最近,网络知名打假人士方舟子把质疑的目光投向了奇虎360公司的系列软件。他指责说,360公司的软件其实是借安全之名在收集用户隐私信息。奇虎360公司则反击,称方舟子在造谣。网络上也把这场争辩称为“方周大战”。双方的口水战再一次引发网民对网络信息安全的讨论和关注。10月25日,工信部新闻发言人、通信发展司司长张峰表示,将对奇虎360公司展开调查。 技术进步让监管“捉襟见肘”
方舟子与360公司的论战引来了众多的参与者,一些业界人士甚至爆料说,他们掌握了360公司侵犯网民隐私的证据。
中国人民大学教授、信息安全学科学术带头人石文昌就是爆料人之一。他说,网民们或许还记得去年年底一家程序员网站发生的密码泄漏事件,但相比那起密码泄露事件,方舟子指责360公司窃取用户隐私的性质还不一样。密码泄露只能说明互联网企业没有保护好或者没有足够的能力保护个人的信息;而窃取隐私则是一种恶意的偷窃行为。
那么,为什么互联网企业在隐私保护方面敢“明知故犯”呢?
中国互联网协会政策与资源委员会专家成员于国富说,随着技术的日新月异,政府部门对互联网公司的监管也越来越难。他说,目前国内很多互联网站都采用VIE架构(可变利益实体),也就是说,一些网络公司实际都是在境外注册,而我国政府部门所管的只是这些互联网公司在中国国内的一个牌子而已,管理权限有限,力不从心。
于国富介绍说,在VIE架构下,中国政府对互联网进行的管理主要是发放各种许可证。而目前,除了杀毒、防火墙等安全软件以外,相关机构并没有为其他软件设计许可证程序,“电子软件类的产品与传统的有形产品有很大不同的,软件开发商可以很容易做出一个送检的样本,这个样本可以跟网民下载使用的完全不一样。”
尽管工信部表示要调查360公司,但于国富等专家表示并不乐观。在他们看来,检测的样本具有太强的主观性和随机性,所以,要求某一个鉴定机构给某一款软件发放“清白”的许可证,本身就是不靠谱的。
相关法律难为监管提供有力保障
近年来,网络信息安全事件频发,从2010年11月3日爆发的“3Q大战”到2011年12月下旬的程序员网站密码泄露事件,再到近日爆发的“方舟子和360大战”,用户隐私屡屡在网络上“裸奔”。技术难道成了互联网“为所欲为”的保护伞?
中国社会科学院信息化研究中心秘书长姜奇平认为,除了技术带来的监管难题,立法滞后也使监管处于无法可依的状态,“虽然有相关的法律,但都很粗略,互联网企业知道即使它侵犯了用户隐私,法律也拿它没办法。”
姜奇平介绍说,随着大数据时代的到来,技术的发展也提出新的挑战,互联网隐私保护就是其中的难题之一。这是中国的难题,在发达国家也一样。
据悉,早在2010年,德国柏林就举行过数千人参加的争取数据隐私的游行。2012年,奥巴马政府公布了隐私人权法案,号召公司在使用私人信息时将更多的控制权交给用户。欧盟也提出了一项关于“被遗忘的权力”的法案,消费者有权要求公司清除他们的个人数据。但这些法案真正要落到实处还需要很长的时间。
除了立法滞后,缺少可操作性的赔偿性惩罚机制也使得互联网企业屡屡拿用户隐私安全当儿戏。于国富说,360公司窃取用户隐私一类的案件一般归类到知识产权案中,在知识产权案件之中,被侵害人的损失、侵权人的非法所得以及法官的酌定赔偿是目前最主要的判定依据。
但是,于国富解释说,由于声誉和商业机会上的损失往往无法拿证据来衡量,很多软件声称自己是免费的,此类案件的赔偿判赔额度并不高。”
据不完全统计,2010年以来,360败诉的案件就有六起,六起案件索赔金额加起来近4000万元,而360最终的赔偿额也不过几十万元。
大数据时代的个人隐私安全亟需监管
一方面,技术进步与法律滞后使监管乏力,互联网厂商与法律打擦边球;一方面,随着互联网的普及及技术的发展,基于云计算的应用以及移动终端和社交网站的普及,无论是围绕企业的销售,还是公共事业,以及个人的照片、消费习惯、情趣和身份特征,都变成了以各种形式存储的数据。网民不得不在享受互联网带来的便利的同时遭受着个人隐私安全的威胁。
对于政府和企业而言,大数据不只是惊人的数据量。2012年3月底,奥巴马政府发起一个“大数据研究和发展倡议”,并承诺为此政府将投资超2亿美元,推进从大量的、复杂的数据集合中获取知识和洞见的能力,这标志着大数据已经上升至美国国家战略。
石文昌介绍说,随着技术的发展,未来基于云计算的服务越来越多,比如初到一个城市,用户的手机能够确定用户的位置,向用户推荐附近的咖啡馆、餐厅、电影院等,甚至可以直接用手机刷卡消费,这种便利服务是技术推动社会发展的必然趋势,但是如何保护这些与用户相关的信息不泄露给第三方,或者不被第三方恶意窃取,是一个极具挑战性的问题。
今年3月15日,中国电子信息产业发展研究院、中国软件评测中心发布的《公众个人信息保护意识调研报告》显示,超过60%的被访者遇到过个人信息被盗用的情况。
于国富说,用户在“云下”已经如此危险,放入“云端”则会面临更大的威胁。“在中国,什么东西是个人隐私,以及个人隐私被侵犯后怎样去追责,目前这些问题就是在业界、学界的法学权威专家那里也是存在争议的,所以出了问题,让相关执法部门如何执法?”
真正的保护者是用户自己
大数据时代是新技术发展的必然,不管接受与否,我们现在已经进入了大数据时代。如何保护个人信息安全?于国富直言不讳,技术日新月异,政府监管的步伐不可能快过技术的发展,但如果某款软件出问题,相关部门应该迅速介入,然后依法对其进行调查、处罚。
此外,于国富认为,面对技术进步以及信息呈几何级数增长,一方面,立法部门需要使法律更加具体和细化,其反应机制也应该越来越快,为监管部门提供及时有效的监管依据。另一方面,需要借鉴他国立法经验,以及各国政府之间的合作,共同保护信息安全。
于国富概括此前发生的网络个人信息安全事件说,这也是目前相关部门监管互联网个人信息安全的一般过程:用户举报,政府迅速介入,调查取证,出台法律进一步规范。而在这个过程中,他认为,用户起到最关键的作用,“大数据时代,用户看到的是个人信息的脆弱性,厂商也存在脆弱性,一旦出现问题,可能就出现用户‘用脚投票’的后果,一夜之间,出问题的厂商就会失去用户市场。这也倒逼着互联网行业自律。”
石文昌以自己的亲身经历介绍说,保护个人数据安全事关互联网厂商和用户双方,涉及到个人重要数据传输,比如登陆个人网银,如果个人对这个软件没有把握,就需要慎用。选择标准主要是看软件的口碑以及信用度等,“用户不是专家,除了慎重选择,没有别的办法。”
姜奇平则认为,除了监管,未来的长久之计在于,互联网厂商要改变目前的商业模式。在他看来,应对大数据时代的到来,互联网厂商要进行产销逆转,即将目前的由厂商把服务信息推向消费者的模式转变为消费要为了满足需求,并经过消费者授权同意之后,主动从厂商获取服务信息的模式。