尴尬的被告：谁为电子邮件安全买单

　　作为中国网民使用率最高的互联网业务，电子邮件和搜索引擎已经成为人们的互联网生活中不可或缺的一部分，电子邮件更是常常扮演“秘密口袋”的角色。2006年8月，因搜索引擎搜出个人电子邮件，致使提供搜索服务的百度公司和电子邮件服务商中国万网被告上了法庭，此案虽至今仍无定论，却引发了业内新一轮的争论。

　　一边是网民的切身利益，一边是互联网业务发展的客观进程，二者一旦出现矛盾，该如何调和？目前已有的法律，又是否适用于正在发展的中国互联网产业？就此，记者走访了相关的法律专家，就电子邮件安全进行深入剖析。

　　技术发展客观进程：躲不开的风险

　　中国反垃圾邮件专家，高级网络安全咨询顾问专家陈勇先生在接受记者采访时强调，除了病毒和协议，鉴于技术发展的客观进程，所有的软件和互联网服务都存在潜在风险。

　　陈勇表示，虽然此案仍未定音，但其所产生的波及力是巨大的，“目前国内互联网软件业与国际接轨，遵循的是国际规则，按照国际惯例，软件的相对安全性使得提供商们不会对用户的间接损失负责，如果间接损失赔偿的案例一旦成立，那么整个软件业将遭到颠覆。”

　　陈勇所提到的间接损失，指的是用户在使用某款软件时，由于软件的某种缺陷造成的非直接损失，他认为，组成互联网的有两大部分，一部分是硬件设施，另一部分就是软件。由于软件在开发的时候，无论是研发技术本身缺陷还是标准协议的欠缺，在用户使用的过程中，难免会出现各种各样的问题，因此软件行业有一个惯例，就是只负责用户的直接损失，而不负责间接损失，比如软件坏了，软件服务商可以为其提供更换或重装服务，但是用户因此丢失了的文件，服务商并不负责。用户愿意使用这种软件，等于接受了软件本身潜在的风险，所以像微软这样的软件巨头，都会在安装协议里注明，只要微软提供了正常的服务，那么用户在使用过程中造成的所有间接损失，微软并不对此负责，这一协定受到美国法律的保护。国内软件业借鉴了国际经验，其实，谁也不敢去负责用户的所有损失。

　　具体到我们日常工作生活中常常使用的电子邮件，其安全问题就显得更加复杂，陈勇告诉记者，若某位用户发送邮件出现泄露，其中有很多环节都有可能导致邮件内容泄露事件的发生，如用户端机器上有木马，或路由上某个路由器被监听，或服务器被监听，以及收、发邮件服务器有安全漏洞等，搜索引擎往往会把这些漏洞放大，比如仅仅出现几分钟甚至几秒钟的临时文件，如果被搜索引擎抓出来挂到网上，可能会变成好几个星期！除了以上提到的原因，还有一个更大的原因是HTTP、SMTP协议本身就有很多漏洞，协议是不能轻易改变的，这种既成的事实导致很多问题。

　　邮件四环节：危险存于每一环

　　曾对反垃圾邮件法做过深入研究的清华大学法学院副教授赵晓力向记者介绍了电子邮件被泄露的全过程。

　　据赵晓力介绍，一个电子邮件要成功传输，有四条必经之路：发件客户端（即发信人的电脑）、发件服务器（即发件人使用的邮件服务器，如新浪邮箱服务器）、收信服务器（即收件人使用的邮件服务器，如新浪邮箱服务器）、收件客户端（即收信人的电脑）。

　　根据赵晓力的介绍，邮件泄露不外乎几种情况，分别发生在上述的四条必经之路上。在发信人和收信人的客户端上，有两种情况会导致邮件内容泄露：

　　1. 邮件误发：即由于发信人的疏忽，将邮件发送给其他人，导致信息泄露。

　　2. 病毒：发信人和收信人的电脑上如果有病毒，尤其是蠕虫病毒，也会导致信息泄露。病毒随时会将电脑上的敏感信息发往特定的地址，导致泄露，你要发送的私密邮件也许也不能幸免。

　　在邮件服务器上，也有邮件被泄露的风险存在：赵晓力教授举了一个简单的例子，如果你不习惯使用outlook、foxmail等形式的客户端发件系统，而习惯使用在网页上直接登陆邮箱，由于WEB本身的安全性不高，那么邮件泄露的可能性会大大增加。据赵晓力介绍说，搜索引擎在搜索网页时，会首先读取该网站服务器上的robots.txt文件（如google的robots.txt地址为www.google.com/robots.txt），该文件列出该网站允许搜索和不允许搜索的条目，搜索引擎根据该协议来搜索内容。搜索引擎如果没有按照协议来搜索，就有可能导致邮件服务器上一些不该被搜索到的内容被搜索到。针对这点，赵晓力教授特别强调：为了保证用户的切身利益，邮件服务器和网上银行系统上的缓存服务器是不应该被搜索的。

　　由于存在上述多种泄漏渠道，如果客户的邮件被泄露，很难判断究竟是从哪里泄漏的。一般客户都会当然地想到是邮件服务商的责任，而往往忽略了自身原因，比如客户端存在蠕虫病毒或采用网页形式收发邮件等原因。

[1] [2] 下一页