出处:《中国信息安全》
今年十月,“打假斗士”方舟子发微博提及360浏览器在用户使用过程中会私自收集用户隐私、非法侵犯用户权益。 对此,360公司迅速回应,发表公开声明并上线辟谣专题。周鸿祎也连续发表微博,对方舟子言行进行质疑,声称要给方舟子正面痛击。此事在互联网和信息安全界引发了热烈讨论,将对网络安全的担忧和对隐私信息保护、信息安全法律完善等思考引向深入。《中国信息安全》记者特别联系方舟子先生,请他从网民的角度谈谈对互联网信息安全的看法。
记者:方舟子你好,在这段时间之前,我们一直认为您是与信息安全业界几乎“绝缘”的人,但这次您质疑360事件,却引起了信息安全业内的大规模讨论与思考,您触发这个事情的初衷是什么?
方舟子:我其实关注信息安全问题已经有一段时间了,在360与金山、360与腾讯和360与百度的所谓“大战”中,360侵犯用户隐私与上网安全的问题一再被提及,专业人士与360用户都出示了很多证据,也有不少人向我反映过,但我一直没有介入,因为这本不是我关注的重点,我关注的主要还是学术造假和伪科学。今年国庆长假较后一天,司马南在海南大学演讲遭到一个学生扔鞋,在网上引起很大的风波,我因此对司马南的微博看得比较仔细,注意到他在新浪发的微博带有用360浏览器发出的信息,知道他是360浏览器的用户,于是发了一条微博提醒他此前360浏览器已被媒体曝光会采集用户隐私数据,他这样的敏感人物应特别注意。不料因此触发了360与我的“大战”。
记者:从某种的角度来说,您专业不在信息安全技术领域,您一向又以证据与事实作为自己的打假原则,那么,您质疑360安全产品有什么样的技术证据?怎样获取的呢?
方舟子:我不是信息安全技术领域内的专业人士,但我对IT领域并不陌生。我是上个世纪90年代初就已开始建网站的较早一批网民,还组织编写过较早个简体中文网络游戏“侠客行”,还是有一定的IT知识的。也由于我有这一背景,我认识很多IT界专业人士。我质疑360产品的技术数据都是通过公开渠道获得的,有的来自于360产品用户的反映,例如有很多360用户反映他们使用360浏览器上网会莫名其妙地进入别人的账号,而用其他浏览器则不会;有的来自IT人士的专业分析,例如有不少IT专业人士都出示证据证明360产品在上传用户隐私数据,留有可遥控用户电脑的后门。还有的证据不涉及专业知识,靠基本事实和逻辑就可判定。
记者:在您质疑之后,我们看到360有了很多回应,包括对媒体、对业界的公开申明、国家相关检测机构的技术检测报告等,那么,360对您本人有没有直接的沟通和回应?您对360的相关回应怎么看?是否部分或全部解答了您的疑问?
方舟子:我开始质疑360产品时,奇虎360公司的高管试图通过我的家属和朋友来跟我私下沟通,被我拒绝了,因为我的一个基本原则是不和我质疑的人或公司有任何私下的接触,免得被钓鱼或被公关。随后奇虎360公司及其高管在其网站和微博上还无根据地污蔑我和司马南被百度公司收买抹黑其产品,更使得我与他们不存在有私下沟通、和解的可能性。360对我的质疑的回应完全不能令人满意,因为他们不是心平气和、有根有据地对质疑做出令人信服的回答,而是更热衷于攻击、抹黑我和我的家人,正是这种态度和形象让人对其产品更生疑虑。只有其浏览器产品总监做过貌似专业的答复,但是经不起推敲,对此我曾经写过文章一一加以驳斥,其他IT专业人士也对他进行过驳斥,而他并没有再做回应,只是重复已被驳斥过的说辞。至于360后来找检测机构出具技术检测报告,并不能证明其清白,因为其出示的测评报告并非360安全浏览器产品测评报告,只是其“登录管理模块”的测评报告,单一模块安全性不等于整个产品的安全性,而且检测的也不是目前360安全浏览器使用的登录管理模块版本。我更相信与360无利害关系的第三方机构出示的检测报告,例如中科院的内部报告,而这些报告都证实360产品有安全方面的问题。360说中科院的报告是内部报告,不代表中科院的官方立场,但是这并不能否定报告的内容和结论。很少有中科院研究人员的研究结果是代表中科院的官方立场的。
记者:随着社会经济的发展和网络应用的迅速普及,信息安全日益成为嵌入到个人、社会、国家方方面面的一个重要因素,那么,除了个人上网隐私信息安全,您对信息安全其他领域有什么样的认识和思考?
方舟子:我本人以及我的家人包括我未成年的女儿就频繁遭受到网络暴力,有的网络暴力已涉嫌违法,例如多次有人在网上扬言要杀我,并留下真实身份,我的女儿也遭到人身威胁。但是公安局不处理我的投诉,而是要我去法院起诉,而北京的法院至今没有受理我的相关案件,收下诉状几个月后既不立案也不裁定不立案。根据现有的法律完全可以处理网络暴力,但是主要是执法和司法部门不作为。
记者:从网民来看,我们每天都面临着信息安全隐患和威胁,我们也离不开很多专业的信息安全企业提供的各种信息安全技术与产品对我们的防护服务,作为一个老网民,在您心目中,一个好的安全产品应该是怎样的?一个可以信赖的安全服务(产品)企业应该是怎样的?
方舟子:一个好的安全产品应该尽量保障用户的上网安全,保护用户的隐私,而不是相反,自己去搜集隐私和暗留后门。一个可以信赖的安全服务(产品)企业应该是对用户负责的,至少应该有“不作恶”的底线。打个比方,安全服务企业就像保安公司,安全产品就像保安,保安是为了保护住户安全的,如果保安监守自盗,那就是一个非常严重的恐怖的问题。
记者:网民上网希望有一个安全诚信的互联网环境,而这个环境的构建是一个复杂、长期和艰巨的过程,更是一个依赖于政府、行业、科研、企业和网民共同参与,综合治理的过程,对于保障网民隐私,构建安全诚信文明的互联网行业环境,您有什么呼吁和建议?
方舟子:我认为立法和管理部门都应该重视网络安全问题。应该制定关于网络隐私的法律,并能得到执行。管理部门对此应该管事,不能采取息事宁人、多一事不如少一事的态度。工信部发言人曾经表示过要调查对360产品的指控,至今我们还未见到调查结果。(《中国信息安全》杂志)