正確看待ICP備案和APP備案的影響——從個人開發者、個人部落格運營和普通消費者視角

個人網站:legalwyy.com
聯絡方式:[email protected]
最近看到2023年8月工信部發布的信管〔2023〕105號新規,即“移動網際網路應用程式備案”制度,在網際網路尤其是程式設計師論壇V2ex引發熱議。不禁感懷,這則新聞和我最近編撰釋出的長達27000字的實務文章《新型線上服務商幫助侵權責任擴張論》存在不小關聯,“備案”一詞也令我這個為數不多堅持持有多個域名、長期運維個人網站的法律人感觸不已。今天即興發揮一下,抽出半小時寫一篇短小的隨筆供大家參考。
一、從“ICP備案”制看網際網路“個體戶”市場的沒落
對於任何涉及網際網路監管政策的辯論,均會有一類觀點出現在人們視野中,他們認為:對網際網路資訊進行管制是理所當然的,全世界即便是最標榜自己“散漫”的經濟體,都免不了要實施和我國ICP備案、APP備案類似的准入制度。
這個觀點是完全錯誤的,我國是主要發達和發展中經濟體裡,對個人開展網際網路資訊服務監管最完善的設計者。這裡所說的“網際網路資訊服務”包括但不限於:
1、個人開發者基於自己的興趣愛好做一些開源程式,為了賺點小錢提供些付費增值服務的(這類開發者通常不會投入大量資金建立公司,大多在起始階段自己建內測QQ群、微信群招攬生意,直接提供安卓端APK安裝包或從IOS渠道走Testflight發放內測名額);
2、各行各業中,希望部分脫離國內外巨頭公司旗下[社交平臺]和[資訊流分發渠道]的控制,使用個人域名搭建個人網站、部落格對外提供展示服務的(他們主要由計算機專業及衍生領域、網際網路行業從業人員和極少數業餘愛好者組成)。

作為長期混跡全球伺服器市場的老玩家,可以說,我從來沒在世界上其他地區遇到像國內這樣誇張的KYC制度。

KYC是"Know your customer"的簡寫,“瞭解客戶本是金融領域的風險控制標準和規則,但在雲計算行業興起後,資源的出租和銷售也面臨“失控”危機。例如,人們大可以盤下大量雲伺服器和IP資源用來作DDOS放大攻擊,或利用25埠傳送垃圾郵件。面對這些不正當行為,大型雲服務商也逐漸開始採用KYC和TOS(Terms of Service,即服務條款)來防範客戶利用雲計算資源開展欺詐、網際網路攻擊等非法業務。

那麼KYC和“備案”的關係是什麼?區別又是什麼?為什麼中國網際網路“備案

制度是人類網際網路世界的反面教材?

