政府監管尚在初期醞釀,市場已滋生自律監管◎ 本刊記者 覃敏 文qinmin.blog.caixin.com 點開一條偶然收到的帶有明星圖片或新聞信息的彩信,到了月末,突然發現賬單上多出來幾十甚至上百元話費。仔細查詢,竟然是自己的手機自動向通訊錄里的聯繫人發送了上百條彩信。怎麼回事? 這其實是中了 “手機骷髏”病毒。 據移動互聯網安全廠商網秦 CEO 林宇介紹, “手機骷髏”病毒一般隱藏在各種手機小遊戲應用里,一旦下載到帶有“手機骷髏”的應用,感染病毒的手機會在用戶不知情的情況下自動發送彩信,而收到彩信的人點擊後又會形成二次傳播。2011年,上千萬用戶感染了該病毒,按照每條彩信0.3元計,給每位用戶造成少則幾十、多則上百元的損失。 這是林宇印象中一次較大規模的APP(Application 的簡稱,一般指智能終端的第三方應用程序)安全事件。 APP 黑白名單、開發者實名制、應用商店備案制、APP 運營抽查制……一個個 APP 監管版本近期在市場流傳。 這源於傳聞工信部正在醞釀推出針對 APP的新監管政策。 工信部電信研究院內部人士在接受財新記者專訪時證實,有關 APP 監管的技術、政策等都在研究當中,但並未走到工信部起草監管方案的一步, “目前仍處於各方討論階段” 。 該內部人士稱,工信部考慮對APP 實施監管的出發點是移動互聯網安全問題,智能終端安全機制薄弱、應用軟件存在惡意行為已成行業共識,不過現在只是在探討“應不應該管”以及 “如何進行管” 。 財新記者通過多方採訪獲悉,工信部的確已組織過相關安全廠商、應用商店討論對移動互聯網安全問題加強監管,擬議中有政府主導型、行業協會主導型以及用戶主導型三種APP 監管方案。其中,以行業協會為核心進行監管的呼聲最高。 業內最擔心的是監管分寸。林宇對財新記者稱,政府應根據產業所處的具體發展階段進行適度管理。無論最終的APP 監管走何種路徑,一個好的管理不僅要有利於 APP 產業鏈的發展,還要考慮到監管成本,管得過嚴或過寬,都不利於整個APP行業的發展。 APP灰色產業鏈 林宇稱,通過 APP 暗中吸費來獲取收入的做法屢見不鮮,早在一兩年前就形成了一條灰色產業鏈。 常見做法是, APP開發者與SP(服務提供商)達成“分成協議” ,開發者在某款應用中植入惡意代碼,當用戶下載應用後,APP 開發者遠程啓動惡意代碼控制用戶的手機,一方面在後台命令手機發送短信給運營商預訂SP 服務,一方面攔截運營商短信,使用戶在完全不知情的狀態下被扣費,而費用最終會被APP開發者和 SP瓜分。 此外,整個 APP 市場還滋生出一些新型的灰色產業鏈。最基本的類型是APP 惡意廣告推廣。安全廠商360公司副總裁李濤告訴財新記者,它們往往通過對正版應用的二次打包,植入惡意廣告插件。用戶下載後瘋狂彈廣告或下載其他推廣應用,以此獲得收入。 通過 APP 偷窺用戶隱私、轉手倒賣用戶信息,這一市場也隱然成型。 “尚不知道市場規模多大,也很難對這類行為進行追蹤,但確實存在這樣的市場,將 APP 開發者獲取的用戶信息賣給廣告主或某些特殊集團, ”一位 APP 業內資深人士說, “只要掌握了用戶信息,變現方式有很多種。 ”據網秦統計,竊取隱私是 APP 最大的安全隱患,在 APP 安全問題里占比達到28%,其次是經濟類安全問題,包括吸費、偷流量,占比25%。 “整體來說,現在PC端的安全危害都出現在了手機上,且手機上的安全危害越來越嚴重。 ”林宇介紹,目前全球有3億註冊用戶在使用網秦的手機安全管理工具。 網秦對這些用戶使用的 APP 應用進行監測,2012 年,網秦發現了超過65227個新型惡意軟件,軟件數量較上年同比增長 263% 。 360手機安全中心的最新統計數據顯示,今年一季度360安全中心新截獲的手機木馬、 惡意廣告插件有188487款,感染用戶2.1億人次。 