南京網(wǎng)民狀告奇虎360竊取隱私 要求該公司道歉

年前，“打假斗士”方舟子與“紅衣戰(zhàn)士”周鴻祎在網(wǎng)絡(luò)上掀起了一場轟轟烈烈的口水戰(zhàn)，戰(zhàn)火蔓延到互聯(lián)網(wǎng)領(lǐng)域的信息安全問題。今年315晚會，也曝光了有關(guān)Cookies分析用戶上網(wǎng)行為許多網(wǎng)民都開始尋找清除Cookies信息保護(hù)個人隱私的方法，僅新浪微博的搜索量超過100余萬。這不，南京消費(fèi)者黃佳（應(yīng)消費(fèi)者要求使用化名）意外發(fā)現(xiàn)，自己使用的360安全瀏覽器，幾乎在“偷窺”著自己網(wǎng)上的舉動，一怒之下，將360給告了?！赌暇┏繄蟆酚浾吡私獾?，目前南京鼓樓區(qū)法院已經(jīng)立案。

和朋友閑聊后 發(fā)現(xiàn)隱私被“泄露”了

“網(wǎng)絡(luò)隱私”這個詞匯，對很多人來說，都是個新名詞。我在網(wǎng)上的瀏覽了什么網(wǎng)站、有什么喜好、使用了什么軟件，這樣的“隱私”有沒有得到保護(hù)?去年9月的一天，黃佳和幾個IT界的朋友正好聚在一起閑聊，大家就聊到了“網(wǎng)絡(luò)隱私”。黃佳一時興起，很想知道，到底自己使用的360安全瀏覽器，是不是真的保障了自己隱私的“安全”?于是他就委托IT界的朋友們幫他一探究竟。

IT界的朋友們使用了一個軟件來查看，這個軟件是微軟的官方軟件，名叫“Fiddler PowerToy”。這個軟件做什么用的?據(jù)了解，F(xiàn)iddler是一個http調(diào)試代理，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的http通訊，設(shè)置斷點(diǎn)，查看Fiddle所有的“進(jìn)出”的數(shù)據(jù)。而通過顯示所有的http通訊，可以輕松地演示哪些用來生成一個頁面，你可以看到你請求的某個頁面，總共請求了多少次，以及多少字節(jié)被轉(zhuǎn)化了。

聽起來很復(fù)雜，到底什么意思?黃佳全權(quán)委托江蘇博事達(dá)律師事務(wù)所的孟偉律師代理此案的所有事宜，而孟偉給記者舉了一個例子。“就好比你去看紐約時報網(wǎng)站，你需要先向服務(wù)器發(fā)送一個指令，然后指令發(fā)送到紐約時報，然后紐約時報那邊的服務(wù)器反饋過來，你就看到了這個網(wǎng)站。Fiddler就可以將這個行為反應(yīng)出來，相當(dāng)于將網(wǎng)站對你的行為像‘錄像機(jī)’一樣錄下來，通過“抓包”能夠監(jiān)控到其他網(wǎng)站對你的數(shù)據(jù)交互行為”。

沒想到，使用了這個軟件之后，黃佳居然發(fā)現(xiàn)，自己的“隱私”好像被泄露了。他發(fā)現(xiàn)了兩個疑點(diǎn)：首先是自己通過360瀏覽器曾經(jīng)瀏覽過的比如淘寶網(wǎng)、工商銀行、人人網(wǎng)等相關(guān)的瀏覽記錄，和360的服務(wù)器存在交互行為，也就是360瀏覽器也會實(shí)時將用戶的瀏覽網(wǎng)址記錄上傳到其服務(wù)器上。

更讓他驚訝的是，他發(fā)現(xiàn)360甚至可以“掃描”自己電腦中已經(jīng)安裝的軟件，當(dāng)其安裝或卸載360安全瀏覽器時，瀏覽器會監(jiān)控其電腦中的軟件安裝情況。他多次試驗(yàn)發(fā)現(xiàn)，只要電腦中安裝了QQ、QQ管家、金山毒霸、遨游瀏覽器、搜狗輸入法、騰訊TT瀏覽器、火狐瀏覽器、Chrome瀏覽器、阿里巴巴瀏覽器等十余種軟件，瀏覽器都會將安裝信息收集上傳到360服務(wù)器上。

消費(fèi)者要求360道歉并索賠5萬元

黃佳在得到這樣的結(jié)果后，很是不滿，覺得個人隱私被泄露了，黃佳認(rèn)為，瀏覽網(wǎng)頁屬于隱私行為，瀏覽了什么網(wǎng)站，不應(yīng)該讓別人都知道，就好比我在家里做什么都被人盯著看。孟偉稱，如果這樣，用戶的軟件操作習(xí)慣、作息時間、網(wǎng)頁瀏覽行為無疑都暴露了。