一般而言,KYC在起初可以防範人們批次建立賬號、濫用網路資源;KYC過程中提供的身份驗證資訊,能很好地在違法犯罪行為“東窗事發”後,起到定位運營者的積極作用。例如在版權領域,服務商接收DMCA通知後正確進行轉通知,若遭遇刑事案件,可協助辦案機關定位犯罪嫌疑人。
“備案”又是什麼?相較於KYC“知道你的客戶”,“備案”就像是OYC——"oder your customer",“使喚你的客戶”。對於任何意圖在國內合規搭建個人部落格的人來說,你的想象空間和任何創意都可能被備案機關無限限縮和侮辱——
1、取名。一個無足輕重的網際網路虛擬身份標識,都要遭人指指點點,這是諸位會遭遇的第一波侮辱。
說來也比較搞笑,當年給我的公眾號取名,我想了好幾種,結果一輸入,要麼被佔用,要麼含非法字元;每次遇到後面這種情況時,文字框旁邊會跳出“不能使用該名稱”的提示;那麼我便順水推舟,權當是系統在幫我想名字,我就直接Ctrl+C貼進去叫“不能使用該名稱”好了。當然,這是微信公眾號取名,它不是備案制度的輻射範圍。
個人網站的備案要遠比這種現成平臺的取名噁心:當年我在上班路上,地鐵站裡,備案機關給我來電,說你在騰訊雲的網站備案申請他們已經獲悉,但是對我的取名“法學隨想”有異議。我當時直接愣住了,一個學法的人,就不能隨便想想法學?我又不是在致敬程式設計隨想。你猜對面怎麼說?她說:你的這個取名和你寫的網站內容簡介和設想不太相符,不妨改成“搭建隨想”?我當場就想吐了,這麼難聽的名字是人能取出來的嗎,搭建還能隨便想?更何況,我的部落格我做主,你備案歸你備案,我取的名字又不包含大逆不道的元素,你有什麼資格管我取名的事?
2、方案書。這個材料我倒沒被索要過,但是坊間傳聞不少地方會需要,即建設方案書。這個申請條件就顯得更加無理了,作為展示自己風采的網站,情理上當事人想怎麼改就怎麼改,為什麼連網站設計的思路都需要交由備案機關備案?不知道的還以為是政府招標、甲方選妃。如若真的需要備案網站設計方案,那麼從長遠看,它對網站運營者來說是個永恆的負擔。因為個人網站尤其是靜態網站,當人們思緒飛揚、頭腦風暴時,每隔一個小時就可能完全更換至另一種方案。那麼根據備案規定,一旦出現網站內容變更,不符合原始備案所固定的描述時,一則函請簡訊和備案機關的電話問候就要紛至沓來了。這對於個人網站經營空間是一個重大打擊。就好比公司治理,原本股東大會、董事會自己就能開會作決議,現在“備案”制度就是強行在拉一個國資背景主體,給塞到股東和董事名冊裡,公司大大小小的決定還要被一個外人指指點點,難免令人感到不暢。
 3、域名、DNS解析服務商、雲伺服器和CDN的繫結。如果說備案制度本身已經不靠譜了,那麼務必注意,備案制度帶來一個非常嚴重的“次生災害”——它帶來了網際網路雲計算產業的縱向壟斷問題。由於備案系統是跟著註冊商走的,而不同巨頭公司集團旗下的域名註冊、備案、DNS解析、雲伺服器、CDN等一攬子服務都是互相繫結的,因此人們不能從縱向,拆分選擇不同運營商的服務。例如,倘若人們一開始便從騰訊雲購買域名,那麼接下來,它就需要在全過程依附於騰訊雲的生態——騰訊的DNSPod、騰訊的雲伺服器、騰訊的CDN;而不能說,我從騰訊購買域名接入備案,但用帝恩思的域名解析、百度雲的伺服器、京東雲的堡壘機、阿里雲的CDN……而這種由備案制度自然而然誕生的、從縱向限制消費者選擇權的畸形制度,是非常不合道理的,理應受到消費者權益保護組織的重視。
相反,在國外,你才真正體會到什麼是尊重消費者的良性市場——你可以選擇任何你覺得服務好、價格便宜的註冊商租用域名排列組合,由於不存在任何備案制度的干擾,網站搭建者在接下來挑選域名解析服務商、CDN服務商、雲伺服器租賃商的過程中,想選哪家就選哪家,“混搭流”是兵家常事。Cloudflare良心廠家歡迎使用任何其它上游或下游的客戶。
因而,這直接令我放棄了legalwyy.cn這一域名,因為我擅自將該備案域名接入了香港雲伺服器廠商,雖然網站內容依舊符合備案,但週期性的巡查、抽檢總有一天會找到我的頭上,而在我今年年中拒絕回應備案機關電話後,備案也自然被撤銷了,即將到期的域名我也不會再續費。現在細想,為何業內常有一種選擇傾向——同樣的二級域,搭配cn作為頂級域或者搭配com作為頂級域,其商業價值大相徑庭,人們解釋道:這是因為com更加國際化、更被普遍適用。但真正的原因大家又怎不會意會?cn域名是一種對消費者的詛咒,你一旦租下來,你就難以逃離一種畸形的OYS的監管制度,在整個網站和產品生命週期內不斷遭到使喚、刁難、非議。
更因此,即便中國網際網路產業高度發達,但是CNNIC報告依舊呈現了一個詭異的資料:中國的網站數量在逐年遞減。這很難不讓人聯想“備案”制度在其中發揮的作用。
以上描述的是ICP備案的毒瘤地位,那麼對於APP備案,又會和大家擦除怎樣的火花呢?
二、“APP備案”在個人開發者、網站運維人員產品生命週期的消極作用

在談消極作用前,需要正確看待一些意圖引發恐慌的言論——他們會認為,APP備案是監管部門在ICP備案後進一步侵蝕商業服務的行動,由此甚至聯想起類似“白名單”的制度。但事實上,從以下幾個方面看,“備案”制度幾乎不會在移動端應用程式市場掀起大的波瀾。

