南京網(wǎng)民狀告奇虎360竊取隱私 要求該公司道歉

年前，“打假斗士”方舟子與“紅衣戰(zhàn)士”周鴻祎在網(wǎng)絡(luò)上掀起了一場(chǎng)轟轟烈烈的口水戰(zhàn)，戰(zhàn)火蔓延到互聯(lián)網(wǎng)領(lǐng)域的信息安全問(wèn)題。今年315晚會(huì)，也曝光了有關(guān)Cookies分析用戶(hù)上網(wǎng)行為許多網(wǎng)民都開(kāi)始尋找清除Cookies信息保護(hù)個(gè)人隱私的方法，僅新浪微博的搜索量超過(guò)100余萬(wàn)。這不，南京消費(fèi)者黃佳（應(yīng)消費(fèi)者要求使用化名）意外發(fā)現(xiàn)，自己使用的360安全瀏覽器，幾乎在“偷窺”著自己網(wǎng)上的舉動(dòng)，一怒之下，將360給告了?！赌暇┏繄?bào)》記者了解到，目前南京鼓樓區(qū)法院已經(jīng)立案。

和朋友閑聊后 發(fā)現(xiàn)隱私被“泄露”了

“網(wǎng)絡(luò)隱私”這個(gè)詞匯，對(duì)很多人來(lái)說(shuō)，都是個(gè)新名詞。我在網(wǎng)上的瀏覽了什么網(wǎng)站、有什么喜好、使用了什么軟件，這樣的“隱私”有沒(méi)有得到保護(hù)?去年9月的一天，黃佳和幾個(gè)IT界的朋友正好聚在一起閑聊，大家就聊到了“網(wǎng)絡(luò)隱私”。黃佳一時(shí)興起，很想知道，到底自己使用的360安全瀏覽器，是不是真的保障了自己隱私的“安全”?于是他就委托IT界的朋友們幫他一探究竟。

IT界的朋友們使用了一個(gè)軟件來(lái)查看，這個(gè)軟件是微軟的官方軟件，名叫“Fiddler PowerToy”。這個(gè)軟件做什么用的?據(jù)了解，F(xiàn)iddler是一個(gè)http調(diào)試代理，它能夠記錄并檢查所有你的電腦和互聯(lián)網(wǎng)之間的http通訊，設(shè)置斷點(diǎn)，查看Fiddle所有的“進(jìn)出”的數(shù)據(jù)。而通過(guò)顯示所有的http通訊，可以輕松地演示哪些用來(lái)生成一個(gè)頁(yè)面，你可以看到你請(qǐng)求的某個(gè)頁(yè)面，總共請(qǐng)求了多少次，以及多少字節(jié)被轉(zhuǎn)化了。

聽(tīng)起來(lái)很復(fù)雜，到底什么意思?黃佳全權(quán)委托江蘇博事達(dá)律師事務(wù)所的孟偉律師代理此案的所有事宜，而孟偉給記者舉了一個(gè)例子。“就好比你去看紐約時(shí)報(bào)網(wǎng)站，你需要先向服務(wù)器發(fā)送一個(gè)指令，然后指令發(fā)送到紐約時(shí)報(bào)，然后紐約時(shí)報(bào)那邊的服務(wù)器反饋過(guò)來(lái)，你就看到了這個(gè)網(wǎng)站。Fiddler就可以將這個(gè)行為反應(yīng)出來(lái)，相當(dāng)于將網(wǎng)站對(duì)你的行為像‘錄像機(jī)’一樣錄下來(lái)，通過(guò)“抓包”能夠監(jiān)控到其他網(wǎng)站對(duì)你的數(shù)據(jù)交互行為”。

沒(méi)想到，使用了這個(gè)軟件之后，黃佳居然發(fā)現(xiàn)，自己的“隱私”好像被泄露了。他發(fā)現(xiàn)了兩個(gè)疑點(diǎn)：首先是自己通過(guò)360瀏覽器曾經(jīng)瀏覽過(guò)的比如淘寶網(wǎng)、工商銀行、人人網(wǎng)等相關(guān)的瀏覽記錄，和360的服務(wù)器存在交互行為，也就是360瀏覽器也會(huì)實(shí)時(shí)將用戶(hù)的瀏覽網(wǎng)址記錄上傳到其服務(wù)器上。

