|
去年北京网络协会一声炮响,轰出了国内十大流氓软件排行榜,接开了反流氓软件序幕,而今年奇虎力推360安全卫士的营销活动,却最终成了“反流”导火索,伴随几个月的口水、漫骂、争议、诉讼之后,到底应该采用何种模式对流氓软件进行终极监管仍旧没有公论,近日,中国互联网协会通过行业自律方式,组织30余家互联网从业机构共同研究起草的“恶意软件定义(征求意见稿)”正式对外公布,并从11月8-20日向社会公开征求意见,将“反流”运动推上了一个台阶。
由于囿于具体的特殊国情,行业协会多少具有半官方色彩,与国外纯粹的NGO(非政府组织)还是有本质区别,这也就意味着该定义很可能在今后的立法中被官方立法机构借鉴或采用。根据定义,“流氓软件”一称呼被改为“恶意软件”,似乎是有意将情绪化的“流氓”一词淡化,更强调软件厂商的主观恶性判断,这是规则制定与提升的一大进步。行业协会认为恶意软件是:在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。
该定义是一个概括式叙事,至少包含以下几层意思:首先,判断某软件是否是恶意软件,必须从改软件厂商推广该软件是否存在主观恶意,即是否未明确提示用户或未经用户许可入手;其次,恶意软件寄生的终端不仅仅局限于计算机,而且包括其它能够运行软件的终端,例如手机、MP4、商务通等;再次,恶意软件最终伤害的社会法律关系是受法律保护的用户合法权益;最后,将恶意软件与病毒相互区分,这是由于《计算机病毒防治管理办法》等相关法规已经对病毒的定义、特征及相关惩处做了规定。
在概括式定义之后,随即又以列举方式描绘出八类被网民痛恨的恶意软件行为表现形式:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑、其他侵犯用户知情权、选择权的恶意行为,并对各种行为进行了解释,概括+列举(同时在列举中包含兜底条款)的定义方法是各国在立法中进行定的惯用方法,其优点毋庸多言。
从最后一项“其他侵犯用户知情权、选择权的恶意行为”规定来看,行业协会认为恶意软件仅仅侵犯了用户两种合法权益:知情权、选择权,恶意软件果真就局限于侵犯用户这两类权益吗?我们知道,恶意软件实质侵犯的用户权益绝对不止知情权、选择权两类,很明显强制安装、难以卸载、浏览器劫持、广告弹出等行为都会耗用计算机资源,都或多或少存在侵犯用户财产权的嫌疑,而恶意收集用户信息则是典型的侵犯隐私权或人格权的行为,至于恶意卸载行为,严重了就可能违反刑法,构成非法入侵、破坏计算机信息系统罪,这是该定义不足之一。
除此之外,仅仅有一个定义,是不够的,顶多将以前网民自我判断的“流氓软件”成为换成了“恶意软件”标签,如果没有一个严格有力的监督执行、违反惩罚机制,则仍旧改变不了恶意软件屡屡侵犯用户权益的现状,中国互联网协会秘书长黄澄清认为,民间人士定义“流氓软件”,由于缺乏法律效力和公信力,很难受到厂商认可。这似乎在暗示行业协会定义的优点,据悉恶意软件定义最终版确认后,行业协会将组织成员单位签署并发布《抵制恶意软件自律公约》,设立反恶意软件举报电话,组织会员单位和各省互联网协会会员单位开展抵制恶意软件的自查自纠行动,并根据恶意软件的标准特征组织成员单位开发查杀工具。
这最终又回复到行业协会自律软约束机制在当下到底有多大价值或意义的讨论上,行业协会倡导的自律靠的是商家内心自省,是一种成本最低的反恶意软件治理方式,但是在一个商业社会,尤其是在国内互联网还天天为怎么活下去考虑的今天,行业协会的软约束常常会成为一个牌坊,立起来容易,却没人来参拜,难道通过行业协会搞出来的大大小小的“自律公约”还少吗?但有多少最终产生了实质威慑力?又有多少公约成员在今后的行为中认真履行了自己的承诺?这或许也是值得行业协会思考。但无论如何,行业协会首先打破流氓软件无定义之先河,值得肯定。
| 