1、APP備案是ICP備案制度適應網際網路產業形態的需要,是立法體系上的完善。
移動端應用程式,在10年內快速取代傳統搜尋引擎和web端網頁,成為最“吸睛”和“吸金”的流量入口。在APP這一形態下,開發者和業務人員掌握了絕對的權力,這使他們能更加便利的監視、操控、侵害消費者權利。無論是國內還是國外,手機廠商對移動裝置作業系統(韌體)和軟體生態的全鏈條控制,使得消費者的選擇權越來越少,也陷入到愈發被動的處境——網際網路公司十分享受在肆無忌憚提高商業廣告侵入的惡性程度時眼見消費者手無縛雞之力。

移動端應用程式(APP)取代web網站成為主流資訊搜尋和展示空間,這時web網站要ICP備案,APP不用備案,是不合道理的。這表示,工信部、通管局在備案制度上存在巨大的監管漏洞,因為人們可以盡情挑選分發不受監管的應用程式軟體包,而直接繞開以網頁端呈現的產品宣傳頁和下載頁。因此從行政立法體系上看,“備案”制度落到APP頭上,才算真的做到了對網際網路服務商備案的全覆蓋。

2、當前嚴苛的APP審查義務是由《網路安全法》及衍生的責任體系控制的,備案制度無關緊要。
無論是網站、手機APP還是基於WebView網頁容器的小程式,從企業經營角度看,備案制度完全不重要。因為面向公眾提供網際網路服務需要比“備案”嚴苛得多的許可——
從增值電信業務經營許可、網路文化經營許可、廣播節目製作許可證到出版物經營許可證等等。從現行法隊網際網路產業服務商的規制,可以看出,應用程式的三大難關在於:
①在准入層面適用許可制,需要經歷繁瑣的資質審查、提交無窮無盡的稽核材料
引述V2ex帖子《個人開發者的悲歌:原來我是出版業》,
引述如下:
App 做到第二個,然後就看到新聞了。後續計劃的幾個 App 有兩三個已經完成構思和資料收集工作。現在突然發現,自己居然也是出版業的了,研究了下相關資訊,感覺自己前期的時間和金錢投入基本是打水漂了。
所謂的備案,其實本質上是許可,其實不止是我,很多 App 都會進入“出版”領域。讓我們開啟上面連結裡提到的相關條文,仔細研讀:
本規定所稱網路出版服務,是指透過資訊網路向公眾提供網路出版物。
本規定所稱網路出版物,是指透過資訊網路向公眾提供的,具有編輯、製作、加工等出版特徵的數字化作品,範圍主要包括:(一)文學、藝術、科學等領域內具有知識性、思想性的文字、圖片、地圖、遊戲、動漫、音影片讀物等原創數字化作品;(二)與已出版的圖書、報紙、期刊、音像製品、電子出版物等內容相一致的數字化作品;(三)將上述作品透過選擇、編排、彙集等方式形成的網路文獻資料庫等數字化作品;(四)國家新聞出版GDZJ認定的其他型別的數字化作品。
《網路出版服務管理規定》
也就是你做詩詞,做成語典故,做歷史年表,做國家重點文物地圖集,做人物生平,做報刊資料庫,全部都會進入都這個範圍。
那麼我開個公司去申請這個證不就好了嗎?一年幾千塊罷了,俺有錢。也不是不可以。我們看看申請主體的條件中的幾條:
第九條 其他單位從事網路出版服務,除第八條所列條件外,還應當具備以下條件:(二)有符合國家規定的法定代表人和主要負責人,法定代表人必須是在境內長久居住的具有完全行為能力的中國公民,法定代表人和主要負責人至少 1 人應當具有中級以上出版專業技術人員職業資格;(三)除法定代表人和主要負責人外,有適應網路出版服務範圍需要的 8 名以上具有國家新聞出版GDZJ認可的出版及相關專業技術職業資格的專職編輯出版人員,其中具有中級以上職業資格的人員不得少於 3 名;
《網路出版服務管理規定》
一家公司能養活至少 9 個專職的編輯出版人員。那麼市場上符合這種條件的開發商還剩多少呢。有這種條件誰還賺這種辛苦錢。現在市場上存量對應賽道的小公司估計都要很頭疼,更不要說還想進賽道的其他人了。而且除了“出版”,還有“文化”“視聽”“宗教”“培訓”相關的許可證可能其他公司要想辦法抓緊弄了。
引述完畢。
②應用分發渠道的上架政策
