深度解码“互联互通”③:互联网拆墙破壁行进中,需在开放系统中寻求安全最优解

合规科技王俊,吴立洋,郭美婷 2021-10-14 17:59
深度解码“互联互通”②:互联网行业需破除流量迷信建立新规则 寻找发展新路径 深度解码“互联互通”①:巨头走上谈判桌 互联网商业格局迎变动

互联网行业正在“拆墙”。一个月前,工信部一道政令,要求各平台限期内按标准解除屏蔽。监管部门大刀阔斧,直指行业弊病,十余年的互联网平台“相互屏蔽”时代正走入历史。 

拆墙、破壁并非易事,安全问题备受关注。9月13日的发布会上,工信部部长肖亚庆也强调:互联网安全是底线。

开放外链有安全治理压力,需在开放系统内寻求安全。不过,目前互联互通仍集中在解决网址链接屏蔽问题上。外链开放,从技术上并没有太高的壁垒,推进难度在平台对商业利益的考量。

但倘若互联互通继续推进,信息的跨平台流动带来的信息泄露以及其牵涉的数据产权问题,需进行前提性法律的构建、规则标准的确立。

外链开放难题也是利益难题

一般认为,中国互联网“围墙花园”时代,由2008年淘宝封禁百度而始,持续至今已有十余年。期间,巨头平台间网页屏蔽、链接封禁,画地为牢,成为互联网行业的默认业态。

“应用层生态间屏蔽的方式主要有三种:一是屏蔽外链,包括不识别外链以及限制外链分享;二是拒绝开放API接口;三则是限制数据抓取、迁移。”大成律师事务所高级合伙人邓志松解释称,与此相应,互联互通的措施可以分为三个层次:开放外链;开放API接口;开放数据抓取、允许数据迁移。

目前工信部推进的互联互通聚焦点集中在解决网址链接屏蔽问题上,并未涉及API接口等的开放。互联互通迈出的是“第一步”。

多位接受采访的专家认为,对于平台而言,破除网页屏蔽在技术上虽存在难点,但没有太高的壁垒,推进的难度更多在于平台商业利益的考量。

东北大学计算机科学与工程学院教授姚羽向21世纪经济报道记者解释称,如果平台将外链完全开放,存在两方面的安全问题。一方面,平台无法确保外部链接的安全性,这可能导致恶意网站利用平台作为恶意链接的传播渠道;另一方面,一些数据抓取机构可能利用平台作为跳板进入外链指向的网站,导致数据泄露。“网页是系统核心数据的一种展示,当第三方机构爬取的页面数量足够多时,可能会获得网站的核心高价值数据。” 

独立分析师付亮表示,目前平台链接封禁主要表现在用户转发链接受限,链接封禁一定程度上是平台为方便管理,但是其中存在商业利益的博弈。不同平台有不同的考量,部分平台可能并不希望把平台变成一个商业推广的激励途径。

开放外链诚然会增加平台安全治理压力。不过,也有业内人士在接受21世纪经济报道记者采访时表示,中国互联网的互联互通具备守住安全底线的能力。一方面,腾讯、阿里等平台均已形成相对规范、成熟的技术和治理体系,能够应对破壁后的新生态;另一方面,要求互联互通并非意味着平台不能开展有效治理,根据相关链接是否合法、是否侵害用户权益等标准,平台可以对其采取措施。

平台互操作陷困难境地 

虽互联互通已是大势,但在破除网页屏蔽、开放外链基础上如何继续推进,互联网开放到何种程度,仍莫衷一是。 

南开大学竞争法研究中心主任陈兵表示,互联互通主要表现为数据的可携带和数据的互操作。本阶段互联互通的推进尚未涉及到这两方面的工作。当前工信部主要强调安全与便利于用户,数据的可携带、互操作,乃至数据的共享,是数据领域更深层次的内容。

