对今天的互联网使用者来说,“垃圾邮件”早已不是一个陌生的名词。然而,如果说“反垃圾邮件”会涉及到我们的通信秘密,你是否会感到吃惊?现在,许多关注互联网安全的人士正在就这一话题展开热烈讨论。而争议的起因则是3月30日起开始正式实施的《互联网电子邮件服务管理办法》。
作为一部填补我国反垃圾邮件立法空白的法规,《互联网电子邮件服务管理办法》的出台引起了各方关注。而对专注于反垃圾邮件技术研发的机构来说,该法规的第三条尤为重要。该条明确规定,公民使用互联网电子邮件服务的通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信内容进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信秘密。争议的关键在于,在这一规定下,目前绝大部分反垃圾邮件机构所使用的“邮件内容扫描”技术是否会侵犯我们的“通信秘密”?
内容扫描技术VS行为分析技术 从1990年互联网由军用转向民用开始,垃圾邮件就成为网络服务商和用户的头号难题。反垃圾邮件技术也从第一代发展到了第五代。硕琦(上海)信息科技有限公司总经理周宏明认为,传统反垃圾邮件技术基本沿用“截获样本,解析特征,生成规则,规则下发,内容过滤”的原理,很难跟得上数量巨大、千变万化的垃圾邮件,有一些不可避免的先天缺陷。更重要的是,现有的垃圾防御技术无法突破内容过滤与数据库的思考模式,垃圾邮件防御系统必须通过邮件服务器完全收下邮件后才能加以比对判断,而作为比对依据的数据库维护与更新更是需要大量人力与全球多国语言的限制才能进行。这不仅设置了颇高的资金门槛,也引发了是否“侵犯公民通信秘密”的争议。
2005年,IBM与美国康奈尔大学的联合研发小组对外宣布,开发出全新的反垃圾邮件技术——SMTP路径分析技术(SMTP Path Analysis)。此后,雅虎和EarthLink公司也宣布将推出一种新的反垃圾邮件技术。该技术主要由雅虎开发研制,能对垃圾邮件发送者通过的匿名地址进行有效辨别。而微软公司于2004年底提交给互联网工程任务小组的SenderID反垃圾邮件技术也是一种以IP(互联网协定)地址认证电子邮件寄件人身份的技术。凭借这一技术,人们可以准确判定电子邮件的来源,从而降低垃圾邮件以及域名欺骗等行为发生的可能。周宏明认为,以上述技术为代表的“行为分析技术”是今后反垃圾邮件的方向。行为分析技术不需收下邮件即可完成“是否是垃圾邮件”的判断。系统仅对通讯行为合法性把关,无关邮件内容,当然也就没有后续数据库维护与多国语言的困扰。
机器“看”,不算看? 信息产业部政策法规司法规处副处长李长喜对《科学时报》记者明确表示,《互联网电子邮件服务管理办法》对垃圾邮件的管理主要是通过电子邮件的标题等外在形式加以判断。例如,发送包含商业广告内容的互联网电子邮件时,必须在互联网电子邮件标题信息前部注明“广告”或者“AD”字样。邮件是否属于垃圾邮件主要通过用户的举报,包括运营商、电子邮件服务提供商和垃圾邮件举报受理中心在内的机构,都无权自行打开邮件,查看邮件的内容。然而,至于目前90%以上的机构所使用的“内容扫描”技术是否违反了《管理办法》的规定,他并没有给出明确答复。
“机器‘看’能算看吗?”东软软件股份有限公司总经理曹斌对《科学时报》记者表示,对电子邮件内容的扫描和过滤都是由服务器自动完成的,没有个人参与,因此很难得出该技术涉嫌侵权的结论。例如,企业老板查看员工电子邮件,可能会造成员工隐私泄露,但机器打开却不会有这样的后果。
据记者了解,虽然目前业内对“内容扫描”技术颇多争议,但这并没有妨碍它的广泛应用。另外,据中国互联网协会反垃圾邮件中心对我国反垃圾邮件状况进行的最新调查表明,在防范垃圾邮件的技术手段中,身份认证技术也正被越来越多的企业所重视。种种迹象表明,良好的反垃圾邮件效果、对用户隐私的绝对保护,将会成为反垃圾邮件技术的“试金石”,也决定着哪种技术会成为明天的主流。