麻策：APP知识产权保护需重视

摘要：日前，中国电子商务研究中心特约研究员、浙江腾智律师事务所互联网法律部副主任麻策律师在接受《扬子晚报》记者就APP安全问题采访时表示：这招行不通。用户在使用第三方账户进行某APP注册或登录时，实际上是使用了授权开放标准协议，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如头像、昵称等)，而无需将用户名和密码提供给第三方APP。因此，消费者在利用微信等账号登录其它APP时，其它APP只能获得消费者的头像或昵称的基本信息而不能深入进行实名认证。新规施行后，消费者仍需要在第三方APP上重新注册，比如补充手机号码等，确保第三方APP也能遵守后台实名的规定。建议将APP区别不同的安全等级并设置不同的账户密码，可防止连环盗号。下载APP时最好从官方网站上下载或通过合格经营的第三方应用市场下载并适当查核发布者的资质，在平时使用APP时不要随意登录假Wifi，随意刷二维码，不经查核就登录钓鱼网站，以及图贪便宜购买假冒的移动终端硬件等。新规重视保护知识产权，值得肯定。创业者在开发APP的过程中，必须对知识产权有清醒的认识，严格控制开发程序的源代码归属，并及时做好著作权登记，如果APP著作权被第三方侵犯，就可以使用著作权作为维权的基础性证据。当然，APP同质竞争其实非常激烈，创业者不能说其它APP和自己类似，就认为对方侵权，在商业中创业者只能遵循互联网创业的特定规则，即以小步快走迅速迭代的方式推进自己APP的发展更新，而不能抱残守缺，着眼于某一特别版式APP不放手。以下为该报道原文全文：《APP不得随意收集用户信息了》国家网信办昨天发布《移动互联网应用程序信息服务管理规定》。文件明确了APP提供者的义务包括记录用户日志信息并保存60日，未经用户同意APP不得收集位置信息……文件还明确了互联网应用商店对APP提供者的管理责任。对用户来说最关心的莫过于，8月1日起，APP注册用户需进行身份认证。新规对用户带来什么影响？扬子晚报记者采访了江苏省通信管理局人士、中国电子商务研究中心互联网分析师和律师，就信息安全方面对用户作一些提醒和建议。一张图读懂新规新规全文共11条，近1500字，自2016年8月1日起施行。扬子晚报记者为大家整理出了如下干货：APP用户有五大保护措施一1、按照后台实名、前台自愿的原则，APP提供者对注册用户进行基于移动电话号码等真实身份信息认证。2、APP提供者应建立健全用户信息安全保护机制，应当遵循合法、正当、必要的原则，明示收集使用信息的目的、方式和范围，并经用户同意。3、APP提供者应建立健全信息内容审核管理机制，对发布违法违规信息内容的，视情采取警示、限制功能、暂停更新、关闭账号等处置措施，保存记录并向有关主管部门报告。4、APP提供者应依法保障用户在安装或使用过程中的知情权和选择权，未向用户明示并经用户同意，不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。5、APP提供者记录用户日志信息，并保存六十日。用户吐槽要对手机里40多APP断舍离新规出台对用户而言有利有弊。有利的一点在于有助于对消费者起到安全保护作用，但不利的一面，则可能会出现一些消费者担心的信息泄露问题。南京手机用户左女士数了一下，手机里装了大概40个APP。听说了APP新规后，左女士感叹，看来要对手机进行各APP大换季，来个断舍离。她介绍，有些APP可能是手机自带的，有的可能是自己不小心注册的，平时也都不怎么在意，其实常用的也就那么十几二十个。如果新规真的实施，那么就要赶快大瘦身了。毕竟，她不想让那么多的手机APP厂商都拥有自己的个人信息。