正确看待ICP备案和APP备案的影响——从个人开发者、个人博客运营和普通消费者视角
最近看到2023年8月工信部发布的信管〔2023〕105号新规,即“移动互联网应用程序备案”制度,在互联网尤其是程序员论坛V2ex引发热议。不禁感怀,这则新闻和我最近编撰发布的长达27000字的实务文章《》存在不小关联,“备案”一词也令我这个为数不多坚持持有多个域名、长期运维个人网站的法律人感触不已。今天即兴发挥一下,抽出半小时写一篇短小的随笔供大家参考。
一、从“ICP备案”制看互联网“个体户”市场的没落
对于任何涉及互联网监管政策的辩论,均会有一类观点出现在人们视野中,他们认为:对互联网信息进行管制是理所当然的,全世界即便是最标榜自己“散漫”的经济体,都免不了要实施和我国ICP备案、APP备案类似的准入制度。
这个观点是完全错误的,我国是主要发达和发展中经济体里,对个人开展互联网信息服务监管最完善的设计者。这里所说的“互联网信息服务”包括但不限于:
1、个人开发者基于自己的兴趣爱好做一些开源程序,为了赚点小钱提供些付费增值服务的(这类开发者通常不会投入大量资金建立公司,大多在起始阶段自己建内测QQ群、微信群招揽生意,直接提供安卓端APK安装包或从IOS渠道走Testflight发放内测名额);
2、各行各业中,希望部分脱离国内外巨头公司旗下[社交平台]和[信息流分发渠道]的控制,使用个人域名搭建个人网站、博客对外提供展示服务的(他们主要由计算机专业及衍生领域、互联网行业从业人员和极少数业余爱好者组成)。
作为长期混迹全球服务器市场的老玩家,可以说,我从来没在世界上其他地区遇到像国内这样夸张的KYC制度。
KYC是"Know your customer"的简写,“了解客户”本是金融领域的风险控制标准和规则,但在云计算行业兴起后,资源的出租和销售也面临“失控”危机。例如,人们大可以盘下大量云服务器和IP资源用来作DDOS放大攻击,或利用25端口发送垃圾邮件。面对这些不正当行为,大型云服务商也逐渐开始采用KYC和TOS(Terms of Service,即服务条款)来防范客户利用云计算资源开展欺诈、互联网攻击等非法业务。
那么KYC和“备案”的关系是什么?区别又是什么?为什么中国互联网“备案”制度是人类互联网世界的反面教材?
一般而言,KYC在起初可以防范人们批量创建账号、滥用网络资源;KYC过程中提供的身份验证信息,能很好地在违法犯罪行为“东窗事发”后,起到定位运营者的积极作用。例如在版权领域,服务商接收DMCA通知后正确进行转通知,若遭遇刑事案件,可协助办案机关定位犯罪嫌疑人。
“备案”又是什么?相较于KYC“知道你的客户”,“备案”就像是OYC——"oder your customer",“使唤你的客户”。对于任何意图在国内合规搭建个人博客的人来说,你的想象空间和任何创意都可能被备案机关无限限缩和侮辱——
1、取名。一个无足轻重的互联网虚拟身份标识,都要遭人指指点点,这是诸位会遭遇的第一波侮辱。
说来也比较搞笑,当年给我的公众号取名,我想了好几种,结果一输入,要么被占用,要么含非法字符;每次遇到后面这种情况时,文本框旁边会跳出“不能使用该名称”的提示;那么我便顺水推舟,权当是系统在帮我想名字,我就直接Ctrl+C贴进去叫“不能使用该名称”好了。当然,这是微信公众号取名,它不是备案制度的辐射范围。
个人网站的备案要远比这种现成平台的取名恶心:当年我在上班路上,地铁站里,备案机关给我来电,说你在腾讯云的网站备案申请他们已经获悉,但是对我的取名“法学随想”有异议。我当时直接愣住了,一个学法的人,就不能随便想想法学?我又不是在致敬编程随想。你猜对面怎么说?她说:你的这个取名和你写的网站内容简介和设想不太相符,不妨改成“搭建随想”?我当场就想吐了,这么难听的名字是人能取出来的吗,搭建还能随便想?更何况,我的博客我做主,你备案归你备案,我取的名字又不包含大逆不道的元素,你有什么资格管我取名的事?