黃佳覺得，不是自己一個人被“偷窺”，很多使用360瀏覽器的用戶，都存在同樣的問題。而在使用360瀏覽器的時候，明明有個用戶協(xié)議，自己是打了一個“小勾”在這個協(xié)議上，才安裝的瀏覽器。這個《360瀏覽器安裝許可協(xié)議》中所承諾，“不會監(jiān)控用戶網(wǎng)上、網(wǎng)下的行為，不會收集用戶使用其他軟件、文檔等個人信息，不會泄露用戶隱私”。孟偉說，360安全瀏覽器的上述行為已超出瀏覽器的基本功能和作用，違反了這個安裝協(xié)議。

于是黃佳找到了江蘇博事達(dá)律師事務(wù)所的孟偉律師，決定要起訴360，給自己的“隱私權(quán)”討個說法。南京市鼓樓區(qū)法院在收到訴狀后，于今年的元月10日下達(dá)了案件受理通知書。記者在該通知書中看到，法院認(rèn)為該起訴“符合法定受理?xiàng)l件，本院決定立案受理”。

黃佳有什么要求呢?在起訴書中，黃佳稱，要求360立即停止侵犯自己的隱私，在自己的網(wǎng)站以及《法制日報》上連續(xù)10日道歉，并要求賠償自己的精神損害撫慰金5萬元等。

360公司：“網(wǎng)址云安全”是所有安全軟件的通用做法

360公司也的確收到了法院郵寄送達(dá)的訴狀。記者日前聯(lián)系上了360公司的相關(guān)負(fù)責(zé)人，在360公司給晨報記者的書面答復(fù)中，360進(jìn)行了澄清。

360表示，“把消費(fèi)者的瀏覽網(wǎng)址記錄上傳到服務(wù)器”這一說法，本身就是不準(zhǔn)確的。360公司稱事實(shí)情況是，會把用戶訪問的網(wǎng)址通過不可逆的哈希算法轉(zhuǎn)化為一個字符串，這個字符串用通俗的話來說，就是“網(wǎng)址指紋”，然后再與服務(wù)器端的惡意網(wǎng)址庫進(jìn)行比對，以便用戶訪問掛馬、釣魚等惡意網(wǎng)址時進(jìn)行攔截。這項(xiàng)功能名為“網(wǎng)址云安全”，也是所有安全軟件的通用做法，包括國外的賽門鐵克、趨勢科技、谷歌瀏覽器，國內(nèi)的瑞星、金山等，都在采用相同機(jī)制攔截惡意網(wǎng)址。

為什么必須采用“網(wǎng)址云安全”功能攔截惡意網(wǎng)站呢?360公司稱，首先，這個方法相對快，可以在云端實(shí)時更新惡意網(wǎng)址庫，客戶端第一時間攔截;其次也很省資源：用戶電腦無需加載龐大的惡意網(wǎng)址庫，也不用每天更新大約3MB的網(wǎng)址特征（一年約1.1GB）;最后，是因?yàn)槠涓咝剩和ㄟ^云端URL/IP/信譽(yù)等多維度數(shù)據(jù)庫關(guān)聯(lián)分析，就可以大幅提高釣魚攔截效果。

360公司還給記者一個使用360安全瀏覽器攔截假冒工行網(wǎng)銀釣魚網(wǎng)站的實(shí)例，當(dāng)輸入一個假冒工商銀行網(wǎng)址的時候，就跳出一個窗口稱，經(jīng)過360互聯(lián)網(wǎng)安全中心認(rèn)證，當(dāng)前頁面是假冒的中國工商銀行登錄界面，并提示用戶訪問真正的中國工商銀行。

“如果用戶不希望提交網(wǎng)址指紋和服務(wù)器端惡意網(wǎng)址庫進(jìn)行比對，只要在360軟件設(shè)置中關(guān)閉‘網(wǎng)址云安全’即可。但這樣就無法識別和攔截各種釣魚和掛馬網(wǎng)站了。”

對于用戶使用的QQ等軟件也被“反饋”給360公司，360表示，反饋的QQ瀏覽器信息，只是QQ瀏覽器程序的文件指紋、數(shù)字簽名等安全檢測必需的參數(shù)，并不涉及其個人使用數(shù)據(jù)。“舉個簡單的例子，當(dāng)一個用戶下載安裝QQ瀏覽器或者QVOD播放器時，他可能是通過某個盜版軟件站下載了捆綁木馬的軟件安裝包。這時，任何一款安全軟件都會檢測安裝包，否則根本無法攔截木馬病毒。”

能不能在南京告又成為焦點(diǎn)

采訪中，有人認(rèn)為兩者說法公說公有理婆說婆有理，也有一些IT界業(yè)內(nèi)人士認(rèn)為，360公司的解釋似乎不能自圓其說。安全軟件的通行做法是將“可疑網(wǎng)址”收集至服務(wù)器端并比對。而“淘寶、搜狐、人人網(wǎng)”明顯不是“可疑網(wǎng)址”，但卻均被360將用戶的瀏覽信息收集到服務(wù)器，這種行為似乎超出了安全軟件的范疇，的確感覺侵犯了用戶的隱私。其次，如果是為了攔截木馬病毒，應(yīng)該是在下載或安裝該軟件（如QQ瀏覽器）時檢測相關(guān)參數(shù)和信息，但現(xiàn)在360瀏覽器的行為是在安裝或卸載360瀏覽器時去檢測用戶電腦是否安裝有其他產(chǎn)品的參數(shù)信息并傳回，因此“為了攔截病毒”一說似乎站不住腳。

