📖 ZKIZ Archives

政府監管尚在初期醞釀，市場已滋生自律監管◎ 本刊記者 覃敏 文qinmin.blog.caixin.com 點開一條偶然收到的帶有明星圖片或新聞信息的彩信，到了月末，突然發現賬單上多出來幾十甚至上百元話費。仔細查詢，竟然是自己的手機自動向通訊錄里的聯繫人發送了上百條彩信。怎麼回事？

這其實是中了 “手機骷髏”病毒。

據移動互聯網安全廠商網秦 CEO 林宇介紹， “手機骷髏”病毒一般隱藏在各種手機小遊戲應用里，一旦下載到帶有“手機骷髏”的應用，感染病毒的手機會在用戶不知情的情況下自動發送彩信，而收到彩信的人點擊後又會形成二次傳播。2011年，上千萬用戶感染了該病毒，按照每條彩信0.3元計，給每位用戶造成少則幾十、多則上百元的損失。

這是林宇印象中一次較大規模的APP（Application 的簡稱，一般指智能終端的第三方應用程序）安全事件。

APP 黑白名單、開發者實名制、應用商店備案制、APP 運營抽查制……一個個 APP 監管版本近期在市場流傳。

這源於傳聞工信部正在醞釀推出針對 APP的新監管政策。

工信部電信研究院內部人士在接受財新記者專訪時證實，有關 APP 監管的技術、政策等都在研究當中，但並未走到工信部起草監管方案的一步， “目前仍處於各方討論階段” 。

該內部人士稱，工信部考慮對APP 實施監管的出發點是移動互聯網安全問題，智能終端安全機制薄弱、應用軟件存在惡意行為已成行業共識，不過現在只是在探討“應不應該管”以及 “如何進行管” 。

財新記者通過多方採訪獲悉，工信部的確已組織過相關安全廠商、應用商店討論對移動互聯網安全問題加強監管，擬議中有政府主導型、行業協會主導型以及用戶主導型三種APP 監管方案。其中，以行業協會為核心進行監管的呼聲最高。

業內最擔心的是監管分寸。林宇對財新記者稱，政府應根據產業所處的具體發展階段進行適度管理。無論最終的APP 監管走何種路徑，一個好的管理不僅要有利於 APP 產業鏈的發展，還要考慮到監管成本，管得過嚴或過寬，都不利於整個APP行業的發展。

APP灰色產業鏈

林宇稱，通過 APP 暗中吸費來獲取收入的做法屢見不鮮，早在一兩年前就形成了一條灰色產業鏈。

常見做法是， APP開發者與SP（服務提供商）達成“分成協議” ，開發者在某款應用中植入惡意代碼，當用戶下載應用後，APP 開發者遠程啓動惡意代碼控制用戶的手機，一方面在後台命令手機發送短信給運營商預訂SP 服務，一方面攔截運營商短信，使用戶在完全不知情的狀態下被扣費，而費用最終會被APP開發者和 SP瓜分。

此外，整個 APP 市場還滋生出一些新型的灰色產業鏈。最基本的類型是APP 惡意廣告推廣。安全廠商360公司副總裁李濤告訴財新記者，它們往往通過對正版應用的二次打包，植入惡意廣告插件。用戶下載後瘋狂彈廣告或下載其他推廣應用，以此獲得收入。

通過 APP 偷窺用戶隱私、轉手倒賣用戶信息，這一市場也隱然成型。 “尚不知道市場規模多大，也很難對這類行為進行追蹤，但確實存在這樣的市場，將 APP 開發者獲取的用戶信息賣給廣告主或某些特殊集團， ”一位 APP 業內資深人士說， “只要掌握了用戶信息，變現方式有很多種。 ”據網秦統計，竊取隱私是 APP 最大的安全隱患，在 APP 安全問題里占比達到28%，其次是經濟類安全問題，包括吸費、偷流量，占比25%。

“整體來說，現在PC端的安全危害都出現在了手機上，且手機上的安全危害越來越嚴重。 ”林宇介紹，目前全球有3億註冊用戶在使用網秦的手機安全管理工具。

網秦對這些用戶使用的 APP 應用進行監測，2012 年，網秦發現了超過65227個新型惡意軟件，軟件數量較上年同比增長 263% 。

360手機安全中心的最新統計數據顯示，今年一季度360安全中心新截獲的手機木馬、 惡意廣告插件有188487款，感染用戶2.1億人次。

危害有多大？

在智能機時代，政府希望加強對惡意軟件的監管是出于維護網絡安全，但關鍵 問題在於： APP 尚在新生期，過度監管有可能抑制創新。真正由於 APP 問題 造成的危害到底有多嚴重？

