此前闹得沸沸扬扬的3Q大战,就是360指责腾讯QQ软件涉嫌窥视用户隐私而点燃,想不到几个月之后,同样的指责落到了360自己身上。2010年的最后一天,金山召开新闻发布会,指出“360涉嫌搜集用户隐私”,并拿出证据显示在谷歌快照上可见包括用户名、密码、访问记录、具有唯一识别特征的机器码等信息。360在元旦期间紧急对此回应称,不存在“搜集用户隐私”的情况,并指金山此举是项庄舞剑意在推广自己的产品。
金山大战360,成为岁末年初互联网业界最受关注的事件,目前该事件还在继续发酵。由于个人隐私是数亿网民的基本利益,一旦个人隐私面临泄露威胁,广大网民自然会忧心忡忡,高度关注。业内人士呼吁,如何界定“搜集用户隐私”已经超出了企业的能力范围,需要从行政立法的层面加以厘清解决。
金山称掌握“360记录隐私信息”证据
2010年12月31日,金山公司召开紧急新闻发布会,金山网络CEO傅盛指出,近期金山接到大量用户举报,称在Google上搜索到自己的用户名与密码。经追查,金山发现这些隐私信息来源于360一台服务器(Upload.360safe.com)上的一个文本文件。该台服务器详细记录了大量360用户的全网访问过程,包括浏览的网页、下载过的应用、搜索的关键字等,并将这些访问记录与唯一用户挂钩。
金山网络在当天的新闻发布会上,还现场展示了部分案例,这些案例分别涉及网民在百度、谷歌、搜狗等搜索引擎中的搜索关键字、访问了哪些具体的网站链接、邮箱等服务的用户名密码以及某些公司内部网络的登录地址、文档信息等内容。
由于上述涉嫌泄露的数据包都是以明文未加密方式存在,这也就意味着最普通的网民都可以在这个数据包中查询,使得许多360用户的上网行为、用户名密码等重要信息受到严重威胁。
傅盛表示,360此次泄密行为暴露了该公司对用户隐私内容的搜集行为,而此类信息是安全软件所不需要的。自己在带领360安全团队期间(注:傅盛曾经在 360任职),从未有过收集用户隐私的行为。傅盛表示,侵犯用户隐私的事情,一定要得到政府的管制,他呼吁包括工信部、公安部在内的相关政府主管部门,出台有效措施,对安全领域所采用的“云安全”技术进行管理和规范。
当天晚上,金山以弹窗方式发布“一级安全预警”,称上亿用户名和密码存在外泄风险,建议网民卸载360.
360称泄露事件源于服务器被攻击
2011年1月1日,360发表公开声明,对金山的指责做出了相关解释,并称金山此举是为挽回市场颓势抹黑360.
360表示,金山公布的所谓“360收集用户隐私”,实为360为帮助用户鉴别恶意网址而上传到360云安全中心查询的临时网址访问记录。当用户访问某个网页时,360软件会把用户访问的网址和云安全中心的恶意网址库进行比对,以鉴别和拦截挂马、钓鱼、欺诈等恶意网页。360没有收集任何的用户名和密码信息。当极少数具有安全漏洞的网站将用户名和密码信息编写在网址URL中,360软件在通过云查询这些URL网址时,并不会主动去识别其中的用户名和密码,因此会在网址云安全查询日志中记录这些URL。“360软件通过云查询来识别和拦截用户可能访问的恶意网页,这是包括金山在内的国内外安全软件对恶意网址拦截采用的通用机制,不会侵犯用户隐私。”
360解释称,此次事件是因为360存储网址云安全查询日志的一台内部服务器遭到了攻击,使得原本无法被搜索引擎抓取的日志数据被谷歌的蜘蛛抓取到了少量数据。经过与谷歌公司的核对,出现在其搜索结果中的360网址云安全查询日志数据极少,且谷歌已经删除了这部分数据。因此,此次事件可能导致的用户隐私信息泄露风险非常有限。
360强调,金山发布的日志,一部分在Google里搜不到,“我们正在调查金山是怎么得到360服务器里的恶意网页拦截日志。”
对此,金山网络市场总监夏济表示,360泄露出来的用户隐私里,涉及新浪、网易、淘宝等国内主流互联网应用服务的用户名和密码。“我们的信息都是从Google里搜到的,欢迎Google出来三方一起印证。”
专家呼吁尽快立法解决争端
3Q大战,以及此次金山与360之间的争端,使得互联网用户个人隐私保护的重要性、迫切性日益凸显。
中国电子商务协会政策法律委员会委员、盛峰律师事务所主任律师于国富在接受南都记者采访时指出,360涉嫌泄露用户隐私事件暴露两个问题:一是360收集用户信息是否合法;另一个就是如果收集信息合法,其保留用户信息的设防方式是否做到了足够安全。“360与用户是合同关系,如果用户与360签订了在线协议允许360上传用户隐私信息,那么其收集用户信息就是合法的。不过,如果该信息可能会对用户造成人身财产产生重大威胁,360则需要尽到足够的提醒义务。即使是合法收集用户隐私信息,但如果在设防上措施不力,造成用户隐私信息泄露,360也要承担一定的责任。”
于国富表示,尽管学术界已经呼吁了十年,但关于互联网用户个人信息保护的立法还没有提上议事日程。随着越来越多互联网公共事件的发生,通过立法来完善个人信息保护已经十分迫切。“不过,立法有着十分严格的程序。在此之前,建议用户积极自救,避免个人重要信息外泄。”