而黃佳發(fā)現(xiàn)，即便你將“云安全”關(guān)閉，依然可以上傳自己的瀏覽記錄。

“該案件原定在3月底開庭，但現(xiàn)在360公司向鼓樓區(qū)法院提出了‘管轄權(quán)異議’”。孟偉說，360公司指出，北京奇虎公司的所在地是北京市西城區(qū)人民法院，用戶不應(yīng)該在南京的法院起訴。

孟偉說，依照法律規(guī)定，侵權(quán)行為可以在侵權(quán)結(jié)果發(fā)生地或者被告所在地起訴，而侵權(quán)結(jié)果發(fā)生地，無疑就是黃佳南京的電腦。因此消費(fèi)者當(dāng)然可以不必大費(fèi)周章去北京，在南京告也是理所當(dāng)然。但360公司認(rèn)為，“侵權(quán)結(jié)果可以在任何一臺聯(lián)網(wǎng)的計算機(jī)終端顯現(xiàn)，這樣許多地方均可視為侵權(quán)結(jié)果發(fā)生地，具有顯著擴(kuò)散性，而不具有確定性，因此對申請人而言極不公平”。360公司還認(rèn)為，“網(wǎng)絡(luò)侵權(quán)案件的管轄地確認(rèn)，應(yīng)該以被告住所地或侵權(quán)行為實(shí)施地為原則，以侵權(quán)結(jié)果發(fā)生地為例外”。

到底在南京能不能告?在360公司提出管轄權(quán)異議之后，南京鼓樓區(qū)法院就需要走法律程序，裁定到底這個異議成立還是不成立。所以原定的3月底開庭，顯然不可能實(shí)現(xiàn)了。

制度疏漏：我的隱私誰做主?

黃佳和孟偉說，其實(shí)這次去告360，就是希望能夠喚起大家對自己網(wǎng)絡(luò)隱私的“保護(hù)意識”。“就好比我請個保安看家，但你不能打著安全的名號，把我家所有的東西都翻一遍”，“目前個人的隱私還很難界定，法律規(guī)定還不健全，這個案子說明，目前人的活動已經(jīng)向網(wǎng)絡(luò)轉(zhuǎn)移，隱私權(quán)在網(wǎng)絡(luò)中如何體現(xiàn)和保護(hù)成了法律亟待解決的問題，并且個人隱私行為和消費(fèi)者的經(jīng)濟(jì)和財產(chǎn)屬性直接掛鉤，作為消費(fèi)者可以對經(jīng)營者讓渡一部分信息，但不是沒有邊界的，消費(fèi)者有沒有被告知呢?經(jīng)營者有沒有遵循最小使用的原則，還是肆無忌憚地搜集所有的信息?”孟偉律師在談到維護(hù)消費(fèi)者的隱私權(quán)時說道。

360公司表示，其實(shí)自己一直很重視消費(fèi)者的隱私。自己不僅加入了全球最大隱私保護(hù)組織IAPP（隱私專業(yè)人員國際協(xié)會），而且將引進(jìn)吸收國際上在用戶隱私保護(hù)方面的先進(jìn)經(jīng)驗(yàn)，并按國際標(biāo)準(zhǔn)來要求自己。在360發(fā)布的《用戶隱私保護(hù)白皮書》中，也把各個軟件的工作原理、實(shí)現(xiàn)哪些功能需要交互什么數(shù)據(jù)全都公開、透明，接受公眾的嚴(yán)格監(jiān)督。

其實(shí)關(guān)于侵犯用戶隱私權(quán)的行為并不鮮見，美國就曾對谷歌公司侵犯用戶隱私開出巨額罰單。2012年年初，谷歌公司被曝借助蘋果公司Safari瀏覽器的漏洞，繞過該瀏覽器的隱私設(shè)定，追蹤用戶的上網(wǎng)習(xí)慣。隨后，美國聯(lián)邦貿(mào)易委員會（FTC）對谷歌侵權(quán)一事展開調(diào)查。8月，谷歌與FTC達(dá)成和解協(xié)議，F(xiàn)TC要求谷歌繳納2250萬美元的罰款并徹底停止追蹤用戶上網(wǎng)習(xí)慣的侵權(quán)行為。11月初，美國地方法院批準(zhǔn)了FTC的這一處罰決定。

2013年2月1日，我國頒布了首個個人信息保護(hù)的國家標(biāo)準(zhǔn)《信息技術(shù)安全公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》，《指南》的實(shí)施標(biāo)志著我國將告別針對個人信息處理行為“無標(biāo)可依”的歷史，使公民對個人信息保護(hù)的訴求得到有效解決。