此前鬧得沸沸揚揚的3Q大戰(zhàn),就是360指責騰訊QQ軟件涉嫌窺視用戶隱私而點燃,想不到幾個月之后,同樣的指責落到了360自己身上。2010年的最后一天,金山召開新聞發(fā)布會,指出“360涉嫌搜集用戶隱私”,并拿出證據顯示在谷歌快照上可見包括用戶名、密碼、訪問記錄、具有唯一識別特征的機器碼等信息。360在元旦期間緊急對此回應稱,不存在“搜集用戶隱私”的情況,并指金山此舉是項莊舞劍意在推廣自己的產品。

  金山大戰(zhàn)360,成為歲末年初互聯網業(yè)界最受關注的事件,目前該事件還在繼續(xù)發(fā)酵。由于個人隱私是數億網民的基本利益,一旦個人隱私面臨泄露威脅,廣大網民自然會憂心忡忡,高度關注。業(yè)內人士呼吁,如何界定“搜集用戶隱私”已經超出了企業(yè)的能力范圍,需要從行政立法的層面加以厘清解決。

    金山稱掌握“360記錄隱私信息”證據

  2010年12月31日,金山公司召開緊急新聞發(fā)布會,金山網絡CEO傅盛指出,近期金山接到大量用戶舉報,稱在Google上搜索到自己的用戶名與密碼。經追查,金山發(fā)現這些隱私信息來源于360一臺服務器上的一個文本文件。該臺服務器詳細記錄了大量360用戶的全網訪問過程,包括瀏覽的網頁、下載過的應用、搜索的關鍵字等,并將這些訪問記錄與唯一用戶掛鉤。

  金山網絡在當天的新聞發(fā)布會上,還現場展示了部分案例,這些案例分別涉及網民在百度、谷歌、搜狗等搜索引擎中的搜索關鍵字、訪問了哪些具體的網站鏈接、郵箱等服務的用戶名密碼以及某些公司內部網絡的登錄地址、文檔信息等內容。

  由于上述涉嫌泄露的數據包都是以明文未加密方式存在,這也就意味著最普通的網民都可以在這個數據包中查詢,使得許多360用戶的上網行為、用戶名密碼等重要信息受到嚴重威脅。

  傅盛表示,360此次泄密行為暴露了該公司對用戶隱私內容的搜集行為,而此類信息是安全軟件所不需要的。自己在帶領360安全團隊期間(注:傅盛曾經在 360任職),從未有過收集用戶隱私的行為。傅盛表示,侵犯用戶隱私的事情,一定要得到政府的管制,他呼吁包括工信部、公安部在內的相關政府主管部門,出臺有效措施,對安全領域所采用的“云安全”技術進行管理和規(guī)范。

  當天晚上,金山以彈窗方式發(fā)布“一級安全預警”,稱上億用戶名和密碼存在外泄風險,建議網民卸載360.

  360稱泄露事件源于服務器被攻擊

  2011年1月1日,360發(fā)表公開聲明,對金山的指責做出了相關解釋,并稱金山此舉是為挽回市場頹勢抹黑360.

  360表示,金山公布的所謂“360收集用戶隱私”,實為360為幫助用戶鑒別惡意網址而上傳到360云安全中心查詢的臨時網址訪問記錄。當用戶訪問某個網頁時,360軟件會把用戶訪問的網址和云安全中心的惡意網址庫進行比對,以鑒別和攔截掛馬、釣魚、欺詐等惡意網頁。360沒有收集任何的用戶名和密碼信息。當極少數具有安全漏洞的網站將用戶名和密碼信息編寫在網址URL中,360軟件在通過云查詢這些URL網址時,并不會主動去識別其中的用戶名和密碼,因此會在網址云安全查詢日志中記錄這些URL?!?60軟件通過云查詢來識別和攔截用戶可能訪問的惡意網頁,這是包括金山在內的國內外安全軟件對惡意網址攔截采用的通用機制,不會侵犯用戶隱私?!?/p>

  360解釋稱,此次事件是因為360存儲網址云安全查詢日志的一臺內部服務器遭到了攻擊,使得原本無法被搜索引擎抓取的日志數據被谷歌的蜘蛛抓取到了少量數據。經過與谷歌公司的核對,出現在其搜索結果中的360網址云安全查詢日志數據極少,且谷歌已經刪除了這部分數據。因此,此次事件可能導致的用戶隱私信息泄露風險非常有限。

  360強調,金山發(fā)布的日志,一部分在Google里搜不到,“我們正在調查金山是怎么得到360服務器里的惡意網頁攔截日志?!?/p>

  對此,金山網絡市場總監(jiān)夏濟表示,360泄露出來的用戶隱私里,涉及新浪、網易、淘寶等國內主流互聯網應用服務的用戶名和密碼。“我們的信息都是從Google里搜到的,歡迎Google出來三方一起印證?!?/p>

  專家呼吁盡快立法解決爭端

  3Q大戰(zhàn),以及此次金山與360之間的爭端,使得互聯網用戶個人隱私保護的重要性、迫切性日益凸顯。

  中國電子商務協會政策法律委員會委員、盛峰律師事務所主任律師于國富在接受南都記者采訪時指出,360涉嫌泄露用戶隱私事件暴露兩個問題:一是360收集用戶信息是否合法;另一個就是如果收集信息合法,其保留用戶信息的設防方式是否做到了足夠安全?!?60與用戶是合同關系,如果用戶與360簽訂了在線協議允許360上傳用戶隱私信息,那么其收集用戶信息就是合法的。不過,如果該信息可能會對用戶造成人身財產產生重大威脅,360則需要盡到足夠的提醒義務。即使是合法收集用戶隱私信息,但如果在設防上措施不力,造成用戶隱私信息泄露,360也要承擔一定的責任。”

  于國富表示,盡管學術界已經呼吁了十年,但關于互聯網用戶個人信息保護的立法還沒有提上議事日程。隨著越來越多互聯網公共事件的發(fā)生,通過立法來完善個人信息保護已經十分迫切?!安贿^,立法有著十分嚴格的程序。在此之前,建議用戶積極自救,避免個人重要信息外泄?!?/p>

責任編輯:admin