加载中…
个人资料
网中一人
网中一人
  • 博客等级:
  • 博客积分:0
  • 博客访问:1,299
  • 关注人气:1,303
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

也谈恶意软件定义细则

(2007-06-16 15:58:13)
标签:

it评论

用户体验

软件立法

道德

消费者权益

恶意软件

后门

木马

不良行为

功能

分类: IT评论
作者:网中一人
 
  6月15日,中国互联网协会,而不是软件协会,公布了《“恶意软件定义”细则》。软件咋就归互联网协会管了呢?这本身就是一个挺有意思的事,自然是有它的道理的——毕竟,在不联网的机器上,病毒、蠕虫、后门、木马之类,更多都是一种“玩意儿”而已,而基于互联网,它们就有可能变成本世纪最有“发展前景”的黑产业。
 
  定义软件本身或它的功能为恶意,是个高难、容易引起争议的事情,看起来,这份定义细则,是相当注重操作性的,现实针对性很强。所列出的八大方面,有一半是有关安装与卸载的。第一、二项是关于自身的安装和卸载,第六项是对其它软件的恶意卸载,而第七项“恶意捆绑”,与第一、二项关系也很密切。另外两个方面是针对上网时的常见不良软件行为:所谓“浏览器劫持”,以及和前者实际通常是关连的“广告弹出”。剩下一个是“恶意搜集用户信息”,最后再加上一个“其它”。本人阅读后有一些想法,大概归纳以下几点。
 
一、针对软件的不良行为及功能
 
  这份细则直指“恶意软件”。也许,更需要针对软件的“不良行为”及“不良/不恰当功能”。软件太特殊了,十分需要对软件的行为建立一些准则,进行一些专门的立法。首先应该明确的也许就是软件开发/提供者要对软件的行为负责,虽然一些行为是程序的行为,但应当被明确看作是提供程序的人所预期的或计划的行为。需要对各种不良行为的共性进行一些归纳,并且与例如已有的“消费者权益保护法”等结合。此外,一个具有复杂功能的软件,其中有一些局部的不良行为,也没有必要或无法将整个软件列为恶意,但应该能够明确地辨别、拒斥或追究其不良行为或不良功能。
 
二、不是恶意的也可能是不良或应拒斥的
 
  在细则中,普遍使用“恶意”这一限定词,这恰恰是最容易引起争议的,也许这正是进一步工作的要点。恶意有时是很难证明的,而对用户不利的状况,也不一定是一开始就决定的,也可以是“后起的”甚至后改的。比如“后门”功能,比如搜集用户信息及其滥用等等,都可具有这些特点。即使没有明显或立即的恶意,对用户知情权、选择权的侵犯,就应当属于不良行为。比如,基于网络的软件发布与持续更新,已经成为未来软件行为的一个主要特征,有必要针对这个过程上的不良行为加以研究和提示。
 
三、侵犯用户的选择权知情权是软件不良行为的主要特征
 
先稍微归纳一下,如:
  • 用户不知道某些功能/行为的存在,或不存在一个合理的了解的渠道;
  • 行为的发生不受用户支配,但它们会给用户造成某种影响或后果;
  • 行为的结果用户不知道,或无法控制;
  • 功能的修改、增删变化等用户无法干预,或很难干预;
  • 利用用户迁移/转换的高成本,强迫用户接受不必要的功能或升级;
  • 等等
  对上述不良行为或功能的判断,其实首先可以由《消费者权益保护法》这样的基本法规中找到线索,例如:第八条“消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利。”第九条“消费者享有自主选择商品或者服务的权利。”,不管是否能辨别、确定“恶意”,侵犯了这两条,已经足够判断为“不良”,有足够的理由加以拒斥或追究。

四、用户知情权、选择权不容侵犯
 
  细则的最后一项是“其它侵犯用户知情权、选择权的恶意行为”,参照上面的讨论,我认为这恰恰是最重要的,可以列为总则的部分。而其中“恶意”的提示不一定是必要的,关键就是:“用户知情权、选择权不容侵犯”。按照这一基本原则,用户不知道的后门预留或后门行为(不管是搜集信息,还是别的什么),都是不恰当的。
 
 
  作为用户,对软件世界这种站在用户角度的难得努力,举双手支持,并且真诚希望,在垄断挟持和“黑”黑客觊觎之下惶惶恐恐的状况得到一些实质性的改变。
 
相关链接:
网中一人,2006-06-16, 使用及传播请遵循本站版权许可说明

0

阅读 收藏 喜欢 打印举报/Report
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有