摘要: 电影《雷神2:黑暗世界》中有一句台词,宇宙诞生之前是一片虚无,其实不然,从那时就有黑暗,而且一直都还在。用户的互联网世界同样如此。自互联网诞生之日起,它就变成了一个
电影《雷神2:黑暗世界》中有一句台词,“宇宙诞生之前是一片虚无,其实不然,从那时就有黑暗,而且一直都还在。”用户的互联网世界同样如此。自互联网诞生之日起,它就变成了一个美丽而又充满危险的“伊甸园”,一方面是美丽、丰富、舒适、便捷和免费,另一方面却又时常爆出各种各样的丑闻,从硬件到软件,从隐私权到选择权,从流氓软件到病毒。
对于中国互联网用户来说,“人为刀俎,我为鱼肉”的生存状况似乎更加明显,有时甚至连基本权利都会受到伤害。
这一问题正在引起学界和法律界的担忧。2013年11月24日下午,由安全联盟主办的“互联网用户'三权'保护研讨会”在京召开。会议发布的《白皮书》首次提出保护互联网用户的“三权”概念,即保护用户的“隐私权”、“知情权”和“选择权”,而知名法律和安全行业专家达成的共识是,政府进行相关立法。
“最小特权原则”的国际实践
然而,无论理想多么美好,在中国讲起来,都会面临与国际接轨的难题。比如最基本的“最小特权原则”,就常常被互联网企业视而不见。
中国科学院教授石文昌认为,在互联网立法相对规范的国家,如美国和欧洲的一些国家,侵犯了网民权益的企业会遭到非常严厉的制裁,这与一条国际通用的互联网准则,即“最小特权原则”是分不开的。
所谓最小特权,是指一个主体为完成所承担的任务必须拥有的权限的最小集合。最小特权原则,则是指确保每个主体在它的整个生命周期中只拥有完成工作任务所必须的最小特权,而不能拥有超出任务所需的额外特权。
一方面,这项原则给予“必不可少”的特权,保证企业能在所赋予的特权之下完成所需要完成的任务;另一方面,它只给予“必不可少”的特权,限制企业的权限,要求不进行过度操作。目的是把主体有意或无意的不当行为所造成的破坏限制在最小的范围之内。比如,就像出纳没必要拥有会计的特权一样,互联网杀毒产品没必要拥有、获取用户网银账户密码的特权,浏览器软件没必要拥有秘密采集用户电脑上其他软件安装情况的特权。这样一来,由于主观上疏忽或是恶意的行为所造成的损坏发生就可以减少。
在最小特权原则之下,即使是一贯奉行“不作恶”原则的 谷歌 公司,也曾因为侵犯用户隐私而受到惩罚。
2013年11月18日,美国谷歌公司与美国37个州以及哥伦比亚特区达成和解,同意就其秘密跟踪用户网络浏览、侵犯消费者隐私的做法支付1700万美元补偿金。这已经是谷歌第二次对其秘密跟踪部分 苹果 手机用户网页浏览的行为付出代价。去年,美国联邦贸易委员会已就相关州的指控展开调查,结果谷歌被罚款2250万美元,这也是联邦贸易委员会收到的金额最大的一笔侵犯消费者隐私罚款。
谷歌并不是唯一因侵犯用户权益而被处罚的企业。2011年,由于保留用户删除数据及脸部识别应用未能遵守欧盟和德国的相关法律,Face-book面临多项罚款处罚;2013年,美国国会酝酿了一项新的法案,来防范Kinect这类设备对人们隐私安全的潜在威胁,法案将硬性要求厂商向用户提供相关功能的开关设置选项,以规范 微软 行为。
事实上,伴随着互联网的诞生,海量的信息、数据的存储和传输,使得网络隐私权也逐渐成为现代人的一项基本权利。
虽然并没有一个明确的最终定义,但普遍意义上的隐私权即“关于个人信息的控制――人们享有隐私权,使得他们能控制自己的身份以及与身份相关的事实”。尽管这一概念已出现一百多年,但由于近些年中国互联网隐私泄露事件频发,才逐渐为中国用户所熟悉。
保护隐私权的法律制度最先由美国建立,随后法国、德国等其他国家也开始相继在立法中保护隐私权。目前国际上已有50 多个国家和地区制定了个人信息保护相关法律法规和标准,对社会、政治、经济活动、网络空间中处理个人信息的行为进行规范。各国政府根据本国实际需求,通常采用不同的个人信息保护模式。欧盟采用立法模式,美国采用行业自律模式,日本采用立法和行业自律兼用的模式。
