编者按:“误杀门”事件,也许是一个新的开始。
这是一个让杀毒软件行业蒙羞的5月。
5月18日,诺顿被媒体报道“误杀”WindowsXp的重要文件,导致数百万用户系统崩溃。
5月19日,俄罗斯著名杀毒软件卡巴斯基误将瑞星卡卡上网助手当成病毒“处死”。
5月22日,又是卡巴斯基,这次将腾讯QQ“误报”成木马病毒。
一时间,推诿、扯皮、猜疑、愤怒、混乱……充斥整个业界,各色面孔也是你唱罢来我登场。一夜之间,似乎整个杀毒行业都出了问题。
“误杀门”事件还在继续,越是热闹,我们反倒越要多一份清醒与警惕。
洋企业“傲慢”的背后
诺顿和卡巴斯基一向以病毒库更新速度快而著称,在企业级及个人市场上都占有相当大的份额,但两家公司戏剧性地同陷“误杀门”,却并不仅仅是偶然的背运。
据了解,海外杀毒软件厂商在中国发生“误报”的事情由来已久。2001年诺顿“误报”瑞星2002版杀毒软件带“欢乐时光”病毒;2006年卡巴斯基误报金山词霸为病毒;同年,误报QQ2006正式版和QQ游戏2006为木马病毒;2007年卡巴斯基提示暴风的升级模块是木马,造成大部分用户无法正常使用暴风影音;2007年趋势误报联众客户端为病毒。这样频繁的误报,让人不禁要问上一句:海外杀毒企业到底怎么了?
有业内人士称,这次“误杀”事件的杀伤力,已经超过了之前的“灰鸽子”与“熊猫烧香”,属于重大的误杀事故。这次只有安装了Windows简体中文版的用户被诺顿误杀,对海外用户基本没有影响。
据业界分析,此次诺顿误报简体中文版Winxp sp2系统文件为病毒的根本原因,是因为没有将中文版的操作系统文件加入到误报库中,国外产品普遍存在对中国软件的收集不足、误报库不全面等问题。
“诺顿在美国那边测试时,肯定不知道中国人到底在用什么软件,卡巴斯基俄罗斯的测试人员也不会使用QQ。” 360安全卫士所属公司奇虎网董事长周鸿表示,诺顿和卡巴斯基出现误报和误杀的根源在于本地化不够,“要从根源上解决这些低级错误的误报问题,必须真正建立本地化的团队”。
本地化不足可以改进,令人失望的却是赛门铁克(Symantec)上演了一场跨国公司“最失败的危机公关”,“傲慢”的态度让很多中国用户感失望。
在事发后的5月19日,赛门铁克首次向媒体发布了官方声明,承认对WindowsXP的重要文件进行了误删除,并将自己的态度归纳为“认真严肃”,但却并没按惯例向用户进行道歉及提起赔偿之事。直到五天后的5月23日,赛门铁克才在北京召开新闻发布会,向中国用户道歉,安全响应中心高级研发总监 Vin-centWeafer含糊其辞地表示,“本周的主要工作是帮助用户进行故障电脑的修复,随后再考虑其他问题”,依然绝口不提赔偿问题。
另外一家厂商卡巴斯基在“误杀”瑞星卡卡之后,立刻在30分钟之内改正,并发表声明称自己为“误报”而不是“误杀”。
根据赛门铁克2006年第四季度的财报,赛门铁克的重点市场在欧美(收入份额占54%),仅占总收入14%的亚太市场仅,并不是其重点市场。易观国际数字显示,2006年第三季,赛门铁克在中国防杀毒产品市场中占据了15%的总额。其他数据也显示,赛门铁克在中国企业级市场中占据了30%的份额。但显然,在中国市场的“误杀”事故并不足以刺痛赛门铁克的神经。
有不愿透露姓名的反病毒专家则称,赛门铁克不愿意在中国市场上投入太大的财力和浪费太多时间。因为要做防误报的测试需要一定的投入,主要是硬件的设备,这个硬件设备可能不是普通的PC机。另一方面测试完众多软件之后,必然要浪费很多时间,这也背离了赛门铁克快速升级、快速响应病毒的目标。
有意思的是,5月23日趋势科技特发布声明称,“最新调查表明,趋势科技在杀毒软件误判率测试中结果为‘零’”。而在2005年4月,趋势科技pc -cillin曾因错误升级导致用户系统不稳定,总裁在日本电视上道歉并赔偿,而对中国用户却没有任何声明,只是后来在媒体的压力下才轻描淡写道了个歉。
“偏见”之下的本土厂商
虽然瑞星、金山、江民等国内厂商占据了近70%的杀毒市场份额,但是中国用户对国产软件潜意识的“偏见”却成为国内厂商无法言说的痛。诺顿出事,卡巴卡巴斯基出事,国内厂商必须在“喊打”与“不喊打”之间做出抉择,“借机炒作”、“国际混战”甚至“痛打落水狗”之类的标签也不可避免的被贴在身上。
5月18日“误杀”事故当天,瑞星首次发布最严重级别的“红色安全警报”:“赛门铁克公司提供的诺顿杀毒软件在升级病毒库后,会把Windows XP系统的关键系统文件当做病毒清除,重启后系统将会瘫痪。”几乎在同时,瑞星、金山、江民三家厂商以最快的速度在网上公布了各自的应急解决方案。
5月19日,卡巴斯基“误杀”瑞星卡卡,当天15点5分43秒瑞星发表声明,称对卡巴斯基的做法表示“完全不理解”。第二天,卡巴斯基作出回应,声明中称“卡巴斯基是全球技术领先的安全软件厂商”,并称“我们在全球都没有炒作概念,打口水战的传统”。
5月23日,争论升级,瑞星发通牒要求卡巴斯基“在12小时内认错、道歉”,未见反应后,瑞星发出一份措辞严厉的声明,用“无理狡辩、百般抵赖”等言词来形容卡巴斯基的误杀行为。瑞星还列举了卡巴斯基近半年之内的22次重大误杀事故,并称其为“误杀之王”。
同时,面对诺顿缓慢的反应以及拒绝赔偿用户损失的态度,各杀毒厂商纷纷高调评论,要求诺顿“端正态度”,希望能换回用户对杀毒行业的信任。江民副总裁严绍文说,“关键是怎样解决问题”,诺顿只简单发表一个声明远远不够,诺顿应最快地通知用户甚至上门服务。
购买杀毒软件并不是“一锤子买卖”,用户需要的是值得信赖的后续服务。部分反病毒企业为了争取用户,一味追求病毒数量、查杀率、新病毒反应时间等单项技术指标,反而降低了产品测试的标准,以致造成用户的巨大损失,国人也该深思是否“外国的月亮一定比中国的圆”?
