2013年03月21日 15:10
來源：新聞晚報(bào) 作者：秦川

0人參與0條評(píng)論

網(wǎng)易內(nèi)部調(diào)查結(jié)果：第三方難窺用戶郵件

Cookies，這個(gè)此前鮮少被公眾視野所關(guān)注的網(wǎng)絡(luò)術(shù)語，究竟是安分守己的“小甜餅”，還是幫助竊密“臭蟲”繁殖的溫床？雖然3·15晚會(huì)早已落幕，但其所遺留的疑云，正將一場(chǎng)隱私爭論推向高峰。

昨天，記者從網(wǎng)易內(nèi)部獨(dú)家取得的一份呈送通管局的報(bào)告顯示，盡管在網(wǎng)易的廣告銷售中不可避免會(huì)涉及到與第三方的合作，但其負(fù)責(zé)人否認(rèn)了后者能從網(wǎng)易核心數(shù)據(jù)庫中獲取用戶信息的可能。

由Cookies引發(fā)的隱私擔(dān)憂將如何收尾，大數(shù)據(jù)的商業(yè)變現(xiàn)尺度又該如何規(guī)范？來自搜索引擎、SNS、電商業(yè)內(nèi)的多位高管對(duì)記者表示，現(xiàn)階段的嘗試并不違法違規(guī)。

小甜餅還是洪水猛獸？

央視在今年3·15晚會(huì)上曝光稱，網(wǎng)易郵箱默認(rèn)第三方營銷機(jī)構(gòu)對(duì)其用戶Cookies的抓取，后者從中獲取大量隱私，甚至郵件內(nèi)容也都能一覽無遺，以便更精準(zhǔn)地投放廣告。

Cookies究竟是什么？大多數(shù)人可能只熟悉它 “小甜餅”的翻譯。事實(shí)上，Cookies是一項(xiàng)基礎(chǔ)網(wǎng)絡(luò)技術(shù)，也是一項(xiàng)標(biāo)準(zhǔn)協(xié)議規(guī)范，使用時(shí)間已有十幾年。目前大部分互聯(lián)網(wǎng)服務(wù)都依賴于Cookies技術(shù)，比如郵箱、微博、社交服務(wù)的登陸，以及電商網(wǎng)站購物等等。

1993年時(shí)，Cookie的誕生就是出于網(wǎng)站可以快速的識(shí)別用戶身份，提高網(wǎng)民的上網(wǎng)效率，并沿用至今。比如在淘寶將商品加入購物車后，即使你關(guān)掉窗口點(diǎn)進(jìn)另一個(gè)商品頁面，之前購物車?yán)锏膶氊愐膊粫?huì)消失；或是在某網(wǎng)站看了幾篇新聞后，還會(huì)看到網(wǎng)站給你推薦的“猜你喜歡”內(nèi)容。

“如果用戶還是認(rèn)為Cookies是洪水猛獸，用戶信息的泄露或售賣應(yīng)該歸咎于它，那真的誤會(huì)了。 ”Opera歐朋瀏覽器CEO宋麟稱，作為一項(xiàng)技術(shù)本身，Cookies只能記錄用戶提供給特定網(wǎng)站的簡單信息，經(jīng)過嚴(yán)格加密；而且只有用戶提交給的那個(gè)特定網(wǎng)站才能訪問，其他任何人均看不到。比如用戶在淘寶的購物信息，是絕對(duì)無法被京東商城讀取的。

截至昨天，已有多位IT業(yè)者公開表示出對(duì)Cookies的無罪力挺，甚至就此話題進(jìn)行了長篇累牘的辯論?！凹夹g(shù)本身不應(yīng)承擔(dān)責(zé)任，我們需要的是通過明確的立法來規(guī)范非法濫用技術(shù)的行為。 ”宋麟的觀點(diǎn)，或許代表了目前較為主流的意見。

網(wǎng)絡(luò)臭蟲的溫床隱憂

Cookies的初衷或許是安全無害的，但在錯(cuò)綜復(fù)雜的互聯(lián)網(wǎng)產(chǎn)業(yè)鏈中，它能否獨(dú)善其身嗎？

“闌尾是個(gè)頗有爭議的人體器官，當(dāng)它正常的時(shí)候，可能并不引人注意。可是當(dāng)一些致病的情況出現(xiàn)，闌尾炎將會(huì)給人體帶來巨大的痛苦。 ”360首席隱私官譚曉聲認(rèn)為，這和Cookies在未被用戶知情下被“網(wǎng)絡(luò)臭蟲”采集利用的情況非常相似。

