Cookies疑云牽出隱私爭論 網易否認第三方植入代碼

2013年03月21日 15:10
來源：新聞晚報 作者：秦川

0人參與0條評論

網易內部調查結果：第三方難窺用戶郵件

Cookies，這個此前鮮少被公眾視野所關注的網絡術語，究竟是安分守己的“小甜餅”，還是幫助竊密“臭蟲”繁殖的溫床？雖然3·15晚會早已落幕，但其所遺留的疑云，正將一場隱私爭論推向高峰。

昨天，記者從網易內部獨家取得的一份呈送通管局的報告顯示，盡管在網易的廣告銷售中不可避免會涉及到與第三方的合作，但其負責人否認了后者能從網易核心數據庫中獲取用戶信息的可能。

由Cookies引發的隱私擔憂將如何收尾，大數據的商業變現尺度又該如何規范？來自搜索引擎、SNS、電商業內的多位高管對記者表示，現階段的嘗試并不違法違規。

小甜餅還是洪水猛獸？

央視在今年3·15晚會上曝光稱，網易郵箱默認第三方營銷機構對其用戶Cookies的抓取，后者從中獲取大量隱私，甚至郵件內容也都能一覽無遺，以便更精準地投放廣告。

Cookies究竟是什么？大多數人可能只熟悉它 “小甜餅”的翻譯。事實上，Cookies是一項基礎網絡技術，也是一項標準協議規范，使用時間已有十幾年。目前大部分互聯網服務都依賴于Cookies技術，比如郵箱、微博、社交服務的登陸，以及電商網站購物等等。

1993年時，Cookie的誕生就是出于網站可以快速的識別用戶身份，提高網民的上網效率，并沿用至今。比如在淘寶將商品加入購物車后，即使你關掉窗口點進另一個商品頁面，之前購物車里的寶貝也不會消失；或是在某網站看了幾篇新聞后，還會看到網站給你推薦的“猜你喜歡”內容。

“如果用戶還是認為Cookies是洪水猛獸，用戶信息的泄露或售賣應該歸咎于它，那真的誤會了。 ”Opera歐朋瀏覽器CEO宋麟稱，作為一項技術本身，Cookies只能記錄用戶提供給特定網站的簡單信息，經過嚴格加密；而且只有用戶提交給的那個特定網站才能訪問，其他任何人均看不到。比如用戶在淘寶的購物信息，是絕對無法被京東商城讀取的。

截至昨天，已有多位IT業者公開表示出對Cookies的無罪力挺，甚至就此話題進行了長篇累牘的辯論。“技術本身不應承擔責任，我們需要的是通過明確的立法來規范非法濫用技術的行為。 ”宋麟的觀點，或許代表了目前較為主流的意見。

網絡臭蟲的溫床隱憂

Cookies的初衷或許是安全無害的，但在錯綜復雜的互聯網產業鏈中，它能否獨善其身嗎？

“闌尾是個頗有爭議的人體器官，當它正常的時候，可能并不引人注意。可是當一些致病的情況出現，闌尾炎將會給人體帶來巨大的痛苦。 ”360首席隱私官譚曉聲認為，這和Cookies在未被用戶知情下被“網絡臭蟲”采集利用的情況非常相似。

在安全行業看來，Cookies中保存的用戶名、密碼等個人敏感信息由于經過加密，的確很難將其反向破解。 “但這并不意味著絕對安全。”譚曉聲說，黑客可通過構造一個有XSS (跨站腳本攻擊)漏洞的網頁，然后利用惡意腳本欺騙目標服務器，就可以直接盜取網站管理員的網站后臺登陸Cookie，最后控制整個網站。

譚曉聲坦言，Cookies會被一些有商業企圖的機構在用戶并不知情的情況下，采集并加以商業運作，這便是業內所稱的“網絡臭蟲”。

說到網絡臭蟲，就不能不介紹它的工作原理。“某些公司會在用戶常訪問的網頁上放個1像素大小的圖片，肉眼很難察覺。它通過獲取Cookies來獲知用戶的瀏覽習慣，看似簡單粗暴，其實是在跨站跟蹤。”譚曉聲說，在統計分析上述個人信息后，一些營銷公司就可以向用戶精準投放廣告，或者再向其他需要這些個人信息的公司二次出售牟利。

網易否認第三方植入代碼

出于眾多內外原因，網易在遭央視曝光后只發了兩份短短的聲明。對于“用戶郵件內容可隨意偷窺”一說，也始終沒有拿出過硬的證據反駁，近將其歸咎為銷售人員的夸大其詞。

但記者昨天從網易內部獲悉，目前通信管理局等多個部委已要求其就此事出具說明，而初階段的調查報告也已完成。

記者獲取的上述報告顯示，根據網易內部調查人員所述，其郵箱Cookies在設計時就不允許跨域訪問，并且要求在使用Cookie時盡量設置在子域或子路徑，以避免Cookie讀取權限擴散。同時，對于Cookie有效時長和字節數的限制、設置備案和審批，以及用戶信息安全校驗，均保持在可控的合規范圍內。

