【印聯傳媒網訊】隨著央視3·15晚會曝光手機軟件開發商向智能手機植入惡意程序扣費并竊取用戶隱私信息，北京鼎開和大唐高鴻兩家公司的名字也進入國人的視野。在業內人士看來，通過預裝手機軟件惡意扣費、遠程控制、竊取隱私的現象其實并不鮮見，只是在平時不易為一般消費者所察覺。

　　將軟件供應商植入惡意程序吸費、盜取用戶隱私的行為等同于盜竊，恰似為對方繪制了一幅并不怎么傳神的“肖像畫”，上面分明是一個鬼鬼祟祟的小偷模樣。然而在現實中，軟件供應商利用自己與消費者的信息不對稱，肆無忌憚地將軟件植入手機后臺，那份明目張膽和明火執仗，又儼然一個江洋大盜。

　　倘若人們連基本的規則都不想遵守，又何談“應對移動互聯網時代即將帶來的挑戰”，何談“平臺戰略”以及“跨界整合日常社交、消費服務、資訊獲取和生活娛樂的新概念”，畢竟這些雄心勃勃的構想，不光需要安全技術的支撐，更需要外部規則的保駕護航。移動互聯網與傳統互聯網雖有共性，卻對信息安全提出了更高的要求。

　　“利益鏈”和“連坐法”

　　手機用戶只要記得手機從哪里買的就行，至于惡意軟件到底由哪個環節植入，可以不予考慮。消費者追究末端責任，生產商和軟件商應“連坐”。

　　據媒體曝光，手機預裝軟件主要有三條途徑，一為運營商向手機廠商定制，要求手機綁定自己提供的應用程序;二為手機出廠時，手機廠商預裝自家或與之建立合作的第三方應用程序;三是手機層層分銷過程中，經銷商與軟件商合作進行預裝——由于中間環節眾多，深圳市信息行業協會秘書長陳一木認為，對責任的追溯也變得非常難。

　　“比方說，消費者在媒體上看到某手機產品的廣告，到實體店購買手機，結果發現產品有問題，是由媒體負責，廠家負責，抑或是由商家負責?至于預裝軟件存在吸費現象，電信運營商顯然難辭其咎，作為費用托收方，運營商參與了分成，本身也是得益者。”

　　深圳大學計算機與軟件學院教授陳劍勇將預裝軟件吸費定性為互聯網盜竊。互聯網盜竊的特點是：從每個用戶那里盜竊的金額不大，被盜竊的對象卻成千上萬。這也導致了取證難的問題，一方面數額較少，一方面用戶很難發覺流量被偷，即便去投訴，也很難維護自己的權益。

　　雖說軟件預裝的環節眾多，廣東省律師協會電子商務法律專業委員會主任王繼豐卻為個體維權指出一條“終南捷徑”。“站在手機用戶的角度上，只要記得手機從哪里買的就行，至于惡意軟件到底由哪個環節植入，可以不予考慮。消費者追究末端責任，生產商和軟件商應‘連坐’。”

　　“制度漏洞”多于“技術破綻”

　　內地頻發的信息安全事故，多集中于信息管理層面，可以說“制度漏洞”多于“技術破綻”。

　　隨著智能終端設備的功能日益強大，最終將熔日常社交、消費理財、資訊獲取和生活娛樂等功能于一爐——這在綜合開發研究院(中國·深圳)公共經濟與組織創新中心研究員汪云興看來，似乎是一個再清晰不過的前景，“移動互聯網的信息安全越來越關乎公共生活的安全。”

　　基于類似洞見，一位不愿透露姓名的騰訊軟件研發人員表示，目前木馬病毒的制造者仍把主要精力放在Windows客戶端，但隨著PC互聯網業務向移動互聯網轉移，他們的目光最終將瞄向移動互聯網。

　　深圳市社科院政法所所長李朝暉將信息保護分為兩個層面，一為信息管理，一為后臺技術。前者具體而直觀，后者抽象而無形。內地頻發的信息安全事故，多集中于信息管理層面，可以說“制度漏洞”多于“技術破綻”。譬如銀行、電信內部工作人員竊取用戶個人信息轉賣以牟取利益。

　　作為全球移動游戲聯盟深圳分會執行秘書長，任培文習慣從移動游戲的信息安全切入去談論互聯網乃至整個信息領域的安全。在他看來，手游產業同樣面臨方方面面的安全隱患，比如服務器被侵入、虛擬資產被盜等等。“目前，能夠提供平臺級服務的都是一些大企業，通過技術漏洞盜取用戶個人信息的現象并不常見，個人數據往往被以人為的方式泄露和轉賣。”

　　“個人隱私保護”與“信息自由流通”

　　每個國家對個人信息的保護，都是在找尋個人隱私保護與信息自由流通之間的平衡點。

　　縱觀各國的信息保護現狀，李朝暉認為歐盟的水平最高，歐盟關于個人數據處理及保護的立法全面而嚴密，其核心公約《數據保護指令》通過國內法細化到每一個成員國。在歐盟國家，一般機構申請使用個人數據，先要對使用目的和范圍予以說明并備案。

