金山稱掌握“360記錄隱私信息”證據(jù) 再戰(zhàn)360

此前鬧得沸沸揚(yáng)揚(yáng)的3Q大戰(zhàn)，就是360指責(zé)騰訊QQ軟件涉嫌窺視用戶隱私而點(diǎn)燃，想不到幾個(gè)月之后，同樣的指責(zé)落到了360自己身上。2010年的最后一天，金山召開新聞發(fā)布會(huì)，指出“360涉嫌搜集用戶隱私”，并拿出證據(jù)顯示在谷歌快照上可見包括用戶名、密碼、訪問記錄、具有唯一識(shí)別特征的機(jī)器碼等信息。360在元旦期間緊急對(duì)此回應(yīng)稱，不存在“搜集用戶隱私”的情況，并指金山此舉是項(xiàng)莊舞劍意在推廣自己的產(chǎn)品。

金山大戰(zhàn)360，成為歲末年初互聯(lián)網(wǎng)業(yè)界最受關(guān)注的事件，目前該事件還在繼續(xù)發(fā)酵。由于個(gè)人隱私是數(shù)億網(wǎng)民的基本利益，一旦個(gè)人隱私面臨泄露威脅，廣大網(wǎng)民自然會(huì)憂心忡忡，高度關(guān)注。業(yè)內(nèi)人士呼吁，如何界定“搜集用戶隱私”已經(jīng)超出了企業(yè)的能力范圍，需要從行政立法的層面加以厘清解決。

金山稱掌握“360記錄隱私信息”證據(jù)

2010年12月31日，金山公司召開緊急新聞發(fā)布會(huì)，金山網(wǎng)絡(luò)CEO傅盛指出，近期金山接到大量用戶舉報(bào)，稱在Google上搜索到自己的用戶名與密碼。經(jīng)追查，金山發(fā)現(xiàn)這些隱私信息來源于360一臺(tái)服務(wù)器（Upload.360safe.com）上的一個(gè)文本文件。該臺(tái)服務(wù)器詳細(xì)記錄了大量360用戶的全網(wǎng)訪問過程，包括瀏覽的網(wǎng)頁、下載過的應(yīng)用、搜索的關(guān)鍵字等，并將這些訪問記錄與唯一用戶掛鉤。

金山網(wǎng)絡(luò)在當(dāng)天的新聞發(fā)布會(huì)上，還現(xiàn)場(chǎng)展示了部分案例，這些案例分別涉及網(wǎng)民在百度、谷歌、搜狗等搜索引擎中的搜索關(guān)鍵字、訪問了哪些具體的網(wǎng)站鏈接、郵箱等服務(wù)的用戶名密碼以及某些公司內(nèi)部網(wǎng)絡(luò)的登錄地址、文檔信息等內(nèi)容。

由于上述涉嫌泄露的數(shù)據(jù)包都是以明文未加密方式存在，這也就意味著最普通的網(wǎng)民都可以在這個(gè)數(shù)據(jù)包中查詢，使得許多360用戶的上網(wǎng)行為、用戶名密碼等重要信息受到嚴(yán)重威脅。

傅盛表示，360此次泄密行為暴露了該公司對(duì)用戶隱私內(nèi)容的搜集行為，而此類信息是安全軟件所不需要的。自己在帶領(lǐng)360安全團(tuán)隊(duì)期間（注：傅盛曾經(jīng)在 360任職），從未有過收集用戶隱私的行為。傅盛表示，侵犯用戶隱私的事情，一定要得到政府的管制，他呼吁包括工信部、公安部在內(nèi)的相關(guān)政府主管部門，出臺(tái)有效措施，對(duì)安全領(lǐng)域所采用的“云安全”技術(shù)進(jìn)行管理和規(guī)范。

當(dāng)天晚上，金山以彈窗方式發(fā)布“一級(jí)安全預(yù)警”，稱上億用戶名和密碼存在外泄風(fēng)險(xiǎn)，建議網(wǎng)民卸載360.

360稱泄露事件源于服務(wù)器被攻擊

2011年1月1日，360發(fā)表公開聲明，對(duì)金山的指責(zé)做出了相關(guān)解釋，并稱金山此舉是為挽回市場(chǎng)頹勢(shì)抹黑360.

