《移动互联网应用程序信息服务管理规定》下月生效，华为 ...

wenyi352

　　受益于智能手机升级迭代，手机厂商持续提高智能手机的研发投入，我国智能手机渗透率在2019年达到95.6%。[1]智能手机已经完全融入现代人的生活，即便是被认为玩不转电子产品的老人，用微信与家人视频语音也成了生活基本技能。手机APP可以为消费者提供衣食住行各个方面的服务，大大便利了人们的生产生活，然而有的APP也可能成为坑害消费者的“陷阱”，轻则个人信息被买卖，重则手机被黑成“板砖”。手机应用程序成为不法分子侵害消费者权益、危害手机系统安全的入口。
　　“问题APP”层出，安卓系统成重灾区
　　“4000元就可以获得一个高仿APP”。互联网个人信息泄露问题之严重，从你我时不时收到的“中奖短信”“公安短信”上就可见一斑，短信里附有诱导下载应用的链接，点击链接后那些恶意APP就进入了消费者的手机中，再通过缴纳工本费、保证金等方式骗取消费者钱财。还有一类高仿APP，其名称、icon与正版APP完全相同或者高度近似，这些高仿APP通过发送广告、收集用户隐私的方式赚取广告费以及套取用户数据。
　　在这些高仿APP的背后是一条成熟隐秘的产业链，黑灰产从业者号称收费4000元，就可以制作出一款足以以假乱真的“铁路12306”APP，再给10万元的运作费用，提供上架主流应用商店的服务。[2]以“WiFi万能钥匙”为例，截至2019年2月底，WiFi万能钥匙联合各大应用市场和手机厂商，三年来在各个渠道共举报1803款次山寨应用，累计下架了1749款次山寨软件。[3]山寨APP不仅造成侵权，还会给用户带来网络安全问题，其中，安卓应用最容易被山寨。目前市面上很多知名APP都有山寨版本，工具类和游戏类应用是山寨应用的重灾区。这些山寨APP安装后，会弹出广告、下载插件、安装其它APP，甚至窃取如短信、通话记录等用户隐私数据，未经用户同意订购消费服务，消耗资费、消耗流量等，危害巨大。[4]
　　根据工信部数据，自我国连续组织开展APP侵害用户权益专项整治，累计通报、下架违法违规APP近3000款。[5]根据国家互联网应急中心发布的《2021年上半年我国互联网网络安全监测数据分析报告》，仅2021年上半年移动互联网恶意程序新增数量就高达86.6万余个，国家信息安全漏洞共享平台收录通用型安全漏洞13083个，同比增长18.2%，其中应用程序漏洞的占比最高，达到了46.6%。根据恒安嘉新发布的《2021年度网络信息安全态势报告》，2021年新监测到移动恶意程序告警共计6亿余条，其中，诱骗欺诈告警5亿余条、流氓行为告警2184万条、隐私窃取告警1254万条、远程控制告警1092万条、资费消耗告警120万条、恶意程序告警42万条、系统破坏类告警30万条、恶意传播告警6万条，其中99.99%的恶意程序的受害操作系统为安卓系统。
　　终端厂商：双重身份，双重义务
　　从微信钉钉到手机银行，一部手机保存了一个人方方面面的信息，在重度依赖智能手机的当代社会，消费者手中这部手机系统安全的重要性，不言自明。而作为手机系统安全守门人的手机终端厂商，则应当负有相应的安全保障义务，一方面这是我国法律法规规定的义务，另一方面这也是为消费者提供流畅、安全手机系统服务的应有之义。
　　我国《网络安全法》第二十二条规定，网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。工信部印发的《移动智能终端应用软件预置和分发管理暂行规定》要求移动智能终端生产企业、互联网信息服务提供者，不得提供或传播含有反对宪法、危害国家安全、散布黄赌毒信息、侮辱或诽谤他人等侵害他人合法权益的移动智能终端应用软件。
　　下个月即将生效的《移动互联网应用程序信息服务管理规定》（2022年8月1日生效）第二十条第一款、第二款规定，应用程序分发平台应当建立健全管理机制和技术手段，建立完善上架审核、日常管理、应急处置等管理措施。应用程序分发平台应当对申请上架和更新的应用程序进行审核，发现应用程序名称、图标、简介存在违法和不良信息，与注册主体真实身份信息不相符，业务类型存在违法违规等情况的，不得为其提供服务。
　　基于此，手机终端企业作为生产企业兼互联网信息服务提供者（应用分发平台）应当采取有效措施，切实保护用户合法权益。作为生产者，手机终端企业应当加强应用安装时的风险检测、风险提示、安装管理等功能，尽到检测应用安全性并提示消费者的义务。作为应用分发平台，手机终端企业针对上架在自家平台上的应用，应当进行严格的开发者资质审核、程序安全审核。
　　APP来源复杂，出问题了找谁？
