语言选择: 中文English
会员用户名:    密码:     登录    注册     
郑重声明 关于2017年上半年登记《全国计算机技术与软件专业技术资格(水平)考试》的通知 第一届深港大数据论坛活动议程
会员天地
电子期刊
您现在的位置:业界交流 → 业界信息
如何为移动互联网信息安全保驾护航
http://www.sziia.org 2014年3月26日

晶报评论记者 魏鼎/文

 

随着央视3·15晚会曝光手机软件开发商向智能手机植入恶意程序扣费并窃取用户隐私信息,北京鼎开和大唐高鸿两家公司的名字也进入国人的视野。在业内人士看来,通过预装手机软件恶意扣费、远程控制、窃取隐私的现象其实并不鲜见,只是在平时不易为一般消费者所察觉。

 

将软件供应商植入恶意程序吸费、盗取用户隐私的行为等同于盗窃,恰似为对方绘制了一幅并不怎么传神的“肖像画”,上面分明是一个鬼鬼祟祟的小偷模样。然而在现实中,软件供应商利用自己与消费者的信息不对称,肆无忌惮地将软件植入手机后台,那份明目张胆和明火执仗,又俨然一个江洋大盗。

 

倘若人们连基本的规则都不想遵守,又何谈“应对移动互联网时代即将带来的挑战”,何谈“平台战略”以及“跨界整合日常社交、消费服务、资讯获取和生活娱乐的新概念”,毕竟这些雄心勃勃的构想,不光需要安全技术的支撑,更需要外部规则的保驾护航。移动互联网与传统互联网虽有共性,却对信息安全提出了更高的要求。

 

“利益链”和“连坐法”

 

手机用户只要记得手机从哪里买的就行,至于恶意软件到底由哪个环节植入,可以不予考虑。消费者追究末端责任,生产商和软件商应“连坐”。

 

据媒体曝光,手机预装软件主要有三条途径,一为运营商向手机厂商定制,要求手机绑定自己提供的应用程序;二为手机出厂时,手机厂商预装自家或与之建立合作的第三方应用程序;三是手机层层分销过程中,经销商与软件商合作进行预装——由于中间环节众多,深圳市信息行业协会秘书长陈一木认为,对责任的追溯也变得非常难。

 

“比方说,消费者在媒体上看到某手机产品的广告,到实体店购买手机,结果发现产品有问题,是由媒体负责,厂家负责,抑或是由商家负责?至于预装软件存在吸费现象,电信运营商显然难辞其咎,作为费用托收方,运营商参与了分成,本身也是得益者。”

 

深圳大学计算机与软件学院教授陈剑勇将预装软件吸费定性为互联网盗窃。互联网盗窃的特点是:从每个用户那里盗窃的金额不大,被盗窃的对象却成千上万。这也导致了取证难的问题,一方面数额较少,一方面用户很难发觉流量被偷,即便去投诉,也很难维护自己的权益。

 

虽说软件预装的环节众多,广东省律师协会电子商务法律专业委员会主任王继丰却为个体维权指出一条“终南捷径”。“站在手机用户的角度上,只要记得手机从哪里买的就行,至于恶意软件到底由哪个环节植入,可以不予考虑。消费者追究末端责任,生产商和软件商应‘连坐’。”

 

“制度漏洞”多于“技术破绽”

 

内地频发的信息安全事故,多集中于信息管理层面,可以说“制度漏洞”多于“技术破绽”。

 

随着智能终端设备的功能日益强大,最终将熔日常社交、消费理财、资讯获取和生活娱乐等功能于一炉——这在综合开发研究院(中国·深圳)公共经济与组织创新中心研究员汪云兴看来,似乎是一个再清晰不过的前景,“移动互联网的信息安全越来越关乎公共生活的安全。”

 

基于类似洞见,一位不愿透露姓名的腾讯软件研发人员表示,目前木马病毒的制造者仍把主要精力放在Windows客户端,但随着PC互联网业务向移动互联网转移,他们的目光最终将瞄向移动互联网。

 

深圳市社科院政法所所长李朝晖将信息保护分为两个层面,一为信息管理,一为后台技术。前者具体而直观,后者抽象而无形。内地频发的信息安全事故,多集中于信息管理层面,可以说“制度漏洞”多于“技术破绽”。譬如银行、电信内部工作人员窃取用户个人信息转卖以牟取利益。

 

作为全球移动游戏联盟深圳分会执行秘书长,任培文习惯从移动游戏的信息安全切入去谈论互联网乃至整个信息领域的安全。在他看来,手游产业同样面临方方面面的安全隐患,比如服务器被侵入、虚拟资产被盗等等。“目前,能够提供平台级服务的都是一些大企业,通过技术漏洞盗取用户个人信息的现象并不常见,个人数据往往被以人为的方式泄露和转卖。”

 

“个人隐私保护”与“信息自由流通”

 

每个国家对个人信息的保护,都是在找寻个人隐私保护与信息自由流通之间的平衡点。

 