在多位 APP 安全廠商及渠道商的印象中，業內尚未出現純粹因為使用APP 而給用戶造成巨大危害的案例，“損失在可控範圍內”；而且市場自發的自律性監管已在發揮作用。

一個典型案例是 APP 渠道商——應用匯。應用匯自去年開始實行“雙倍賠償”機制，允許用戶舉報惡意應用，一旦核實，將雙倍賠償用戶損失。應用匯聯合創始人兼 COO 袁聰告訴財新記者，迄今為止，應用匯賠償案例不超過十例，用戶受損程度一般不超過200元。

APP 最常見的目的是推送廣告。目前，多數 APP 尚未找到合適的盈利模式，廣告仍是其賴以生存的途徑。為迎合廣告主，APP 開發者或 APP 渠道商可能放寬廣告尺度，彈跳廣告頻繁，甚至默認用戶點擊了廣告。這雖然嚴重影響用戶體驗，但實際危害並不大。

對於 APP 暗中吸費，智能機時代的暗中吸費要比功能機時代來得高明：功能機時代必須在手機中留有後門或預置軟件，而智能機可以隨意下載應用，SP 只需直接與 APP 開發者合作，不僅跳過許多中間環節、節省成本，而且更具隱蔽性，風險也降低了。可是，與功能機時代相比，SP 通過 APP 暗中吸費的量級要小很多。袁聰告訴財新記者，在功能機時代，暗中吸費是行業里公開的秘密，包括 SP、手機廠商、軟件廠商、渠道商甚至運營商一度達成“全行業共謀” ，各環節按一定比例參與分成。

現在，工信部及運營商都加強了對 SP 的治理，一旦發現暗中吸費，輕則不予結算，重則直接封號，甚至可能鋃鐺入獄，違法成本較高，這種行為及涉及的損失規模都在減少。

至於用戶最擔心的 APP 泄露個人信息，這涉及到 APP 是否惡意獲取權限查看用戶信息。3G 門戶副總裁黃愛華告訴財新記者，有些 APP 確實需要獲取一定權限讀取通訊錄等用戶信息，開發者會在用戶安裝 APP 時給予提示，但不少用戶搞不清楚這些權限意味著什麼、將來可能帶來什麼，有的甚至不去看這些提示就安裝。獲取了用戶信息後如何獲益是另一個層面的問題。上述APP 業內資深人士對財新記者說，一種可能的方式是將用戶信息賣給廣告商，推送大量廣告，這頂多是騷擾用戶。至於將用戶信息轉賣，用于詐騙或者進行商業間諜活動，這就像飛機失事一般，一旦發生危害巨大，但非常少見。

不少 APP 業內人士認為，對於這類詐騙、商業間諜等安全問題，並非單純對 APP 進行管理就可解決，這需對整個互聯網環境、社會信用體系、法律體系進行梳理，就像 “不能因在騰訊 QQ上聊天被騙，就說是騰訊的問題” 。

誰來管？

歐美國家也存在 APP 安全問題。當用戶遭遇 APP 安全問題，一般情況下，會向應用商店舉報，應用商店核實之後立即將惡意應用下架。與此同時，用戶可以依據既有法律，譬如非法侵害私有財產、侵害隱私等起訴應用開發者。

相比之下，中國的 APP 安全問題 更令人擔憂。全球 APP 市場研究機構App Annie 亞太區副總裁余俊德介紹，這主要是因為歐美地區的 APP 市場已經相對穩定，應用分發渠道集中：譬如美國亞馬遜、穀歌兩大應用商店行業集中度超過90%，用戶成熟度較好；另外歐美國家法律機制健全，建立了相對完善的信用體系，APP 開發者的違法成本太高。

中國工信部早在2010年就釋放出APP 監管信號。2010年，工信部委托國家計算機網絡應急技術處理協調中心（CNCERT）開展 《移動互聯網惡意程序監測與處置機制》的研究工作，並指導中國移動在江蘇、廣東兩地開展惡意程序的監測和處置試點。這一政策在2012年1月1日起開始執行，到2012年12月中旬，移動互聯網業界突然傳出工信部可能出台 APP 新規——最有可能出台“開發者實名制” “應用商店備案制”——挑動了全行業敏感的神經。