2、方案书。这个材料我倒没被索要过,但是坊间传闻不少地方会需要,即建设方案书。这个申请条件就显得更加无理了,作为展示自己风采的网站,情理上当事人想怎么改就怎么改,为什么连网站设计的思路都需要交由备案机关备案?不知道的还以为是政府招标、甲方选妃。如若真的需要备案网站设计方案,那么从长远看,它对网站运营者来说是个永恒的负担。因为个人网站尤其是静态网站,当人们思绪飞扬、头脑风暴时,每隔一个小时就可能完全更换至另一种方案。那么根据备案规定,一旦出现网站内容变更,不符合原始备案所固定的描述时,一则函请短信和备案机关的电话问候就要纷至沓来了。这对于个人网站经营空间是一个重大打击。就好比公司治理,原本股东大会、董事会自己就能开会作决议,现在“备案”制度就是强行在拉一个国资背景主体,给塞到股东和董事名册里,公司大大小小的决定还要被一个外人指指点点,难免令人感到不畅。
3、域名、DNS解析服务商、云服务器和CDN的绑定。如果说备案制度本身已经不靠谱了,那么务必注意,备案制度带来一个非常严重的“次生灾害”——它带来了互联网云计算产业的纵向垄断问题。由于备案系统是跟着注册商走的,而不同巨头公司集团旗下的域名注册、备案、DNS解析、云服务器、CDN等一揽子服务都是互相绑定的,因此人们不能从纵向,拆分选择不同运营商的服务。例如,倘若人们一开始便从腾讯云购买域名,那么接下来,它就需要在全过程依附于腾讯云的生态——腾讯的DNSPod、腾讯的云服务器、腾讯的CDN;而不能说,我从腾讯购买域名接入备案,但用帝恩思的域名解析、百度云的服务器、京东云的堡垒机、阿里云的CDN……而这种由备案制度自然而然诞生的、从纵向限制消费者选择权的畸形制度,是非常不合道理的,理应受到消费者权益保护组织的重视。
相反,在国外,你才真正体会到什么是尊重消费者的良性市场——你可以选择任何你觉得服务好、价格便宜的注册商租用域名排列组合,由于不存在任何备案制度的干扰,网站搭建者在接下来挑选域名解析服务商、CDN服务商、云服务器租赁商的过程中,想选哪家就选哪家,“混搭流”是兵家常事。Cloudflare良心厂家欢迎使用任何其它上游或下游的客户。
因而,这直接令我放弃了legalwyy.cn这一域名,因为我擅自将该备案域名接入了香港云服务器厂商,虽然网站内容依旧符合备案,但周期性的巡查、抽检总有一天会找到我的头上,而在我今年年中拒绝回应备案机关电话后,备案也自然被撤销了,即将到期的域名我也不会再续费。现在细想,为何业内常有一种选择倾向——同样的二级域,搭配cn作为顶级域或者搭配com作为顶级域,其商业价值大相径庭,人们解释道:这是因为com更加国际化、更被普遍适用。但真正的原因大家又怎不会意会?cn域名是一种对消费者的诅咒,你一旦租下来,你就难以逃离一种畸形的OYS的监管制度,在整个网站和产品生命周期内不断遭到使唤、刁难、非议。
更因此,即便中国互联网产业高度发达,但是CNNIC报告依旧呈现了一个诡异的数据:中国的网站数量在逐年递减。这很难不让人联想“备案”制度在其中发挥的作用。
以上描述的是ICP备案的毒瘤地位,那么对于APP备案,又会和大家擦除怎样的火花呢?
