【印聯(lián)傳媒網(wǎng)訊】隨著央視3·15晚會曝光手機軟件開發(fā)商向智能手機植入惡意程序扣費并竊取用戶隱私信息，北京鼎開和大唐高鴻兩家公司的名字也進入國人的視野。在業(yè)內(nèi)人士看來，通過預(yù)裝手機軟件惡意扣費、遠程控制、竊取隱私的現(xiàn)象其實并不鮮見，只是在平時不易為一般消費者所察覺。

　　將軟件供應(yīng)商植入惡意程序吸費、盜取用戶隱私的行為等同于盜竊，恰似為對方繪制了一幅并不怎么傳神的“肖像畫”，上面分明是一個鬼鬼祟祟的小偷模樣。然而在現(xiàn)實中，軟件供應(yīng)商利用自己與消費者的信息不對稱，肆無忌憚地將軟件植入手機后臺，那份明目張膽和明火執(zhí)仗，又儼然一個江洋大盜。

　　倘若人們連基本的規(guī)則都不想遵守，又何談“應(yīng)對移動互聯(lián)網(wǎng)時代即將帶來的挑戰(zhàn)”，何談“平臺戰(zhàn)略”以及“跨界整合日常社交、消費服務(wù)、資訊獲取和生活娛樂的新概念”，畢竟這些雄心勃勃的構(gòu)想，不光需要安全技術(shù)的支撐，更需要外部規(guī)則的保駕護航。移動互聯(lián)網(wǎng)與傳統(tǒng)互聯(lián)網(wǎng)雖有共性，卻對信息安全提出了更高的要求。

　　“利益鏈”和“連坐法”

　　手機用戶只要記得手機從哪里買的就行，至于惡意軟件到底由哪個環(huán)節(jié)植入，可以不予考慮。消費者追究末端責(zé)任，生產(chǎn)商和軟件商應(yīng)“連坐”。

　　據(jù)媒體曝光，手機預(yù)裝軟件主要有三條途徑，一為運營商向手機廠商定制，要求手機綁定自己提供的應(yīng)用程序;二為手機出廠時，手機廠商預(yù)裝自家或與之建立合作的第三方應(yīng)用程序;三是手機層層分銷過程中，經(jīng)銷商與軟件商合作進行預(yù)裝——由于中間環(huán)節(jié)眾多，深圳市信息行業(yè)協(xié)會秘書長陳一木認為，對責(zé)任的追溯也變得非常難。

　　“比方說，消費者在媒體上看到某手機產(chǎn)品的廣告，到實體店購買手機，結(jié)果發(fā)現(xiàn)產(chǎn)品有問題，是由媒體負責(zé)，廠家負責(zé)，抑或是由商家負責(zé)?至于預(yù)裝軟件存在吸費現(xiàn)象，電信運營商顯然難辭其咎，作為費用托收方，運營商參與了分成，本身也是得益者。”

　　深圳大學(xué)計算機與軟件學(xué)院教授陳劍勇將預(yù)裝軟件吸費定性為互聯(lián)網(wǎng)盜竊。互聯(lián)網(wǎng)盜竊的特點是：從每個用戶那里盜竊的金額不大，被盜竊的對象卻成千上萬。這也導(dǎo)致了取證難的問題，一方面數(shù)額較少，一方面用戶很難發(fā)覺流量被偷，即便去投訴，也很難維護自己的權(quán)益。

　　雖說軟件預(yù)裝的環(huán)節(jié)眾多，廣東省律師協(xié)會電子商務(wù)法律專業(yè)委員會主任王繼豐卻為個體維權(quán)指出一條“終南捷徑”。“站在手機用戶的角度上，只要記得手機從哪里買的就行，至于惡意軟件到底由哪個環(huán)節(jié)植入，可以不予考慮。消費者追究末端責(zé)任，生產(chǎn)商和軟件商應(yīng)‘連坐’。”

　　“制度漏洞”多于“技術(shù)破綻”