2013年3月 中 旬，CNCERT 運 行部副主任王明華在“移動互聯網發展論壇”上透露， 《移動互聯網黑白名單規 範》正在制定當中，這被業界視為APP 備案制的延續。2013年4月中旬出台的《關於加強移動智能終端管理的通知》也規定了預置應用的管理。

“出台應用商店備案制、APP 開發者實名制都是媒體誤讀，現在，如何監管 APP 仍處於討論階段，沒有定論，更沒有走到工信部起草監管方案的那一步。 ”工信部內部人士強調。

各方討論的管理方案大致分三種：一是由政府制定相關行業規範引導整個APP行業發展； 二是以應用商店為主體，由市場地位領先的 APP 商店牽頭成立APP 行業協會，協調全產業鏈的安全問題；三是以用戶為主體，通過提高用戶的素質、舉報惡意 APP 等方式，實現APP市場的優勝劣汰、自然淨化。

三種方案各有利弊。政府主導型的監管方案屬於強制性管理，但可能抑制APP 行業的創新；應用商店主導型的監管方案能深入瞭解 APP 行業需求、協調各方利益，但可能出現幾大應用商店巨頭完全主導全行業遊戲規則的情況，也可能會缺乏足夠效力；至於用戶主導型的監管方案，完全交由用戶通過市場機制監管，既能最大限度滿足用戶，又能激發整個 APP 市場活力，但這要求用戶具有足夠的 APP 使用經驗和自我管理能力，用戶能做到嗎？

在林宇看來，監管應考慮中國 APP 產業的發展階段。

李濤認為，目前中國的 APP 開發還在百花齊放的發展初期，APP 開發技術門檻低，大到國際巨頭、小到個人都可以快速開發手機APP；中國目前已有100多家手機應用商店，而由於安卓平台的開源性，通過網站、論壇也可以下載，應用渠道複雜且參差不齊。

“不過，APP 行業正呈現出資源集中的趨勢。未來小開發者機會不多，除非真有特別創新的產品；而應用分發渠道也會向幾大主流應用商店靠攏。 ”3G 門戶副總裁黃愛華表示。

袁聰亦認可 APP 行業集中的趨勢。他認為，當前中國的 APP 產業與2004 年－2005年的互聯網行業類似，還處於發展初期。隨著行業競爭的加劇，應用商店、開發者將越來越注重用戶體驗以及塑造自身的品牌，安全問題或將隨之減少。

現在，包括騰訊應用寶、360應用中心、應用匯等主流的應用商店都已建立起相對嚴格的審核機制。

袁聰介紹，應用匯建立了一套包括“公司自身技術+人工審核” “第三方安全公司審核” “交工信部接口審核”以及 “用戶舉報”四層關卡的安全審核機制，在前三層審核中可以篩掉80% －90% 的惡意應用，隱蔽得很深的惡意應用則有 “用戶舉報”機製做保障，一旦用戶舉報成立將獲得雙倍賠償。

安全廠商360、網秦也正致力于尋找更好的APP安全技術解決方案。

李濤告訴財新記者，所有提交給360的手機應用， 360都會檢測其安全性，確保進駐360安全市場的每一款軟件都是安全的。當用戶在後續使用中偷偷升級的應用，360也會有後續的跟蹤檢測 手段。

在當前情況下，APP 安全問題的確需要治理，關鍵是由誰來管，又如何在管理成本與管理目標之間求得平衡。在業界看來，增加事前審核可能是最壞的一種，因為 APP 單個程序審核制耗時耗力；APP 開發者實名制要做到真正追溯開發者也不易，或許需要與公安系統的身份證識別聯繫起來；應用商店備案制度首先實現對應用商店的界定界限就不易，某個廣告聯盟、搜索網站也可以集成應用，且備案制可能引發新的尋租機會。

黃愛華分析，在政府引導下，以市場為主體對 APP 進行監管可能是最經濟的方法。應用商店加強對自身業務的管理，相關政府部門可以考慮事後對應 用商店進行抽查。

王維基的香港電視計劃屢受阻撓，開台無期，商業事件演變成社會事件。這件事看似黑白分明，多一個電視台給公眾選擇，一定是好，但在今日香港，黑與白已變得陌生。不少朋友立場是，撇開喜歡王維基與否，在港視事件上，站在他一邊，一個創業者投資時間和金錢，當然值得支持。站在另一邊，除了政府，還有代表原有勢力的TVB。很少人接受政府審批過程沒牽涉政治考慮，公眾遷怒於政府，合情合理。至於TVB角色，卻較複雜。