二、“APP备案”在个人开发者、网站运维人员产品生命周期的消极作用
在谈消极作用前,需要正确看待一些意图引发恐慌的言论——他们会认为,APP备案是监管部门在ICP备案后进一步侵蚀商业服务的行动,由此甚至联想起类似“白名单”的制度。但事实上,从以下几个方面看,“备案”制度几乎不会在移动端应用程序市场掀起大的波澜。
1、APP备案是ICP备案制度适应互联网产业形态的需要,是立法体系上的完善。
移动端应用程序,在10年内快速取代传统搜索引擎和web端网页,成为最“吸睛”和“吸金”的流量入口。在APP这一形态下,开发者和业务人员掌握了绝对的权力,这使他们能更加便利的监视、操控、侵害消费者权利。无论是国内还是国外,手机厂商对移动设备操作系统(固件)和软件生态的全链条控制,使得消费者的选择权越来越少,也陷入到愈发被动的处境——互联网公司十分享受在肆无忌惮提高商业广告侵入的恶性程度时眼见消费者手无缚鸡之力。
移动端应用程序(APP)取代web网站成为主流信息搜索和展示空间,这时web网站要ICP备案,APP不用备案,是不合道理的。这表示,工信部、通管局在备案制度上存在巨大的监管漏洞,因为人们可以尽情挑选分发不受监管的应用程序软件包,而直接绕开以网页端呈现的产品宣传页和下载页。因此从行政立法体系上看,“备案”制度落到APP头上,才算真的做到了对互联网服务商备案的全覆盖。
2、当前严苛的APP审查义务是由《网络安全法》及衍生的责任体系控制的,备案制度无关紧要。
无论是网站、手机APP还是基于WebView网页容器的小程序,从企业经营角度看,备案制度完全不重要。因为面向公众提供互联网服务需要比“备案”严苛得多的许可——
从增值电信业务经营许可、网络文化经营许可、广播节目制作许可证到出版物经营许可证等等。从现行法队互联网产业服务商的规制,可以看出,应用程序的三大难关在于:
①在准入层面适用许可制,需要经历繁琐的资质审查、提交无穷无尽的审核材料
引述V2ex帖子《个人开发者的悲歌:原来我是出版业》,
引述如下:
App 做到第二个,然后就看到新闻了。后续计划的几个 App 有两三个已经完成构思和资料收集工作。现在突然发现,自己居然也是出版业的了,研究了下相关信息,感觉自己前期的时间和金钱投入基本是打水漂了。
所谓的备案,其实本质上是许可,其实不止是我,很多 App 都会进入“出版”领域。让我们打开上面链接里提到的相关条文,仔细研读:
本规定所称网络出版服务,是指通过信息网络向公众提供网络出版物。
本规定所称网络出版物,是指通过信息网络向公众提供的,具有编辑、制作、加工等出版特征的数字化作品,范围主要包括:(一)文学、艺术、科学等领域内具有知识性、思想性的文字、图片、地图、游戏、动漫、音视频读物等原创数字化作品;(二)与已出版的图书、报纸、期刊、音像制品、电子出版物等内容相一致的数字化作品;(三)将上述作品通过选择、编排、汇集等方式形成的网络文献数据库等数字化作品;(四)国家新闻出版GDZJ认定的其他类型的数字化作品。
《网络出版服务管理规定》
也就是你做诗词,做成语典故,做历史年表,做国家重点文物地图集,做人物生平,做报刊数据库,全部都会进入都这个范围。
那么我开个公司去申请这个证不就好了吗?一年几千块罢了,俺有钱。也不是不可以。我们看看申请主体的条件中的几条:
第九条 其他单位从事网络出版服务,除第八条所列条件外,还应当具备以下条件:(二)有符合国家规定的法定代表人和主要负责人,法定代表人必须是在境内长久居住的具有完全行为能力的中国公民,法定代表人和主要负责人至少 1 人应当具有中级以上出版专业技术人员职业资格;(三)除法定代表人和主要负责人外,有适应网络出版服务范围需要的 8 名以上具有国家新闻出版GDZJ认可的出版及相关专业技术职业资格的专职编辑出版人员,其中具有中级以上职业资格的人员不得少于 3 名;
《网络出版服务管理规定》
一家公司能养活至少 9 个专职的编辑出版人员。那么市场上符合这种条件的开发商还剩多少呢。有这种条件谁还赚这种辛苦钱。现在市场上存量对应赛道的小公司估计都要很头疼,更不要说还想进赛道的其他人了。而且除了“出版”,还有“文化”“视听”“宗教”“培训”相关的许可证可能其他公司要想办法抓紧弄了。
引述完毕。
②应用分发渠道的上架政策