在安全行業(yè)看來，Cookies中保存的用戶名、密碼等個(gè)人敏感信息由于經(jīng)過加密，的確很難將其反向破解。 “但這并不意味著絕對(duì)安全。”譚曉聲說，黑客可通過構(gòu)造一個(gè)有XSS (跨站腳本攻擊)漏洞的網(wǎng)頁，然后利用惡意腳本欺騙目標(biāo)服務(wù)器，就可以直接盜取網(wǎng)站管理員的網(wǎng)站后臺(tái)登陸Cookie，最后控制整個(gè)網(wǎng)站。

譚曉聲坦言，Cookies會(huì)被一些有商業(yè)企圖的機(jī)構(gòu)在用戶并不知情的情況下，采集并加以商業(yè)運(yùn)作，這便是業(yè)內(nèi)所稱的“網(wǎng)絡(luò)臭蟲”。

說到網(wǎng)絡(luò)臭蟲，就不能不介紹它的工作原理?！澳承┕緯?huì)在用戶常訪問的網(wǎng)頁上放個(gè)1像素大小的圖片，肉眼很難察覺。它通過獲取Cookies來獲知用戶的瀏覽習(xí)慣，看似簡單粗暴，其實(shí)是在跨站跟蹤?！弊T曉聲說，在統(tǒng)計(jì)分析上述個(gè)人信息后，一些營銷公司就可以向用戶精準(zhǔn)投放廣告，或者再向其他需要這些個(gè)人信息的公司二次出售牟利。

網(wǎng)易否認(rèn)第三方植入代碼

出于眾多內(nèi)外原因，網(wǎng)易在遭央視曝光后只發(fā)了兩份短短的聲明。對(duì)于“用戶郵件內(nèi)容可隨意偷窺”一說，也始終沒有拿出過硬的證據(jù)反駁，近將其歸咎為銷售人員的夸大其詞。

但記者昨天從網(wǎng)易內(nèi)部獲悉，目前通信管理局等多個(gè)部委已要求其就此事出具說明，而初階段的調(diào)查報(bào)告也已完成。

記者獲取的上述報(bào)告顯示，根據(jù)網(wǎng)易內(nèi)部調(diào)查人員所述，其郵箱Cookies在設(shè)計(jì)時(shí)就不允許跨域訪問，并且要求在使用Cookie時(shí)盡量設(shè)置在子域或子路徑，以避免Cookie讀取權(quán)限擴(kuò)散。同時(shí)，對(duì)于Cookie有效時(shí)長和字節(jié)數(shù)的限制、設(shè)置備案和審批，以及用戶信息安全校驗(yàn)，均保持在可控的合規(guī)范圍內(nèi)。

急待網(wǎng)易自證清白的是，其公司內(nèi)部是否存在對(duì)第三方安插代碼“睜一只眼、閉一只眼”的問題？而其內(nèi)部報(bào)告強(qiáng)調(diào)，雖然網(wǎng)易“為用戶提供不計(jì)其數(shù)的網(wǎng)絡(luò)互動(dòng)活動(dòng)”，但通過Cook-ie記錄的信息部包括身份證號(hào)、銀行卡賬號(hào)等隱私數(shù)據(jù)。同時(shí)，向第三方開放的行為堅(jiān)絕不被允許。

“盡管在網(wǎng)易的廣告銷售中不可避免會(huì)涉及到與第三方公司的合作，但第三方公司絕不可能收集到網(wǎng)易站內(nèi)的用戶信息的，包括用戶在注冊(cè)使用某些產(chǎn)品時(shí)提交的年齡、收入等信息。這些信息都密文存儲(chǔ)在公司的核心數(shù)據(jù)庫中，第三方公司是不可能訪問到的，且即使訪問到也只能得到密文，無法獲取用戶信息。 ”網(wǎng)易內(nèi)部人士稱。

大數(shù)據(jù)和隱私的邊界模糊？

事實(shí)上，基于Cookies的精準(zhǔn)營銷行為已在我們身邊無所不在。從淘寶、百度的廣告聯(lián)盟，到Gmail等郵箱的智能廣告推送，在企業(yè)加速大數(shù)據(jù)商業(yè)化變現(xiàn)的同時(shí)，隱私的尺度也變得愈發(fā)模糊。

“我之前在淘寶上搜了下內(nèi)衣，結(jié)果第二天在辦公室用筆記本電腦時(shí)，很多網(wǎng)站頁面廣告都推送的是各種性感內(nèi)衣圖片，讓我非常尷尬。 ”白領(lǐng)Ann告訴記者，她很納悶，為何自己在搜索引擎或購物網(wǎng)站搜過的商品，很快就會(huì)被其他網(wǎng)站所知曉，并“貼心”地打出一大堆類似的廣告。

