易观安全论坛专家会诊 360未直面隐私质疑

11月28日，由易观国际主办的“易士堂”网络安全论坛（第二季）在京召开。来自国家信息中心、中国信息安全测评中心、中国科学院软件研究所、中国人民大学的专家学者，以及来自腾讯、金山、奇虎360、华为、知道创宇、易宝支付、IDF（互联网威慑防御实验室）等企业界和第三方评测机构的30余名代表参加了会议。“黑客老鹰”、“独立调查员”等技术爱好者通过腾讯微博墙形式远程参与了现场互动。

在“方周大战”、“工信部介入调查”、各类测评报告陆续出台等一系列网民隐私安全事件相关的大背景下，本次论坛以“上网安全路在何方”为主题，就我国网民隐私安全保护现状、安全厂商应如何自律、主管机构如何加快立法加强监管等话题展开了深入研讨。

专家技术质疑未获现场解答

会上，IDF代表分享了《关于360安全卫士v7.3.0.2003l涉嫌"窃取用户隐私"的独立检测报告》、《关于360安全浏览器“暗藏后门”证据的独立检测报告》两份报告，从技术机理上对整个研究过程进行了讲解。该机构是由民间信息网络安全爱好者组成的技术俱乐部机构，曾在前不久通过微博形式公开发表了这两份报告，引起了业界广泛关注，但未获得360从技术角度的正面回复。

金山反病毒安全专家李铁军现场演示了一段网友上传的视频，并辅以技术解读。该视频通过录屏方式复现了360安全卫士操控用户电脑，超范围采集政府、企业及个人用户隐私信息的全过程。前不久，李铁军曾公开2010年掌握的通过360服务器泄露网民及企业内网信息的证据，亦未获得360从技术角度的明确回应。

在此次论坛上，数位技术专家均试图就此与在场的360代表进行正面沟通，但均被该代表以“不代表公司”、“不太懂技术”为由回避了提问。据记者向主办方了解，因为本次沙龙主要针对产品与技术话题，奇虎360原定360浏览器与客户端的两位负责人到会，会前又临时通知取消了主要嘉宾的参会讨论计划，只有一位员工“以私人身份”到场，后中途退出。

他律是行业健康发展的保障

“亡羊补牢，犹未晚也。”本着建设性的原则，与会专家从学界、法律界、企业界等多个角度，围绕如何防止侵犯用户隐私事件一再上演进行了探讨。

中国人民大学梁彬副教授分享了学术界的看法，他认为，未来情况会更加复杂，智能手机基本与用户绑定，隐私问题比桌面电脑更大。“目前，最大的挑战是进攻占据了主动权，防守很被动，从技术层面上窃取隐私太容易，保护隐私却相对困难。” 梁斌表示，通过大量人工活动参与，是可以找出一些蛛丝马迹，但这样成本非常高昂，这也是部分学者为什么不愿把更多精力投入到这上面的主要原因。

企业界和法律界代表一致认为，加强监督机制迫在眉睫。金山代表李铁军表示，安全软件确实在系统当中具有非常高的权限，而且越来越多地使用了云的技术，但云端又变得非常灵活，单纯靠客户端很难捕捉到完整的不法行为。“在这种情况下，最根本的原则是要对用户有一个底线，不能碰的领域绝对不能碰，用户的数据文件是绝对不可以去碰的。”“但光靠厂商保证肯定是有问题的，需要公众监督机制，我不太相信自律，只有在一个真正有效的监督机制下面，才有可能做到自律。”

中国信息协会信息安全专委会专家李少鹏认为，监督的力量应该来自多方面，目前我国的法律法规还没有出台，正在完善。但与此同时，行业协会和民间的力量也应该发挥更大作用，包括用户意识的觉醒和提高，独立检测机构提供客观技术服务等等，而不是简单的企业声明或官方检测报告的形式。”

360会后现场过激行为震惊四座

论坛宣布结束后，奇虎360企业传播部高级总监李亮进入会场，称从微博上关注到信息，论坛上有诋毁360公司的行为，要求给予申辩机会。会议为此进行了延时，但李亮的申辩内容并未从技术角度进行回应和探讨。

十分钟内，与会嘉宾先后离席，现场并没有进行更多探讨。与会法律专家胡钢等嘉宾纷纷表示，对李亮现场指责“诋毁”的说法感到匪夷所思、“这并不是论坛的主要议题，这样做的确很失礼。”

参与线上讨论的中国计算机取证专家委员会成员万涛也对此感到震惊，“嘉宾都是站在产业角度来探讨，我们无法理解360作为一家安全软件公司为何如此行为过激，希望360能静下心来，进行正面的技术讨论。”

据了解，易观“易士堂”网络安全论坛曾于10月30日召开过第一季，时值工信部宣布介入调查的敏感时期。现场20余位安全厂商代表齐聚热议如何通过规范行为，促进行业恢复良性发展。在第一季论坛受邀后，奇虎360最终也选择了不参与讨论，没有派出代表到会。