新规中的后台实名昨天在网上也引发了热议。扬子晚报记者注意到，有人提出，是否可以用已有APP授权登录来绕开各种陌生APP实名制？浙江腾智律师事务所互联网法律部副主任麻策律师在接受记者采访时表示，这招行不通。用户在使用第三方账户进行某APP注册或登录时，实际上是使用了授权开放标准协议，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如头像、昵称等)，而无需将用户名和密码提供给第三方APP。因此，消费者在利用微信等账号登录其它APP时，其它APP只能获得消费者的头像或昵称的基本信息而不能深入进行实名认证。新规施行后，消费者仍需要在第三方APP上重新注册，比如补充手机号码等，确保第三方APP也能遵守后台实名的规定。APP应用商店的四项管理责任二1、对APP提供者建立信用管理制度；2、督促APP提供者保护用户信息，并向用户呈现；3、督促APP提供者建立健全安全审核机制；4、督促APP提供者尊重和保护应用程序提供者的知识产权。遇到不良APP，用户投诉无门怎么办？三《规定》要求，APP提供者和应用商店应当配合有关部门依法进行的监督检查，自觉接受社会监督，设置便捷的投诉举报入口，及时处理公众投诉举报。公众对处理结果不满意或投诉举报不畅的，可向互联网违法和不良信息举报中心投诉举报(举报网址：www.12377.cn，举报电话：12377，举报邮箱：jubao@12377.cn)。权威解读新规注重保护用户信息安全后台实名制是全球网络用户管理共同趋势国家互联网信息办公室有关负责人昨天在答记者问时表示，出台《规定》旨在加强对APP信息服务的规范管理，促进行业健康有序发展，保护公民、法人和其他组织的合法权益。汕头大学国际互联网研究院院长方兴东认为，新规侧重维护市场中弱势一方网民的个人信息与合法权益的保护。《规定》针对应用程序市场中难点和痛点，比如普通网民防不胜防的诱导式安装、过度收集用户信息等安全问题，都给出了明确规定。对于应用程序提供者与应用商店服务提供者也提出了基本的底线和准则。《规定》还为网民解决了经常遭遇问题而投诉无门的尴尬和困境。中国电信北京研究院院长李志刚认为，《规定》建立了安全管理责任的三层体系，即监管机构、应用商店服务提供者和APP提供者。三层体系各有分工，共同保障APP信息服务的可管、可控、可信。后台实名制是全球网络用户管理的共同趋势。关于后台实名制这个话题，独立互联网分析师于斌也向扬子晚报记者介绍，海外一些互联网发达的国家，也在研究APP实名制管理，比如美国就已实现APP实名制。专家支招APP用户和商家如何保护自我安全？建议用户:APP最好分类隔离管理既然新规后每个APP都要后台实名，那么用户如何防止信息泄露，尤其是资金安全？中国电子商务研究中心分析师姚建芳表示，就像很多人微信账号有工作号和生活号，建议APP最好分类隔离信息管理，分成涉及资金类的APP和一般APP，设置两套不同的账户和密码。麻策律师建议，建议将APP区别不同的安全等级并设置不同的账户密码，可防止连环盗号。下载APP时最好从官方网站上下载或通过合格经营的第三方应用市场下载并适当查核发布者的资质，在平时使用APP时不要随意登录假Wifi，随意刷二维码，不经查核就登录钓鱼网站，以及图贪便宜购买假冒的移动终端硬件等。姚建芳提醒用户，山寨APP或存在窃取个人信息、恶意扣费等问题，建议用户通过应用商店下载而不要通过网络搜索下载；对于陌生的APP最好提前了解甄别，以防落入山寨陷阱。遇到山寨APP欺诈的，及时予以举报维权。江苏省通管局提醒用户，要加强网络安全意识，下载手机应用要认准知名应用商店，安装应用后查看应用开放的权限，读取通讯录、读取短信通话记录等敏感权限尽量关闭。