軟件上傳信息的規(guī)律并不相同，用戶很難察覺。

《通信世界》：安全廠商應(yīng)當(dāng)如何監(jiān)督？是否需要政府介入？

吳波：安全廠商需要監(jiān)督?？梢杂烧雒?，制定一系列詳細的關(guān)于用戶隱私數(shù)據(jù)的收集、使用、公布等環(huán)節(jié)的規(guī)范和準則，對企業(yè)的行為進行必要的審查，并建立一套行之有效的懲罰機制，完善這方面的法律，這樣才能真正對部分無良企業(yè)起到有效的約束。

嚴挺：一般而言，個人信息獲得者必須明確在獲取個人信息時，要明確告知用戶，個人信息的收集方式和手段、收集的具體內(nèi)容和留存時限、使用范圍、被收集后的個人信息保護措施、個人信息主體的投訴渠道等。如果要將個人信息轉(zhuǎn)移或委托于其他組織和機構(gòu)時，也必須向用戶明確告知轉(zhuǎn)移或委托的目的、轉(zhuǎn)移或委托個人信息的具體內(nèi)容和使用范圍、接受委托的個人信息獲得者的名稱、地址、聯(lián)系方式等。而這些能否落實到位，除了企業(yè)自律外，關(guān)鍵都在于有法可依，要讓企業(yè)的行為在一定的規(guī)則內(nèi)行事，才能最大程度上保護用戶的隱私信息。

目前，工業(yè)和信息化部正在推動信息安全條例，其中就包含了隱私問題，強調(diào)了頂層設(shè)計。政府機構(gòu)并不是對隱私問題不關(guān)注，實際上是越來越關(guān)注，而且將來在法律、司法、生活習(xí)慣等方面越來越多地關(guān)注隱私保護和企業(yè)自律。

此外，中國首個個人信息保護國家標準——《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》已于2月1日起開始實施，該標準有望在個人信息收集和利用方面給出一定的規(guī)范。但如何具體落實，執(zhí)行力度是否到位，還需時間檢驗。

《通信世界》：文件掃描的過程備受爭議，軟件在執(zhí)行這個操作的時候是否掃描了用戶的文件內(nèi)容？