使用软件的间接损失
作为中国网民使用率最高的互联网业务,电子邮件和搜索引擎已经成为人们的互联网生活中不可或缺的一部分,电子邮件更是常常扮演“秘密口袋”的角色。2006年8月,因搜索引擎搜出个人电子邮件,致使提供搜索服务的百度公司和电子邮件服务商中国万网被告上了法庭,此案虽至今仍无定论,却引发了业内新一轮的争论。
一边是网民的切身利益,一边是互联网业务发展的客观进程,二者一旦出现矛盾,该如何调和?目前已有的法律,又是否适用于正在发展的中国互联网产业?就此,记者走访了相关的法律专家,就电子邮件安全进行深入剖析。
技术发展客观进程:躲不开的风险
中国反垃圾邮件专家,高级网络安全咨询顾问专家陈勇先生在接受记者采访时强调,除了病毒和协议,鉴于技术发展的客观进程,所有的软件和互联网服务都存在潜在风险。
陈勇表示,虽然此案仍未定音,但其所产生的波及力是巨大的,“目前国内互联网软件业与国际接轨,遵循的是国际规则,按照国际惯例,软件的相对安全性使得提供商们不会对用户的间接损失负责,如果间接损失赔偿的案例一旦成立,那么整个软件业将遭到颠覆。”
陈勇所提到的间接损失,指的是用户在使用某款软件时,由于软件的某种缺陷造成的非直接损失,他认为,组成互联网的有两大部分,一部分是硬件设施,另一部分就是软件。由于软件在开发的时候,无论是研发技术本身缺陷还是标准协议的欠缺,在用户使用的过程中,难免会出现各种各样的问题,因此软件行业有一个惯例,就是只负责用户的直接损失,而不负责间接损失,比如软件坏了,软件服务商可以为其提供更换或重装服务,但是用户因此丢失了的文件,服务商并不负责。用户愿意使用这种软件,等于接受了软件本身潜在的风险,所以像微软这样的软件巨头,都会在安装协议里注明,只要微软提供了正常的服务,那么用户在使用过程中造成的所有间接损失,微软并不对此负责,这一协定受到美国法律的保护。国内软件业借鉴了国际经验,其实,谁也不敢去负责用户的所有损失。
具体到我们日常工作生活中常常使用的电子邮件,其安全问题就显得更加复杂,陈勇告诉记者,若某位用户发送邮件出现泄露,其中有很多环节都有可能导致邮件内容泄露事件的发生,如用户端机器上有木马,或路由上某个路由器被监听,或服务器被监听,以及收、发邮件服务器有安全漏洞等,搜索引擎往往会把这些漏洞放大,比如仅仅出现几分钟甚至几秒钟的临时文件,如果被搜索引擎抓出来挂到网上,可能会变成好几个星期!除了以上提到的原因,还有一个更大的原因是HTTP、SMTP协议本身就有很多漏洞,协议是不能轻易改变的,这种既成的事实导致很多问题。
邮件四环节:危险存于每一环
曾对反垃圾邮件法做过深入研究的清华大学法学院副教授赵晓力向记者介绍了电子邮件被泄露的全过程。
据赵晓力介绍,一个电子邮件要成功传输,有四条必经之路:发件客户端(即发信人的电脑)、发件服务器(即发件人使用的邮件服务器,如新浪邮箱服务器)、收信服务器(即收件人使用的邮件服务器,如新浪邮箱服务器)、收件客户端(即收信人的电脑)。
根据赵晓力的介绍,邮件泄露不外乎几种情况,分别发生在上述的四条必经之路上。在发信人和收信人的客户端上,有两种情况会导致邮件内容泄露:
1. 邮件误发:即由于发信人的疏忽,将邮件发送给其他人,导致信息泄露。
2. 病毒:发信人和收信人的电脑上如果有病毒,尤其是蠕虫病毒,也会导致信息泄露。病毒随时会将电脑上的敏感信息发往特定的地址,导致泄露,你要发送的私密邮件也许也不能幸免。
在邮件服务器上,也有邮件被泄露的风险存在:赵晓力教授举了一个简单的例子,如果你不习惯使用outlook、foxmail等形式的客户端发件系统,而习惯使用在网页上直接登陆邮箱,由于WEB本身的安全性不高,那么邮件泄露的可能性会大大增加。据赵晓力介绍说,搜索引擎在搜索网页时,会首先读取该网站服务器上的robots.txt文件(如google的robots.txt地址为www.google.com/robots.txt),该文件列出该网站允许搜索和不允许搜索的条目,搜索引擎根据该协议来搜索内容。搜索引擎如果没有按照协议来搜索,就有可能导致邮件服务器上一些不该被搜索到的内容被搜索到。针对这点,赵晓力教授特别强调:为了保证用户的切身利益,邮件服务器和网上银行系统上的缓存服务器是不应该被搜索的。