應用分發渠道即傳統的應用商店。考慮到絕大多數網際網路使用者甚至可能不會解壓壓縮包,不明白各種檔案的副檔名如.apk是何意,手機廠商為作業系統預置的應用商店很大程度上降低了網際網路產品的使用門檻。
但凡需要像前述企業主體那樣在國內經營並營利,都要依賴各作業系統主流的應用程式分發渠道。開發者APP上架手機應用商店原本就需要實名登記、軟體著作權證書,以及接受各種內容審查。同樣在網安法的作用下,分發渠道具有監管義務,他們必須把涉嫌違法犯罪的應用程式上架的可能性掐死,並有義務及時下架違規APP;如若存在稽核紕漏,應用分發渠道也難免受到工信部通報和處罰。
例如蘋果IOS平臺在8月上旬下架所有使用openai的gpt介面的應用程式(其中包括大量個人開發者),這件事發生在APP備案新規以前,是受還未生效的《生成式人工智慧服務管理暫行辦法》之影響,預先做的監管安排。這個例子生動地說明,備案與否根本不重要,重點在於分發渠道的審查和堵截。
備案唯一的作用,是減輕應用分發渠道的稽核壓力。它們可以在目前的資料遞交要求基礎上進一步規定開發者上架APP需提供備案號,這相當於變相獲得執法機關的“前置形式審查”(備案可以剔除明顯涉及違法犯罪的應用),這樣大幅降低自行審查的難度和所耗費的時間精力。
③在日常監管上基於現行《網路安全法》等有關法規,服務商須承擔嚴苛的網安義務為了應對事後審查監管,需要留存個人使用者隱私資訊備查,經營涉及的網路內容也難免即時接入通管局及上級部門體系內受到監控和監督。
也就是說,人們常常討論的“網際網路空間討論氛圍”、短影片裡隨時可瞅見的嚴重影響閱讀的詭異縮寫等等——他們不會因為“備案”制度因此更甚。
三、“備案”損害消費者利益的潛在風險
真正需要提防的問題,在於“備案制度”有可能成為未來監管部門聯合網際網路廠商,繼續收縮消費者選擇服務商的空間以及個性化電子裝置的需求。
當前移動端個人電子裝置愈發封閉的趨勢,它們逐漸在削減使用者實現側載的可能性,或者說,在增加使用者側載的成本。例如安卓端,越來越多的廠商禁止使用者root、限制使用者安裝第三方韌體;即便是略微帶有“極客風”的小米,也出臺了非常滑稽的“ROOT申請制”。蘋果生態討論中更是鮮見“Cydia”、“越獄”這樣的字眼。
另外,從配合應用程式分發渠道的角度看,針對手機作業系統植入無法刪除的安全外掛,對防止使用者繞開分發渠道監管、自行安裝不受控制的來源的APP來說,起到至關重要的作用。對非正規應用分發渠道下載的APP、明顯違法的國外APP進行彙總設立黑名單,或者僅針對廠商預置應用商店的白名單,來排除任何不在應用商店上架範圍內的apk安裝包。當用戶試圖自行安裝時會被誘導拒絕安裝、增加安裝步驟和難度,包括但不限於:
1、例如需要額外的實名驗證(如OPPO系統);
2、預設絕對阻止安裝非法應用:小米MIUI傳聞(在開啟前述安全外掛的情況下)直接禁止使用者安裝telegram軟體包;
3、三星等OneUI系統強制使用者勾選彈出的“安全提示”,預設高亮的按鈕是同意接入安全外掛;
4、其它類似的手機作業系統強行誘導使用者跳轉至自家應用商店下載APP。
與此同時,蘋果公司運營的IOS系統雖然可以透過切換AppStore至境外賬戶進入外區應用商店,但如果以10年-15年為一個考察週期,這一特殊的側載渠道(繞開對APP的監管)功能能延續多久也是令人十分擔憂。按照蘋果公司歷來毫無原則地對執法機構言聽計從,未來完全杜絕國內蘋果使用者進入外區應用商店也是有可能的,至少存在兩種方向上的可能性:
(1)放棄賬號所屬服務區與應用商店區域的繫結,轉而依據使用者實際身份和位置。至少從技術上看,tiktok在識別使用者實際地區(SIM卡檢測、運營商類別)、實際身份位置(裝置型號、基站定位)方面已經非常嫻熟;(2)提高註冊境外icloud賬號的難度,例如要求提供美國本地手機號(排除Google Voice等虛擬運營商)、美國銀行發行的Payment、本地身份資訊和地址等等,仿照目前openai註冊和支付的難度即可。
目前“備案”制度無法對消費者造成太大傷害的原因在於:

