22条认定标准、3家第三方测评机构名单———本月中旬,认定标准明显细化了的《“恶意软件定义”细则》终于出炉,这是中国互联网协会首次公布界定恶意软件具体办法。
与此前企业、民间团体拟定的界定办法相比,该细则带有的官方协会特殊属性,使得杀毒商“今后能对恶意软件查杀将有据可依”的梦想似乎成为了现实。
厮咬的利益博弈
从去年下半年开始轰轰烈烈兴起的“反恶意软件运动”,到最后演变成了厂商以及民间团体之间的诉讼纠纷或是“口水仗”———由于恶意软件在法律层面并没有定义,为了弥补这一缺位,反流氓软件联盟公布过界定特征,奇虎公司推出过认定标准,瑞星、安博士这些杀毒厂家也都在按照自己的标准查杀恶意软件……在错综复杂的利益影响下,多方角逐恶意软件定义权的格局,也使得反恶意软件运动越来越混乱。
究竟谁才有权定义恶意软件?
这一点,既是“混乱之源”,也是这场运动贯穿始终的“死穴”。
互联网协会高调出击
去年年底,在恶意软件一事上久不作声的中国互联网协会终于按捺不住了,开始宣布要制订界定恶意软件的办法、成立反恶意软件认定委员会,随后草拟了强制安装、难以卸载、劫持浏览器等8大认定标准,并向社会各界征求意见。而此次公布的细则,就是对之前8大认定标准的细化,以及些许更正。
譬如,原来“在未明确提示用户或未经用户许可,在用户计算机或其他终端上安装软件的行为即为恶意软件”的认定现象,这次细化成“在安装过程中未提示用户;在安装过程中未提供明确的选项供用户选择”等多种情况。
在公布认定细节之后,互联网协会还公布了信息产业部电信传输研究所、北京信息安全检测中心和北京邮电大学信息安全中心三家第三方恶意软件测评机构,这些均为信产部的事业单位负责对被举报软件进行测评并出具测评报告;6月27日,互联网协会又紧锣密鼓公布了《反恶意软件认定委员会章程》,组成该委员会的26名委员负责确定某款软件是否符合恶意软件定义特征,并提供决策性意见。
来头颇有讲究的测评机构、细密详尽的辅助章程……很显然,互联网协会希望通过出台的这一系列政策,把恶意软件定义权牢牢掌握在自己手中———然而,最重要的问题出现了:这个细则能否在法律层面上产生威慑作用?
细则约束力尚成疑问
“依旧是个问号!”6月28日,反流氓软件联盟的发起人董海平告诉记者,尽管互联网协会具有政府背景,但毕竟还是个民间机构,所以此细则仅仅是其内部对恶意软件的定义,顶多对于互联网协会下属的会员企业有制约效力,在具体的诉讼纠纷中,法院肯定不会采信。
事实上,互联网协会当初颁布8大标准后,就发生过数起尴尬事:在法院审理的恶意软件纠纷案件中,即使承认了某软件确实违反了互联网协会的恶意软件认定标准,但法院仍未采信并以其作为判断依据,而是表示“法律依据不足”,导致了原本涉嫌制造恶意软件的公司一审胜诉的结果。
董海平由此对互联网协会的恶意软件认定标准表示了某种程度的质疑。他分析,法院从来只能以法律或者法规作为宣判的依据,如果互联网协会的8大标准当初不能够被法院采信,那现在再怎么细化的“22条”也只会面临一样的结果,在反恶意软件运动中,协会绝不是裁判。
互联网协会行业自律工作委员会秘书长杨君佐表示,协会的目的只是力争让整个行业走向规范,在相关法律法规都不完善的情况下,对恶意软件的盲目打击可能会给整个互联网行业带来灾难,所以协会才设立专家组、公布细则、指定第三方测评机构,这些颇具苦心的做法才是最为有效最符合实际的手段。
顽疾如何治愈?
来自杀毒厂商瑞星的报告显示,如今恶意软件厂商开始两极分化:一些大牌企业逐渐“洗白”,放弃推广恶意软件;而处在另一极的中小厂商或独立网站为了生存,不惜采用更加危险的病毒技术进行恶意推广,使恶意软件与病毒之间的界限变得越来越模糊。
既然如今互联网协会的细则不具有法律效力,将来又可能出现更凶险莫测的危机———那么,反恶意软件的出路究竟在何方?
业内人士表示,立法是根治恶意软件的解决之道。只有在法律层面给出对恶意软件的权威解释,才能有效解决而今的混乱、莫衷一是的局面。
“政府部门才是裁判!”互联网知名律师于国富认为,鉴于我国是成文法国家的实际,专门对恶意软件进行立法可能会需要相当严格的程序和相对长的时间,所以目前可行的办法是相关司法机关通过已经审理的判例的方式进行总结,然后再把它上升到司法解释的高度,或者对现有的软件产品管理办法和计算机病毒防治管理办法进行修订,以便统一对法律的理解和适用。