近日，有技術(shù)員發(fā)帖表示，QQ 正在嘗試讀取用戶的瀏覽記錄，引發(fā)廣泛關(guān)注。

此后，陸續(xù)有程序員進(jìn)行驗(yàn)證，發(fā)現(xiàn)QQ讀取瀏覽器歷史的行為包括：讀取瀏覽器瀏覽歷史，對(duì)讀取到的url進(jìn)行md5，并在本地進(jìn)行比較，在md5匹配的情況下，上傳相應(yīng)分組ID。

“我們深表歉意，內(nèi)部正梳理歷史問題并強(qiáng)化用戶數(shù)據(jù)訪問規(guī)范。”1月18日上午，騰訊回應(yīng)稱，PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險(xiǎn)的情況，讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會(huì)上傳至云端，不會(huì)儲(chǔ)存。

目前，騰訊表示，已更換了檢測(cè)惡意和異常請(qǐng)求的技術(shù)邏輯去解決問題，并發(fā)布全新的PC QQ版本。

有關(guān)專家表示，如果騰訊所述屬實(shí)，只是軟件本身讀取相關(guān)數(shù)據(jù)，不上傳云端也不儲(chǔ)存，不構(gòu)成侵犯?jìng)€(gè)人隱私。侵權(quán)關(guān)鍵在于是否存在“上傳騰訊服務(wù)器”行為，而并不是在于本地抓取與否。

“QQ 正在嘗試讀取你的瀏覽記錄”

一位名為mengyx的技術(shù)員在V2EX社區(qū)上發(fā)表了一篇名為《QQ 正在嘗試讀取你的瀏覽記錄》的帖子。

圖為網(wǎng)友mengyx發(fā)帖內(nèi)容

mengyx表示，在使用QQ的過程中，為了防止一些“流氓行為”，特地去 MS Store 里面安裝了 QQ 桌面版。由于其使用了火絨的自定義攔截功能，設(shè)置了一些重要或敏感數(shù)據(jù)目錄的保護(hù)。最后，mengyx得出結(jié)論，QQ正在嘗試讀取Chrome中的瀏覽記錄。

該帖發(fā)出后，引起眾多程序員的關(guān)注。網(wǎng)友qwqdanchun對(duì)此進(jìn)行驗(yàn)證，發(fā)現(xiàn)該讀取行為并非只針對(duì)Chrome，而是會(huì)試圖讀取電腦里所有谷歌系瀏覽器的歷史記錄并提取鏈接，確認(rèn)會(huì)中招的瀏覽器包括但不限于Chrome、Chromium、360極速、360安全、獵豹、2345等瀏覽器。同時(shí)，該網(wǎng)友發(fā)現(xiàn)，騰訊旗下的另一款辦公軟件TIM也存在讀取瀏覽器歷史的行為。

圖為網(wǎng)友qwqdanchun發(fā)帖內(nèi)容

此后，陸續(xù)有程序員對(duì)此問題進(jìn)行了驗(yàn)證。18日上午，mengyx總結(jié)稱, 涉及讀取瀏覽器歷史的軟件涉及QQ Windows 9.0.4之后的版本和TIM Windows 3.1.0)之后的版本，具體的行為包括：登錄10分鐘之后，讀取瀏覽器瀏覽歷史，對(duì)讀取到的url進(jìn)行md5，并在本地進(jìn)行比較，在md5匹配的情況下，上傳相應(yīng)分組ID(主要為電商、股票等關(guān)鍵詞)。

與此同時(shí)，也有人表示，QQ后臺(tái)讀取歷史記錄，或許并不是侵害用戶隱私。操作系統(tǒng)程序員Anhkgg在技術(shù)對(duì)比后認(rèn)為，讀取歷史記錄和刪除臨時(shí)文件中間并沒有什么上傳服務(wù)器之類的操作，所有都是本地完成的，不能對(duì)QQ的行為下結(jié)論，不能因?yàn)榕R時(shí)讀取和計(jì)算了一下url，就判定騰訊是對(duì)用戶隱私的侵害。

不過，Anhkgg也認(rèn)同在這件事情中，QQ并不完全是無辜者，讀取用戶瀏覽器歷史記錄是一個(gè)非常敏感的行為，應(yīng)該必須讓用戶清楚得知道，你并沒有用此信息做什么傷害用戶利益的事情。

針對(duì)Anhkgg的看法，qwqdanchun向21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示，自己的驗(yàn)證只進(jìn)行到了md5的對(duì)比，后面部分沒有進(jìn)行逆向，因此不發(fā)表進(jìn)一步的意見。如果時(shí)間允許，他將進(jìn)行逆向后再發(fā)表評(píng)論。

