作者:王立梅 中国政法大学网络法学研究院副院长、教授
新冠疫情席卷全球,网络课程、线上办公、视频会议成为了我们日常生活的一部分。今天上午,《政府工作报告》中提出加强新型基础设施建设,发展新一代信息网络,激发新消费需求、助力产业升级。当前,移动设备本身已经不再仅仅是硬件,更成为一个流量的入口、服务的接口。操作系统领域呈现出多元化竞合的新态势,基于软件、内容和终端的产业链整合模式正在催生新的产业基本形态。在这场新型产业链的整合中,我国法律法规还停留在传统的商业模式保护阶段,尚难适应现阶段的实际需求。
非法软件分发广告推广行为对产业链的整合造成了较大影响。合法的软件广告分发行业主要包括“移动智能终端生产企业(以下简称生产企业)的移动智能终端应用软件预置行为”,以及“互联网信息服务提供者提供的移动智能终端应用软件分发服务”。但目前在行业内还存在着一系列非法的软件分发广告推广行为。主要推广手段是将全新待出售的手机所搭载的手机系统进行“定制化”的增加、删除、修改,或者直接使用篡改后的手机系统“灌装”进去以替代原装正品手机信息系统,进而在“改头换面”的手机上私自安装三十到四十多个应用软件,以此谋取非法利益。这种推广方式在行业内被称之为“刷机产业”、“灌装产业”。
非法刷机行为对用户权益、产业和网络安全的重大威胁。非法刷机对手机自身存在危害:因为使用了错误适配的ROM包或在ROM包中修改了本来不能修改的手机厂商系统内的部分系统文件,所以刷机经常失败(俗称手机变砖),这种情况可能会对手机造成不可逆的损害。同时,这一过程可能会侵害操作系统及其他软件的著作权。手机操作系统被替换后,手机厂商用来弥补成本的用户使用手机时所产生的流量流失了。转变成了由刷机公司控制的流量入口,这一过程侵害了手机厂商的利益。操作系统被替换的过程中,会间接破坏操作系统的逻辑完整性,可能产生系统漏洞或者预留后门,对手机使用者而言存在一定的安全隐患。
针对刷机行为,目前知识产权法和反不正当竞争法均有相关依据予以惩治,但是刷机行为的危害性已经突破了民商法领域规制的范畴,而应当从网络安全的角度予以审视。一方面刷机行为可能导致用户个人信息与数据的泄露、毁损、篡改或者丢失,另一方面也会威胁网络整体安全。监管机构可以通过对手机系统厂商以资质准入、风险评估等手段加以监管,从而整体上维护用户数据的安全与隐私。而“非法刷机”行为绕过了原系统厂商,导致监管部门失去了“抓手”,失去了对这些“非法刷机”手机的监管,从而可能会影响整个网络数据的安全。
在实践中,刷机行为对网络安全理论上存在着一定危害,但在规范层面未对该行为进行明确,可能导致办案机关无法可依。
加强操作系统保护、推动规制软件分发行业的法律体系的完善思路。首先,尚在起草的《数据安全法》应当明确承载数据流通的操作系统、信息系统的保护。在数字经济时代,数据安全的重要性不言而喻,提高对数据安全的保护力度,除了需要规范对数据本身的收集、使用、存储以外;更需要对信息设备中搭载的操作系统、也称信息系统提高保护力度。在联合国《数字经济报告2019》中明确指出:由操作系统、技术标准、和芯片组成的数字创新平台,是驱动数字经济的关键技术,是数字创新过程的基石,更是数字经济时代、万物互联的守门人。因而,在尚在起草中的《数据安全法》中明确未来各项智能设备中操作系统、信息系统的法律地位,提高对流通环节中操作系统安全性、完整性的保护势在必行。
其次,应将工信部《移动智能终端应用软件预置和分发管理暂行规定》由部门规章升格为行政法规,由国务院以条例、决定、命令的形式颁布实施。2019年12月26日,中国信息通信研究院“2020年中国信通院ICT深度观察报告会”所述,2019年我国4G移动用户数为126380人,而智能手机是4G终端中的绝大多数。因而,十分有必要将关系到十多亿最终用户权益、隐私数据安全相关的《移动智能终端应用软件预置和分发管理暂行规定》升格成《移动智能终端应用软件预置和分发管理条例》,上升为国务院行政法规层级。
再次,要在升格后的《移动智能终端应用软件预置和分发管理条例》明确兜底性、指引性责任条款。即规定“任何组织或者个人违反本条例的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。违反本条例的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚法》的有关规定处罚;构成犯罪的,依法追究刑事责任。”目前,《暂行规定》第11条规定的责任条款仅限于“违反本规定的,通信主管部门依据职权责令改正,依法进行处罚,并将生产企业、互联网信息服务提供者违反本规定受到行政处罚的情况记入信誉档案,向社会公布。对涉嫌违法犯罪的应用软件线索,各单位应及时报告公安机关。”与在实际案件中发现的违法犯罪情节来看,该暂行规定的处罚相对比较行政化,没有明确的民事、行政、刑事责任位阶。从保护最终消费者合法权益、保护行业产业正当秩序、保护国家数据主权角度来看,明确责任位阶势在必行。
最后,要在升格后的《移动智能终端应用软件预置和分发管理条例》明确对消费者权益的保护。即“本法规定的生产企业的移动智能终端应用软件预置行为外,禁止对尚未到达最终用户手中,尚处于仓储、物流、销售等流通环节的移动智能终端设备进行应用分发,法律法规另有规定的除外”。目前只有合法的生产企业预置行为可以对尚未到达最终用户手中的移动智能终端进行分发,法律法规对此进行保护的主要原因是为了平衡生产企业研发手机系统的人力、资金、技术等研发投入。但同时该类预置行为也受到国家严格管控限制,需要事前备案审批、事中制度规范、事后责任评估等。
此外,应当修订、完善现行的《计算机信息系统安全保护条例》。即条文上明确保护对象:“本条例所称的计算机信息系统,包括智能设备(智能手机、移动智能终端、物联网终端等电信终端设备,和其他网络接入设备)均是本条例的保护对象”。目前不论是该条例定义的计算机信息系统涵义本身,还是现行司法解释的规定和司法案例,均一致表明“智能手机属于计算机信息系统”;但考虑到依然有人玩弄文字游戏,建议明确。同时考虑到未来5G设备物联网终端等将是影响财产、人身安全的重要关键设备,也应当列入条例保护对象,也建议予以明确。
黑色产业链的壮大,破坏了移动智能终端的操作系统,蚕食瓦解大数据经济的安全基石,严重损害国家网络安全的信息承载主体,妨害终端厂商进一步取得信息领域核心技术的突破,损害消费者的合法权益,损害国计民生。升级后的法律法规将适应现阶段的实际需求,增强我国用户的获得感和产业的竞争力。
