□ 易繼明 (北京大學法學院教授、國際知識產權研究中心主任)
手機產業的升級固然離不開硬件更新與技術創新,但安全問題同樣不容忽視。調研顯示,將近一半的安卓手機用戶并不排斥甚至有意愿轉向使用蘋果手機,更有許多用戶認為蘋果手機明顯優于市場上其他所有同類產品。在諸多影響用戶判斷的因素之中,蘋果手機的安全性最為關鍵。鑒于我國手機廠商的操作系統主要搭建于安卓平臺之上,堅持安全與發展并重,構建高效、可行的手機整體安全管理方案,確保手機相關設計符合國家安全、網絡安全、用戶財產安全等需求,已經成為刻不容緩的任務。
從底層設計來看,開源屬性是安卓手機安全性的最大隱患,也是其相較于蘋果手機的主要劣勢所在。蘋果手機的ios系統采取了極為封閉的技術架構,對任何第三方渠道下載、安裝應用軟件設置了嚴格的條件,以確保安全性,強化隱私保護。用戶在App Store以外的應用市場下載應用軟件,除通過刷機使系統“越獄”,或者強行安裝證書認證以外,并沒有其他途徑可供選擇。與之不同,安卓系統本身及基于其開發的其他衍生手機系統都以開源作為底層架構,系統自帶應用商店、第三方市場、網頁端甚至是用戶之間傳輸的App安裝包,均可成為應用軟件下載、安裝的具體來源。外部來源之廣,使手機系統安全隱患大大提升。
對應用軟件的治理理應成為手機廠商整體安全管理方案的重要組成部分,在法律層面即手機廠商應承擔應用軟件的安全審查義務。事實上,這不僅是我國手機廠商實現產業升級、在國際競爭中掌握主動地位的必要條件,也是履行公法上的網絡安全保護義務、民法上的安全保障義務以及實現用戶利益的必然要求。
在公法層面,手機廠商負有保證手機軟件安全性的法定義務。網絡安全法提出“網絡安全保護義務”這一概念,要求網絡運營者依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,在加強網絡安全保護、提高網絡安全保護水平方面接受網絡相關行業組織的指導。該法“網絡信息安全”一章進一步明確了應用軟件提供者和應用軟件下載服務提供者的義務,要求前者不得設置惡意程序,不得含有法律、行政法規禁止發布或者傳輸的信息;要求后者履行對此類應用軟件的安全管理義務,采取停止提供服務、消除等處置措施。作為天然的應用軟件下載服務提供者,手機廠商欲采取停止提供服務、消除等處置措施,必然需要進行安全審查。
一些更為具體的要求體現在工信部印發的通知及行業標準之中。行業標準《移動智能終端安全能力技術要求》(YD/T 2407-2021)為應用層設定了明確的安全目標,即要保證移動智能終端對要安裝在其上的應用軟件可進行來源的識別,對已經安裝或加載在其上的應用軟件可以進行敏感行為的控制。在具體行為方式上,則特別強調移動智能終端通過給用戶提示和讓用戶確認的方式來防范安全威脅。給用戶的提示和明示可以是圖標、文字、語言或其他明顯的提示行為。在操作執行期間,提示應足夠引起用戶的注意??傮w來看,相關規定從驗證方法、留存義務以及強化用戶知情權等方面對安全審查義務進行了細化,理應成為手機廠商的行動指南。
手機廠商對應用軟件進行安全審查,還是履行民法上安全保障義務的具體體現。安全保障義務是公共場所管理人、群眾性活動組織者對進入其公共空間的主體所承擔的確保其人身、財產安全的義務,它要求上述管理者、組織者不但要做到消極地不侵害他人,還要積極地在合理限度內保護他人免遭第三人的侵害。隨著社會生活場景的發展,安全保障義務的適用已經突破了物理空間的限制,延伸到網絡領域。根據《最高人民法院關于審理侵害信息網絡傳播權民事糾紛案件適用法律若干問題的規定》,網絡服務提供者應當具備與之提供服務的性質、方式及其引發侵權的可能性大小相匹配的管理信息的能力,這為安全保障義務確立了參考標準。
手機廠商履行安全審查義務,也是切實保護用戶利益的必要之舉。手機系統安裝軟件有兩種來源:第一種來源于手機廠商自運營的應用商店,通過這一渠道上傳的應用軟件在上架時以及上架后的日常巡檢中通常已經過反復、多輪機器及人工檢測甚至試安裝運行;第二種來源于外部,具有隨機性,因預見可能性的限制而并不在手機廠商日常安全審查范圍之內。對前者而言,由于手機廠商已履行較為全面的審查義務,用戶利益得以保障,故無需在下載、安裝中設置重復審查程序;對后者而言,則為安全保障義務履行之需,必須啟動一系列風險監測和提示程序,確保用戶明確知悉可能的安全風險,并經過用戶的明確同意方能下載、安裝,這也是履行消費者權益保護法第二十條關于真實、全面提供有關服務信息的義務的必要舉措。實踐中,安卓手機廠商對外部軟件來源基本會采取為履行安全審查義務的必要程序,包括但不限于彈窗提示外部來源、檢測風險、提示風險檢測結果、要求驗證身份方能繼續下載等,這些程序一般在前端運行,以引起用戶的足夠注意。雖然上述設置會在一定程度上降低用戶體驗,但因安全所需部分犧牲用戶使用軟件的便捷性是確有必要的。唯有如此,方能確保用戶知情同意權充分實現,使不充分知情情形下因下載、安裝惡意軟件而遭受財產、人身權益的風險最小化。從實際效果上看,手機廠商對外部軟件的安全審查應當以最為顯著、直接的方式在手機前臺向公眾進行提示,這與《互聯網終端軟件服務行業自律公約》第九條關于“終端軟件在運行過程中,如執行系統修改、掃描、信息收集和數據回傳等操作,應事先提示用戶”的規定是一致的,亦符合行業標準《移動智能終端安全能力技術要求》(YD/T 2407-2021)所提出的“不會出現用戶在不知情情況下的某種行為的執行”的要求。上述規定,強化了“明確提示”的要求,本質上也是用戶知情同意權的具體化落實。另外,外部來源中,雖然第三方應用商店一般也會進行安全審查,但考慮到應用商店之間審查標準并不統一、安全審查能力參差不齊,手機廠商應對第三方應用商店、網頁端及用戶之間傳輸的App等外部來源,仍應采取相同的安全審查措施。
綜上,手機廠商對應用軟件的安全審查義務有充足的依據。網絡安全是底線要求,在不存在違法或違規的情況下,可由手機廠商自行設置合適的安全提示用語、方式與步驟。這一方面有利于保障手機廠商的經營自主權,避免動輒得咎所導致的不敢創新,損害產業發展動力;另一方面也有利于在競爭中形成最佳行業實踐,促進我國手機產業更新升級,提升國際競爭力。