2009年6月16日星期二

[GFW Blog] 公盟“绿坝”法律与技术研讨会纪要(下)

来源:http://blog.sina.com.cn/s/blog_4cd3c7fe0100dugp.html

霍炬:它目前采用编程方法比较落后,仔细去研究它到处都有漏洞,很难简单打几个补丁补上。

    事实上,缓冲区溢出是非常普遍的安全问题,危害也很大,对惠普、微软这样的成熟软件企业都是很大的挑战。目前的情况看来,绿坝的行为和一些木马行为类似,所以很容易被杀毒软件判断为恶意软件。如果绿坝的漏洞没有完全被修复,而工信部要求杀毒软件把绿坝列为可信任软件,那么其他的病毒就可以利用这个“安全岛”来躲避杀毒软件的查杀。这也会对计算机安全造成新的挑战。另外,对于这种系统级别的软件,目前的杀毒软件厂商都很有经验,也能保证稳定和安全,为什么工信部没有和他们合作,而是选择了一家小公司来重新开发,甚至导致了这么多安全问题。这背后是否潜藏着其他利益问题,也是值得考虑的。

吴涛:版权问题,它用的是国外Cybersitter的软件,有一部分数据用的它的,有一部分代码也是用它的。Cybersitter的软件,用得是比较老的,大概是几年前的。这有两个问题,第一你用的网址是国外对青少年保护的网址,两个国家文化是有差别的,基督教文化和非基督教文化是有区别的,拿来之后是否对我们国家是否有效。你搬过来了,国外的色情网站居多,反而国内的并不多。

“绿坝”也许会消失,但是可能又有别的“坝”,好象金惠公司跟国家有关部门商定制定一个过滤软件的标准,这个东西变成国家标准的话,本身也值得大家关注。

霍炬:刚才大家说了很多技术上的事,我补充几点。

    第一个,前面大家说了他们用了国外关于图象检测开源程序库opencv,最新的版本据说已经标出来基于opencv了。他基于这个技术在之前申请了三项专利,这些专利的形成是否有存在问题,法律上的事我就不太清楚了。当然,由于目前并没有看到申请专利的具体描述,还不太好判断是否有侵权的嫌疑。

    第二,我想补充一下关于软件的危害问题,密歇根大学的报告已经提及了绿坝存在的缓冲区溢出安全漏洞,在目前的表现只是让浏览器崩溃,事实上这个漏洞可以用来完全控制你的计算机。一般入侵和控制一台计算机有2个关键步骤,一是把代码注入你的计算机上,第二让这段代码获得很高的权限。目前的情况看来,“绿坝”承担了大量的输入和输出过滤工作,又比较容易出现溢出现象,很容易被注入恶意代码,进而通过绿坝获得系统最高权限。除此之外,一些其他的木马程序和病毒可以利用计算机上已安装的绿坝软件让自己权限提升,造成更大的危害。

    第三,现在据我的观察跟金惠公司的服务器有一些交互,包括安装数量,用户提交的建议,软件本身的升级等。

    而目前看来,金惠公司服务器的安全也很是问题,据说新闻出来第一天,服务器就被人黑掉过。另外软件整个升级的过程是没加密的,有很多办法可以构造很多攻击,你随便找能接入无线网络的计算机,在火车站、咖啡店、机场都有可能使用一个伪造的升级服务器欺骗已经安装了绿坝计算机升级,安装恶意代码。在如此高的系统权限下,不仅可以拿来盗取你的个人隐私,还包括你的密码和银行帐号等。

       这样大面积安装下去很难达到政府预定的目的,反而容易被一些别有用心的人利用干坏事,如果用来攻击我国的电子商务,电子政务系统,就有可能造成重大的经济损失和社会影响。如果国有企业和政府机关的计算机也同样要安装这些软件,就可以造成泄露商业机密或国家机密。

    计算机发展史上,还没出现过这样统一的,在一个短时期无差别的安装一个软件的情况。而这个软件比较低劣的质量会让系统变得更脆弱了,这样大数量的计算机如果被利用,后果是非常严重的。

    汪庆华:政府出台的这样的措施是非常荒谬的,是非常难以想象的事情,因为我觉得它损害的是我们每个人的权利。它把《1984》这样的小说变成了现实,在每个人的家里安了一个窃听器,给你每个人的家里派一个国保,从政府的角度来说,完全是理性的。为什么要这样做?前几天《�望周刊》看到一个文章,网络的群体性事件有三个“进不去”:组织进不去、警察进不去、基层政府进不去。所以,我想绿坝是要改变“三个进不去”的一种努力。所以我觉得对于政府的行政性命令一定要从各个方面形成一种持久性的抗争。

