标签:
it评论用户体验软件立法道德消费者权益恶意软件后门木马不良行为功能 |
分类: IT评论 |
作者:网中一人
6月15日,中国互联网协会,而不是软件协会,公布了《“恶意软件定义”细则》。软件咋就归互联网协会管了呢?这本身就是一个挺有意思的事,自然是有它的道理的——毕竟,在不联网的机器上,病毒、蠕虫、后门、木马之类,更多都是一种“玩意儿”而已,而基于互联网,它们就有可能变成本世纪最有“发展前景”的黑产业。
定义软件本身或它的功能为恶意,是个高难、容易引起争议的事情,看起来,这份定义细则,是相当注重操作性的,现实针对性很强。所列出的八大方面,有一半是有关安装与卸载的。第一、二项是关于自身的安装和卸载,第六项是对其它软件的恶意卸载,而第七项“恶意捆绑”,与第一、二项关系也很密切。另外两个方面是针对上网时的常见不良软件行为:所谓“浏览器劫持”,以及和前者实际通常是关连的“广告弹出”。剩下一个是“恶意搜集用户信息”,最后再加上一个“其它”。本人阅读后有一些想法,大概归纳以下几点。
一、针对软件的不良行为及功能
这份细则直指“恶意软件”。也许,更需要针对软件的“不良行为”及“不良/不恰当功能”。软件太特殊了,十分需要对软件的行为建立一些准则,进行一些专门的立法。首先应该明确的也许就是软件开发/提供者要对软件的行为负责,虽然一些行为是程序的行为,但应当被明确看作是提供程序的人所预期的或计划的行为。需要对各种不良行为的共性进行一些归纳,并且与例如已有的“消费者权益保护法”等结合。此外,一个具有复杂功能的软件,其中有一些局部的不良行为,也没有必要或无法将整个软件列为恶意,但应该能够明确地辨别、拒斥或追究其不良行为或不良功能。
二、不是恶意的也可能是不良或应拒斥的
在细则中,普遍使用“恶意”这一限定词,这恰恰是最容易引起争议的,也许这正是进一步工作的要点。恶意有时是很难证明的,而对用户不利的状况,也不一定是一开始就决定的,也可以是“后起的”甚至后改的。比如“后门”功能,比如搜集用户信息及其滥用等等,都可具有这些特点。即使没有明显或立即的恶意,对用户知情权、选择权的侵犯,就应当属于不良行为。比如,基于网络的软件发布与持续更新,已经成为未来软件行为的一个主要特征,有必要针对这个过程上的不良行为加以研究和提示。
三、侵犯用户的选择权知情权是软件不良行为的主要特征
先稍微归纳一下,如:
- 用户不知道某些功能/行为的存在,或不存在一个合理的了解的渠道;
- 行为的发生不受用户支配,但它们会给用户造成某种影响或后果;
- 行为的结果用户不知道,或无法控制;
- 功能的修改、增删变化等用户无法干预,或很难干预;
- 利用用户迁移/转换的高成本,强迫用户接受不必要的功能或升级;
- 等等
对上述不良行为或功能的判断,其实首先可以由《消费者权益保护法》这样的基本法规中找到线索,例如:第八条“消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利。”第九条“消费者享有自主选择商品或者服务的权利。”,不管是否能辨别、确定“恶意”,侵犯了这两条,已经足够判断为“不良”,有足够的理由加以拒斥或追究。
四、用户知情权、选择权不容侵犯
细则的最后一项是“其它侵犯用户知情权、选择权的恶意行为”,参照上面的讨论,我认为这恰恰是最重要的,可以列为总则的部分。而其中“恶意”的提示不一定是必要的,关键就是:“用户知情权、选择权不容侵犯”。按照这一基本原则,用户不知道的后门预留或后门行为(不管是搜集信息,还是别的什么),都是不恰当的。
作为用户,对软件世界这种站在用户角度的难得努力,举双手支持,并且真诚希望,在垄断挟持和“黑”黑客觊觎之下惶惶恐恐的状况得到一些实质性的改变。
相关链接:
- “恶意软件定义”细则,中国互联网协会网站
- 中华人民共和国消费者权益保护法,红盾信息网