急待網易自證清白的是，其公司內部是否存在對第三方安插代碼“睜一只眼、閉一只眼”的問題？而其內部報告強調，雖然網易“為用戶提供不計其數的網絡互動活動”，但通過Cook-ie記錄的信息部包括身份證號、銀行卡賬號等隱私數據。同時，向第三方開放的行為堅絕不被允許。

“盡管在網易的廣告銷售中不可避免會涉及到與第三方公司的合作，但第三方公司絕不可能收集到網易站內的用戶信息的，包括用戶在注冊使用某些產品時提交的年齡、收入等信息。這些信息都密文存儲在公司的核心數據庫中，第三方公司是不可能訪問到的，且即使訪問到也只能得到密文，無法獲取用戶信息。 ”網易內部人士稱。

大數據和隱私的邊界模糊？

事實上，基于Cookies的精準營銷行為已在我們身邊無所不在。從淘寶、百度的廣告聯盟，到Gmail等郵箱的智能廣告推送，在企業加速大數據商業化變現的同時，隱私的尺度也變得愈發模糊。

“我之前在淘寶上搜了下內衣，結果第二天在辦公室用筆記本電腦時，很多網站頁面廣告都推送的是各種性感內衣圖片，讓我非常尷尬。 ”白領Ann告訴記者，她很納悶，為何自己在搜索引擎或購物網站搜過的商品，很快就會被其他網站所知曉，并“貼心”地打出一大堆類似的廣告。

“現在的廣告聯盟代碼很智能化，在你打開網站的同時會檢測你的Cookies信息，比如瀏覽過什么網站、搜索過什么商品，然后自動匹配、調用對應廣告，實現精準定位。 ”一位電商人士告訴記者，雖然他認為這對廣告商和用戶都是有利的，但的確還是有許多用戶無法接受這種行為。“如果實在討厭，建議你定期清除一下Cookies。 ”

譚曉聲直接舉例稱，現在一些第三方廣告聯盟的代碼使用范圍很廣。這就造成用戶在A網站搜索了一個關鍵字后，當他繼續訪問B網站，由于B網站也使用了同一家的第三方廣告代碼，就可以直接從Cookie中獲取用戶在A網站搜索行為，進而展示更精準的推廣廣告。 “比如搜索‘糖尿病’等醫療關鍵詞，再訪問另一家網站，可能頁面會立刻出現糖尿病治療廣告，這無疑是對用戶隱私的泄露。 ”

某搜索引擎的銷售人員曾如此向廣告主自我推銷：“我們為每一個網民都建立了個人檔案卡，存儲曾經的歷史搜索行為。我們知道用戶曾經在哪天哪秒想得到什么，繼而可以分析出用戶的生活方式，這就是個不斷更新的消費者欲求檔案庫！ ”

搜狗CEO王小川此前曾向記者透露，搜狗希望發布一套基于數據挖掘的“探索引擎”系統。譬如當網民在網上購物時，瀏覽器可自動通過浮動彈框的形式，將其它網站的價格、用戶評價、優惠券等相關信息主動推送。

可令一些用戶煩躁的是，如果我并不想讓瀏覽器的后臺服務器記錄我買過什么，這是否侵犯了個人隱私？王小川的回答很豪邁：“只要你用它 (搜索引擎)的服務就要曝露隱私，不可避免，除非你不用。我們也不會侵犯用戶隱私，有法律管著。 ”

而百度CTO王勁則向記者表示，用戶不必反應過激。 “雖然百度會分析用戶的搜索關鍵詞、搜索時間、頻率等等信息，但我們只根據全網的宏觀數據分析出結論，不針對個人。 ”

對于將用戶數據用作商業變現的敏感話題，騰訊網總編輯陳菊紅給出了和百度類似的答案。“每個用戶在網上會留下很多痕跡，但只有你顯性地表示喜歡，我們才會搜集，且上述信息絕不會透露給第三方廣告主。此外，當下技術很難對單個用戶進行分析，更多的是群體性地歸納和提煉。”她此前接受采訪時解釋稱。

目前，國際互聯網聯盟已經提出了“禁止跟蹤”標準，禁止網站采用跨站跟蹤和Cookie跟蹤等手段收集用戶上網行為數據。都由于不具有法律效力，這仍需各網站自覺遵守，而目前IE10、360等瀏覽器也已推出了“禁止跟蹤”功能供用戶選擇。

“到底是Cookies本身是洪水猛獸，還是將濫用Cookies技術的廠商才是洪水猛獸，我想大家都有答案。 ”宋麟說。

打印轉發