360隐私保护器引发的对计算机安全产品的法律思考
360隐私保护器引发的对计算机安全产品的法律思考
作者:深圳余祖舜律师(18603021972)
360隐私保护器自推出之后,腾讯作出了强烈的反应。双方由此展开了精彩的攻防辩驳。
网络时代,共享与公开是不容置疑的普遍规则,而用户体验是网络运营商或软件商的制胜法宝。什么是用户体验?本律师非网络技术专业人士,对此难以给出准确的内涵。但有一点是我所坚持的,用户体验的底线要求就是遵循法律规则。那么,互联网法律规则的底线是什么呢?本律师认为是安全性和用户隐私。一款没有安全性和隐私保护性的软件或网络服务,再实用再功利也是难以为网名所接受。但作为非专业的众多网民,又有多少人具备网络安全和隐私保护的甄别知识呢?所以当360隐私保护器自推出之后,网民一片哗然。一场在360安全卫士和腾讯QQ之间的攻防站愈演愈烈。
在这场攻防战中,本律师留意到,双方交互的焦点就是QQ聊天软件是否侵犯了用户的隐私?QQ聊天软件扫描用户文件是否合法?
来自腾讯方面的解释是“腾讯方面向搜狐IT回应称,媒体报道提及的“隐私扫描”内容,是对QQ安全功能的误解,腾讯QQ软件绝对没有窥探用户隐私的行为,也绝不涉及任何用户隐私的泄露。腾讯方面称,报道提及的涉及用户隐私的安全模块,采用了安全软件普遍采用的检测技术,系统地发现和清除各类木马。目前,QQ安全检测模块日均清除盗号木马170万个,拦截恶意攻击日均超过1500万次,有效保护了QQ用户的信息安全。”(注:来自//it.sohu.com/20100927/n275303117.shtm,本文所涉部分阐述是假设上述内容乃腾讯公司真实之回应,本文之观点也仅限本律师学术探讨之个人观点,并不代表他人或官方的评判结果)
本律师就360隐私保护器所引发的计算机安全产品进行如下法律方面的探讨。
一、计算机安全产品必须申请安全功能检测。
国内立法中,针对计算机信息系统安全保护方面有专门立法。1994年2月18日国务院发布《中华人民共和国计算机信息系统安全保护条例》。此后,针对计算机病毒以及与防毒查毒有关的安全专用产品也有专门立法。
1、计算机安全产品对用户计算机系统的扫描不视为侵犯用户隐私权的行为
根据《计算机病毒防治产品评级准则》制定的标准,一款计算机安全产品必须具备对病毒以如下途径进入计算机系统时发出警报的功能:
a) 存储介质;
b) 网络;
c) 电子邮件;
以基本的逻辑思维,不扫描何以发现并警示或清除病毒。因此,这也就明示规定了计算机安全产品可以对用户计算机系统的存储介质、网络环境、电子邮件进行扫描。在对计算机安全防护情况下,对用户计算机系统的扫描应不视为侵犯用户隐私权的行为。既然赋予了计算机安全产品扫描检测用户计算机系统文件的权利,那么这项权利是否应当有所约束呢?
2、计算机安全专用产品的应当向有检测资格的技术监督部门申请安全功能检测认证
权利与义务是一对孪生姐妹,没有不受约束的权利。计算机安全产品客观上必须具备扫描检测用户计算机系统文件的功能,且该扫描检测行为是必备合法的。那么用户的隐私权又如何得到保障呢?用户怎样才知道所使用的计算机安全产品的是合法的?计算机安全产品的安全又由谁来保障呢?
为此,国内将计算机病毒防治及与之相应的安全专用产品的市场准入制度提高到立法层面,这也是在计算机产品方面为数不多的立法例。
公安部1997年12月12日颁布的《计算机信息系统安全专用产品检测和销售许可证管理办法》就充分明确了对计算机安全产品市场准入行为。
根据该规定,计算机安全专用产品的应当向有检测资格的技术监督部门申请安全功能检测。计算机安全专用产品需要进入市场销售,还必须向公安部门申领《计算机信息系统安全专用产品销售许可证》
二、腾讯QQ软件内置或捆绑的安全模块是否属于计算机安全产品?