然而,一向以“少干预、多自律”为最低干预原则的美国,已经逐渐改变了态度。在制定互联网政策的过程中,美国政府有意在互联网隐私、未成年人保护、互联网安全、互联网治理等方面加强管理,以保证互联网各相关参与者的合法权益。
中国用户“三权”梦想还有多远
中国到目前为止,还没有出现互联网企业因侵犯用户权利而被处以天价罚单的案例,但绝对不代表中国的互联网要比别人的安全。
相反,在中国的互联网生活中,作为隐私权、知情权、选择权的用户“三权”,似乎早已沦为商业牟利工具和娱乐谈资,被一次次展览乃至损害。
2011年,著名的国内开发者社区CSDN遭黑客攻击,其数据库中超过600万用户资料遭到泄露。随后黑客又相继爆出人人网、178、多玩、百合网、51CTO、天涯论坛等用户资料。甚至有网友爆料,交通银行与民生银行也中箭,大量储户卡号、密码遭到泄露;
2012年,1号店员工泄露用户信息事件,90万用户信息被低价兜售,严重损害了用户个人权益;
2013年,南宁警方抓获“内鬼”,其窃取50多万条个人信息,几乎涵盖整个北部湾地区。违法者利用在一家区内大型连锁品牌商场当电脑维护员之便,利用未注册的网络公司在网上以每条0.1元的价格兜售从商场系统内窃取到的个人信息。
有数据显示,网络犯罪一年给中国造成直接经济损失2890亿元,仅钓鱼网站这一项带来的损失就将近300亿元。个人信息和隐私泄露造成的间接伤害,更是难以用金钱来衡量。
在这样的社会环境下,用户隐私变得廉价,知情变得无足轻重,选择更是无从谈起。
中国人民大学法学院教授、博士生导师张新宝认为,长此以往,整个互联网行业会变得面目全非,后果不仅是简单的经济损失,甚至是网民的生命安全。
据CNNIC(中国互联网络信息中心)《2012 年中国网民信息安全状况研究报告》显示,高达84.8%的网民遇到过信息安全事件,总人数为4.56 亿,平均每人遇到2.4类信息安全事件;在遇到信息安全事件的网民中,77.7%的网民都遭受了不同形式的损失,而47.5%的网民不会做任何处理。
与中国网络用户信息安全问题日益严重紧密相连的,是中国网民对互联安全、自我保护意识的严重缺失。
波士顿咨询公司(Boston Con-sulting Group)最新一项研究发现,中国人最不担心个人隐私在网络曝光,且仅一半网民知道网络安全的涵义。“出现这种情况,主要是由于我国现有法律没有对互联网用户权利的完整界定,加上互联网安全行业组织的缺失,导致互联网安全监管困难。”中国人民大学法学院副教授、网络法学者刘品新认为,必须通过立法对用户隐私权、个人信息权等权利加以保护。“只有加强互联网安全法制,才能保护公平竞争,促进行业良性发展,同时使每个网络用户权益得到有效的保障。”
刘品新还强调,如今互联网安全的问题还是企业和用户之间的权利平衡的问题,而良好的互联网安全机制的形成最终要靠力量的博弈,目前博弈最大的问题是广大的电脑用户没有实际参与博弈的地位,只有通过立法对用户权利做出规定,才能让公民和企业有效建立平衡关系。
一些提供用户互联网安全产品的企业,也被多次质疑有侵犯用户隐私之嫌。例如根据一份意外泄露的文件,360曾详细记录了大量用户的全网访问行为,在它的服务器上,每个用户对应一个字符串,通过查询字符串,就可以了解该用户所有个人信息、上网浏览记录、账号密码,网购历史、甚至他所使用过的 金蝶 、奇瑞等企业内部财务网络数据、所供职的政府机构官方邮箱用户名及密码等链接数据。此次泄密事件涉及总条数141万条,其中涉及用户名信息的条目有247326个,既包含用户名又包含密码条目有816个。
在IDF互联网威慑防御实验室联合创始人、安全专家万涛看来,虽然法律是用户权益保障的最终倚仗,但真正的用户“三权”保护,离不开企业的自律和独立第三方行业机构的监督,否则,滥用产品技术支配权和市场话语权的现象将继续上演并最终损害互联网产业与社会创新环境,“互联网的‘江湖式’发展也许真的要到了必须反思和慢一点的时候了”。