新闻晚报 作者:秦川
网易内部调查结果:第三方难窥用户邮件
Cookies,这个此前鲜少被公众视野所关注的网络术语,究竟是安分守己的“小甜饼”,还是帮助窃密“臭虫”繁殖的温床?虽然3·15晚会早已落幕,但其所遗留的疑云,正将一场隐私争论推向高峰。
昨天,记者从网易内部独家取得的一份呈送通管局的报告显示,尽管在网易的广告销售中不可避免会涉及到与第三方的合作,但其负责人否认了后者能从网易核心数据库中获取用户信息的可能。
由Cookies引发的隐私担忧将如何收尾,大数据的商业变现尺度又该如何规范?来自搜索引擎、SNS、电商业内的多位高管对记者表示,现阶段的尝试并不违法违规。
小甜饼还是洪水猛兽?
央视在今年3·15晚会上曝光称,网易邮箱默认第三方营销机构对其用户Cookies的抓取,后者从中获取大量隐私,甚至邮件内容也都能一览无遗,以便更精准地投放广告。
Cookies究竟是什么?大多数人可能只熟悉它 “小甜饼”的翻译。事实上,Cookies是一项基础网络技术,也是一项标准协议规范,使用时间已有十几年。目前大部分互联网服务都依赖于Cookies技术,比如邮箱、微博、社交服务的登陆,以及电商网站购物等等。
1993年时,Cookie的诞生就是出于网站可以快速的识别用户身份,提高网民的上网效率,并沿用至今。比如在淘宝将商品加入购物车后,即使你关掉窗口点进另一个商品页面,之前购物车里的宝贝也不会消失;或是在某网站看了几篇新闻后,还会看到网站给你推荐的“猜你喜欢”内容。
“如果用户还是认为Cookies是洪水猛兽,用户信息的泄露或售卖应该归咎于它,那真的误会了。 ”Opera欧朋浏览器CEO宋麟称,作为一项技术本身,Cookies只能记录用户提供给特定网站的简单信息,经过严格加密;而且只有用户提交给的那个特定网站才能访问,其他任何人均看不到。比如用户在淘宝的购物信息,是绝对无法被京东商城读取的。
截至昨天,已有多位IT业者公开表示出对Cookies的无罪力挺,甚至就此话题进行了长篇累牍的辩论。“技术本身不应承担责任,我们需要的是通过明确的立法来规范非法滥用技术的行为。 ”宋麟的观点,或许代表了目前较为主流的意见。
网络臭虫的温床隐忧
Cookies的初衷或许是安全无害的,但在错综复杂的互联网产业链中,它能否独善其身吗?
“阑尾是个颇有争议的人体器官,当它正常的时候,可能并不引人注意。可是当一些致病的情况出现,阑尾炎将会给人体带来巨大的痛苦。 ”360首席隐私官谭晓声认为,这和Cookies在未被用户知情下被“网络臭虫”采集利用的情况非常相似。
在安全行业看来,Cookies中保存的用户名、密码等个人敏感信息由于经过加密,的确很难将其反向破解。 “但这并不意味着绝对安全。”谭晓声说,黑客可通过构造一个有XSS (跨站脚本攻击)漏洞的网页,然后利用恶意脚本欺骗目标服务器,就可以直接盗取网站管理员的网站后台登陆Cookie,最后控制整个网站。
谭晓声坦言,Cookies会被一些有商业企图的机构在用户并不知情的情况下,采集并加以商业运作,这便是业内所称的“网络臭虫”。
说到网络臭虫,就不能不介绍它的工作原理。“某些公司会在用户常访问的网页上放个1像素大小的图片,肉眼很难察觉。它通过获取Cookies来获知用户的浏览习惯,看似简单粗暴,其实是在跨站跟踪。”谭晓声说,在统计分析上述个人信息后,一些营销公司就可以向用户精准投放广告,或者再向其他需要这些个人信息的公司二次出售牟利。
网易否认第三方植入代码
出于众多内外原因,网易在遭央视曝光后只发了两份短短的声明。对于“用户邮件内容可随意偷窥”一说,也始终没有拿出过硬的证据反驳,近将其归咎为销售人员的夸大其词。
但记者昨天从网易内部获悉,目前通信管理局等多个部委已要求其就此事出具说明,而初阶段的调查报告也已完成。
记者获取的上述报告显示,根据网易内部调查人员所述,其邮箱Cookies在设计时就不允许跨域访问,并且要求在使用Cookie时尽量设置在子域或子路径,以避免Cookie读取权限扩散。同时,对于Cookie有效时长和字节数的限制、设置备案和审批,以及用户信息安全校验,均保持在可控的合规范围内。
急待网易自证清白的是,其公司内部是否存在对第三方安插代码“睁一只眼、闭一只眼”的问题?而其内部报告强调,虽然网易“为用户提供不计其数的网络互动活动”,但通过Cook-ie记录的信息部包括身份证号、银行卡账号等隐私数据。同时,向第三方开放的行为坚绝不被允许。
“尽管在网易的广告销售中不可避免会涉及到与第三方公司的合作,但第三方公司绝不可能收集到网易站内的用户信息的,包括用户在注册使用某些产品时提交的年龄、收入等信息。这些信息都密文存储在公司的核心数据库中,第三方公司是不可能访问到的,且即使访问到也只能得到密文,无法获取用户信息。 ”网易内部人士称。
大数据和隐私的边界模糊?