建议APP商家:被山寨可投诉下架或更新迭代除了用户担心隐私被APP泄露，不少APP提供者对新规表示大力支持，因为之前很多创业者辛辛苦苦制作出的APP被山寨，维权很难。产业时评人张书乐点评道，尽管《规定》表面上没有明确违规处罚，但视情采取警示、暂停发布、下架应用程序等措施这个规定，就足以让违规成本变得让应用提供者难以承受。麻策律师认为，新规重视保护知识产权，值得肯定。创业者在开发APP的过程中，必须对知识产权有清醒的认识，严格控制开发程序的源代码归属，并及时做好著作权登记，如果APP著作权被第三方侵犯，就可以使用著作权作为维权的基础性证据。当然，APP同质竞争其实非常激烈，创业者不能说其它APP和自己类似，就认为对方侵权，在商业中创业者只能遵循互联网创业的特定规则，即以小步快走迅速迭代的方式推进自己APP的发展更新，而不能抱残守缺，着眼于某一特别版式APP不放手。-链接江苏去年下架105款恶意APP据新华社报道，2015年全国共有3545款移动应用软件APP受到了12321举报中心和应用商店的联动下架处置。据悉，其中超过一半App具有恶意吸费行为，达到2714款，具有恶意广告行为的APP有1851款。举报中心数据显示，2015年被下架APP数量总体同比呈减少趋势，共有3545款具有危害风险的移动应用软件APP被联动下架。扬子晚报从江苏省通管局获悉，关于移动互联网治理，日前该局做了一系列工作。牵头组织移动互联网恶意程序专项治理行动，联合工商、公安持续打击移动互联网恶意程序；与省内备案的15家APP商店建立联系机制；使用CNCERT的手机病毒检测平台，定期对应用商店在架程序进行安全检测；每月定期向基础运营企业通报用户感染手机病毒的情况，通知基础运营企业对用户感染病毒的事件进行处置；对发现的APP恶意程序传播源通知基础运营企业进行阻断；2015年共通知应用商店下架恶意程序105款。 以下为麻策律师对互联网企业如何应对APP新规的解读全文：网信办6月28日发布了《移动互联网应用程序信息服务管理规定》，这是继网信办发布互联网搜索新规后又一力作，作为互联网企业，特别是移动互联网商业模式下的企业，在这敏感期应当要引起警觉，因为国家层面很少有如此针对互联网的密集型立法，可见主管层面对互联网的重视程度。目前很多解读都是从大局势上，或是针对消费者权益保护方面进行解读，但实际上，消费者或者用户权益的保护依据目前的法律早已足够，无须这部APP新规多此一举，这部APP新规的意义在于明示主管部门的监管态度，划除实践中某些模棱两可的监管思维，这对互联网企业的影响可能非常大，所以，互联网企业应当引起足够的重视，并正确应对。重新审视自己的商业定位APP新规看起来管得很广，但从主体上来看，只管两类主体，即第一类为移动互联网应用程度提供者，根据新规规定，它的定义是指提供信息服务的移动互联网应用程序所有者或运营者，第二类为互联网应用商店，是指通过互联网提供应用软件浏览、搜索、下载或开发工具和产品发布服务的平台。其中第一类主体是比较容易理解的，那一般就是创业者APP运营者或所有者，新规里将APP所有者和运营者区别开来，说明两者的含义并不一致。在PC互联网界，网站的运营者和所有者可能并不一致，所有者，即网站主办单位，可以通过ICP备案或许可情况来直接认定，没有ICP的就是黑网站，而运营者的认定可能是非常困难的，一般系关联企业受委托运营。而在移动互联网界，应用程序APP该如何认定所有者或运营者，除了应用商店披露的途径外，目前相关APP都申请了电子签名认证，可以作为增信手法，而针对APP运营者，实际上也是非常困难的，除非相关主体自行披露。在APP新规中，条款表述为所有者或运营者，说明只要能明确责任主体，一般是不会要求所有者运营者共同承担责任。