幾十年來，TVB免費電視唯一競爭對手，是亞視，一直享受一台獨大位置，突然間可能要面對新對手，況且新對手是以破壞見稱的王維基，則是大件事。發牌過程中，TVB循法律途徑提出反對，並以其他手段打擊新對手，屬無可厚非商業行為，古今中外，各行各業也出現過。作為市民，被剝奪收看港視的選擇，TVB行為乞人憎；作為TVB股東，TVB行為未必合情，但相當合理。從港視事件看到，新對手除了面對正常商業挑戰，還須面對原有勢力阻撓，而這些阻撓的力度可以大至致命。原有勢力擁有大量資源，包括財力、政府關係、行業知識等，代表原有勢力堅固的防線。相反，新對手資源多數不及原有勢力，單是經驗這一環已差一截。面對新對手，原有勢力使出無所不用其極手段打擊，歷史上屢見不鮮，我印象最深例子來自電動車發展。我身邊朋友都感奇怪，我不是車迷，卻將成為Tesla車主，其實我是對電動車整個概念感興趣。我初次深入瞭解這課題，是幾年前看了一套紀錄片《Who Killed the Electric Car》，顧名思義，電動車曾被謀殺。

1990年，美國加州政府通過法例，強迫汽車生產商推出電動車。電動車不是石破天驚概念，自有車以來，便有人希望生產能普及化的電動車，但一直礙於各方面技術限制。既然電動車符合環保和其他需要，為何傳統車廠不一早發展電動車？答案是電動車破壞汽車工業的利益，原有勢力刻意壓抑電動車發展。加州立法後，由GM為首傳統車廠不得不認真研究電動車，《Who Killed the Electric Car》記錄這場母親殺親生仔的謀殺案。1996年，GM率先推出EV1電動車，當時只租不賣，主要供應加州市場。紀錄片訪問多位參與EV1的工程師，這些落手落腳的工程師當然想EV1成功，但當時他們也察覺到高層態度曖昧，摸不清GM是否真心想EV1成功。自1996年推出，EV1技術問題甚多，但也吸引為數不少的車主，為這套紀錄片製造對抗的張力，一邊廂車廠想殺死電動車，另一邊廂車主想保護它。這些車主包括知名人士，最出名是演員湯漢斯，他有為紀錄片出鏡。加州政府推出法例後，汽車工業群起反攻，在這個由石油工業帶領的龐大利益集團發功之下，加州政府推動政策的意志不停被動搖。GM一面研製電動車，一面想殺死電動車，這就是EV1的奇怪生命。

最後加州的強制電動車法例無疾而終，車廠乘機叫停電動車研究計劃。GM於2003年終止電動車計劃，宣佈收回市場上約五千部EV1。很多EV1車主提出購買，但GM不接受，選擇把EV1送往廢車場。紀錄片拍攝多個EV1車主無奈看著心愛的汽車被拖走，有些車主甚至上街抗議。GM一意孤行，火速收回並毀滅所有EV1，今日只有博物館存有幾部EV1。殺死電動車的兇手是原有勢力，包括石油工業和環繞汽車工業的眾多企業。電動車經驗可否套入香港情景？這問題很有趣，因為電動車沒有隨著EV1被毀屍滅跡死去，一代又一代電動車勇士前仆後繼，誓要保存電動車夢想，其中表表者是Tesla。假如王維基代表電動車推動者，他未死，只是時機未到。最近關於Tesla的新聞，是新澤西州立法禁止Tesla直銷電動車予消費者，法例指必須經過中介代理商，原因是為保障消費者。廠商直銷予消費者，被判不能保障消費者，在二十一世紀的美國，竟仍有這種扭曲自由市場的無稽事情發生，可見原有勢力的威力。

蔡東豪 Tony Tsoi

現任上市公司精電國際行政總裁，他曾任職投資銀行，在《信報》以筆名原復生撰寫財經專欄，對投資及求知有無限渴求，習慣早上四時起床寫作找樂趣。http://www.facebook.com/TONYTONGHOOTSOI