人們並不一定要在監管所觸及的範圍選擇分發渠道,例如,人們可以前往開發者在國外設定的頁面下載APK。蘋果端開發者也可走Testflight渠道分發內測名額(暫不知這一渠道是否受到備案影響,但個人認為一定也會進入備案輻射範圍)。但倘若人們能夠購買到的主流移動端電子產品,其預置的、不可替換的作業系統越來越掌握人們下載和安裝APP的渠道,那時又會是怎樣一番風景呢?

但看看“不作惡”的Google現在在做什麼——他們試圖把在移動裝置才常見的防側載標準,如SafetyNet ,衍生到掌管web端資源的瀏覽器平臺——Web Environment Integrity。
Google工程師帶來了一項有關新 Web API 的工作草案規範,他們將該標準稱之為 Web 環境完整性直譯器(WEI),旨在利用瀏覽器和裝置資訊進行驗證,確保使用者是真人而非機器人。WEI 的簡介開宗明義地寫道:"使用者通常依賴於網站對其執行的客戶端環境的信任。這種信任可能假定客戶端環境對其自身的某些方面是誠實的,能保證使用者資料和智慧財產權的安全,並且對是否有人在使用它是透明的"。簡單來說,WEI 向網站提供一個 API,告訴他們當前正在使用的瀏覽器及其執行平臺是否受到權威第三方(稱為證明者)的信任,幫助證明它正在按照網站運營商的預期工作,並且沒有受到操縱。
《防遊戲玩家作弊、限制廣告機器人,Google 最新提案遭抨擊:殺死開放 Web,絕對不道德》-https://36kr.com/p/2363842908741768
如果以十年為一個週期觀察網際網路, 你會發現消費者一端的活動空間在收縮。一些人認為,網際網路門檻降低,使得大量對技術一無所知的使用者,進入到社群討論,大家難免依賴廠商提供的完整功能。但用句最近已不太時髦的話說:權利收縮的使用者和權力不斷膨脹的網際網路廠商,又何嘗不是在“雙向奔赴”呢?
四、“備案”的規範目的恐怕難以實現
正是因為很難說“備案”有什麼明顯的好處,所以有關部門才總拿“反詐”說事。但事實上,反詐和備案制度幾乎沒有任何關係。任何詐騙行業,都不會在備案審查中,遞交自己的“詐騙”方案書,他們或欺騙、捏造身份、繞過KYC,或繞開正規分發渠道尋找易受騙群體。
正如我在此前文章所提到的,詐騙行業在特定詐騙行為中,越來越懂得如何做到個性化、針對性地獲得人們信任,更要感謝網路實名制帶來的個人資訊價值的陡然提升。從原先的無差別、模板化詐騙,到現在的利用一切特定人身份資訊、人脈、興趣愛好等針對性引誘的“轉型升級”屢見不鮮。
監管的支持者經常說,我們是意圖要戰勝違法犯罪。但再如我以往在文章中強調的,即便諸位扛著Red-Flag,他們所要使用者的價值觀也不會是整齊劃一的。例如,從立法政策上,你如何看待《網站平臺受理處置涉企網路侵權資訊舉報工作規範》的利益取向?在具體監管中,又如何評價獲得駭客奧斯卡提名、獲得美國(Google Play商店)、俄羅斯(卡巴斯基,我們的盟友企業)雙重認證的某企業呢?
此外,資訊渠道的限制也導致人們缺乏判斷是否被騙的驗證渠道。例如境外新發詐騙模式,一般在許多論壇會預先被髮布,而國內的搜尋引擎可能在檢索效率和效果上遠不如國外搜尋引擎。因此,各種制度都有它們的預期目標,但人們可能很少考慮這些制度是否在效果上互相抵消、在目標實現過程中互相沖突。


相關文章