　　內(nèi)地頻發(fā)的信息安全事故，多集中于信息管理層面，可以說“制度漏洞”多于“技術(shù)破綻”。

　　隨著智能終端設(shè)備的功能日益強大，最終將熔日常社交、消費理財、資訊獲取和生活娛樂等功能于一爐——這在綜合開發(fā)研究院(中國·深圳)公共經(jīng)濟與組織創(chuàng)新中心研究員汪云興看來，似乎是一個再清晰不過的前景，“移動互聯(lián)網(wǎng)的信息安全越來越關(guān)乎公共生活的安全。”

　　基于類似洞見，一位不愿透露姓名的騰訊軟件研發(fā)人員表示，目前木馬病毒的制造者仍把主要精力放在Windows客戶端，但隨著PC互聯(lián)網(wǎng)業(yè)務(wù)向移動互聯(lián)網(wǎng)轉(zhuǎn)移，他們的目光最終將瞄向移動互聯(lián)網(wǎng)。

　　深圳市社科院政法所所長李朝暉將信息保護分為兩個層面，一為信息管理，一為后臺技術(shù)。前者具體而直觀，后者抽象而無形。內(nèi)地頻發(fā)的信息安全事故，多集中于信息管理層面，可以說“制度漏洞”多于“技術(shù)破綻”。譬如銀行、電信內(nèi)部工作人員竊取用戶個人信息轉(zhuǎn)賣以牟取利益。

　　作為全球移動游戲聯(lián)盟深圳分會執(zhí)行秘書長，任培文習(xí)慣從移動游戲的信息安全切入去談?wù)摶ヂ?lián)網(wǎng)乃至整個信息領(lǐng)域的安全。在他看來，手游產(chǎn)業(yè)同樣面臨方方面面的安全隱患，比如服務(wù)器被侵入、虛擬資產(chǎn)被盜等等。“目前，能夠提供平臺級服務(wù)的都是一些大企業(yè)，通過技術(shù)漏洞盜取用戶個人信息的現(xiàn)象并不常見，個人數(shù)據(jù)往往被以人為的方式泄露和轉(zhuǎn)賣。”

　　“個人隱私保護”與“信息自由流通”

　　每個國家對個人信息的保護，都是在找尋個人隱私保護與信息自由流通之間的平衡點。

　　縱觀各國的信息保護現(xiàn)狀，李朝暉認為歐盟的水平最高，歐盟關(guān)于個人數(shù)據(jù)處理及保護的立法全面而嚴密，其核心公約《數(shù)據(jù)保護指令》通過國內(nèi)法細化到每一個成員國。在歐盟國家，一般機構(gòu)申請使用個人數(shù)據(jù)，先要對使用目的和范圍予以說明并備案。

　　相形之下，美國對個人信息的保護水平較低，理由基于數(shù)據(jù)的自由流通可以促進交易、帶來經(jīng)濟效益。在李朝暉看來，每個國家對個人信息的保護，都是在找尋個人隱私保護與信息自由流通之間的平衡點，只是美國更加重視數(shù)據(jù)自由流通的好處。

　　“比較個人信息保護水平，歐盟最高，美國居中，中國等而下之。中國在這方面更多借鑒美國，法律的建設(shè)卻遠遠落后。在美國，征信機構(gòu)收集、分析企業(yè)或個人信用資料，必須依照《公平信用報告法》和《平等信用機會法》，信息收集的原則清晰明確，信息更正的渠道也很通暢;另一方面，《隱私權(quán)法》又明確規(guī)定哪些信息不能收集，被斯諾登揭發(fā)的‘棱鏡’計劃，即違反了《隱私權(quán)法》。”

　　所謂“個人隱私保護”與“信息自由流通”，也許正對應(yīng)于那位騰訊技術(shù)人員提到的“便利性”和“安全性”，手機軟件供應(yīng)商也會嘗試在二者之間找尋平衡點。“在不觸及消費者個人敏感信息的前提下，掌握消費者的消費習(xí)慣，通過大數(shù)據(jù)分析作出預(yù)測，可以有指向性地投放廣告和實施營銷。”

　　“不完整的拼圖”

　　這就是所謂的“最少夠用原則”，打一個比方，就好像一個人的拼圖，你永遠只能看到不完整的拼圖，永遠也猜不出全貌。

　　盡管在移動互聯(lián)網(wǎng)信息安全領(lǐng)域，專門法律法規(guī)的建設(shè)比較滯后，立法機構(gòu)卻正在加快步伐，相關(guān)的行業(yè)標準也已經(jīng)成形。深圳大學(xué)教授陳劍勇正是負責(zé)制定這一標準的“中國通信標準化協(xié)會與有線網(wǎng)絡(luò)安全工作組組長”。