纵观各国的信息保护现状,李朝晖认为欧盟的水平最高,欧盟关于个人数据处理及保护的立法全面而严密,其核心公约《数据保护指令》通过国内法细化到每一个成员国。在欧盟国家,一般机构申请使用个人数据,先要对使用目的和范围予以说明并备案。

 

相形之下,美国对个人信息的保护水平较低,理由基于数据的自由流通可以促进交易、带来经济效益。在李朝晖看来,每个国家对个人信息的保护,都是在找寻个人隐私保护与信息自由流通之间的平衡点,只是美国更加重视数据自由流通的好处。

 

“比较个人信息保护水平,欧盟最高,美国居中,中国等而下之。中国在这方面更多借鉴美国,法律的建设却远远落后。在美国,征信机构收集、分析企业或个人信用资料,必须依照《公平信用报告法》和《平等信用机会法》,信息收集的原则清晰明确,信息更正的渠道也很通畅;另一方面,《隐私权法》又明确规定哪些信息不能收集,被斯诺登揭发的‘棱镜’计划,即违反了《隐私权法》。”

 

所谓“个人隐私保护”与“信息自由流通”,也许正对应于那位腾讯技术人员提到的“便利性”和“安全性”,手机软件供应商也会尝试在二者之间找寻平衡点。“在不触及消费者个人敏感信息的前提下,掌握消费者的消费习惯,通过大数据分析作出预测,可以有指向性地投放广告和实施营销。”

 

“不完整的拼图”

 

这就是所谓的“最少够用原则”,打一个比方,就好像一个人的拼图,你永远只能看到不完整的拼图,永远也猜不出全貌。

 

尽管在移动互联网信息安全领域,专门法律法规的建设比较滞后,立法机构却正在加快步伐,相关的行业标准也已经成形。深圳大学教授陈剑勇正是负责制定这一标准的“中国通信标准化协会与有线网络安全工作组组长”。

 

在陈剑勇看来,有了这些标准作为依据,国家开始逐步规范软件开发商的行为,并对软件进行严格测试和评审。如果再遇到用户投诉,责任的追溯也将变得清晰明确,商家会面临罚款或吊销执照的处理。

 

而个人信息保护的标准,在李朝晖看来,在2013年2月实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》中已有体现。该指南规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体的明确授权,个人信息管理者在对个人信息进行处理时,应遵循目的明确、最少够用、公开告知、个人同意、安全保障等八项原则。

 

李朝晖坦言,在大数据时代,如果将各种渠道收集到的个人信息拼凑在一起,每个人必将毫无隐私可言,然而个人隐私保护的关键并不是控制信息的收集,而是控制信息的使用。“譬如,个人信息的收集和使用者,在取得授权之后,也只能看到跟用途相关的信息,超出用途之外的任何信息都不应被看到——这就是所谓的‘最少够用原则’,打一个比方,就好像一个人的拼图,你永远只能看到不完整的拼图,永远也猜不出全貌。”

 

风险可控,即是安全

 

腾讯推出移动支付工具包,敢于向用户做出全额赔付承诺,因为即便无法保证软件的绝对安全,却可以将风险控制在一定概率之内——风险可控,即是安全。

 

基于对信息行业历史的了解,陈一木总结规律,认为随着新技术的发展,往往是问题出现了,封堵漏洞的技术和化解问题的法规才应运而生;另一方面,黑客技术引领安全技术,似乎也是“势之必然”——安全技术以“堂堂之阵正正之旗”严阵以待,黑客技术却喜欢“非常规作战”,让前者防不胜防。

 

即便如此,陈一木却不赞成“因噎废食”。新技术都是在应用中成熟,问题在应用中解决。面对新技术造成的信息安全隐患,“疏”比“堵”的思路更有利于问题的解决和新技术的发展。

 

在互联网上做交易,必有风险相伴左右——这在陈剑勇看来可谓是不争的常识。陈剑勇以信用卡的发展为镜鉴,提出风险化解之道。“风险的发生有一定几率,一旦用户出现损失,银行会在24小时内全额赔付,这部分损失已被涵括于银行的成本核算。移动互联网的支付平台不可避免也会存在用户财产被盗的风险,运营商应该给用户一个承诺,即在多长时间内予以赔付。”

 

而在那位腾讯技术人员的描述中,这恰恰是腾讯移动支付工具一直都在实行的风险管理办法,腾讯推出移动支付工具包,敢于向用户做出全额赔付承诺,因为即便无法保证软件的绝对安全,却可以将风险控制在一定概率之内——风险可控,即是安全。

 

倘若人们连基本的规则都不想遵守,又何谈“应对移动互联网时代即将带来的挑战”,毕竟这些雄心勃勃的构想,不光需要安全技术的支撑,更需要外部规则的保驾护航

 

他们提供观点

 

陈一木 深圳市信息行业协会秘书长

 

陈剑勇 深圳大学计算机与软件学院教授

 

王继丰 广东省律师协会电子商务法律专业委员会主任

 

汪云兴 综合开发研究院(中国·深圳)研究员

 

李朝晖 深圳市社科院政法所所长

 

任培文 全球移动游戏联盟深圳分会执行秘书长

 

(转自:晶报)