危害有多大? 在智能機時代,政府希望加強對惡意軟件的監管是出于維護網絡安全,但關鍵 問題在於: APP 尚在新生期,過度監管有可能抑制創新。真正由於 APP 問題 造成的危害到底有多嚴重? 在多位 APP 安全廠商及渠道商的印象中,業內尚未出現純粹因為使用APP 而給用戶造成巨大危害的案例,“損失在可控範圍內”;而且市場自發的自律性監管已在發揮作用。 一個典型案例是 APP 渠道商——應用匯。應用匯自去年開始實行“雙倍賠償”機制,允許用戶舉報惡意應用,一旦核實,將雙倍賠償用戶損失。應用匯聯合創始人兼 COO 袁聰告訴財新記者,迄今為止,應用匯賠償案例不超過十例,用戶受損程度一般不超過200元。 APP 最常見的目的是推送廣告。目前,多數 APP 尚未找到合適的盈利模式,廣告仍是其賴以生存的途徑。為迎合廣告主,APP 開發者或 APP 渠道商可能放寬廣告尺度,彈跳廣告頻繁,甚至默認用戶點擊了廣告。這雖然嚴重影響用戶體驗,但實際危害並不大。 對於 APP 暗中吸費,智能機時代的暗中吸費要比功能機時代來得高明:功能機時代必須在手機中留有後門或預置軟件,而智能機可以隨意下載應用,SP 只需直接與 APP 開發者合作,不僅跳過許多中間環節、節省成本,而且更具隱蔽性,風險也降低了。可是,與功能機時代相比,SP 通過 APP 暗中吸費的量級要小很多。袁聰告訴財新記者,在功能機時代,暗中吸費是行業里公開的秘密,包括 SP、手機廠商、軟件廠商、渠道商甚至運營商一度達成“全行業共謀” ,各環節按一定比例參與分成。 現在,工信部及運營商都加強了對 SP 的治理,一旦發現暗中吸費,輕則不予結算,重則直接封號,甚至可能鋃鐺入獄,違法成本較高,這種行為及涉及的損失規模都在減少。 至於用戶最擔心的 APP 泄露個人信息,這涉及到 APP 是否惡意獲取權限查看用戶信息。3G 門戶副總裁黃愛華告訴財新記者,有些 APP 確實需要獲取一定權限讀取通訊錄等用戶信息,開發者會在用戶安裝 APP 時給予提示,但不少用戶搞不清楚這些權限意味著什麼、將來可能帶來什麼,有的甚至不去看這些提示就安裝。獲取了用戶信息後如何獲益是另一個層面的問題。上述APP 業內資深人士對財新記者說,一種可能的方式是將用戶信息賣給廣告商,推送大量廣告,這頂多是騷擾用戶。至於將用戶信息轉賣,用于詐騙或者進行商業間諜活動,這就像飛機失事一般,一旦發生危害巨大,但非常少見。 不少 APP 業內人士認為,對於這類詐騙、商業間諜等安全問題,並非單純對 APP 進行管理就可解決,這需對整個互聯網環境、社會信用體系、法律體系進行梳理,就像 “不能因在騰訊 QQ上聊天被騙,就說是騰訊的問題” 。 誰來管? 歐美國家也存在 APP 安全問題。當用戶遭遇 APP 安全問題,一般情況下,會向應用商店舉報,應用商店核實之後立即將惡意應用下架。與此同時,用戶可以依據既有法律,譬如非法侵害私有財產、侵害隱私等起訴應用開發者。 相比之下,中國的 APP 安全問題 更令人擔憂。全球 APP 市場研究機構App Annie 亞太區副總裁余俊德介紹,這主要是因為歐美地區的 APP 市場已經相對穩定,應用分發渠道集中:譬如美國亞馬遜、穀歌兩大應用商店行業集中度超過90%,用戶成熟度較好;另外歐美國家法律機制健全,建立了相對完善的信用體系,APP 開發者的違法成本太高。 中國工信部早在2010年就釋放出APP 監管信號。2010年,工信部委托國家計算機網絡應急技術處理協調中心(CNCERT)開展 《移動互聯網惡意程序監測與處置機制》的研究工作,並指導中國移動在江蘇、廣東兩地開展惡意程序的監測和處置試點。