　　在陳劍勇看來，有了這些標準作為依據(jù)，國家開始逐步規(guī)范軟件開發(fā)商的行為，并對軟件進行嚴格測試和評審。如果再遇到用戶投訴，責(zé)任的追溯也將變得清晰明確，商家會面臨罰款或吊銷執(zhí)照的處理。

　　而個人信息保護的標準，在李朝暉看來，在2013年2月實施的《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》中已有體現(xiàn)。該指南規(guī)定個人敏感信息在收集和利用之前，必須首先獲得個人信息主體的明確授權(quán)，個人信息管理者在對個人信息進行處理時，應(yīng)遵循目的明確、最少夠用、公開告知、個人同意、安全保障等八項原則。

　　李朝暉坦言，在大數(shù)據(jù)時代，如果將各種渠道收集到的個人信息拼湊在一起，每個人必將毫無隱私可言，然而個人隱私保護的關(guān)鍵并不是控制信息的收集，而是控制信息的使用。“譬如，個人信息的收集和使用者，在取得授權(quán)之后，也只能看到跟用途相關(guān)的信息，超出用途之外的任何信息都不應(yīng)被看到——這就是所謂的‘最少夠用原則’，打一個比方，就好像一個人的拼圖，你永遠只能看到不完整的拼圖，永遠也猜不出全貌。”

　　風(fēng)險可控，即是安全

　　騰訊推出移動支付工具包，敢于向用戶做出全額賠付承諾，因為即便無法保證軟件的絕對安全，卻可以將風(fēng)險控制在一定概率之內(nèi)——風(fēng)險可控，即是安全。

　　基于對信息行業(yè)歷史的了解，陳一木總結(jié)規(guī)律，認為隨著新技術(shù)的發(fā)展，往往是問題出現(xiàn)了，封堵漏洞的技術(shù)和化解問題的法規(guī)才應(yīng)運而生;另一方面，黑客技術(shù)引領(lǐng)安全技術(shù)，似乎也是“勢之必然”——安全技術(shù)以“堂堂之陣正正之旗”嚴陣以待，黑客技術(shù)卻喜歡“非常規(guī)作戰(zhàn)”，讓前者防不勝防。

　　即便如此，陳一木卻不贊成“因噎廢食”。新技術(shù)都是在應(yīng)用中成熟，問題在應(yīng)用中解決。面對新技術(shù)造成的信息安全隱患，“疏”比“堵”的思路更有利于問題的解決和新技術(shù)的發(fā)展。

　　在互聯(lián)網(wǎng)上做交易，必有風(fēng)險相伴左右——這在陳劍勇看來可謂是不爭的常識。陳劍勇以信用卡的發(fā)展為鏡鑒，提出風(fēng)險化解之道。“風(fēng)險的發(fā)生有一定幾率，一旦用戶出現(xiàn)損失，銀行會在24小時內(nèi)全額賠付，這部分損失已被涵括于銀行的成本核算。移動互聯(lián)網(wǎng)的支付平臺不可避免也會存在用戶財產(chǎn)被盜的風(fēng)險，運營商應(yīng)該給用戶一個承諾，即在多長時間內(nèi)予以賠付。”

　　而在那位騰訊技術(shù)人員的描述中，這恰恰是騰訊移動支付工具一直都在實行的風(fēng)險管理辦法，騰訊推出移動支付工具包，敢于向用戶做出全額賠付承諾，因為即便無法保證軟件的絕對安全，卻可以將風(fēng)險控制在一定概率之內(nèi)——風(fēng)險可控，即是安全。

　　倘若人們連基本的規(guī)則都不想遵守，又何談“應(yīng)對移動互聯(lián)網(wǎng)時代即將帶來的挑戰(zhàn)”，畢竟這些雄心勃勃的構(gòu)想，不光需要安全技術(shù)的支撐，更需要外部規(guī)則的保駕護航！

本文由印聯(lián)傳媒小新編輯整理