更讓他驚訝的是，他發(fā)現(xiàn)360甚至可以“掃描”自己電腦中已經(jīng)安裝的軟件，當(dāng)其安裝或卸載360安全瀏覽器時(shí)，瀏覽器會(huì)監(jiān)控其電腦中的軟件安裝情況。他多次試驗(yàn)發(fā)現(xiàn)，只要電腦中安裝了QQ、QQ管家、金山毒霸、遨游瀏覽器、搜狗輸入法、騰訊TT瀏覽器、火狐瀏覽器、Chrome瀏覽器、阿里巴巴瀏覽器等十余種軟件，瀏覽器都會(huì)將安裝信息收集上傳到360服務(wù)器上。

消費(fèi)者要求360道歉并索賠5萬(wàn)元

黃佳在得到這樣的結(jié)果后，很是不滿(mǎn)，覺(jué)得個(gè)人隱私被泄露了，黃佳認(rèn)為，瀏覽網(wǎng)頁(yè)屬于隱私行為，瀏覽了什么網(wǎng)站，不應(yīng)該讓別人都知道，就好比我在家里做什么都被人盯著看。孟偉稱(chēng)，如果這樣，用戶(hù)的軟件操作習(xí)慣、作息時(shí)間、網(wǎng)頁(yè)瀏覽行為無(wú)疑都暴露了。

黃佳覺(jué)得，不是自己一個(gè)人被“偷窺”，很多使用360瀏覽器的用戶(hù)，都存在同樣的問(wèn)題。而在使用360瀏覽器的時(shí)候，明明有個(gè)用戶(hù)協(xié)議，自己是打了一個(gè)“小勾”在這個(gè)協(xié)議上，才安裝的瀏覽器。這個(gè)《360瀏覽器安裝許可協(xié)議》中所承諾，“不會(huì)監(jiān)控用戶(hù)網(wǎng)上、網(wǎng)下的行為，不會(huì)收集用戶(hù)使用其他軟件、文檔等個(gè)人信息，不會(huì)泄露用戶(hù)隱私”。孟偉說(shuō)，360安全瀏覽器的上述行為已超出瀏覽器的基本功能和作用，違反了這個(gè)安裝協(xié)議。

于是黃佳找到了江蘇博事達(dá)律師事務(wù)所的孟偉律師，決定要起訴360，給自己的“隱私權(quán)”討個(gè)說(shuō)法。南京市鼓樓區(qū)法院在收到訴狀后，于今年的元月10日下達(dá)了案件受理通知書(shū)。記者在該通知書(shū)中看到，法院認(rèn)為該起訴“符合法定受理?xiàng)l件，本院決定立案受理”。

黃佳有什么要求呢?在起訴書(shū)中，黃佳稱(chēng)，要求360立即停止侵犯自己的隱私，在自己的網(wǎng)站以及《法制日?qǐng)?bào)》上連續(xù)10日道歉，并要求賠償自己的精神損害撫慰金5萬(wàn)元等。

360公司：“網(wǎng)址云安全”是所有安全軟件的通用做法

360公司也的確收到了法院郵寄送達(dá)的訴狀。記者日前聯(lián)系上了360公司的相關(guān)負(fù)責(zé)人，在360公司給晨報(bào)記者的書(shū)面答復(fù)中，360進(jìn)行了澄清。

360表示，“把消費(fèi)者的瀏覽網(wǎng)址記錄上傳到服務(wù)器”這一說(shuō)法，本身就是不準(zhǔn)確的。360公司稱(chēng)事實(shí)情況是，會(huì)把用戶(hù)訪(fǎng)問(wèn)的網(wǎng)址通過(guò)不可逆的哈希算法轉(zhuǎn)化為一個(gè)字符串，這個(gè)字符串用通俗的話(huà)來(lái)說(shuō)，就是“網(wǎng)址指紋”，然后再與服務(wù)器端的惡意網(wǎng)址庫(kù)進(jìn)行比對(duì)，以便用戶(hù)訪(fǎng)問(wèn)掛馬、釣魚(yú)等惡意網(wǎng)址時(shí)進(jìn)行攔截。這項(xiàng)功能名為“網(wǎng)址云安全”，也是所有安全軟件的通用做法，包括國(guó)外的賽門(mén)鐵克、趨勢(shì)科技、谷歌瀏覽器，國(guó)內(nèi)的瑞星、金山等，都在采用相同機(jī)制攔截惡意網(wǎng)址。