平台间数据互操作涉及API接口开放,从技术壁垒、国际经验、法律竞合等多个角度来看,困难重重。

中国信通院发布的《应用程序接口(API)数据安全研究报告(2020)》指出,从近年API安全态势可以看出,API技术被应用于各种复杂环境,其背后的数据一方面为企业带来商机与便利,另一方面也为数据安全保障工作带来巨大压力。特别在开放场景下,API的应用、部署面向个人、企业、组织机构等不同用户主体,面临着外部用户群体庞大、性质复杂、需求不一等诸多挑战,需时刻警惕外部安全威胁。

从技术角度来看,API接口开放无疑会增加企业成本。姚羽表示,API接口开放对外提供服务的话,自然需提升硬件计算能力;但是无论投入多大的成本,硬件都有性能上限,一旦出现恶意攻击,用大量访问流量淹没硬件能力上限,可能导致硬件瘫痪,正常用户无法正常访问。

9月13日的发布会上,工信部部长肖亚庆也强调:互联网安全是底线。

除却技术成本,API接口放开涉及企业利益、竞争合理性等更深层问题。

邓志松称,向竞争对手开放API从反垄断角度来看是存在争议的。FTC诉Facebook案(2021)中,FTC指控Facebook阻止竞争对手将产品与Facebook Blue相连,限制了可通过此互操作性吸引用户的竞对产品的发展,阻碍了竞对产品的开发销售。而法官认为,即使是垄断者,也没有帮助竞争对手的义务。

尤其对于竞争性平台,数据连续互操作是否会导致搭便车情况,进而影响平台收集数据动力,产生竞争损害,是学界与业界关注的焦点。

陈兵表示,从竞争法的角度来说,数据的开放和流通有利于数据增值,但需要厘清的是数据产权问题,对于涉及产权的分配制度,也就是如何对数据在生产中起到的作用进行估值,尚未形成统一可操作的标准或交易方法。

互联互通如何继续行进

前提性法律的构建、规则标准确立是平台经济领域迈向“互联互通”要做好的准备。

“从长期来看,互联互通肯定会丰富整个产业数据的多样性,提升数据的质量,降低数据获取成本等等。”陈兵表示。 

“但是这些利好因素的产生是有前提的。”他指出,工信部一直强调的安全为底线,实际上安全问题与产权问题挂钩。产权问题看似是一个利益分配问题,但其决定了平台的责任承担。权利义务责任在法治语境下,应该是具有同一性和统一性的,平台运营者可通过提供基本服务获益,也需要承担相应的责任。

邓志松也指出,其在落实互联互通的过程中,需要确立数据权属制度以明确义务主体及不同主体间的权责界限。

迈向平台互操作、数据转移后,出现安全问题如何归责?陈兵认为,目前的互联网场景下,还很难明确界定第二步和第一步之间责任主体变化的时间节点或者具体的标志性的行为。

互联互通的效益要充分发挥的前提是建立健全安全管理规则,利益纠纷处理机制。“目前来看,相关的立法准备还不是充分,仍在加紧推动中。”陈兵表示。

技术层面也需要设立相关标准。姚羽认为,目前网络攻防力量不均衡,攻击成本远低于防守成本,安全问题凸显。

他建议,数据互联互通应在网络安全的等级保护之上做加法,贯穿整个数据互操作的生命周期,企业防护达到一定等级标准,出现问题可以免责。

多位专家称,接下来需对数据分类分级制度、核心数据界定出台具体实施细则,并针对不同级别、不同类别的数据制定不同保护水平的开放规则;明确补偿原则以确保合理经济利益的实现等。

陈兵表示,对于平台企业而言,互联互通有助于倒逼其压实平台责任,让平台付出能力和财力成本去做好安全工作。对于广大用户来说,互联互通对数据素养也提出了相应的要求,有助于用户规范个体化互联网行为,提升安全意识。

“互联互通是一个系统工程,包括立法、执法、司法跟守法,不仅仅是监管侧、平台企业,广大的用户都要参与其中。”陈兵称。

(作者:王俊,吴立洋,郭美婷 编辑:周上祺)

吴立洋

上海中心记者