因此，不论是所有者，还是运营者，在实际运营APP过程中，应当通过合同的方式明确各方权责，并在APP上作出明确的披露，从而避免本不该已方承担的责任自己苦咽。第二类互联网应用商店可能会较为复杂。首先，本条规定的应用商店不只针对移动互联网，它表述的是互联网应用商店，因此通过PC端提供应用程序的也属于本新规管理对象；其次，某类应用商店提供的服务可能主打为安全助手，但实际上其内部嵌套有部分应用商店的属性，比如说百度手机卫士，主打安全，但其中也提供应用下载，因此，也属于本新规管理对象；最后，不要忘记了，应用商店本身也可能是个APP，即也属于移动互联网应用程序提供者。在明确商业定位的条件下，作为互联网应用商店，就必须做好进行以前没有规定的备案工作了，即从事互联网应用商店服务，还应当在业务上线运营三十日内向所在地省、自治区、直辖市互联网信息办公室备案。实名认证工作已明确刻不容缓大部分的用户都巴不得能一键注册而一劳永逸，APP新规这次是非常明确地肯定了移动电话号码实名认证的方式可行的，新规是这么表述的：对注册用户进行基于移动电话号码等真实身份信息认证。所以，互联网企业，就千万别为了所谓的用户体验，允许用户以邮箱或者任何字符串进行注册了(还有些企业一键代注册，直接分配给用户用户名)，在实名认证的大潮下，这实在是不可取的。当然，问题也在于，让用户提供手机号码进行注册，难道就尽到实名认证了？手机号码又没有反馈手机号登记的用户真实姓名，除非移动运营商放开数据接口，或根据用户填写的真实姓名另接公安部身份认证系统，这当然是要花钱的，2-10块不等。新规给了这些数据源单位莫大的奖励(当然，这些单位对实名制进行了长期的努力)。这是实践中的一个难点，这也是为什么当时工信部也只敢要求仅仅是出台工业和信息化部鼓励移动智能终端应用软件采用依法设立的电子认证服务机构颁发的数字证书进行签名的鼓励而非强制性认证规范。百度今年就已经开始全面使用手机号码作为注册的唯一入口，现在已经很难看到百度允许使用邮箱进行注册，而细心的用户也能发现微信注册时已经渐渐和QQ号码注册划清界限。这就是这些大的互联网企业的良好嗅觉。特别值得一提的是，不论目前法律有无明确规定，互联网金融企业都应当为自己的产品开发配备比手机注册更为严格的实名认证体系。例如，在P2P领域，正在酝酿中的《网络借贷信息中介机构业务活动管理暂行办法》就明确拟规定，参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。在去年股权众筹新规出台后，各大众筹网站均无一例外在实名认证的基础上，加添了合格投资人的认证环节(但很多都只是流于形式)。再者，在网络游戏的用户注册环节，就必须进行实名认证，甚至不允许只是使用手机号码注册等弱实名认证体系，所以游戏行为实名认证责任比APP新规要更为严格。网络游戏管理办法明确要求网络游戏运营企业应当要求网络游戏用户使用有效身份证件进行实名注册，并保存用户注册信息，这种模式如此要求主要是为了保护未成年人考虑。第三方账户授权登陆问题使用第三方账户进行注册或登陆时，需要使用OAuth协议，目前OAuth已到了2.0版本，这是一个授权开放的标准协议，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如头像、昵称等)，而无需将用户名和密码提供给第三方应用。在某类豪车的配置中，厂商会配两把车钥匙给车主，一把全授权模式，一把限定授权模式，车主使用代客泊车服务时，可将限定授权模式的车钥匙交给泊车人，泊车人只能行驶限定的距离，不能开启车内娱乐系统、后备箱等。类似的，在第三方账户注册登陆时，第三方账户也只会经用户授权后提供该账户下的基本信息，如头像、昵称、性别等，而不会泄露密码，这就给用户注册登陆提供了便利。