為什么必須采用“網(wǎng)址云安全”功能攔截惡意網(wǎng)站呢?360公司稱(chēng)，首先，這個(gè)方法相對(duì)快，可以在云端實(shí)時(shí)更新惡意網(wǎng)址庫(kù)，客戶(hù)端第一時(shí)間攔截;其次也很省資源：用戶(hù)電腦無(wú)需加載龐大的惡意網(wǎng)址庫(kù)，也不用每天更新大約3MB的網(wǎng)址特征（一年約1.1GB）;最后，是因?yàn)槠涓咝剩和ㄟ^(guò)云端URL/IP/信譽(yù)等多維度數(shù)據(jù)庫(kù)關(guān)聯(lián)分析，就可以大幅提高釣魚(yú)攔截效果。

360公司還給記者一個(gè)使用360安全瀏覽器攔截假冒工行網(wǎng)銀釣魚(yú)網(wǎng)站的實(shí)例，當(dāng)輸入一個(gè)假冒工商銀行網(wǎng)址的時(shí)候，就跳出一個(gè)窗口稱(chēng)，經(jīng)過(guò)360互聯(lián)網(wǎng)安全中心認(rèn)證，當(dāng)前頁(yè)面是假冒的中國(guó)工商銀行登錄界面，并提示用戶(hù)訪(fǎng)問(wèn)真正的中國(guó)工商銀行。

“如果用戶(hù)不希望提交網(wǎng)址指紋和服務(wù)器端惡意網(wǎng)址庫(kù)進(jìn)行比對(duì)，只要在360軟件設(shè)置中關(guān)閉‘網(wǎng)址云安全’即可。但這樣就無(wú)法識(shí)別和攔截各種釣魚(yú)和掛馬網(wǎng)站了。”

對(duì)于用戶(hù)使用的QQ等軟件也被“反饋”給360公司，360表示，反饋的QQ瀏覽器信息，只是QQ瀏覽器程序的文件指紋、數(shù)字簽名等安全檢測(cè)必需的參數(shù)，并不涉及其個(gè)人使用數(shù)據(jù)。“舉個(gè)簡(jiǎn)單的例子，當(dāng)一個(gè)用戶(hù)下載安裝QQ瀏覽器或者QVOD播放器時(shí)，他可能是通過(guò)某個(gè)盜版軟件站下載了捆綁木馬的軟件安裝包。這時(shí)，任何一款安全軟件都會(huì)檢測(cè)安裝包，否則根本無(wú)法攔截木馬病毒。”

能不能在南京告又成為焦點(diǎn)

采訪(fǎng)中，有人認(rèn)為兩者說(shuō)法公說(shuō)公有理婆說(shuō)婆有理，也有一些IT界業(yè)內(nèi)人士認(rèn)為，360公司的解釋似乎不能自圓其說(shuō)。安全軟件的通行做法是將“可疑網(wǎng)址”收集至服務(wù)器端并比對(duì)。而“淘寶、搜狐、人人網(wǎng)”明顯不是“可疑網(wǎng)址”，但卻均被360將用戶(hù)的瀏覽信息收集到服務(wù)器，這種行為似乎超出了安全軟件的范疇，的確感覺(jué)侵犯了用戶(hù)的隱私。其次，如果是為了攔截木馬病毒，應(yīng)該是在下載或安裝該軟件（如QQ瀏覽器）時(shí)檢測(cè)相關(guān)參數(shù)和信息，但現(xiàn)在360瀏覽器的行為是在安裝或卸載360瀏覽器時(shí)去檢測(cè)用戶(hù)電腦是否安裝有其他產(chǎn)品的參數(shù)信息并傳回，因此“為了攔截病毒”一說(shuō)似乎站不住腳。

而黃佳發(fā)現(xiàn)，即便你將“云安全”關(guān)閉，依然可以上傳自己的瀏覽記錄。

“該案件原定在3月底開(kāi)庭，但現(xiàn)在360公司向鼓樓區(qū)法院提出了‘管轄權(quán)異議’”。孟偉說(shuō)，360公司指出，北京奇虎公司的所在地是北京市西城區(qū)人民法院，用戶(hù)不應(yīng)該在南京的法院起訴。

