对话嘉宾：

　　腾讯桌面安全产品部副总经理 吴波

　　网秦首席安全官 严挺

　　金山安全反病毒专家 李铁军

　　中国互联网最具火药味的焦点不是搜索，也不是即时通信，而是安全。此前有媒体报道，试图将国内某软件公司作恶隐秘链条揭示在世人面前，然而，在这背后的更多的是厂商之间的博弈和商业良心的讨论。

　　3月初，“3.15剑指流氓软件 网民隐私保护和软件良性发展研讨会”在北京举行。虽然并未像此前预告的那样，会有诸多安全厂商参与，但是值得注意的是，在隔壁房间，另一个业界讨论会也在召开，主办方则是奇虎360。

　　为了了解安全是如何对用户产生影响的，《通信世界》就此采访了几家安全厂商相关负责人。

　　《通信世界》：文件扫描的过程备受争议，软件在执行这个操作的时候是否扫描了用户的文件内容?

　　吴波：在杀毒过程中，扫描文件是不会对文件的内容进行扫描的。比如word宏病毒，在扫描的时候是直接定位到word文件中宏的部分并进行解析，不会扫描其中的明文内容。

　　严挺：通常在杀毒、清理内存时并不需要扫描文件内容，而是根据特征文件进行扫描，这不会涉及到用户的隐私。以电子书IReader为例，在查杀病毒的过程中，在扫描过程中不会扫描书的内容，只是根据安全的特征文件进行扫描看是否是恶意软件，以确定该软件是否安全。其文件和电子书内容文件是分开的。

　　《通信世界》：收集用户使用信息有哪些作用?如何辨别正常上传与窃取用户隐私?

　　吴波：我们不会收集用户个人的隐私信息，如信用卡，上网记录、购物内容等;对于安全软件本身的使用，如问题和建议、使用的时长等我们会显式询问用户，征得他们同意的情况下来上传后台服务器，最终用于产品的改进和提高，但是这里不会涉及到用户个人的隐私和身份信息，更多是一种统计上的数据分析。

　　严挺：如果网友愿意帮助改善产品做上传，可以自行根据个人意愿自由选择。事实上，工信部对此也提出了明确的要求，即生产企业不能在移动终端中安装含有恶意代码的软件;不得安装未向用户明示并经用户同意就擅自收集、修改用户个人信息的软件;不得安装未向用户明示并经用户同意，擅自调用终端通信功能，造成流量耗费、费用损失、信息泄露等的软件。

　　网秦会遵循“最小特权原则”，不会涉及保护用户安全无关的个人隐私，给予软件“必不可少”的特权，把选择权给用户，保证其能完成相应的任务。

　　李铁军：流氓软件的上传通道是有特别的加密，在实际中，我们抓到了很多这样的后门，或者是恶意的广告插件都具备这样的功能，它的地址会经常变更，所以有些信息你必须要反复的追踪之后才能把它破解，这与一般的安全软件上传信息的规律并不相同，用户很难察觉。

　　《通信世界》：安全厂商应当如何监督?是否需要政府介入?

　　吴波：安全厂商需要监督。可以由政府出面，制定一系列详细的关于用户隐私数据的收集、使用、公布等环节的规范和准则，对企业的行为进行必要的审查，并建立一套行之有效的惩罚机制，完善这方面的法律，这样才能真正对部分无良企业起到有效的约束。

　　严挺：一般而言，个人信息获得者必须明确在获取个人信息时，要明确告知用户，个人信息的收集方式和手段、收集的具体内容和留存时限、使用范围、被收集后的个人信息保护措施、个人信息主体的投诉渠道等。如果要将个人信息转移或委托于其他组织和机构时，也必须向用户明确告知转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。而这些能否落实到位，除了企业自律外，关键都在于有法可依，要让企业的行为在一定的规则内行事，才能最大程度上保护用户的隐私信息。

　　目前，工业和信息化部正在推动信息安全条例，其中就包含了隐私问题，强调了顶层设计。政府机构并不是对隐私问题不关注，实际上是越来越关注，而且将来在法律、司法、生活习惯等方面越来越多地关注隐私保护和企业自律。

　　此外，中国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2月1日起开始实施，该标准有望在个人信息收集和利用方面给出一定的规范。但如何具体落实，执行力度是否到位，还需时间检验。