　　相形之下，美國對個人信息的保護水平較低，理由基于數據的自由流通可以促進交易、帶來經濟效益。在李朝暉看來，每個國家對個人信息的保護，都是在找尋個人隱私保護與信息自由流通之間的平衡點，只是美國更加重視數據自由流通的好處。

　　“比較個人信息保護水平，歐盟最高，美國居中，中國等而下之。中國在這方面更多借鑒美國，法律的建設卻遠遠落后。在美國，征信機構收集、分析企業或個人信用資料，必須依照《公平信用報告法》和《平等信用機會法》，信息收集的原則清晰明確，信息更正的渠道也很通暢;另一方面，《隱私權法》又明確規定哪些信息不能收集，被斯諾登揭發的‘棱鏡’計劃，即違反了《隱私權法》。”

　　所謂“個人隱私保護”與“信息自由流通”，也許正對應于那位騰訊技術人員提到的“便利性”和“安全性”，手機軟件供應商也會嘗試在二者之間找尋平衡點。“在不觸及消費者個人敏感信息的前提下，掌握消費者的消費習慣，通過大數據分析作出預測，可以有指向性地投放廣告和實施營銷。”

　　“不完整的拼圖”

　　這就是所謂的“最少夠用原則”，打一個比方，就好像一個人的拼圖，你永遠只能看到不完整的拼圖，永遠也猜不出全貌。

　　盡管在移動互聯網信息安全領域，專門法律法規的建設比較滯后，立法機構卻正在加快步伐，相關的行業標準也已經成形。深圳大學教授陳劍勇正是負責制定這一標準的“中國通信標準化協會與有線網絡安全工作組組長”。

　　在陳劍勇看來，有了這些標準作為依據，國家開始逐步規范軟件開發商的行為，并對軟件進行嚴格測試和評審。如果再遇到用戶投訴，責任的追溯也將變得清晰明確，商家會面臨罰款或吊銷執照的處理。

　　而個人信息保護的標準，在李朝暉看來，在2013年2月實施的《信息安全技術 公共及商用服務信息系統個人信息保護指南》中已有體現。該指南規定個人敏感信息在收集和利用之前，必須首先獲得個人信息主體的明確授權，個人信息管理者在對個人信息進行處理時，應遵循目的明確、最少夠用、公開告知、個人同意、安全保障等八項原則。

　　李朝暉坦言，在大數據時代，如果將各種渠道收集到的個人信息拼湊在一起，每個人必將毫無隱私可言，然而個人隱私保護的關鍵并不是控制信息的收集，而是控制信息的使用。“譬如，個人信息的收集和使用者，在取得授權之后，也只能看到跟用途相關的信息，超出用途之外的任何信息都不應被看到——這就是所謂的‘最少夠用原則’，打一個比方，就好像一個人的拼圖，你永遠只能看到不完整的拼圖，永遠也猜不出全貌。”

　　風險可控，即是安全

　　騰訊推出移動支付工具包，敢于向用戶做出全額賠付承諾，因為即便無法保證軟件的絕對安全，卻可以將風險控制在一定概率之內——風險可控，即是安全。

　　基于對信息行業歷史的了解，陳一木總結規律，認為隨著新技術的發展，往往是問題出現了，封堵漏洞的技術和化解問題的法規才應運而生;另一方面，黑客技術引領安全技術，似乎也是“勢之必然”——安全技術以“堂堂之陣正正之旗”嚴陣以待，黑客技術卻喜歡“非常規作戰”，讓前者防不勝防。

　　即便如此，陳一木卻不贊成“因噎廢食”。新技術都是在應用中成熟，問題在應用中解決。面對新技術造成的信息安全隱患，“疏”比“堵”的思路更有利于問題的解決和新技術的發展。

　　在互聯網上做交易，必有風險相伴左右——這在陳劍勇看來可謂是不爭的常識。陳劍勇以信用卡的發展為鏡鑒，提出風險化解之道。“風險的發生有一定幾率，一旦用戶出現損失，銀行會在24小時內全額賠付，這部分損失已被涵括于銀行的成本核算。移動互聯網的支付平臺不可避免也會存在用戶財產被盜的風險，運營商應該給用戶一個承諾，即在多長時間內予以賠付。”

　　而在那位騰訊技術人員的描述中，這恰恰是騰訊移動支付工具一直都在實行的風險管理辦法，騰訊推出移動支付工具包，敢于向用戶做出全額賠付承諾，因為即便無法保證軟件的絕對安全，卻可以將風險控制在一定概率之內——風險可控，即是安全。

　　倘若人們連基本的規則都不想遵守，又何談“應對移動互聯網時代即將帶來的挑戰”，畢竟這些雄心勃勃的構想，不光需要安全技術的支撐，更需要外部規則的保駕護航！

本文由印聯傳媒小新編輯整理