    法律层面,它实际上侵犯了公民的言论自由和财产权,因为它限制了我们对自己购买的电脑的使用,实际上对于我们财产构成了管制性的限制。无论对于财产、言论自由,以及其它基本权利的限制,《立法法》第八条规定,全国人大常委会通过的法律才能进行剥夺和限制,工信部这样的通知是显然违法的。

    绿坝建立在内容审查的基础上,比如说要过滤色情,还有其它的扩大,甚至包括同性恋词汇。这对言论自由的侵犯是毫无疑问的。所形成的效应肯定是由我们每一个人来承担的,我想起王小波写的一个杂文说,电脑会危害青少年会让他们玩物丧志,最后是不是我们把所有电脑砸了,其实“绿坝”的通知,只是砸电脑第一步。

    政府说这个问题不能讨论,只能有正面的讨论。正面的评论说有80%的民众都是支持的,反对的都是还没有孩子的,或者准备不要孩子的人,所以他们没有资格说话。这里有个法律问题,即使是百分之百的民意的支持,如果没有经过正常的法律程序形成法律、乃修宪对宪法权利进行约束的话,对宪法基本权利都不可以进行剥夺。更不要说这个民意是虚假的,就算是真实的,也不能构成在我们每个人电脑上装绿坝的理由。

    一旦这个《通知》贯彻下去,会构成可怕的现实,限制我们各种各样的言论,我们形成的有限言论空间都有可能受到限制。它既不合法,又不合理,在这个问题上,一定要坚决反对,形成持续关注,要达到把它撤销的目的。

    徐迅:我从法律对“不良信息”的限制,或者法律“禁止传播”的角度上谈谈我的想法。工信部的文件里头使用的是“不良信息”的概念,就我们的研究,确实找不到我们国家任何法律里头对“不良信息”有具体的界定,它到底包括什么,不清楚。因此这个概念是属于一个政治上的,或者是政策上的,或者学理上的概念,并没有在法律上有确定性。

    此外,“低俗”在法律上也没有确定性。今年以来政府是以“低俗”的名义发布名单关闭互联网站,这里面有法律依据的问题,低俗到底是什么标准?因为这个概念是政策的或者政治的,在操作的过程中出现了难以自圆其说的情况,为了弥补一个错误又冒出了新的错误,有记者问“小沈阳是不是低俗”?出版署的官员说“小沈阳是通俗,不是低俗”。可是低俗、通俗不都是俗吗?实际上“高雅”还是“低俗”都是相对的概念,仁者见仁,智者见智,低俗而不违法也应当有生存的空间,以“低俗”的名义来行政没有法律依据。

文件里还使用了“青少年”的概念,这个概念在法律上也是不确定的,青少年是多少年龄的人?按照联合国的标准可以到45岁,或者还要高,这些都是在概念上有些混乱的地方。

此外,如果讨论什么样的内容不适宜被传播的话,它应当分为两个层次。一个层次是“普遍禁止”,它主要体现在《刑法》中所明文禁止的内容,比如说淫秽,侮辱,诽谤,比如说破坏国家统一,还有什么煽动民族分裂、国家分裂,宣扬邪教等等。这种禁止是具有普遍性的,对所有的人、所有的媒介都适用。另外一个层次叫“特定对象限制”,而不是禁止。比如说淫秽、色情、性并不是一回事,我们的法律只禁止“淫秽”,淫秽有相当一致的标准,规定在《刑法》中,同时特别指出“有关人体生理、医学的科学著作不是淫秽。有色情内容的,但是又有文化艺术价值的不视为淫秽。”也个标准就是说“淫秽”和“色情”的边界可能是比较难划分的,但是法律明文禁止的只是“淫秽”。

在《预防未成年人犯罪法》和《未成年人保护法》里规定了对特定对象的限制传播的内容,这个特定对象定义为十八岁以下的未成年人,包括淫秽、暴力、赌博等等,而对“色情”使用的是“不得渲染”的概念,而不是“禁止”。2006年《未成年人保护法》修改以后使用了“禁止”的概念,但仍然是针对淫秽、暴力、恐怖等等,对象当然仍然是未成年人,并不包括成年人。这个结论是说,法律从来没有明文禁止“色情”,只是说首先普遍禁止的是“淫秽”,哪怕是保护未成年的法律里头都没有禁止“色情”。对于成年人来讲,将法律只对特定对象限制或禁止传播的内容扩大到了成年人的身上,当然是一种不当的限制或者禁止。

