360被指侵門踏戶 逾越安全邊界

此前360方面曾公開對外表示，安全軟件上傳網(wǎng)址監(jiān)測是行業(yè)慣例，帶有用戶名和密碼的網(wǎng)址記錄是由網(wǎng)站登錄機制造成的，并非安全軟件有意上傳。

而獨立調(diào)查員認(rèn)為，這是360為自己侵犯用戶隱私的行為所找的借口。在他看來，所謂云安全只是輔助機制，安全軟件應(yīng)盡可能排除可信的主流網(wǎng)站 （所有網(wǎng)銀、政府網(wǎng)站，以及主流門戶、新聞門戶、社交門戶、搜索門戶等），而不是收集并上傳所有網(wǎng)址；且在上傳網(wǎng)址時，應(yīng)排除網(wǎng)址中的訪問請求參數(shù)等個人信息（網(wǎng)址中問號后接的全部子串）。另外，360即便要上傳網(wǎng)址，也沒有必要將其長期保留在其私有服務(wù)器內(nèi)。安全廠商在驗證其上傳的網(wǎng)址、確認(rèn)是安全網(wǎng)址后，即應(yīng)在做必要統(tǒng)計后廢棄，更沒理由與用戶機器唯一識別碼成對地存儲在服務(wù)器上。否則，這款軟件究竟是安全軟件還是間諜軟件？是為了用戶還是為了監(jiān)視用戶？他認(rèn)為有充分理由對這些問題打一個很大的問號。

“360明知大量訪問請求參數(shù)屬于用戶，而不屬于訪問目標(biāo)網(wǎng)站。任何安全軟件必須假設(shè)并接受‘用戶本人無惡意’，這是對用戶最起碼的尊重，除非其目的是監(jiān)控用戶而非監(jiān)控網(wǎng)站。云安全軟件可以在明確告知并取得用戶同意的前提下，上傳瀏覽網(wǎng)址的非用戶參數(shù)部分，以分析和阻止可能的惡意網(wǎng)址，且不得記錄用戶機器識別信息。這是最基本的隱私保護原則，而360安全衛(wèi)士完全不符合此原則要求，罔顧用戶隱私權(quán)以及由此衍生的財產(chǎn)權(quán)等個人權(quán)益�！�

“至于用戶所訪問網(wǎng)站的技術(shù)實現(xiàn)方式、安全等級等，與360公司有什么關(guān)系呢？退一步講，即使目標(biāo)網(wǎng)站允許直接訪問此類絕密信息，也不是360就可以做的�！豹毩⒄{(diào)查員進一步分析說，“更為嚴(yán)重的問題在于，金融、證券方面的信息，在互聯(lián)網(wǎng)上是與國家安全、軍事等同等重要的禁區(qū)，屬于高壓線的范疇，互聯(lián)網(wǎng)安全企業(yè)理應(yīng)自覺回避，但360竟然毫不避嫌全面收集、形同監(jiān)視，我無法理解其真實動機。這才是此事件最為嚴(yán)重的焦點。”

一個不容忽視的細節(jié)是：360服務(wù)器如今還有沒有這些用戶隱私？這些被360非法獲取的用戶機密數(shù)據(jù)是否曾被濫用，至今這依然是個待解的黑匣子之謎。