应用分发渠道即传统的应用商店。考虑到绝大多数互联网用户甚至可能不会解压压缩包,不明白各种文件的扩展名如.apk是何意,手机厂商为操作系统预置的应用商店很大程度上降低了互联网产品的使用门槛。
但凡需要像前述企业主体那样在国内经营并营利,都要依赖各操作系统主流的应用程序分发渠道。开发者APP上架手机应用商店原本就需要实名登记、软件著作权证书,以及接受各种内容审查。同样在网安法的作用下,分发渠道具有监管义务,他们必须把涉嫌违法犯罪的应用程序上架的可能性掐死,并有义务及时下架违规APP;如若存在审核纰漏,应用分发渠道也难免受到工信部通报和处罚。
例如苹果IOS平台在8月上旬下架所有使用openai的gpt接口的应用程序(其中包括大量个人开发者),这件事发生在APP备案新规以前,是受还未生效的《生成式人工智能服务管理暂行办法》之影响,预先做的监管安排。这个例子生动地说明,备案与否根本不重要,重点在于分发渠道的审查和堵截。
备案唯一的作用,是减轻应用分发渠道的审核压力。它们可以在目前的资料递交要求基础上进一步规定开发者上架APP需提供备案号,这相当于变相获得执法机关的“前置形式审查”(备案可以剔除明显涉及违法犯罪的应用),这样大幅降低自行审查的难度和所耗费的时间精力。
③在日常监管上基于现行《网络安全法》等有关法规,服务商须承担严苛的网安义务。为了应对事后审查监管,需要留存个人用户隐私信息备查,经营涉及的网络内容也难免实时接入通管局及上级部门体系内受到监控和监督。
也就是说,人们常常讨论的“互联网空间讨论氛围”、短视频里随时可瞅见的严重影响阅读的诡异缩写等等——他们不会因为“备案”制度因此更甚。
三、“备案”损害消费者利益的潜在风险
真正需要提防的问题,在于“备案制度”有可能成为未来监管部门联合互联网厂商,继续收缩消费者选择服务商的空间以及个性化电子设备的需求。
当前移动端个人电子设备愈发封闭的趋势,它们逐渐在削减用户实现侧载的可能性,或者说,在增加用户侧载的成本。例如安卓端,越来越多的厂商禁止用户root、限制用户安装第三方固件;即便是略微带有“极客风”的小米,也出台了非常滑稽的“ROOT申请制”。苹果生态讨论中更是鲜见“Cydia”、“越狱”这样的字眼。
另外,从配合应用程序分发渠道的角度看,针对手机操作系统植入无法删除的安全插件,对防止用户绕开分发渠道监管、自行安装不受控制的来源的APP来说,起到至关重要的作用。对非正规应用分发渠道下载的APP、明显违法的国外APP进行汇总设立黑名单,或者仅针对厂商预置应用商店的白名单,来排除任何不在应用商店上架范围内的apk安装包。当用户试图自行安装时会被诱导拒绝安装、增加安装步骤和难度,包括但不限于:
1、例如需要额外的实名验证(如OPPO系统);
2、默认绝对阻止安装非法应用:小米MIUI传闻(在打开前述安全插件的情况下)直接禁止用户安装telegram软件包;
3、三星等OneUI系统强制用户勾选弹出的“安全提示”,默认高亮的按钮是同意接入安全插件;
4、其它类似的手机操作系统强行诱导用户跳转至自家应用商店下载APP。
与此同时,苹果公司运营的IOS系统虽然可以通过切换AppStore至境外账户进入外区应用商店,但如果以10年-15年为一个考察周期,这一特殊的侧载渠道(绕开对APP的监管)功能能延续多久也是令人十分担忧。按照苹果公司历来毫无原则地对执法机构言听计从,未来完全杜绝国内苹果用户进入外区应用商店也是有可能的,至少存在两种方向上的可能性:
(1)放弃账号所属服务区与应用商店区域的绑定,转而依据用户实际身份和位置。至少从技术上看,tiktok在识别用户实际地区(SIM卡检测、运营商类别)、实际身份位置(设备型号、基站定位)方面已经非常娴熟;(2)提高注册境外icloud账号的难度,例如要求提供美国本地手机号(排除Google Voice等虚拟运营商)、美国银行发行的Payment、本地身份信息和地址等等,仿照目前openai注册和支付的难度即可。
目前“备案”制度无法对消费者造成太大伤害的原因在于:
人们并不一定要在监管所触及的范围选择分发渠道,例如,人们可以前往开发者在国外设置的页面下载APK。苹果端开发者也可走Testflight渠道分发内测名额(暂不知这一渠道是否受到备案影响,但个人认为一定也会进入备案辐射范围)。但倘若人们能够购买到的主流移动端电子产品,其预置的、不可替换的操作系统越来越掌握人们下载和安装APP的渠道,那时又会是怎样一番风景呢?