但使用第三方账号注册登陆同样面临法律问题，基于OAuth授权注册的限制性，该类账户的注册信息并不能沉淀在已方网站上(甚至有可能完全被第三方账户网站收回授权)，在法律上也难以构成明确的实名主体。因此，当乙方网站使用第三方账户进行注册时，仍应当进一步要求注册用户填写个人信息，切忌为了盲目追求用户注册的体验感而忽略这一紧要步骤。当然，不理解的用户经常要吐槽，我已经用了第三方账户进行注册和登陆，为啥还要重新进行注册？注册用户知情权保护这也是APP新规中值得一提的内容，APP新规明确要求未向用户明示并经用户同意，不得开启地理位置、读取通讯录、使用摄像头、启用录音等功能，不得开启与服务无关的功能，不得捆绑安装无关应用程序。这条规定的大背景可能和去年网曝支付宝涉嫌强制开启用户手机摄像头或录音程序有关，作为APP都希望能获得最大限度的手机权限，这一方面能触发服务提高用户体验，另一方面也能获得更多的用户画像，从而增加用户粘性。但，确实太烦人。所以，互联网企业应当对功能权限的获取更加注意，应当获得用户开启权限的允许，否则触发投诉。除此外，个人认为，还有一个APP功能非常重要，就是允许用户关闭APP通知，特别是导航栏通知，虽然目前很多APP都具备该功能开关，但实际上很多APP只是设了一个样式，实际上仍然会强行向用户推送APP信息，令人十分反感，个人对于该类APP一般都会强制卸载。执法风暴就将来袭？在中国最奇特的现象就是，你立你的法，我执我的章。意思就是很多立法规范其实并没有被严格执法，关健看有没有侵犯到某些特定利益集团的利益，比如说专车行业，要革了出租车牌照的命，所以很多立法会明着打压。但在互联网这个杂草丛生的地方，新的利益集团还没有看上这块肥肉，所以很多法律都是束之高阁，想用的时候用，不用的时候看看就行了。APP规范也一样，其实早在2014年，工信部8月28日在官网上就发布了《关于加强电信和互联网行业网络安全工作的指导意见》(以下简称《意见》)，要求加强移动应用商店和应用程序安全管理，建立健全移动应用程序开发者真实身份信息验证。2013年，工信部也信誓旦旦说要整整互联网乱象，当时也说过要移动应用程序都进行备案，可现实有备案吗？更为重要的一部规范文件是工信部在2015年年底发布的《移动智能终端应用软件(APP)预置和分发管理暂行规定(征求意见稿)》，这部规范主要针对移动终端硬件商(比如说锤子手机)预置应用程序，以及应用商店两类。其中也明确规定从事应用商店等移动应用分发平台服务的互联网信息服务提供者，以及在移动智能终端中预置了移动应用分发平台的生产企业对所提供的应用软件负有以下管理责任：(一)应登记所提供应用软件运营者、开发者的真实身份、联系方式等信息等。这部规范较之于APP新规，不知道要严谨多少倍，但我们却奇怪地发现，两部法规不论是在表述方式上，还是内容上，都各自为战，我行我素，APP新规根本没有采用工信部的相关措辞，要知道，法律的严谨性可不能在表述上发生混乱的情况。比如说运营者，开发者，移动应用分发平台等，都不一致，工信部规定应用商店也要留存日志60日，以及要求应用程序确认要获取的应用权限内容并公示。工信部和网信办，你们搞啥系？工信部的征求意见还要继续么？当然，非常重要的一点是，网信办是挂在党组织下，而非国务院下的，地位等同于国务院办事机构(办事机构是不享有行政执法权的，比如说不能进行行政处罚)，新闻办公室，根据国务院的授权才享有的执法权非常模糊，网信办除了拔你家网线，或向其它部门打小报告，除此外，网信办真没什么。所以，目前舆论所谓的消费者终于可以得到权益保护啦，市场会清净很多啦云云，不好太当真。除非网信办真拿几个典型案例出来给大家看看，我也希望是这样。

分享到