“現(xiàn)在的廣告聯(lián)盟代碼很智能化，在你打開網(wǎng)站的同時(shí)會(huì)檢測(cè)你的Cookies信息，比如瀏覽過什么網(wǎng)站、搜索過什么商品，然后自動(dòng)匹配、調(diào)用對(duì)應(yīng)廣告，實(shí)現(xiàn)精準(zhǔn)定位。 ”一位電商人士告訴記者，雖然他認(rèn)為這對(duì)廣告商和用戶都是有利的，但的確還是有許多用戶無法接受這種行為。“如果實(shí)在討厭，建議你定期清除一下Cookies。 ”

譚曉聲直接舉例稱，現(xiàn)在一些第三方廣告聯(lián)盟的代碼使用范圍很廣。這就造成用戶在A網(wǎng)站搜索了一個(gè)關(guān)鍵字后，當(dāng)他繼續(xù)訪問B網(wǎng)站，由于B網(wǎng)站也使用了同一家的第三方廣告代碼，就可以直接從Cookie中獲取用戶在A網(wǎng)站搜索行為，進(jìn)而展示更精準(zhǔn)的推廣廣告。 “比如搜索‘糖尿病’等醫(yī)療關(guān)鍵詞，再訪問另一家網(wǎng)站，可能頁面會(huì)立刻出現(xiàn)糖尿病治療廣告，這無疑是對(duì)用戶隱私的泄露。 ”

某搜索引擎的銷售人員曾如此向廣告主自我推銷：“我們?yōu)槊恳粋€(gè)網(wǎng)民都建立了個(gè)人檔案卡，存儲(chǔ)曾經(jīng)的歷史搜索行為。我們知道用戶曾經(jīng)在哪天哪秒想得到什么，繼而可以分析出用戶的生活方式，這就是個(gè)不斷更新的消費(fèi)者欲求檔案庫！ ”

搜狗CEO王小川此前曾向記者透露，搜狗希望發(fā)布一套基于數(shù)據(jù)挖掘的“探索引擎”系統(tǒng)。譬如當(dāng)網(wǎng)民在網(wǎng)上購物時(shí)，瀏覽器可自動(dòng)通過浮動(dòng)彈框的形式，將其它網(wǎng)站的價(jià)格、用戶評(píng)價(jià)、優(yōu)惠券等相關(guān)信息主動(dòng)推送。

可令一些用戶煩躁的是，如果我并不想讓瀏覽器的后臺(tái)服務(wù)器記錄我買過什么，這是否侵犯了個(gè)人隱私？王小川的回答很豪邁：“只要你用它 (搜索引擎)的服務(wù)就要曝露隱私，不可避免，除非你不用。我們也不會(huì)侵犯用戶隱私，有法律管著。 ”

而百度CTO王勁則向記者表示，用戶不必反應(yīng)過激。 “雖然百度會(huì)分析用戶的搜索關(guān)鍵詞、搜索時(shí)間、頻率等等信息，但我們只根據(jù)全網(wǎng)的宏觀數(shù)據(jù)分析出結(jié)論，不針對(duì)個(gè)人。 ”

對(duì)于將用戶數(shù)據(jù)用作商業(yè)變現(xiàn)的敏感話題，騰訊網(wǎng)總編輯陳菊紅給出了和百度類似的答案。“每個(gè)用戶在網(wǎng)上會(huì)留下很多痕跡，但只有你顯性地表示喜歡，我們才會(huì)搜集，且上述信息絕不會(huì)透露給第三方廣告主。此外，當(dāng)下技術(shù)很難對(duì)單個(gè)用戶進(jìn)行分析，更多的是群體性地歸納和提煉?！彼饲敖邮懿稍L時(shí)解釋稱。

目前，國際互聯(lián)網(wǎng)聯(lián)盟已經(jīng)提出了“禁止跟蹤”標(biāo)準(zhǔn)，禁止網(wǎng)站采用跨站跟蹤和Cookie跟蹤等手段收集用戶上網(wǎng)行為數(shù)據(jù)。都由于不具有法律效力，這仍需各網(wǎng)站自覺遵守，而目前IE10、360等瀏覽器也已推出了“禁止跟蹤”功能供用戶選擇。

“到底是Cookies本身是洪水猛獸，還是將濫用Cookies技術(shù)的廠商才是洪水猛獸，我想大家都有答案。 ”宋麟說。

打印轉(zhuǎn)發(fā)