360表示，金山公布的所謂“360收集用戶隱私”，實(shí)為360為幫助用戶鑒別惡意網(wǎng)址而上傳到360云安全中心查詢的臨時(shí)網(wǎng)址訪問記錄。當(dāng)用戶訪問某個(gè)網(wǎng)頁時(shí)，360軟件會(huì)把用戶訪問的網(wǎng)址和云安全中心的惡意網(wǎng)址庫進(jìn)行比對(duì)，以鑒別和攔截掛馬、釣魚、欺詐等惡意網(wǎng)頁。360沒有收集任何的用戶名和密碼信息。當(dāng)極少數(shù)具有安全漏洞的網(wǎng)站將用戶名和密碼信息編寫在網(wǎng)址URL中，360軟件在通過云查詢這些URL網(wǎng)址時(shí)，并不會(huì)主動(dòng)去識(shí)別其中的用戶名和密碼，因此會(huì)在網(wǎng)址云安全查詢?nèi)罩局杏涗涍@些URL。“360軟件通過云查詢來識(shí)別和攔截用戶可能訪問的惡意網(wǎng)頁，這是包括金山在內(nèi)的國(guó)內(nèi)外安全軟件對(duì)惡意網(wǎng)址攔截采用的通用機(jī)制，不會(huì)侵犯用戶隱私。”

360解釋稱，此次事件是因?yàn)?60存儲(chǔ)網(wǎng)址云安全查詢?nèi)罩镜囊慌_(tái)內(nèi)部服務(wù)器遭到了攻擊，使得原本無法被搜索引擎抓取的日志數(shù)據(jù)被谷歌的蜘蛛抓取到了少量數(shù)據(jù)。經(jīng)過與谷歌公司的核對(duì)，出現(xiàn)在其搜索結(jié)果中的360網(wǎng)址云安全查詢?nèi)罩緮?shù)據(jù)極少，且谷歌已經(jīng)刪除了這部分?jǐn)?shù)據(jù)。因此，此次事件可能導(dǎo)致的用戶隱私信息泄露風(fēng)險(xiǎn)非常有限。

360強(qiáng)調(diào)，金山發(fā)布的日志，一部分在Google里搜不到，“我們正在調(diào)查金山是怎么得到360服務(wù)器里的惡意網(wǎng)頁攔截日志。”

對(duì)此，金山網(wǎng)絡(luò)市場(chǎng)總監(jiān)夏濟(jì)表示，360泄露出來的用戶隱私里，涉及新浪、網(wǎng)易、淘寶等國(guó)內(nèi)主流互聯(lián)網(wǎng)應(yīng)用服務(wù)的用戶名和密碼。“我們的信息都是從Google里搜到的，歡迎Google出來三方一起印證。”

專家呼吁盡快立法解決爭(zhēng)端

3Q大戰(zhàn)，以及此次金山與360之間的爭(zhēng)端，使得互聯(lián)網(wǎng)用戶個(gè)人隱私保護(hù)的重要性、迫切性日益凸顯。

中國(guó)電子商務(wù)協(xié)會(huì)政策法律委員會(huì)委員、盛峰律師事務(wù)所主任律師于國(guó)富在接受南都記者采訪時(shí)指出，360涉嫌泄露用戶隱私事件暴露兩個(gè)問題：一是360收集用戶信息是否合法；另一個(gè)就是如果收集信息合法，其保留用戶信息的設(shè)防方式是否做到了足夠安全。“360與用戶是合同關(guān)系，如果用戶與360簽訂了在線協(xié)議允許360上傳用戶隱私信息，那么其收集用戶信息就是合法的。不過，如果該信息可能會(huì)對(duì)用戶造成人身財(cái)產(chǎn)產(chǎn)生重大威脅，360則需要盡到足夠的提醒義務(wù)。即使是合法收集用戶隱私信息，但如果在設(shè)防上措施不力，造成用戶隱私信息泄露，360也要承擔(dān)一定的責(zé)任。”

于國(guó)富表示，盡管學(xué)術(shù)界已經(jīng)呼吁了十年，但關(guān)于互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)的立法還沒有提上議事日程。隨著越來越多互聯(lián)網(wǎng)公共事件的發(fā)生，通過立法來完善個(gè)人信息保護(hù)已經(jīng)十分迫切。“不過，立法有著十分嚴(yán)格的程序。在此之前，建議用戶積極自救，避免個(gè)人重要信息外泄。”