从客户端到“木马端”
评论
关于隐私问题的争论已经有一个世纪了,隐私这个词本来的意思就是“不受干涉的权利”后来发展成为“控制个人信息的权利”。
——Facebook政策首席执行官Chris Kelly
北大硕士的郁闷
2007年 9月10日,北京大学一位法律硕士陆峰把大名鼎鼎的美国微软公司告上了法庭。这位法律硕士很郁闷,认为微软在操作系统里面的“Windows正版增值计划通知” 程序随时收集个人用户信息,有侵犯个人隐私的权利。陆峰甚至认为这个客户端程序有可能变成“木马”工具。
其实严格从技术角度来说,微软的“Windows正版增值计划通知” 程序的工作原理是符合安全要求的。这个程序由两个主要组件组成:
Validation组件,确定用户运行的 Microsoft 软件是否为有效许可的软件。
Notifications组件,显示周期性提醒,比如 Windows XP 许可证是否有问题,或者是否有适用于Windows XP 软件的最新服务包。
为完成验证目的,这个程序会定期从电脑上收集一定数量的信息: 计算机品牌和型号、操作系统和软件的版本信息、区域和语言设置、产品 ID 和产品密钥、BIOS 名称、修订号以及修订日期、硬盘驱动器序列号,但不包括用户姓名、地址、电子邮件地址或任何其他可用于识别用户身份的个人信息。
尽管微软在这起官司中也许会感到有些许委屈,但是在如今种类繁多的客户端软件中,谁敢保证都像微软这样对客户端规定如此严格呢?客户端的木马化趋势正在成为网络服务中的一大困惑。
客户端原本是商业公司向终端用户提供的一种软件产品,用户可以通过客户端享受到公司某种特定的网络服务。比如网络游戏、即时通讯领域,都必须依靠客户端来建立终端用户和商业公司之间的通道。从技术上来说,客户端是网络服务的一个进步,大大缩短了用户与网络之间的距离,提高了网络服务的效率。
然而,技术越进步,麻烦越众多。
客户端“木马化”之痛
按理说,只要是收集合理的电脑信息,用于网络服务目的,并不算太严重的事情。不过由于技术的进步,客户端收集信息的功能越来越强大,手段越来越隐秘,用户根本无从知道自己电脑上的客户端正在收集哪些信息,也不可能知道。
像这样的例子不胜枚举,罄竹难书!拎出来那些血淋淋的教训给网友们看,就是让大家提高警惕,注意网络安全。摩力游出品的网游《惊天动地》一度传出客户端加载用户扫描程序、违反网络信息条例窥探玩家个人隐私的消息,令人不寒而栗。如果这个情况属实,这才是真正做到了“惊天动地”。尽管摩力游方面称,此举是为了对付外挂问题才对客户端进行了调试,但这种做法是给网络游戏客户端开了一个极为恶劣的头。
仅如此,此前针对网通“宽带我世界”客户端侵犯用户隐私的事件也被炒得沸沸扬扬,究其原因就是在合同中并没有规避因客户端收集用户信息造成的风险由谁承担怎么承担的问题。诚然,公司了解用户的使用情况,应该属于受众调查的范畴,为了更好地“以人为本”、“为网民服务”,做个调查应该没啥!要是“赔了夫人又折兵”,那就犯不上了!
但是,网络不再是一种工具,而是一个世界,一个社会,一个团体,它是而且必须有一定的游戏规则,不能偏废,或者姑息养奸。假如放任客户端“木马化”下去,这个坏风气肯定会愈加泛滥,到了遍地开花的时候再人人喊打,那就会杯水车薪无济于事了。
谁来监控客户端
由于缺乏监控,在商业利益的驱动下,越来越多的公司出于不同目的开始收集用户个人隐私,这种不道德的、触线的、犯禁的行为如果不能严加惩戒,将直接导致网络社会信任链条的彻底崩溃。
对于普通用户来说,出现这种情况很无奈,也无助。用户不可能知道自己安装的客户端程序是否出现木马倾向,更无法从技术上来进行阻止。目前主流反病毒软件都具有反木马功能,但是对于堂而皇之进入用户电脑的正当客户端程序,一般反病毒软件都不会进行专门阻止,除非专门针对这种客户端进行监控。
从法律的角度来说,这种非正常收集用户信息的技术行为到底有没有触犯法律法规,也存在争议。因为本来目前互联网领域的法律法规都在完善之中,这种牵涉具体技术的行为更难从技术上进行取证,无疑增加了问题解决的难度。
从目前来看,是不是可以从技术上专门成立一个联合机构,用于对商业公司推出的正规客户端程序进行检测,只有保证没有恶意收集用户个人信息的现象,才允许向用户推广。另一方面,希望能从法律上给出具体界定,商业公司在何种情况下才能作出这种技术行为,如果违反,应该给予惩罚。