孟偉說(shuō)，依照法律規(guī)定，侵權(quán)行為可以在侵權(quán)結(jié)果發(fā)生地或者被告所在地起訴，而侵權(quán)結(jié)果發(fā)生地，無(wú)疑就是黃佳南京的電腦。因此消費(fèi)者當(dāng)然可以不必大費(fèi)周章去北京，在南京告也是理所當(dāng)然。但360公司認(rèn)為，“侵權(quán)結(jié)果可以在任何一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)終端顯現(xiàn)，這樣許多地方均可視為侵權(quán)結(jié)果發(fā)生地，具有顯著擴(kuò)散性，而不具有確定性，因此對(duì)申請(qǐng)人而言極不公平”。360公司還認(rèn)為，“網(wǎng)絡(luò)侵權(quán)案件的管轄地確認(rèn)，應(yīng)該以被告住所地或侵權(quán)行為實(shí)施地為原則，以侵權(quán)結(jié)果發(fā)生地為例外”。

到底在南京能不能告?在360公司提出管轄權(quán)異議之后，南京鼓樓區(qū)法院就需要走法律程序，裁定到底這個(gè)異議成立還是不成立。所以原定的3月底開(kāi)庭，顯然不可能實(shí)現(xiàn)了。

制度疏漏：我的隱私誰(shuí)做主?

黃佳和孟偉說(shuō)，其實(shí)這次去告360，就是希望能夠喚起大家對(duì)自己網(wǎng)絡(luò)隱私的“保護(hù)意識(shí)”。“就好比我請(qǐng)個(gè)保安看家，但你不能打著安全的名號(hào)，把我家所有的東西都翻一遍”，“目前個(gè)人的隱私還很難界定，法律規(guī)定還不健全，這個(gè)案子說(shuō)明，目前人的活動(dòng)已經(jīng)向網(wǎng)絡(luò)轉(zhuǎn)移，隱私權(quán)在網(wǎng)絡(luò)中如何體現(xiàn)和保護(hù)成了法律亟待解決的問(wèn)題，并且個(gè)人隱私行為和消費(fèi)者的經(jīng)濟(jì)和財(cái)產(chǎn)屬性直接掛鉤，作為消費(fèi)者可以對(duì)經(jīng)營(yíng)者讓渡一部分信息，但不是沒(méi)有邊界的，消費(fèi)者有沒(méi)有被告知呢?經(jīng)營(yíng)者有沒(méi)有遵循最小使用的原則，還是肆無(wú)忌憚地搜集所有的信息?”孟偉律師在談到維護(hù)消費(fèi)者的隱私權(quán)時(shí)說(shuō)道。

360公司表示，其實(shí)自己一直很重視消費(fèi)者的隱私。自己不僅加入了全球最大隱私保護(hù)組織IAPP（隱私專(zhuān)業(yè)人員國(guó)際協(xié)會(huì)），而且將引進(jìn)吸收國(guó)際上在用戶(hù)隱私保護(hù)方面的先進(jìn)經(jīng)驗(yàn)，并按國(guó)際標(biāo)準(zhǔn)來(lái)要求自己。在360發(fā)布的《用戶(hù)隱私保護(hù)白皮書(shū)》中，也把各個(gè)軟件的工作原理、實(shí)現(xiàn)哪些功能需要交互什么數(shù)據(jù)全都公開(kāi)、透明，接受公眾的嚴(yán)格監(jiān)督。

其實(shí)關(guān)于侵犯用戶(hù)隱私權(quán)的行為并不鮮見(jiàn)，美國(guó)就曾對(duì)谷歌公司侵犯用戶(hù)隱私開(kāi)出巨額罰單。2012年年初，谷歌公司被曝借助蘋(píng)果公司Safari瀏覽器的漏洞，繞過(guò)該瀏覽器的隱私設(shè)定，追蹤用戶(hù)的上網(wǎng)習(xí)慣。隨后，美國(guó)聯(lián)邦貿(mào)易委員會(huì)（FTC）對(duì)谷歌侵權(quán)一事展開(kāi)調(diào)查。8月，谷歌與FTC達(dá)成和解協(xié)議，F(xiàn)TC要求谷歌繳納2250萬(wàn)美元的罰款并徹底停止追蹤用戶(hù)上網(wǎng)習(xí)慣的侵權(quán)行為。11月初，美國(guó)地方法院批準(zhǔn)了FTC的這一處罰決定。

2013年2月1日，我國(guó)頒布了首個(gè)個(gè)人信息保護(hù)的國(guó)家標(biāo)準(zhǔn)《信息技術(shù)安全公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》，《指南》的實(shí)施標(biāo)志著我國(guó)將告別針對(duì)個(gè)人信息處理行為“無(wú)標(biāo)可依”的歷史，使公民對(duì)個(gè)人信息保護(hù)的訴求得到有效解決。