我说这个意思是什么?如果有一个最大的共识,或者利益的话,就是——成年人不应当被当成未成年人来对待。

滕彪:支柱你讲一讲。

杨支柱:我想对于信息传播,不管到底是屏蔽黄色信息也好,借屏蔽黄色信息的名义进行信息控制也好,都涉及到言论自由。从言论自由角度来看,这种控制必须有理由。当然不是说言论自由是绝对的,如果言论破坏了或正在破坏公共秩序,当然可以制止或制裁;或者损害了谁的利益,被损害的人可以起诉要求恢复名誉、赔偿损失。可是我自己看自己的电脑,对于公共秩序或他人的权利构成什么损害了?没有对社会、对他人的损害,对于成年人的控制不管是什么理由,哪怕是最低标准的控制都是没有道理的,不应该有这种管制。

    所以强制安装过滤软件唯一的理由只能是保护未成年人。但不是所有的电脑都是未成年人用。还有就是未成年人的利益由谁来代表?当然应该由他爹妈来代表。未成年人共用的电脑,比如说网吧、学校里面用的电脑,政府出一个标准来管制它是可以的。但家庭的电脑,这个权力应该由家长行使,不应该由政府行使,什么东西对自己的孩子有害?什么东西对自己的孩子有利,家长最清楚。

    不同的孩子有不同的需要,你政府根本搞不清楚。但是我国政府经常替人家家长做主,比如说义务教育,是政府有义务提供物质条件使所有的孩子都能受到起码的教育。但是否接受公立学校的教育,决定的权利应该在家长手里,不应该在政府手里。人家是基督教徒,你非要人家进公立学校来接受无神论教育,还说是为了孩子好,这种“爹亲娘您不如政府亲,天大地大不如法院的恩情大”的荒唐逻辑在中国还大有市场。

    刘海波:我想说,在政治和法律实践中,尽管我们在抽象的理论上不能一致,如马克思主义与自由主义,如时下的左派与自由派,但我们在具体事件的判断上却能够达成一致意见。所以,为了得到一个结论,首先不是从比较高、宽泛的标准出发,而是从比较低、狭窄的标准出发。就“绿坝”这个事来说,我想不必从“言论自由”的原则出发,而从社会广泛接受、政府也接受的标准来说一说,为什么这件事情不可行。第一、不能为了私人利益浪费财政资金,古往今来都如此;第二、做事情,目的和手段要相称。

    第一,我们都反对官商勾结、政治腐败。“绿坝”软件技术上很幼稚,比如说什么抄袭,还可能引起诉讼。这位先生说,实际上屏蔽不了视频,又很容易被卸载掉,等等。这样一个东西,为什么政府花这个钱,4000多万去买,以强制的方式让大家装。这肯定会被人们猜疑为这个软件公司和政府部门串通起来,打着“保护青少年”的旗号,甚至利用政府高层隐蔽的动机“稳定”和不想让大家接触不良政治信息的苦衷,实际上来谋取自己的私利。政府自己要想一想,不要被少数人绑架了。要警惕一些特殊利益集团打着各种冠冕堂皇的旗帜去损害政府的整体和长远的利益。包括一些封网行动,究竟保护的什么人的利益?往往是极少数人违法的利益。

    第二,政府行为的适当性问题。你的手段要能够达到你的目的。你说要保护青少年,看样子是好的目的,实际上所有的电脑都加装,有些网站的信息不适宜未成年人,但一旦屏蔽掉成年人也看不到。再说,从保护青少年的角度来言,家长和教育机构对于青少年有更多的了解,这个责任是很具体微观的放在他们的身上,家长会非常注意这个事情。还有一个年龄的问题,因为10岁的孩子不适合看的,可能17岁半的孩子适合看。这里面还有会引起争议的非常多问题,比如说同性恋是不是要屏蔽的问题。如果你要制定一个标准又必定引起争议,为什么引起争议?因为你是政府,不能被选择,它总是带有强制性的。

这实际上是有解决途径的。如果政府愿意做好事,可以免费提供一些可供下载的软件放在文明办或者工信部网站。要针对不同的孩子可选择的,网站简要介绍软件会屏蔽什么信息。政府要是做好事可以弄一个可选择的软件库放在那里。

     所以基于政府自身长远和整体的利益,以及能把事情做好的标准来看,我们也可以得出反对绿坝结论。如果一个事情能够以较低、较狭窄的标准否定,就不要以较高、较抽象的标准。

滕彪:请张千帆老师发言。


    张千帆:首先标准由谁来定,到底什么色情、不良信息是很复杂的问题。突然一个没听说过的公司开发一个比较幼稚的软件,然后花了四千多万,这些钱是不是值得给这个公司,这个公司有什么信誉?