《计算机信息系统安全专用产品检测和销售许可证管理办法》所称计算机信息系统安全专用产品,是指用于保护计算机信息系统安全的专用硬件和软件产品。
根据腾讯公司的回应所称,“涉及用户隐私的安全模块,采用了安全软件普遍采用的检测技术,系统地发现和清除各类木马。”
本律师个人认为,类似腾讯QQ软件内置或捆绑的安全模块,具备计算机安全产品的属性,属于计算机安全产品。
1、从现今计算机软件产业发展规模与趋势看,多功能应用的计算机软件是大势所趋,也是普遍存在的现状。内置或捆绑多个功能模块的计算机软件比比皆是,而各功能模块已经具备单项计算机产品的特有功能。而涉及到安全功能产品的模块维权具备计算机安全产品的特征。
2、根据公安部《计算机信息系统安全专用产品分类原则》的规定,其中归类为C41、C42的产品要求如下:
☆类别(C41)单机系统病毒防护
本类产品提供对单机系统的病毒防护,既可以是软件产品,也可以是硬件产品。
本类产品的安全功能可归纳为以下五个方面:
(1)预防计算机病毒侵入系统;
(2)检测已侵入系统的计算机病毒;
(3)定位已侵入系统的病毒;
(4)防止病毒在系统中的传染;
(5)消除系统中已发现的计算机病毒。
任何提供以上一种或数种功能的产品均可归入本类。
☆类别(C42)网络系统病毒防护
本类产品提供对网络系统的病毒防护。
本类产品的安全功能可归纳为以下五个方面:
(1)预防计算机病毒侵入网络系统;
(2)检测已侵入网络系统的病毒;
(3)定位已侵入网络系统的病毒;
(4)防止网络系统中病毒的传染;
(5)清除网络系统中已发现的病毒。
任何提供以上一种或数种功能的产品均可归入本类。
从上面关于安全产品的分类规定来看,归类的核心是其功能指标。只要具备归入安全产品功能特性的计算机硬件或软件,不管是单独的或捆绑的,即可认定为计算机安全产品。
三、捆绑计算机安全产品的应用软件,是否需要申请计算机安全产品的安全功能检测?
一款应用软件或许仅仅具备某项或某行业的应用功能,也许同时捆绑或内置其它与应用无关的系统处理等功能。
这也就提出一个新问题,作为主要功能为即时通功能的QQ、MSN等类似软件,如果其内置或捆绑了安全产品,是否应该申请安全产品的安全功能检测认证呢?是否要严格执行市场准入认证呢?
本律师个人认为,无论是独立安全产品软件,还是捆绑安全模块的其它软件,均应申请安全产品的安全功能检测认证。
1、如前所述,内置或捆绑的安全模块只要具备规定的分类功能,就属于计算机安全产品产品。
2、公安部《关于对捆绑销售未经检测和许可的计算机信息系统安全专用产品如何处理问题的批复》中明确指出,“……具有“防火墙、电子邮件安全保护、防病毒”等安全功能并用于保护计算机信息系统安全的专用软件、硬件产品,均属于计算机信息系统安全专用产品。” “凡未取得销售许可证而进入市场销售的计算机信息系统安全专用产品,无论销售产品的形式是独立产品销售,还是与其他产品捆绑在一起销售,均属于未经许可出售计算机信息系统安全专用产品,……”
从该批复的前后文分析,虽然后文着眼于“进入市场销售的计算机信息系统安全专用产品”,但其结论依据来源于前文,由此可以得出无论是独立或与其他产品捆绑在一起的,只要具有“防火墙、电子邮件安全保护、防病毒”等安全功能并用于保护计算机信息系统安全的专用软件、硬件产品,均属于计算机信息系统安全专用产品。
四、纳入计算机安全产品检测认证范围不应以是否销售为限。
计算机安全产品就是一柄双刃剑,就有如医生一样,合格的医生可以救死扶伤,不合格的医生往往就是隐性杀手。
1、计算机安全产品的两种认证
目前国内立法对计算机安全产品存在双重认证,
一类是由技术监督部门进行的安全功能检测认证,一类是以安全功能检测认证为基础,由公安部门核定的销售许可认证。
这两类认证的最大区别就是:销售许可认证具有产品功能唯一和时效的强制性规定。当一款计算机安全产品的功能发生改变时,就必须重新申领销售许可证,且销售许可证自批准之日起两年内有效。而技术监督部门进行的安全功能检测认证则没有类似规定。
2、应用软件销售不是互联网盈利的唯一模式,而以应用软件为基础的用户体验是互联网的最大特点。
目前互联网行业,很多软件产品本身并不需要进行销售,建立在以该款软件为用户体验的效应才是盈利的根本。在计算机安全产品也不乏这样的盈利模式和运用企业。
为此,本律师认为,立法机构需顺应互联网的现状和趋势,对互联网安全产品的法律法规做相应的修改,对计算机安全产品的市场准入行为,无需设限为以该软件本身是否销售为目的,应实行更严格的市场准入规则,以复制、传播等属性作为计算机安全产品检测认证的范围。加大对计算机安全产品的检测范围,建立规范有序的计算机安全产品的竞争环境,为计算机安全产品的市场培育和发展建立良好的政策环境。
市场竞争归市场竞争,法律问题归法律问题。就法律而言,本律师个人认为,为规避法律风险,类似内置或捆绑了安全产品模块的腾讯QQ等功能软件,应尽快申请安全功能检测认证,并有义务让用户明白所使用的软件含有安全产品功能,确保用户的知情权。
