专家解读上网隐私保护：权利应交给用户

    央视曝光Cookie窃取用户信息后 本报组织业内人士座谈 专家认为应让用户有知情权和选择权

    央视3·15晚会曝光网易利用Cookie窃取用户信息后，网络隐私安全问题成为焦点。上周末，一场以“Cookie引发的互联网隐私以及行业基础信任问题”为主题的研讨会在法制晚报社举行。

    参加论坛的专家们认为，Cookie作为互联网行业获取用户信息的主要途径，要保护用户隐私需要企业和国家法律等方面的支持。同时，要将权利交给用户，才能最大限度地保护用户隐私。

案例“网络臭虫”危害 让Cookie成安全隐患

    在央视3·15晚会上，一批精准广告投放企业被曝光。

    据介绍，Cookie的存在最初是为了方便用户使用，然而被一些有商业企图的机构在用户并不知情的情况下，采集并加以商业运作。正是这种“网络臭虫”的存在，让Cookie有了隐患，危及用户的隐私信息。

    记者了解到，目前很多网站都有被称为“网络臭虫”的数据采集程序，它可以在用户广泛访问的网页上放置一个1像素大小的图片，这样用户看不到这张图片，但它依然可以正常工作：它的工作就是通过获取Cookie来获知用户的浏览习惯。

    看似简单粗暴，实际上就是隐蔽的跨站跟踪行为。但是一天这个页面如果有1000万人访问，那么这个试图窃取的公司一天就获取了1000万份个人信息，这是个相当可怕的概念。

    有人将 Cookie比喻成阑尾，当它正常的时候，可能并不引人注意；可是当一些致病的情况出现，阑尾炎将会给人体带来巨大的痛苦。这和Cookie在未被用户知情下，被网路臭虫采集利用非常相似。所以业内人士认为，Cookie已成为网络安全隐患。

专家揭秘谁在盗用Cookie？

    在北京邮电大学信息安全中心副教授、灾备技术国家工程实验室总工辛阳看来，Cookie是不存在安全隐患的。但是从安全方面来说，如果操作系统存在安全隐患，系统存在漏洞等安全隐患，就可能会被黑客利用。

    Cookie也不例外，它在给用户上网提供方便的同时，也给不法分子恶意利用创造了机会。因为Cookie的生成读取需要网站与用户通过网络传输完成，一旦传送的信息被黑客截取或检测到，黑客就可以利用盗来的Cookie访问与该信息相匹配的网站，而黑客登录网站时根本不需要输入用户的账号密码。这就相当于窃贼不需要知道密码，直接用偷来的门禁卡打开大门一样。

    不少网民应该对2011年底国内互联网发生的大规模账号密码泄露事件记忆犹新。当时，国内知名程序员网站CSDN遭到黑客攻击，大量用户数据库被公布在互联网上，600多万个明文的注册邮箱被迫“裸奔”。随后，人人网、天涯、开心网、多玩、世纪佳缘等知名网站也被曝出用户账号密码泄露。
    实际上，黑客一旦获得了你的账号密码或Cookie信息，最危险的并不是他可以“伪装你”登录网站，而是可以知晓你的个人注册信息。

    比如现在非常流行的网购网站，其中保存了你的姓名、手机号、家庭地址等信息，如果犯罪分子发现你经常网购贵重商品，而且还知道你的具体住址和电话，就可以进行有针对性的盗窃，这并非危言耸听。同样知道“你是谁”的还有社交网站，你在现实生活中的朋友、同学、同事都可能在黑客进入你的账户后被获取。

    人们常说“星星之火可以燎原”，同样当一个小小的Cookie文件积累到上亿的数量级时，我们必须要考虑其可能出现的安全风险，特别是其中还拥有用户访问的网站、内容等敏感信息时，所以保护这些“大数据”的安全已成为整个互联网行业必须要关注的话题。

