人大副教授梁彬：中国网络隐私保护状况不容乐观

中国最早的web2.0网站，中国互联网行业的风向标。提供互联网行业资讯、数据分析报告、社区互动、线下交流等服务。是中国互联网从业人士交流最权威的平台，是了解中国互联网行业最重要的窗口。

　　“网民隐私保护”已经走进了“事前不查，事后纠错”的怪圈。中国人民大学计算机系副教授梁彬的观点是，应该着力加强“防患于未然”的举措。

　　11月28日，在易观国际举办的第二季网络安全沙龙上，梁彬副教授表示，网络隐私保护问题已经不可避免，研究者如果把全部精力都投入到查找软件是否存在隐私泄密问题上代价将非常高昂，网络隐私保护应当靠行业自律和法律来规范和解决。

　　隐私问题判断成本极其高昂

　　“方周大战”打响后，对战焦点集中在“隐私”问题上。从方舟子民间“打假”，到中科院内部评估报告曝光，从网民“独立调查员”微博请愿到互联网情报威慑防御实验室(IDF)测评报告公布，官方机构、民间组织都对“隐私”问题报以极高的关注度，参与到测评360软件是否安全的阵营中来。

　　事实上，“隐私保护”并不是突然热起来的新话题，学术界对此很早就展开了深入研究。梁彬直言：“从几年前的3Q大战到360这次曝出隐私安全问题，很多业界专家其实是选择性沉默。”而这种沉默，是因为“发现问题的成本太高、难度太大。”梁彬认为，目前并不存在一个系统或者软件可以明确判断出安全软件有没有泄露网民隐私，只有通过大量人工活动参与，才可能找出一丝蛛丝马迹。

　　在隐私泄密攻防战中，梁彬认为：“攻方占据着主动，防守一方很被动。隐私问题判断的成本极其高昂，研究者非常不值得把精力都投入到这种消耗性极大的工作上。与其把大量精力放在后续检测评判中，不如在开发软件的源头上提供更多安全保护机制。”

　　道高一尺 魔高一丈?

　　在梁彬看来，安全软件因其本身的特权属性，再加上目前流行的云查杀技术，让隐私泄露问题更加难以检测、监管更加难以实施，隐私保护面临的挑战越来越大。

　　安全软件属于用户终端的底层软件，对电脑系统拥有非常高的操作特权。如果安全软件不遵守软件安全机制设计的重要原则之一——最小特权原则(POLP，principle of least privilege)，利用特殊权限，进行超出功能性要求的操作，其对系统权限的滥用将影响到用户系统的信息安全。

　　当前流行的“云查杀”技术更让隐私泄露的风险大增。安全专家、互联网威慑防御(IDF)实验室创始人万涛曾呼吁，“云带来了‘资源集中’，既意味着更大的机会，也意味着更大的风险。安全行业的‘黑金’产业链已经全面转型，整条产业链与互联网商业模式紧密相扣。以前黑客攻击个人电脑，相对危害性还比较离散。而在云时代，黑客对抗的是资源复合体，如果云服务商安全管理不善，就很可能被黑客‘通杀一片’，网络犯罪者将获得极大收益。”奇虎360的“云查杀”就是这样一个信息集中的资源体，对于喜欢挑战的“掘金黑客”来说很有吸引力。

　　自律和法律是发展保障

　　移动互联网兴起让网络安全隐私保护问题更从桌面蔓延到了手机端。对此，梁彬认为：“安全隐私问题未来会更复杂，智能手机会遇到的问题比桌面端更大，因为智能手机的个人属性很强，基本上是和人绑定的。”而这也意味着，更多的个人信息，如通讯录、信件、照片、密码等隐私信息都存在着泄露的风险。这些信息一旦泄露，给网民带来的伤害是难以估量的。

　　梁彬建议：“安全行业要向前发展，必须要靠行业自律和相关法律的威慑。”《中国信息安全》执行主编崔光耀对此表示赞同。他认为，在安全问题客观存在难以改变的情况下，国家应当加强信息安全保护立法，改变信息安全保护的指导思想，将安全提升到更重要的位置，才能从根本上解决行业信息安全问题，保障用户隐私安全不受侵犯。