它的问题在什么地方?它如果是一只纸老虎,想卸载就卸载,为什么你花了四千万块买了一只纸老虎回来。如果说它有用,《宪法》问题就很严重了。成年人有言论自由,有发表言论和接受言论的自由,这个自由政府不应当干预。国外干预以前也有,比如说限制成年人看黄色电影,现在都没有了,它只是一个年龄上的控制,你进一个成人电影院他查看你的身份证,你低于法定年龄不让你进去。换句话说,我们对《宪法》言论自由的理解达成一个共识,成年人应该得到政府的信任,政府不应该代替他们做判断,什么是该看的,什么是不该看的。“绿坝”的政治目的到底是什么?对成年人来说,这个软件不论是针对色情信息、不良信息,或者它只作为监控,都是违宪的。

对于未成年人,政府不仅有权力,而且有义务给予一定的保护。有些同仁认为我们的家长,或者是学校对这个事情负责任,我认为他们要负责任,而且政府最后怎么样去落实它的某些保护也是通过学校和家长的,不过不要过于极端、过于理想主义。随便上网,像搜狐、新浪等大网站这种性暗示、性提示的东西很多,这些东西对我们未成年人的成长不利。某些成年人不是很自觉。我们主要是无神论,宗教色彩不是很强,相当多的家长对这个问题并不是非常重视,目前依靠家长来做这件事情,我是觉得不是非常保险。

    国外对这个问题也感到特别头疼,就是你怎么保护未成年人,你又不限制成年人的自由。“绿坝”这个软件如果能解决问题,那别的问题早就解决了,“绿坝”这个事情,互联网有没有立法?国外也有,主要是一个技术活。比如说你要去登记一个什么身份证,你的身份证登了一下可以察看你的年龄,把你的某些网站封闭了,你就上不去了,如果你登录了成年人的就可以,这种软件肯定也有问题,小孩子可以盗取家长的上这个网。有很难的技术问题,需要我们去面对。

如果“绿坝”是强制性的安装,装了以后你卸不掉,或者卸不完全,就严重违反了《宪法》。如果不是这样,想卸就卸,它基本上是完全没有用的,在这种情况下根本达不到目的。要限制未成年人是可以的,但是手段根本达不到,限制成年人又是违宪的。

滕彪:下面进入自由讨论阶段。说什么都可以,不过能有具体的行动方面的主意更好。

    许志永:我觉得是一种行政强制,它跟一般的行政指导、建议,或者做什么事情不一样。


媒体甲:从《通知》上说“应当”装。并不是说要追加责任才说存在一种强制,从法律上设定义务的话就是一种强制了。

周泽:跳到前台的是工信部,反映出来我们工信部的把握很大,也可以看出我们国家的部委在使用国家财政资金这方面是非常随意的。

许志永:财政部就是出钱的,除了工信部还有文明办。文明办不是一般的,权力很大。文件是工信部的软件司搞的,它一开始把文明办拉进来,拉进来文明办就是协调财政部。    

要讨论做什么,我觉得我们的目标要现实一些。你可以指定某些软件使用,大家可以挑选。如果我们把强制性的安装变成一个建议,工信部建议大家使用。这是比较现实的目标。

要继续从技术、法律上来努力,本来偷偷摸摸搞的行为,最后亮出来,最后朝着合理的监管角度来说,最后监管也不是你工信部的事,也不一定采用这两家软件,你怎么样公正的监管,最后规范到一个公正的轨道上去。


媒体乙:金惠这个公司的背景说一下,它只做这一个产品,金惠公司是一个小毛头公司,赵惠琴跑到郑州开了一个公司,找了一些关系户,这些关系户在信息工程大学里面,这几个人就是在军队里面当教员想发财的人,这种人首先一点会找一些课题,我想申请一些军队的经费或者要科研基金这一类的,报项目,什么重要报什么,我看了一下,还做过其它的一些项目,做到最后,要做产品的时候,首先找一个国外的拷贝,找了以后改一下,申报科研基金首先是这样的。赵惠琴去了以后开了一个公司,正好和这些联系上了,然后就这样弄出来了这个垃圾产品,垃圾产品怎么卖呢?找关系,找哪些关系呢?大概到现在为止一共往里面砸了七百多万,还有其他的一些,越拉越大,通过关系拉来拉去拉到工信部。

杨支柱:网上已经有文章了,《“绿坝”响应书上的隐身人》。

媒体乙:是我写的。

周泽:在中国,最好的生意就是这样的。对于这样一种企业,它无视这个软件本身可能对这个国家、公民的言论表达自由的伤害,作为我们普通公民来讲,要联合抵制这个不良企业所有的产品,像愤青抵制家乐福一样。

    张千帆:主要的受害人不只是厂商,还有用户,你以自己的身份去告也可以。


    时昭:连政府自己都是受害者。现在讲双赢,现在它是双输。

许志永:网上的分析报告是你们写的?       