事实上,基于Cookies的精准营销行为已在我们身边无所不在。从淘宝、百度的广告联盟,到Gmail等邮箱的智能广告推送,在企业加速大数据商业化变现的同时,隐私的尺度也变得愈发模糊。
“我之前在淘宝上搜了下内衣,结果第二天在办公室用笔记本电脑时,很多网站页面广告都推送的是各种性感内衣图片,让我非常尴尬。 ”白领Ann告诉记者,她很纳闷,为何自己在搜索引擎或购物网站搜过的商品,很快就会被其他网站所知晓,并“贴心”地打出一大堆类似的广告。
“现在的广告联盟代码很智能化,在你打开网站的同时会检测你的Cookies信息,比如浏览过什么网站、搜索过什么商品,然后自动匹配、调用对应广告,实现精准定位。 ”一位电商人士告诉记者,虽然他认为这对广告商和用户都是有利的,但的确还是有许多用户无法接受这种行为。“如果实在讨厌,建议你定期清除一下Cookies。 ”
谭晓声直接举例称,现在一些第三方广告联盟的代码使用范围很广。这就造成用户在A网站搜索了一个关键字后,当他继续访问B网站,由于B网站也使用了同一家的第三方广告代码,就可以直接从Cookie中获取用户在A网站搜索行为,进而展示更精准的推广广告。 “比如搜索‘糖尿病’等医疗关键词,再访问另一家网站,可能页面会立刻出现糖尿病治疗广告,这无疑是对用户隐私的泄露。 ”
某搜索引擎的销售人员曾如此向广告主自我推销:“我们为每一个网民都建立了个人档案卡,存储曾经的历史搜索行为。我们知道用户曾经在哪天哪秒想得到什么,继而可以分析出用户的生活方式,这就是个不断更新的消费者欲求档案库! ”
搜狗CEO王小川此前曾向记者透露,搜狗希望发布一套基于数据挖掘的“探索引擎”系统。譬如当网民在网上购物时,浏览器可自动通过浮动弹框的形式,将其它网站的价格、用户评价、优惠券等相关信息主动推送。
可令一些用户烦躁的是,如果我并不想让浏览器的后台服务器记录我买过什么,这是否侵犯了个人隐私?王小川的回答很豪迈:“只要你用它 (搜索引擎)的服务就要曝露隐私,不可避免,除非你不用。我们也不会侵犯用户隐私,有法律管着。 ”
而百度CTO王劲则向记者表示,用户不必反应过激。 “虽然百度会分析用户的搜索关键词、搜索时间、频率等等信息,但我们只根据全网的宏观数据分析出结论,不针对个人。 ”
对于将用户数据用作商业变现的敏感话题,腾讯网总编辑陈菊红给出了和百度类似的答案。“每个用户在网上会留下很多痕迹,但只有你显性地表示喜欢,我们才会搜集,且上述信息绝不会透露给第三方广告主。此外,当下技术很难对单个用户进行分析,更多的是群体性地归纳和提炼。”她此前接受采访时解释称。
目前,国际互联网联盟已经提出了“禁止跟踪”标准,禁止网站采用跨站跟踪和Cookie跟踪等手段收集用户上网行为数据。都由于不具有法律效力,这仍需各网站自觉遵守,而目前IE10、360等浏览器也已推出了“禁止跟踪”功能供用户选择。
“到底是Cookies本身是洪水猛兽,还是将滥用Cookies技术的厂商才是洪水猛兽,我想大家都有答案。 ”宋麟说。
文章来源:凤凰财经