    互联网业内人士表示，Cookie相关技术的诞生初衷是为了帮助网民与网站更好地交互，但在目前Cookie被大量提及的情况下，黑客也可能会对Cookie虎视眈眈，因为Cookie中记录了用户的上网习惯，这样精准广告就可能变成“精准攻击”，威胁网民安全。同时，相关的广告企业在收集用户信息前应该向用户明示，并给用户提供“禁止跟踪”DNT功能，让用户享有知情权与选择权。

    业内观点制止滥用Cookie　　应从企业和法律做起在知名知识产权律师、北京德和衡律师事务所合伙人姚克枫看来，往往滥用 Cookie的时候就会产生法律问题。

    据姚克枫介绍，隐私在法律上的概念是，自己不为外人所知，也不同意让外人所知的信息。这些信息可能别人已经知道一些，也可能不知道，无论别人是否知道，自己并不想让别人知道的信息，这是做隐私法律概念上的定义。

    “除非我们之前签了协议。如果没有经过我的同意，网站将我的个人信息披露给第三方，第三方利用我的信息做事情，法律上就涉及到侵犯隐私问题了。互联网用户每个人都有知情权，被第三方网站拿走的信息，第三方网站滥用的行为就侵犯到个人隐私。”姚克枫认为，Cookie在互联网上可以说是个工具和菜刀，但菜刀本身并没有隐患和违法。避免危险，采用的方式就是尽量不在小孩出没的地方放菜刀。

    Cookie也是，应尽量让Cookie信息清除。

    据介绍，目前滥用Cookie最大的问题是精准广告，一些广告联盟，很多小网站和大的搜索引擎网站合作，联盟广告商利用了引擎搜索你上网的习惯、内容和信息，收集起来以后在联盟网站上投放，被其他网站利用。这是不合理的。

    姚克枫表示，对行业而言，互联网企业应该有行业自律，行业只有自律了，把Cookie、隐私上升到一定规范，把标准制定出来，什么情况下是妥当的，什么情况下是不妥当的，把它拟出来。而主管机关、网络管理者应该制定规范和指引，规范大企业和小企业如何利用Cookie，防止给第三方网站泄露内容。“坦白说中国的法律对这块不是很健全，我们也呼吁，法律层面上能够尽快地完善立法，尤其是对网络上这种追踪行为、给第三方提供（用户个人信息）的行为怎么定性。尽管现在企业自律、行业自律，但行业还没有健全，法律有个基本原则——用户同意知情权，这个权利一定要给用户。总之，滥用Cookie的行为从哪个角度讲都是不妥当的行为。”姚克枫说。

专家提示预防隐私泄露 应将权利交给用户

    对于如何预防自己隐私被泄露的问题，博客中国副总裁谷龙认为，要把权利交给用户，信息保护是用户具有网络支配权、选择权、知情权，在你使用一个网络产品时要知道你那些个人信息是怎么使用的，你可以选择提交给它还是不提交给它。

    搜索信息的时候要让用户知道网站抓取哪些信息，用于做什么？用户得有选择权。还需要用户知道这个信息是不是被别人做其他的用途。

    对企业来讲要有企业的良心、责任，还要有其他的责任，比如职业道德、职业自律等，把这些事情完全交给企业不太可能，毕竟商业公司希望商业利益最大化，所以必须从法律角度考虑这个问题。

    有专家介绍，针对当前问题，微软公司最新的IE　10浏览器中已默认开启DNT“禁止跟踪”功能，而一些国产安全浏览器也默认开启了这一功能。网民在使用上述浏览器上网时，将获得保护，拒绝跟踪。给用户知情权，自主权，避免自己的用户信息被泄露，不再被别有用心的网络臭虫所利用。

    业内人士同时表示，用户应当定期清理Cookie，清理Flash　Cookie也是非常有必要的。当然，我们也应该将更多精力放在探讨制定保护网络隐私的相关法律及规定上，从根本上解决包括Cookie在内的网络隐私信息被滥用、盗取的问题。