    时昭:是。已经公开了。

    彭剑:应该继续调查,比如说郑州这个公司和北京这个公司到底有什么底细,律师调查可以查出来。

万延海:联合国在互联网关于信息流通这个层面上有一个专门的文件,有一个专门的部门,每两年开一个发布会议。我觉得民间可以请一些专家来起草民间版本的不良信息法规的意见。互联网对青少年的影响方面,我想有很多的工作要做,我们可以把国家联合国教科文组织、欧盟关于青少年上网的文件翻译过来作为国内立法的参考。

    从公民法律行动的层面,或者公民不合作的行动方面能不能有一个公民行动的手册,适合于普通公民的法律的政治行动的一些手册的东西,我觉得这个可能需要出来的。

    当然从技术层面怎么来去分析这样一个软件,它存在的危险,这就需要很多的报告。这样的工作很长的,他喜欢这个东西,他明天可能找一些高手来开发。我们需要从技术层面上持久去监督它。

    滕彪:你们抗议屏蔽同性恋的信息,有没有可能找同性恋者去起诉?我们可以讨论诉讼的可行性。

    陆军:有一个非常艰巨的问题,也是非常困难的问题,实际上不是同性恋的问题,他可能一个失误把同性恋过滤了,但是你真正想要的东西不会给你的。

    万延海:如果它今天可以放掉同性恋一把,明天也可以加进来。

    媒体丙:同性恋群体可以去推动。

    张千帆:这个软件装了以后是不是可以干净的卸载?

    霍炬:不能干净的卸载。我看它关于卸载那部分,在某些情况下,它自己确实想卸掉,但是因为系统状况的变化导致它卸的时候卸不干净。据我对它的研究,它是想卸载掉,但是技术太差了。水平和03年的流氓软件差不多水平。总的来说还是质量太差了。

    陆军:即便这样的质量,对于绝大多数客户来说都是无法逾越的。


    霍炬:装了绿坝,肯定会有电脑不好用的感觉,但用户的会觉得是买的计算机的问题,不会认为是绿坝的问题。

    吴涛:可能会有专门卸“绿坝”的一些工具。

    万延海:如果一些杀毒软件跟它发生冲突,那杀毒软件不能继续工作。

    霍炬:杀毒软件肯定比它先进。它自己用的保护手法跟病毒是一样的,因为政策问题杀毒软件不敢杀。等于说“绿坝”是安全的,病毒可以附在“绿坝”之上也是安全的。

    媒体丁:现在安装绿坝就是公然的限制公民的言论自由。应该共同来抵制这种侵权行为。

    刘海波:这个事情本质来说,还是官商勾结,滥用财政资金。

    时昭:就是商业和政府之间的利益,这是肯定的。

    许志永:我觉得,在这个事情上,我们可以讲它违法了,但是它并不很在乎。最有力的是技术的专家把它的危害性讲透了,大家自觉抵制“绿坝”。如果你一个计算机厂家所有的产品都安装了这个软件,我就抵制你这个产品。

    媒体乙:它的产品质量确实有那么差的话,可以以消费者的名义告它的产品不合格。


    媒体丙:刚才霍炬说“绿坝”的核心几个专利其实是抄袭或者拿了别人的专利,我觉得技术的专家人员可以向国家专利委员会提交项目审查。


    滕彪:我们今天的会议到此结束!谢谢大家光临!
 


--
Posted By GFW Blog to GFW Blog at 6/16/2009 06:19:00 PM
--~--~---------~--~----~------------~-------~--~----~
GFW Blog又被封了,您可以通过以下网址翻墙访问:
https://meme2028.appspot.com/chinagfw.org/
https://soproxy.appspot.com/chinagfw.org/
https://proxytea.appspot.com/chinagfw.org/
https://quick-proxy.appspot.com/chinagfw.org/
https://free4internet.appspot.com/chinagfw.org/ 。 您也可以使用Google Reader订阅我们,订阅地址:http://chinagfw.org/feeds/posts/default。
To unsubscribe from this group, send email to
gfw-blog+unsubscribe@googlegroups.com
For more options, visit this group at
http://groups.google.com/group/gfw-blog?hl=zh-CN
-~----------~----~----~----~------~----~------~--~---

没有评论:

发表评论