　　由于安卓系统的开放性，消费者可以通过手机终端厂商自带的应用商店、第三方应用商店、浏览器等多种途径下载APP。安卓系统的这一开放属性有利有弊，一方面消费者可以获得海量的APP、获得丰富的网络服务；另一方面，各种APP质量层次不齐，各个应用商店的审核标准又有所不同，主流应用商店的APP经“人工亲测”后上架，小众应用分发平台上的APP可能是“裸奔”上架，安全与否全靠消费者运气。还有那些大量来源于“网络”的APP，消费者手机系统被黑了都不知道该找谁负责。手机终端厂商作为跑不了的庙，有时候就成了“冤大头”，附带的安卓系统的安全性名声也不好——“安卓系统不安全”。有报道称，“相比之下手机自带应用商店对APP的审核程度要严于独立应用商店。目前用户下载APP主要是通过手机自带应用商店下载，苹果、华为、小米、OPPO、vivo五大主流应用商店是用户最常用的官方下载渠道。这些主流应用商店中，基本不存在一模一样的假冒APP”。[6]
　　其实要摆脱“不安全”的名声其实也很简单，手机终端企业可以选择像苹果手机一样一封了之。为了杜绝第三方应用对自家手机生态系统的影响，苹果的APP Store直接采取了封闭式生态模式，这样既可以保障手机系统的安全性，又可以提高自家应用商店的流量收益。但是，目前国内手机终端企业都没有选择这一商业模式，而且在保持放开性和安全性之间，选择了一种较为平衡的方式。
　　以华为手机为例，其设置了检查应用是否为外部来源的功能并提示消费者，“为了保障您的隐私和安全，在开启了“外部来源应用检查”功能情况下，从第三方风险渠道（未经过《华为终端质量检测和安全审查标准》认可）安装应用时，会有统一的风险提示，若确保应用安装包来源安全可靠，您可以选择忽略提示继续安装，或者去应用市场安装经过检测的应用”。[7]同样地，vivo手机也有相应的功能和免责声明，“为了保护vivo移动智能终端（下简称“vivo终端”）用户的使用安全、保障vivo终端运行的稳定以及保障外部来源的移动智能终端应用软件（下简称“第三方应用”）可以在vivo终端上具有良好的用户使用体验，vivo统一对第三方应用及其下载渠道（包含提供应用下载服务的第三方应用）在vivo终端上的应用下载、安装等行为进行检测和管理。vivo终端会在用户下载、安装应用或从下载渠道下载、安装应用的过程中，依据检测结果及风险严重程度，进行相应的提示和管控操作。提示和管控操作包括且不限于：提示风险、提示免责声明、限制下载或安装（特定情况下）、安全认证、推荐用户安装vivo应用商店已检测版本。”
　　手机终端厂商设置的上述风险提示与安全保障功能，既没有完全牺牲安卓生态的开放竞争性，也没有弃消费者合法权益于不顾。
　　虽然比起苹果的封闭式生态系统，国内安卓系统仍是完全开放的生态，但还是引起了部分争议，有独立应用分发平台认为上述APP安装安全引导功能为终端厂商自带的应用商店争取了更多的流量，为终端厂商带来了不合理的竞争优势。然而，如果让国内手机终端厂商“裸奔”，不加任何风险提示安全引导，就要手机系统、手机消费者拥抱互联网上“五彩缤纷”的APP，这让负有安全保障义务的手机终端厂商很是“难做”。同时，彻底的“展开怀抱”也会让我国手机终端企业在国际竞争环境下更加如履薄冰，一方面是放弃前期的应用系统生态建设成果，一方面再度深陷“安卓手机不安全”的泥潭中，苹果公司在2021年就曾称“过去4年，安卓恶意软件感染率是iPhone的15到47倍。”
　　2021年，苹果公司封闭生态下的APP Store为其带来了千亿收入，也引发了反竞争的质疑，这一商业模式是否会阻碍竞争尚无定论。但是国内安卓系统本就是开放式的生态环境，履行安全保障义务，设置安全引导功能，即是保护消费者，也是保护手机系统安全，并没有造成反竞争的后果。如果仅仅是单方面的要求手机终端厂商一方面投入高额研发成本、承担审核和管理的高成本和高风险，一方面为独立分发平台提供免费、绝对平等的待遇，厂商为了保持利润率，必将提高硬件价格，消费者收获了更高价格的手机和更不安全的使用体验，既难言利于消费者福祉，也过于苛责手机终端厂商。拥抱开放，更要守住安全。手机终端厂商无论从社会责任还是商业需求出发，都应该守好手机系统安全的第一道防线。
　　注释：
　　1.工信部、艾瑞咨询：艾瑞咨询：中国智能手机渗透率趋近饱和，AI和光感或成新竞争点
　　2.风险提示_花都区风险提示：高仿APP捞钱套路：蹭官方、发广告、索取隐私信息
　　3.WiFi万能钥匙联动打假 累计下架1749个山寨应用
　　4.山寨APP成为地下黑色产业链 WiFi万能钥匙遇“李鬼”-新华网
　　5.工信部：已累计通报、下架违法违规APP近3000款--经济科技--人民网
　　6.风险提示_花都区风险提示：高仿APP捞钱套路：蹭官方、发广告、索取隐私信息
　　7.https://consumer.huawei.com/cn/support/content/zh-cn00677675/