360浏览器已送国家权威部门做检测

　　近两周以来，有关“打假斗士”方舟子质疑360浏览器引发业界关注，10月25日工信部张峰司长在接受媒体采访时表示，工信部已着手调查某著名科普人士对于奇虎360进行“指控”一事，如果查实此事确有涉及违法违规行为，工信部将依法予以严肃处理。

　　对此，周鸿祎表示，工信部的介入调查是奇虎360推动的，欢迎工信部介入调查此次事件，并希望能尽快给予调查结论。“我们在之前就在找第三方政府机构对产品做一个鉴定。目前，360已经将浏览器提交至工信部、公安系统的检测机构做检测，将借助第三方机构证明产品在用户隐私上没有问题。”

　　据周鸿祎介绍，360已经设立了专门的辟谣页面，对业界全部与产品有关的质疑逐一进行了回应与澄清;同时，早在2010年4月开始，360就已经将软件的源代码托管在国家信息安全评测中心，并定期更新、补充新的产品代码，以公开源代码的方式来接受公众监督。

　　此外，周鸿祎透露，近期方舟子的诋毁言论和竞争对手对此的大力推动传播，对360公司的商业信誉、企业形象以及相关产品的美誉度造成了极大损害，在360用户中产生了恶劣影响。为维护企业的合法权益，针对方舟子和百度公司侵犯360企业名誉权的行为，360公司已经完成相关证据的收集工作，并向法院起诉方舟子和百度公司。

　　关于360安全浏览器工作原理的技术说明

　　方舟子先生多次转发各种不敢实名认证公开身份的匿名账号(这样可随便乱说不用负责任)的微博，只想证明一个观点：360安全浏览器上传用户隐私。姑且认为方舟子先生不懂360安全浏览器的工作原理，所以造成误解，这里给方舟子先生，还有其他想进一步了解真相的用户，详细描述一下360安全浏览器的一些技术细节。

　　同时，请方舟子先生的“技术秘书“注意，请用一个技术人员应有的严谨态度进行沟通，最好实名认证一下，这样在质疑时能显得更有诚意，说假话时多少能有点顾忌。

　　360安全浏览器没有任何侵犯用户隐私的行为，因为与其他360软件一样，360安全浏览器在用户数据处理上遵循了两个原则：

　　第一、尊重用户选择权。互联网软件的一些功能，必须要通过联网通信才能实现。360安全浏览器只有在用户主动触发这些功能，或者同意360安全浏览器的用户协议情况下，才会上传功能实现的必要数据，同时也绝不会涉及用户隐私资料，包括文档、图表、照片、视频或者其他与用户隐私相关的非程序文件和身份信息。

　　第二、尊重用户知情权。360发布了《用户隐私保护白皮书》，与其他互联网公司相比，这是最全面、最透明的隐私保护白皮书。360将各个软件的工作原理、实现哪些功需要上传什么数据，都解释得一清二楚。

　　一、联网通信不等于上传用户隐私

　　作为一款互联网软件，客户端和服务端一定会有通信，可能会上传数据，但上传数据不等于上传用户隐私，方舟子先生偷换概念，给360安全浏览器无端扣了一顶大帽子。

　　是否上传数据不是判断是否搜集用户隐私的标准，而应看用户是否有知情权和选择权。只有用户完全不知情的情况下私自上传用户敏感信息，才涉嫌搜集用户隐私。

　　1) 知情权：用户对于上传行为是否知情，对于上传什么内容是否了解。

　　2) 选择权：用户是否可以选择上传或者不上传。

　　二、 360安全浏览器“登录管家“是用户充分知情并主动选择的操作

　　1) 记住密码是用户的需求，很多浏览器都有这个功能。

　　用户登录就需要密码，密码太简单会不安全，太复杂又记不住。所以记住密码是用户的需求。目前市面上主流的浏览器，包括IE和chrome都提供记住密码的功能。360安全浏览器也能记住密码，有明确提示，用户点击确认后才会记录。

　　同时会对存储在本机的密码进行双重加密，加密机制摘要如下：

　　a) 使用SHA1算法生成一个本机机器相关的密钥。

　　b) 再使用AES256加密算法对用户保持在本机的账号密码进行双重加密。

　　c) 这样的加密文件即使被盗取，放到另外一台电脑上也是无法使用的。

　　2) 用户有多台电脑，需要同步自己的账号信息，所以在用户确认的情况下密码被加密备份在360服务器上，Chrome、Firefox等众多浏览器均提供类似功能。

　　a) 很多用户都有多台电脑：办公电脑、家庭电脑，出于使用方便的需求，用户有不同电脑间同步自己账号信息的需求。希望在办公室和家里都可以方便地一键登录网站，而不用一遍一遍地输那些难记的密码。

　　b) 用户帐号信息备份功能默认关闭，只有用户主动选择使用时才会开启，开启时会弹窗提示用户，进行二次确认，用户也可以随时关闭此功能。

　　在360安全浏览器的隐私保护说明中也对此有明确描述：

　　c) 用户密码存储在服务端也是加密存储，而且采用了多种加密手段，确保即使服务器被人攻破，把数据库拖走，也无法解开其中的用户帐号数据。具体加密机制如下：

　　整个数据的传输是采用https的方式来进行的，而且传输过程会有相关的校验机制，可保证在传输过程不会被劫持和盗取。

　　网络获取唯一密钥和本地机器特征码密钥相结合，并且采用双重加密方式来进行存储，避免了服务器被拖库后数据批量破解的风险。

　　如果用户的本地数据和本地密钥被窃取，如果没有网络下发的密钥，数据是无法解开的。同理如果数据服务器被攻破，用户的网络数据和网络密钥同时丢失，在第三方的机器上数据也是解不开的，必须到每个用户的机器上才能把数据解开，这会大大增加数据破解的难度。

　　d) 火狐、Chrome都有类似的插件，国内不少浏览器也都内置了这个功能。此功能会让用户更登录网站更方便，应用很广泛。