安全专家表示,一些相对基础的软件作为计算机底层软件,拥有较大权限,因此更应该慎用这种“特权”,任何对用户电脑的干预行为都应该以“实现功能所必需”为前提,而不是借保护用户安全的名义,擅自变更用户浏览器主页来抢夺流量。
此外,这种行为还侵犯了用户对计算机信息系统拥有的权利。北京师范大学刑事法律科学研究院暨法学院副教授吴沈括说,当浏览器被他人劫持,用户无法按照自主意愿使用时,就是侵犯用户对计算机信息系统拥有的权利。
2015年11月,上海浦东法院判决了全国首例“流量劫持”案,其背景就是,网民想要访问A网站,却被突然劫持到了B网站。法院以破坏计算机信息系统罪判处两名被告人有期徒刑三年,缓刑三年;扣押在案的作案工具以及退缴在案的违法所得予以没收。2018年底,最高人民法院将该案发布为指导性案例。胡钢认为,法院的这一判决表明,劫持流量行为不但违法,而且也会构成犯罪。这对于“流量劫持”的治理具有样本意义。
与此同时,“免费”不能成为网络经营者违法的托词。绿盟科技资深网络安全工程师肖召红表示,软件研发的成本比较高,我国大多数软件免费提供给用户使用,流量套现是主要商业模式。近些年,面向用户端的网络红利逐渐耗尽,不少软件企业面临较大的生存压力。这是部分软件企业冒着损害用户利益的风险,想方设法引流的原因之一。
对此,肖召红认为,一些软件企业要健康发展,应通过技术创新等手段拓宽赢利渠道,不应只聚焦在流量上。安全软件企业在企业端市场也还有很大的挖掘空间,这样既能维护网络环境,也能支撑自身的发展。
“一些软件产品的免费模式不应是网络经营者违反法律、侵害网民合法权益、破坏市场竞争秩序的借口。网络从业者需要自觉遵守秩序,这样才能健康发展。”胡钢表示。
中央网信办网络安全协调局相关负责人就此问题接受记者采访时表示,网络安全法对网络运营者收集、使用个人信息有明确规定,企业必须遵循合法、正当、必要的原则,不应过度收集用户个人隐私。
监管治理难在哪里?
应用场景多样,监管、取证的难度较大
专家认为,以“浏览器主页劫持”为代表的“流量劫持”,是黑客及网络黑色产业组织存活的主要源头。尽管在监管治理上出台了不少措施和规定,但“流量劫持”仍然困扰行业多年,其原因是多方面的。
首先,由于应用场景多样,监管、取证的难度较大。吴沈括说,理论上,只要存在数据的传输,就存在“流量劫持”的可能性。数据流通的多个环节如应用程序端、路由器端、运营商端等,都有可能被实施“流量劫持”。多种多样的场景和技术手段,加大了监管的难度。
黄澄清说,如果用户的浏览器被劫持,通常可以向宽带运营商、广告平台投诉举报,以及向“12321”网络不良与垃圾信息举报受理中心举报。但“12321”主要起社会监督作用,网民举报以后,中国互联网协会按照自律公约或者细则的规定向社会曝光,将相关企业列入黑名单。但目前“12321”受关注度还不够高。
由于用户访问网站是个人行为,遭遇“劫持”后取证困难。很多时候,网民只能主动放弃投诉。
其次,是监管机构协同治理机制还不够完善。业内人士表示,当前我国对互联网企业实行属地管理,网络监管又涉及工信部、网信办、公安部等多个部门,这些部门的分工各有侧重,部门间协同治理还有待完善。
早在2006年,中国互联网协会制定了《抵制恶意软件自律公约》,公约第九条规定,尊重用户上网选择,反对浏览器劫持。这是我国较早涉及“流量劫持”的规范。
但治理“浏览器主页劫持”的行为,光有行业自律还不行。“必须要有底线意识,有法律和政府管理做支撑,与行业自律一起打出组合拳,才能形成长效机制。”黄澄清说。
实际上,我国目前已出台不少规范“浏览器主页劫持”等行为的法律规范。吴沈括介绍说,2017年6月实施的网络安全法第十条、第二十一条、第二十七条等规定,都从原则性的角度否定了“流量劫持”行为,但在实践中还需要更详细、可操作的条文。
“互联网发展引发许多新问题,对它们的认识和理解有一个过程,需要把握规范和发展的平衡,应该在深入调研的基础上出台相对应的法律法规,如此才更有效、更有操作性。”黄澄清说。
到底用什么办法治理?
加大监管力度,进一步健全和完善相关法律法规
源源不断的经济利益刺激,让“流量劫持”成为“野火烧不尽”的网络顽疾。有没有办法能够有效治理甚至根治?
专家认为,首先要进一步加强对“流量劫持”行为的监管与治理。
“加大对网站经营者、搜索引擎的监管力度,要鼓励其与网络黑色产业势力对抗,共同创造一个良好的互联网环境。”肖召红期待,工信部、网信办和公安部三部门应进一步加大协同治理的力度。同时让市场监管总局等相关部门也共同参与,互联网协会等行业协会应推动行业加强自律规范。
其次,亟须进一步健全和完善相关法律法规,让“流量劫持”治理有更详细的细则,从而指导实践,进一步加大处罚力度。
陆峰表示,我国现行法律法规在个人信息保护方面的有关规定原则性较强,缺乏具体的实施细则,企业操作的回旋空间还很大,仍需进一步细化。工业和信息化部有关负责人告诉记者,工信部正在加强政策研究,下一步将配合做好《个人信息保护法》立法工作,从操作性上细化法律法规要求,细化标准,如引导企业分场景获取用户明确授权,不“强制索权”等。
此外,受访专家也认为,要加强对最新网络犯罪问题的研判。吴沈括说,对一些高频次、有特点的网络安全案件,有必要以案例形式进行科普,提升认知。
胡钢认为,网络相关立法,特别需要坚持“速立频修”的原则,就是快速建立,频繁修订。“‘速立’解决‘有无’问题,‘频修’解决‘更好’问题,以及时响应快速变化中的各类问题。”