騰訊：為判斷是否惡意登錄

18日上午，已認(rèn)證為“騰訊QQ”的知乎賬號(hào)對(duì)此作出回應(yīng)稱，PC QQ存在讀取瀏覽器歷史用以判斷用戶登錄安全風(fēng)險(xiǎn)的情況，讀取的數(shù)據(jù)用于在PC QQ的本地客戶端中判斷是否惡意登錄。所有相關(guān)數(shù)據(jù)不會(huì)上傳至云端，不會(huì)儲(chǔ)存，也不會(huì)用于任何其他用途。

具體情況為，該操作為歷史上線的一個(gè)對(duì)抗惡意登錄的技術(shù)解決方案：因系統(tǒng)識(shí)別有不少偽造的QQ客戶端會(huì)惡意訪問多個(gè)網(wǎng)站作為前期輔助工作，因此在PC QQ客戶端中加入了檢測(cè)惡意和異常的訪問邏輯，以此作為輔助手段去判斷惡意客戶端。

“對(duì)本次事件，我們深表歉意，內(nèi)部正梳理歷史問題并強(qiáng)化用戶數(shù)據(jù)訪問規(guī)范。”騰訊稱，目前，已經(jīng)更換了檢測(cè)惡意和異常請(qǐng)求的技術(shù)邏輯去解決上述安全風(fēng)險(xiǎn)問題，并發(fā)布全新的PC QQ版本。為減少不便，所有受影響的PC QQ歷史版本將自1月18日開始進(jìn)行熱更新和推送升級(jí)包。同時(shí)，手機(jī)端QQ不存在上述操作，不受影響。

21世紀(jì)經(jīng)濟(jì)報(bào)道記者查閱《騰訊服務(wù)協(xié)議》《隱私政策》和《QQ隱私保護(hù)指引》等文件，并未發(fā)現(xiàn)有關(guān)讀取瀏覽器歷史記錄的介紹。

“騰訊用這種辦法檢測(cè)惡意登錄也是說得過去的。不過無論如何，讀取瀏覽記錄的行為還是不恰當(dāng)?shù)模Ｍv訊能盡快找出更好的辦法解決惡意登錄這個(gè)問題。”對(duì)于騰訊方面的澄清，qwqdanchun如此回應(yīng)。

據(jù)mengyx最新更帖，17日晚間發(fā)布的QQ 9.4.2和TIM 3.3.0均移除了相應(yīng)代碼，暫停了讀取瀏覽器歷史的行為。

是否上傳數(shù)據(jù)成侵權(quán)關(guān)鍵

企業(yè)讀取瀏覽器的行為是否侵犯用戶隱私?

“任何公司在未告知用戶的情況下，讀取其瀏覽器歷史記錄的行為都是對(duì)用戶隱私的侵犯。”清律律師事務(wù)所首席合伙人熊定中向21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示，瀏覽器歷史記錄既記載了個(gè)人隱私，又是敏感個(gè)人信息，是受到法律保護(hù)的。

具體到此次事件，熊定中認(rèn)為，如果騰訊所述屬實(shí)，只是軟件本身讀取相關(guān)數(shù)據(jù)，不上傳云端也不儲(chǔ)存，與騰訊相關(guān)系統(tǒng)無接觸，則不構(gòu)成侵犯?jìng)€(gè)人隱私，因?yàn)檐浖惭b在用戶個(gè)人電腦上，如果處理均在本地完成，那實(shí)際上不是“騰訊讀取瀏覽器歷史記錄”，而是“用戶安裝的一款軟件本地讀取其他瀏覽器歷史記錄”。因此，不構(gòu)成騰訊的不正當(dāng)行為。

“但據(jù)目前網(wǎng)友的描述，該款瀏覽器有一個(gè)‘在md5匹配的情況下，上傳相應(yīng)分組ID’的行為。如果描述屬實(shí)，這意味著，并不是‘本地處理’而是‘上傳騰訊服務(wù)器’，這個(gè)上傳的數(shù)據(jù)將被騰訊所掌握和控制，不管最終騰訊是否儲(chǔ)存，這個(gè)行為在沒有獲得用戶知情同意的情況下都是涉嫌侵權(quán)的。”熊定中表述，問題的核心在于，是否存在“上傳騰訊服務(wù)器”行為，而并不是在于本地抓取與否。

同時(shí)，熊定中提醒，隱私權(quán)和個(gè)人信息權(quán)益都是民法典人格權(quán)編規(guī)定的公民權(quán)利(權(quán)益)，這屬于絕對(duì)權(quán)，即只要未經(jīng)用戶同意，則破壞了用戶對(duì)自己人格權(quán)益的控制，可以根據(jù)民法典向法院主張自己的權(quán)益。對(duì)于大規(guī)模侵犯公民個(gè)人權(quán)益的行為，用戶也可以向相關(guān)監(jiān)管機(jī)構(gòu)例如網(wǎng)信辦或者市場(chǎng)監(jiān)督管理局舉報(bào)，或者申請(qǐng)檢察院、消協(xié)發(fā)起公益訴訟的方式維權(quán)。

關(guān)鍵詞： 騰訊致歉 PC版QQ 讀取