“误杀门”事件让人们重新审视自己对不同厂商的“厚爱”与“偏见”,然而这并不是唯一需要警醒的地方。
警醒一:“免责条款”的暴露
“在适用法律允许的最大范围内,不论在此所述的任何补偿措施是否能达到其根本目的,赛门铁克其子公司将在任何情况下不对任何特殊、后果性、间接或类似的损害赔偿负责,包括不对因使用或无法使用软件而造成利润损失或资料遗失负责,即使赛门铁克已被告知可能发生此类损害赔偿。在任何情况下,赛门铁克公司及其特许人的责任将绝不超过软件的购买价。不论阁下是否接受软件,上述免责条款和限制声明都将适用。”
以上是赛门铁克在其软件的用户协议中“免责条款”的一段内容。在“误杀”事件之后,已有许多客户要求赛门铁克赔偿损失,但均被以“免责条款”为由搪塞、拒绝。
实际上,任何软件在安装前都会有一个“免责条款”,大多数人都是匆匆点击“我支持此协议”按钮,忙着安装软件,很少有人能仔细阅读。记者打开卡巴斯基反病毒软件的安装程序,发现了如下条款:
“(iii)根据第(i)款,与提供本软件相关的卡巴斯基实验室的全部责任(无论在合同、民事侵权行为、复原或其它方面)在任何情况下不超过您为本软件所支付的费用。”
北京市潮阳律师事务所律师胡钢表示,“依据我国的《合同法》、《消费者权益保护法》此类免除自己的责任,排除对方主要权利的格式条款均属无效”,用户可以根据实际损失索赔。但是记者不知道浩如烟海的众多软件中,到底有多少类似的条款存在。免责条款就只能任凭软件公司自己制定么?软件协议中的不合理条款到底该由谁来监管?
警醒二:事后监管的缺失
目前,已有部分企业用户向赛门铁克提出了索赔要求,赔偿金额从十几万元到几百万元不等,但是法律界人士对此并不持乐观态度。另据悉,海淀区法院已经收下首个对赛门铁克的诉讼材料,但须审查后决定是否立案。
互联网资深律师于国富表示,由于国内在信息安全的法律责任还在研究制定当中,特别是在事故责任和损失认定等方面还是空白,因此企业或个人一旦索赔,可能面临非常繁琐的法律程序和漫长的诉讼时间。
“厂商对用户造成的损害赔偿额度,该如何计算是个难题。因为在我国,对于经济损失要求举证。类似诺顿软件‘误杀’的损失,举证比较困难。”律师岳成这样说。
也有律师提出,可以依据《消费者权益保护法》的诉讼原则向消费者权益保护组织举报、投诉,或者向信息产业部或者各地通信管理局进行投诉。
据了解,杀毒软件产品在生产环节由当地的技术监督部门管理,在流通环节有工商部门把关,而在市场准入环节由公安部公共信息网络安全监察局进行评测,唯独就缺少一个专职部门来监管杀毒软件的服务安全问题。信息产业部虽设有电子信息产品管理司,但主要拟定电子信息产品的发展规划与政策,所以监管部门缺失的问题就凸显出来。相关部门是否应该引起足够重视,设立专职机构监管杀毒软件产品的安全问题,来避免公民、企业遭受损失呢?
警醒三:盗版再现
“误杀门”事件又一次把盗版问题摆在公众面前。有媒体称,国内个人用户多使用盗版诺顿,赛门铁克“底气十足”,只道歉不赔偿,目的是为了打击盗版。
据业内人士称,杀毒软件公司如果支付赔偿也只能支付那些正版的使用者,因为只有他们才有权利索赔。盗版用户即使所有文件都丢失了,造成再大的损失,杀毒软件公司也没有责任。此次“误杀”事故中使用盗版的用户,也只能是吃个哑亏,苦水往肚里咽。
5月14日,国内研究咨询机构互联网实验室发布了“2006年度中国软件产业盗版率调查”报告。报告指出,“把盗版软件按市值折算价值来计算,软件全行业的盗版率由2005年的26%下降为24%;按当年安装的收费计算机软件套数计算,盗版率由2005年的66%下降为63%,其中单位用户盗版率由 48%下降至39%,而个人用户盗版率由80%下降至78%”。
从调查研究的结果可以看出,2006年度我国政府相关部门的反盗版举措成效显著,盗版行为及其所造成损失均明显下降,其中单位用户盗版率下降幅度尤其明显。
推广使用正版软件,意义并不仅仅在于受损失之后可以索赔,对于我国软件行业的发展同样影响深远。从这个角度来讲,“误杀门”事件,也许是一个新的开始。
来自中国信息化电子杂志