這一政策在2012年1月1日起開始執行,到2012年12月中旬,移動互聯網業界突然傳出工信部可能出台 APP 新規——最有可能出台“開發者實名制” “應用商店備案制”——挑動了全行業敏感的神經。 2013年3月 中 旬,CNCERT 運 行部副主任王明華在“移動互聯網發展論壇”上透露, 《移動互聯網黑白名單規 範》正在制定當中,這被業界視為APP 備案制的延續。2013年4月中旬出台的《關於加強移動智能終端管理的通知》也規定了預置應用的管理。 “出台應用商店備案制、APP 開發者實名制都是媒體誤讀,現在,如何監管 APP 仍處於討論階段,沒有定論,更沒有走到工信部起草監管方案的那一步。 ”工信部內部人士強調。 各方討論的管理方案大致分三種:一是由政府制定相關行業規範引導整個APP行業發展; 二是以應用商店為主體,由市場地位領先的 APP 商店牽頭成立APP 行業協會,協調全產業鏈的安全問題;三是以用戶為主體,通過提高用戶的素質、舉報惡意 APP 等方式,實現APP市場的優勝劣汰、自然淨化。 三種方案各有利弊。政府主導型的監管方案屬於強制性管理,但可能抑制APP 行業的創新;應用商店主導型的監管方案能深入瞭解 APP 行業需求、協調各方利益,但可能出現幾大應用商店巨頭完全主導全行業遊戲規則的情況,也可能會缺乏足夠效力;至於用戶主導型的監管方案,完全交由用戶通過市場機制監管,既能最大限度滿足用戶,又能激發整個 APP 市場活力,但這要求用戶具有足夠的 APP 使用經驗和自我管理能力,用戶能做到嗎? 在林宇看來,監管應考慮中國 APP 產業的發展階段。 李濤認為,目前中國的 APP 開發還在百花齊放的發展初期,APP 開發技術門檻低,大到國際巨頭、小到個人都可以快速開發手機APP;中國目前已有100多家手機應用商店,而由於安卓平台的開源性,通過網站、論壇也可以下載,應用渠道複雜且參差不齊。 “不過,APP 行業正呈現出資源集中的趨勢。未來小開發者機會不多,除非真有特別創新的產品;而應用分發渠道也會向幾大主流應用商店靠攏。 ”3G 門戶副總裁黃愛華表示。 袁聰亦認可 APP 行業集中的趨勢。他認為,當前中國的 APP 產業與2004 年-2005年的互聯網行業類似,還處於發展初期。隨著行業競爭的加劇,應用商店、開發者將越來越注重用戶體驗以及塑造自身的品牌,安全問題或將隨之減少。 現在,包括騰訊應用寶、360應用中心、應用匯等主流的應用商店都已建立起相對嚴格的審核機制。 袁聰介紹,應用匯建立了一套包括“公司自身技術+人工審核” “第三方安全公司審核” “交工信部接口審核”以及 “用戶舉報”四層關卡的安全審核機制,在前三層審核中可以篩掉80% -90% 的惡意應用,隱蔽得很深的惡意應用則有 “用戶舉報”機製做保障,一旦用戶舉報成立將獲得雙倍賠償。 安全廠商360、網秦也正致力于尋找更好的APP安全技術解決方案。 李濤告訴財新記者,所有提交給360的手機應用, 360都會檢測其安全性,確保進駐360安全市場的每一款軟件都是安全的。當用戶在後續使用中偷偷升級的應用,360也會有後續的跟蹤檢測 手段。 在當前情況下,APP 安全問題的確需要治理,關鍵是由誰來管,又如何在管理成本與管理目標之間求得平衡。在業界看來,增加事前審核可能是最壞的一種,因為 APP 單個程序審核制耗時耗力;APP 開發者實名制要做到真正追溯開發者也不易,或許需要與公安系統的身份證識別聯繫起來;應用商店備案制度首先實現對應用商店的界定界限就不易,某個廣告聯盟、搜索網站也可以集成應用,且備案制可能引發新的尋租機會。 黃愛華分析,在政府引導下,以市場為主體對 APP 進行監管可能是最經濟的方法。應用商店加強對自身業務的管理,相關政府部門可以考慮事後對應 用商店進行抽查。 |
網友評論僅供其表達個人看法,並不表明每經網立場
最新評論