但看看“不作恶”的Google现在在做什么——他们试图把在移动设备才常见的防侧载标准,如SafetyNet ,衍生到掌管web端资源的浏览器平台——Web Environment Integrity。
Google工程师带来了一项有关新 Web API 的工作草案规范,他们将该标准称之为 Web 环境完整性解释器(WEI),旨在利用浏览器和设备信息进行验证,确保用户是真人而非机器人。WEI 的简介开宗明义地写道:"用户通常依赖于网站对其运行的客户端环境的信任。这种信任可能假定客户端环境对其自身的某些方面是诚实的,能保证用户数据和知识产权的安全,并且对是否有人在使用它是透明的"。简单来说,WEI 向网站提供一个 API,告诉他们当前正在使用的浏览器及其运行平台是否受到权威第三方(称为证明者)的信任,帮助证明它正在按照网站运营商的预期工作,并且没有受到操纵。
《防游戏玩家作弊、限制广告机器人,Google 最新提案遭抨击:杀死开放 Web,绝对不道德》-https://36kr.com/p/2363842908741768
如果以十年为一个周期观察互联网, 你会发现消费者一端的活动空间在收缩。一些人认为,互联网门槛降低,使得大量对技术一无所知的用户,进入到社区讨论,大家难免依赖厂商提供的完整功能。但用句最近已不太时髦的话说:权利收缩的用户和权力不断膨胀的互联网厂商,又何尝不是在“双向奔赴”呢?
四、“备案”的规范目的恐怕难以实现
正是因为很难说“备案”有什么明显的好处,所以有关部门才总拿“反诈”说事。但事实上,反诈和备案制度几乎没有任何关系。任何诈骗行业,都不会在备案审查中,递交自己的“诈骗”方案书,他们或欺骗、捏造身份、绕过KYC,或绕开正规分发渠道寻找易受骗群体。
正如我在此前文章所提到的,诈骗行业在特定诈骗行为中,越来越懂得如何做到个性化、针对性地获得人们信任,更要感谢网络实名制带来的个人信息价值的陡然提升。从原先的无差别、模板化诈骗,到现在的利用一切特定人身份信息、人脉、兴趣爱好等针对性引诱的“转型升级”屡见不鲜。
监管的支持者经常说,我们是意图要战胜违法犯罪。但再如我以往在文章中强调的,即便诸位扛着Red-Flag,他们所要用户的价值观也不会是整齐划一的。例如,从立法政策上,你如何看待《网站平台受理处置涉企网络侵权信息举报工作规范》的利益取向?在具体监管中,又如何评价获得黑客奥斯卡提名、获得美国(Google Play商店)、俄罗斯(卡巴斯基,我们的盟友企业)双重认证的某企业呢?
此外,信息渠道的限制也导致人们缺乏判断是否被骗的验证渠道。例如境外新发诈骗模式,一般在许多论坛会预先被发布,而国内的搜索引擎可能在检索效率和效果上远不如国外搜索引擎。因此,各种制度都有它们的预期目标,但人们可能很少考虑这些制度是否在效果上互相抵消、在目标实现过程中互相冲突。
微信扫码关注该文公众号作者