安全软件”兼容”问题引发立法思考
发布时间:2011-06-16 浏览次数:

安全软件兼容还是不兼容,这是个问题。日前上海交通大学信息安全工程学院“反恶意软件研究小组”发布《安全软件兼容性白皮书》将安全软件兼容性问题的行业规范问题抛到公众面前。引发了行业对安全软件监管立法的大思考。安全软件”兼容”危害大

白皮书研究结果指出,全球大部分主流安全软件都是不兼容的,安全软件不兼容是常态。
上海交通大学信息安全工程学院“反恶意软件研究小组”刘功申副教授表示,安全软件的兼容性问题,绝大多数情况下是当前安全软件的工作原理、所采用的安全技术所导致的冲突,有其必然性和不可避免性。
《安全软件兼容性白皮书》指出,从技术成因上看,安全软件兼容性问题来自于安全软件实时监控、主动防御、虚拟化技术、网络防火墙软件、浏览器防护功能等方面。
根据“反恶意软件研究小组”的测试,而这种不兼容问题广泛存在于国内外主流的安全软件中。比如AVG2011不兼容诺顿2011;ESET不兼容Avira Antivirus(红伞)、卡巴斯基PURE9;卡巴斯基PURE 9不兼容ESET;金山毒霸2009
SP2不兼容瑞星;BitDefender2011不兼容诺顿2011;诺顿2011不兼容360安全卫士8.0等
此前,许多用户认为多安装几套安全软件更安全,这套安全软件没查杀到的病毒另一套安全软件可以查杀。但白皮书研究结果表明,安全软件兼容存在时不但不可以增强杀毒能力,反而以降低防护能力为代价。安全软件兼容给用户带来的潜在危害巨大。
白皮书指出,受限于当前Windows操作系统的技术体系,两款以上具有实时监控、主动防御类功能的安全软件共存时,很有可能产生兼容性问题,可能导致用户电脑性能受到严重影响,造成操作系统、其他应用或者安全软件的其中之一或两者的功能失效,更为严重者可导致用户电脑的蓝屏、死机和崩溃。
兼容与不兼容存分歧
尽管安全软件不兼容是客观现状和国际惯例,但是目前安全软件市场已出现了两种截然不同的声音,一边是无法绕过技术因素而不得不面临不兼容,一边是少部分安全厂商宣布正进入全面兼容的时代。
面对两种截然不同的论调,最容易遭受损失的是用户权益。
白皮书对此也指出,安全厂商应本着对广大用户负责的态度,在其安全软件安装过程中应向用户提供明显的兼容性风险提示,即在检测到用户电脑中已安装有其他厂商的安全软件时,应明确告知用户同时安装两款安全软件可能导致的风险,并在网站上公布兼容性风险的详细说明。对于明确已知与某款安全软件存在经确认的兼容性问题时,安全软件应在网站上列出不兼容产品的列表。
工信部暂行条例是否被“误读”
此前,为规范软件市场秩序和合法经营,工信部出台《互联网信息服务市场秩序监督管理办法暂行条例(征求意见稿)》。该规定指出企业“无正当理由,并且未主动向用户进行客观提示等实施的不兼容构成不正当竞争”。根据白皮书研究结果,工信部这一条款可能存在被市场“误读”现象。
《暂行条例》指出:无正当理由,擅自对其他经营者提供的合法产品或服务实施不兼容;因非人为因素与已有的其他经营者提供的合法产品或服务不兼容时,未主动向用户进行客观提示,或欺骗、诱导用户做出选择构成不正当竞争。
该条款对“无正当理由实施的不兼容”和“非人为因素的未向用户主动提示”纳入不正当竞争范围。其中,特别强调了“无正当理由”和“未主动向用户进行客观提示”等条件。因此,简单的理解“实施不兼容”即为违背法律法规可能是一种市场误读。
