前沿關註
易繼明 (北京大學法學院教授、國際知識產權研究中心主任)
手機產業的升級固然離不開硬件更新與技術創新,但安全問題同樣不容忽視。調研顯示,將近一半的安卓手機使用者並不排斥甚至有意願轉向使用蘋果手機,更有許多使用者認為蘋果手機明顯優於市場上其他所有同類產品。在諸多影響使用者判斷的因素之中,蘋果手機的安全性最為關鍵。鑒於中國手機廠商的作業系統主要搭建於安卓平台之上,堅持安全與發展並重,構建高效、可行的手機整體安全管理方案,確保手機相關設計符合國家安全、網絡安全、使用者財產安全等需求,已經成為刻不容緩的任務。
從底層設計來看,開源內容是安卓手機安全性的最大隱患,也是其相較於蘋果手機的主要劣勢所在。蘋果手機的ios系統采取了極為封閉的技術架構,對任何第三方渠道下載、安裝套用軟件設定了嚴格的條件,以確保安全性,強化私密保護。使用者在App Store以外的套用市場下載套用軟件,除透過刷機使系統「越獄」,或者強行安裝證書認證以外,並沒有其他途徑可供選擇。與之不同,安卓系統本身及基於其開發的其他衍生手機系統都以開源作為底層架構,系統內建市集、第三方市場、網頁端甚至是使用者之間傳輸的App安裝包,均可成為套用軟件下載、安裝的具體來源。外部來源之廣,使手機系統安全隱患大大提升。
對套用軟件的治理理應成為手機廠商整體安全管理方案的重要組成部份,在法律層面即手機廠商應承擔套用軟件的安全審查義務。事實上,這不僅是中國手機廠商實作產業升級、在國際競爭中掌握主動地位的必要條件,也是履行公法上的網絡安全保護義務、民法上的安全保障義務以及實作使用者利益的必然要求。
在公法層面,手機廠商負有保證手機軟件安全性的法定義務。網絡安全法提出「網絡安全保護義務」這一概念,要求網絡營運者依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定執行,有效應對網絡安全事件,在加強網絡安全保護、提高網絡安全保護水平方面接受網絡相關行業組織的指導。該法「網絡資訊保安」一章進一步明確了套用軟件提供者和套用軟件下載服務提供者的義務,要求前者不得設定惡意程式,不得含有法律、行政法規禁止釋出或者傳輸的資訊;要求後者履行對此類套用軟件的安全管理義務,采取停止提供服務、消除等處置措施。作為天然的套用軟件下載服務提供者,手機廠商欲采取停止提供服務、消除等處置措施,必然需要進行安全審查。
一些更為具體的要求體現在工信部印發的通知及行業標準之中。行業標準【移動智能終端安全能力技術要求】(YD/T 2407-2021)為套用層設定了明確的安全目標,即要保證移動智能終端對要安裝在其上的套用軟件可進行來源的辨識,對已經安裝或載入在其上的套用軟件可以進行敏感行為的控制。在具體行為方式上,則特別強調移動智能終端透過給使用者提示和讓使用者確認的方式來防範安全威脅。給使用者的提示和明示可以是圖示、文字、語言或其他明顯的提示行為。在操作執行期間,提示應足夠引起使用者的註意。總體來看,相關規定從驗證方法、留存義務以及強化使用者知情權等方面對安全審查義務進行了細化,理應成為手機廠商的行動指南。
手機廠商對套用軟件進行安全審查,還是履行民法上安全保障義務的具體體現。安全保障義務是公共場所管理人、群眾性活動組織者對進入其公共空間的主體所承擔的確保其人身、財產安全的義務,它要求上述管理者、組織者不但要做到消極地不侵害他人,還要積極地在合理限度內保護他人免遭第三人的侵害。隨著社會生活場景的發展,安全保障義務的適用已經突破了物理空間的限制,延伸到網絡領域。根據【最高人民法院關於審理侵害資訊網絡傳播權民事糾紛案件適用法律若幹問題的規定】,網絡服務提供者應當具備與之提供服務的性質、方式及其引發侵權的可能性大小相匹配的管理資訊的能力,這為安全保障義務確立了參考標準。
手機廠商履行安全審查義務,也是切實保護使用者利益的必要之舉。手機系統安裝軟件有兩種來源:第一種來源於手機廠商自營運的市集,透過這一渠道上傳的套用軟件在上架時以及上架後的日常巡檢中通常已經過反復、多輪機器及人工檢測甚至試安裝執行;第二種來源於外部,具有隨機性,因預見可能性的限制而並不在手機廠商日常安全審查範圍之內。對前者而言,由於手機廠商已履行較為全面的審查義務,使用者利益得以保障,故無需在下載、安裝中設定重復審查程式;對後者而言,則為安全保障義務履行之需,必須啟動一系列風險監測和提示程式,確保使用者明確知悉可能的安全風險,並經過使用者的明確同意方能下載、安裝,這也是履行消費者權益保護法第二十條關於真實、全面提供有關服務資訊的義務的必要舉措。實踐中,安卓手機廠商對外部軟件來源基本會采取為履行安全審查義務的必要程式,包括但不限於彈窗提示外部來源、檢測風險、提示風險檢測結果、要求驗證身份方能繼續下載等,這些程式一般在前端執行,以引起使用者的足夠註意。雖然上述設定會在一定程度上降低使用者體驗,但因安全所需部份犧牲使用者使用軟件的便捷性是確有必要的。唯有如此,方能確保使用者知情同意權充分實作,使不充分知情情形下因下載、安裝惡意軟件而遭受財產、人身權益的風險最小化。從實際效果上看,手機廠商對外部軟件的安全審查應當以最為顯著、直接的方式在手機前台向公眾進行提示,這與【互聯網終端軟件服務行業自律公約】第九條關於「終端軟件在執行過程中,如執行系統修改、掃描、資訊收集和數據回傳等操作,應事先提示使用者」的規定是一致的,亦符合行業標準【移動智能終端安全能力技術要求】(YD/T 2407-2021)所提出的「不會出現使用者在不知情情況下的某種行為的執行」的要求。上述規定,強化了「明確提示」的要求,本質上也是使用者知情同意權的具體化落實。另外,外部來源中,雖然第三方市集一般也會進行安全審查,但考慮到市集之間審查標準並不統一、安全審查能力參差不齊,手機廠商應對第三方市集、網頁端及使用者之間傳輸的App等外部來源,仍應采取相同的安全審查措施。
綜上,手機廠商對套用軟件的安全審查義務有充足的依據。網絡安全是底線要求,在不存在違法或違規的情況下,可由手機廠商自行設定合適的安全提示用語、方式與步驟。這一方面有利於保障手機廠商的經營自主權,避免動輒得咎所導致的不敢創新,損害產業發展動力;另一方面也有利於在競爭中形成最佳行業實踐,促進中國手機產業更新升級,提升國際競爭力。
來源: 法治日報-法治網