由于存在上述多种泄漏渠道,如果客户的邮件被泄露,很难判断究竟是从哪里泄漏的。一般客户都会当然地想到是邮件服务商的责任,而往往忽略了自身原因,比如客户端存在蠕虫病毒或采用网页形式收发邮件等原因。
谁为邮件安全买单
谁来买单
在客户端加装防毒软件并每日更新,以及多使用客户端(outlook、foxmail等)收发邮件
根据以上两位专家的介绍,邮件安全似乎成为一道无解的难题,了解了邮件工作的基本原理后,作为普通的网民,在使用邮件的过程中,我们不免多了几份担心。
在客户端加装防毒软件并每日更新,是保证客户端不会自身泄漏的重要方式。
另外,赵晓力教授在记者采访时给网民们支了一招:要使自己的邮件不被搜索引擎搜索到,建议大家多使用客户端(outlook、foxmail等)收发邮件,尽量不要在公共计算机或采用网页形式收发邮件。
而陈勇更是直言:从技术层面谈邮件安全,我们往往会遇到“道高一尺,魔高一丈”的处境,如果要做到比较高的安全程度,不但需要软件服务提供商的安全维护,也需要用户提高安全意识。对邮件服务提供商来说,需要不断地给漏洞打补丁以更加完善,而用户也需要提高安全意识,应该学会习惯给自己的重要文件加密,并备份存储。
两位专家对邮件安全也做出了一些自己的建议:
陈勇表示,作为普通的网民来说,除了自身的防护措施做好,一旦出现问题,主要应该引起厂商的关注,督促厂商来解决。有几件事情是可以做的:首先,促成行规,搜索引擎不应该去搜索一些事关隐私的东西,如个人网上银行系统和邮件系统;其次邮件厂商应该采用更加安全的技术去逐步完善系统;再次,再一次提醒广大网民,重要的文件请加密后再发送;其四是软件厂商可以推出更方便的带加密功能的邮件客户端软件或Web界面。
赵晓力则更加关注一旦出现问题后,如何尽快补救:
“我们国家对通信秘密的立法是比较完善的,宪法第四十条规定,公民通信自由和通信秘密受法律保护,任何组织或个人不得以任何理由侵犯公民的通信自由和通信秘密,公民的通信,他人不得隐匿、毁弃、拆阅或者窃听。当电子邮件普及后,宪法的这项条款仍然适用于电子邮件。”清华大学法学院副教授赵晓力在谈到电子邮件的私秘性时,特别强调:“信息产业部颁发的《互联网电子邮件服务管理办法》中的第三条也沿用了宪法的第四十条。”
但是赵晓力认为,虽然通信秘密的立法有法可依,但一旦出现问题,仍然没有一套相应的制度:“一旦发现自己的信息被挂在网上,我们可以借鉴信息网络传播权的‘通知和反通知’制度,即搜索引擎收集到的版权人不希望被收录的网页,版权人可以通知把它撤下,如过通知有误,可以重新通知搜索引擎收录,完善的通知和反通知制度可以将邮件秘密被公开的网民损失减到最低程度。”
“我个人认为互联网立法要快,并不一定要追求一步到位,都要全国人大来通过,那样太慢,不完备可以慢慢完善,并且随着技术的发展,一些昨天出现的问题今天已经不存在了。”赵晓力最后总结道。
由于技术进步带来的新的立法问题,对于普通网民显然是有些遥远的,也许从此案件中我们可以得到一些启示:在我们为互联网改变了我们的生活,丰富了我们的人生而欢呼雀跃的同时,也要随时利用自己所能掌握的技术,看住自己的“秘密口袋”。
新闻回放:
2006年8月,杭州的一位律师发现自己的私人电子邮件内容能通过百度搜索被公开查阅时,将提供搜索服务的百度公司和电子邮件服务商中国万网告上了法庭。此案的原告在2006年8月中旬偶然发现,通过百度搜索可以找到自己在一个月前发出的一封私人邮件,利用“百度快照”,竟然还能看到这封邮件。
该律师以公民使用互联网电子邮件服务的通信秘密受法律保护,但电子邮件服务商没有依法确保邮件的安全,百度公司又非法对他人的电子邮件内容提供链接为由向杭州市萧山区人民法院提起诉讼,要求对方在各自的网站首页上连续30天就此事刊登致歉声明,公开赔礼道歉。目前此案已经移交北京法院审理,仍未审判。