报告指出,由于安全软件的特殊性,这种“不兼容”不仅是一种常态,更是国际惯例,即使有部分安全软件可以兼容,但同一台电脑安装两款及两款以上的安全软件,电脑性能会大大下降,而随着安全软件的更新升级,这种临时性的“兼容”也会被迅速瓦解。
上海交通大学信息安全工程学院“反恶意软件研究小组”解释称,不能简单理解为“不兼容”就构成不正当竞争,确切的理解应该是,而基于恶意行为最终导致的不兼容才是真正的不正当竞争。
不提示风险用户知情权是否被侵犯
全国律师协会信息网络与高新技术委员会副主任陈际红律师指出,部分安全软件厂商不提示兼容风险涉嫌侵犯用户知情权。
据《消费者权益保护法》第八条第二款之规定:消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利。毫无疑问,消费者有权询问、了解所购买、使用的商品或接受的服务的真实情况,经营者有义务真实地向消费者说明所提供服务或商品的有关情况。
陈际红律师分析认为,厂商真实和客观地向用户披露产品或服务的真实状况,消费者基于关于产品或服务的真实和全面的信息进行判断,以决定是否购买、使用该类商品或接受服务。知情权是消费者参与消费活动或者接受服务的前提,安全厂商若不进行兼容风险提示则涉嫌侵犯用户知情权。
“反恶意软件研究小组”对安全软件兼容做了大量测试并得出结论:两款以上具有实时监控、主动防御类功能的安全软件共存时,可能导致用户电脑性能受到严重影响,造成操作系统、其他应用或者安全软件的其中之一或两者的功能失效,更为严重者可导致用户电脑的蓝屏、死机和崩溃。同时,安全软件兼容还会给电脑造成大量能耗损失。
许多用户是在“无知”的情况下安装了两种及以上安全软件。
陈际红律师表示,“安全软件厂商向消费者提供相关服务,就有真实地向消费者说明所提供服务有关情况的义务。这方面需要加强监管,不然谁来对相对处于弱势地位的用户负责?”
部分安全厂商片面宣称其产品拥有良好的兼容性,但没有提示“兼容”背后所带来隐患,在一定程度上可能对用户构成误导。
“而现实情况是,许多普通消费者是在安装了多款安全软件后,基于其技术知识所限,甚至都不能发现安全软件兼容对日常电脑操作使用带来的不良影响。而在安装时和使用中并未收到任何兼容风险问题的提示,这涉嫌侵犯用户知情权。”
陈际红律师表示。
互联网监管制度是否有待加强
需要指出的是,尽管反病毒厂商之间存在着长期的竞争。但近年来的恶性竞争案件不断增加,只要有一家采用不良手段保护自己所谓装机率,则会连带造成被拦截的厂商进行报复,从而导致规则被打破,形成恶性循环,最终导致通过恶意构造兼容性壁垒和陷阱变成普遍性的行为。
刘功申副教授认为,随着安全厂商越来越多,竞争越来越激烈,安全厂商之间如何建立起互通体制和配置策略,或者对监控基础给出更为丰富的接口和定义相应的规范,包括保证公共安全接口统一嵌套化,是整个行业的迫切需求。
安全软件作为主机安全的核心屏障,不仅要使用户远离安全威胁,也要保护用户的知情权和选择权。尊重用户卸载意愿,向用户充分提示各种潜在的风险,是每一个厂商都需要努力去推动的事情。

陈际红律师指出,现在安全软件市场的种种现象表明,我国的网络法律环境还有待进一步的规范,虽然有《反不正当竞争法》和《反垄断法》的存在,但受制于目前行政执法和司法能力的限制,仍有必要将反不正当竞争法和反垄断法的一些机制引入规范互联网经营行为的法规并具体化,对互联网企业的行为进行约束。另外,目前我国对于互联网的监管还存在明显的不足,比如对软件、信息库的保护等,互联网信息活动有待法律进一步规范。