独立调查员叫板360：这样上传数据是间谍不是卫士

在
每日经济新闻发表调查报道、周鸿祎在360总部组织媒体开放日公开回应后，昨天，每日经济新闻中主要的技术问题信源@独立调查员 在微博上公布了他对360公司的系统质疑。由于360官网以“九大谎言”概括每经的报道，@独立调查员声称，他也将连续九天、每天发表一篇对360的质疑。

    客观地说，这次争论爆发后，尽管双方情绪还有激动之处，但大家也能基于技术现实与商业逻辑，展开比较理性的说明与自我辩护，而没有像以前一样，在互相指责、阴谋论、动机论中让实质性问题淹没。我所认为的实质性内容，不仅仅针对360一家，而是由双方争论中提炼出的关系到每个网民的切身利益：

    第一，既然互联网各种个性化服务的前提就是
获取用户信息，那么哪些信息属于可以公开提供，哪些信息应该归入个人隐私，严防外泄？廓清了这一点，才能既消除过于广泛的“隐私外泄”担忧，又能对真正侵犯隐私的行为清晰认定。

    第二，在合法获取上述“商业性个人信息”时，应该进行怎样形式的告知？现实情况中，既有告知不明显、不及时导致的“不告而取”误解，也有确实的未经告知即抓取用户通讯录等个人信息的行为。

    下面我们就
来看一下@独立调查员的质疑。我将在原文下进行尽可能的“技术翻译”，让更多的读者了解争辩的实质。

    360官方网站公布的回应内容如下：

    【谣言】 360安全卫士7.3.0.2003l版本记录和上传软件操作行为，会“泄露用户信息”

    【真相】 云安全软件判断进程安全性的过程中必然要与云端进行交互

    安全软件都有“进程防护”功能，也就是对运行程序的安全性进行判断。国内外包括360、金山、腾讯、趋势等云安全软件都会联网检测运行程序的文件指纹、文件签  名、命令行参数等信息，否则无法拦截和查杀木马病毒。对此，《360用户隐私保护白皮书》已经有非常详细的说明。

    @独立调查员 第一驳：事后分批上传用户行为记录，与用户安全何干？

    #事理复述#

    1、在未告知用户并取得同意的情况下，默认加入涉及隐私权的云安全计划，其安装过程就侵权。

    2、用户手动取消加入云安全计划后，并未真正取消，仍上传用户所有行为（联网条件下）。

    3、所谓安全防护，必须在程序运行前分析判断，发现安全威胁时阻止运行并报告用户，其时间特征是事前、实时。360安全卫士则是实时记录用户的所有行为，周期性地分批次明文提交给360服务器upload.360safe.com，其时间特征是事后、非实时。显然360安全卫士的此类动作目的并非安全防护，而是行为记录监视，这是间谍软件、而非安全软件的行为模式。

    4、360安全卫士的用户行为收集策略可从云端操控，随时变更其延迟周期、随时开/关用户行为收集功能。既然是为用户安全防护服务，并声称尊重用户权益，那么暗设云端开/关控制接口的动机何在？一旦其间谍能力被
曝光便立即从云端向所有安全卫士客户端下达关闭指令，使得罪证不可重现，而后倒打一耙诬指曝光者造谣。这样的烂戏码，360玩过
多少次了？好在这个相关视频证据已经公证，360如何抵赖？

    以上，与《360用户隐私保护白皮书》中云安全计划相关内容完全不是一回事。证据视频高清原版，欢迎下载 http://pan.baidu.com/share/link?shareid=155072&uk=858396104

    #反问周鸿祎#

    1、事后分批上传用户行为记录，与用户安全何干？

    2、给云端预留可关闭此功能的配置接口，动机何在？

    好了，上面引述完技术性内容，下面让我们用人话解读（
其实这一版的发言已经比较浅显易懂了，懂技术的同学可以直接
忽略下面的解读）。

    双方有一点没有争议，那就是360的确上传了涉及用户程序的一些信息。而对这些信息的解读则有很大分歧。360认为，安全软件当然要对可执行文件进行判断，这其中，程序是否完整、执行了哪些参数、程序由
哪里开发、是否“原产地”等因素，都是是否被病毒或木马侵蚀的判断依据。而由于现在这些判断过程在服务器端也就是云端完成，所以要将这些参数联网上传。

    而独立调查员对这点的反驳逻辑是，如果说要查杀病毒、木马，则应该在程序启动前进行。众所周知，病毒、木马会在程序启动、网页打开时即载入内存；如果不提前查杀，在程序运行中时刻去联网，有什么意义呢？

    而作为杀毒和安全软件，应当具有经用户确认后手动关闭的功能，因为总有些程序、文件会被误报。根据独立调查员的描述，360软件的用户即使关闭云查杀功能，也仍然有数据会被联网上传。

    此外，根据他的描述，360还在云端设置了开关这种数据上传的功能。
但是，按照安全软件的需求来说，除非用户自己主动打开、关闭某些功能，否则厂商应该没有权限联网控制软件打开、关闭某些功能或数据交流。即使有这个需要，也应该通过公示给用户来实现。

    因此，我试着将这次质疑简单归纳为：令用户加入、取消云安全计划，以及联网上传程序数据、联网遥控打开、关闭360软件的某些功能时，360是否在每个环节均做到了用户可以明显觉察的公示？

    更为关键的是，在360的安全卫士、浏览器等软件运行时，都进行了哪些联网数据传输活动？这些传输的时机为什么不像普通安全软件那样是提前、实时，而是会在程序运行后定期上传呢？

    下面说些我的个人看法。在此之前，我已经写过360与每经此次争论的“白话文”版，个人感觉，我对哪一方都没有刻意偏袒。有些声音说，独立调查员是受了360竞争对手的指使。但是，在有确凿证据出示之前，这个说法不应成为判断依据。就事论事地说，独立调查员这次的质疑，我看不出刻意抹黑、污蔑的含义，就安全软件的工作规范来说，还是一个很好的讨论、普及的机会。所以我建议360方面考虑正式而系统地回应这个问题，这也是安全行业老大应该、而且可以承担的行业责任。

    另外说句题外话，最近微博上有一些截图，显示360的手机产品在弹窗显示这次争议的相关信息，呼吁用户支持。如果真有这事，那建议还是停了的好。弹窗的害处，在3Q大战时应该被论述得够充分了。

    我的文章和讨论都会发表在微信公众帐号 山寨发布会 （微信号SHANZHAICLUB），这里还有许多其他优秀互联网IT记者的文章、随笔，欢迎关注。个人微博帐号@阳淼，私信开放。