移动应用安全监管中的合谋博弈分析与建议*

杨丰瑞，刘孟娟，潘泉宏

(1.重庆重邮信科(集团)股份有限公司，重庆 400065； 2.重庆邮电大学 经济管理学院，重庆 400065；

3.重庆邮电大学 移通学院，重庆 401520)



移动应用安全监管中的合谋博弈分析与建议*

杨丰瑞1，刘孟娟2，潘泉宏3

(1.重庆重邮信科(集团)股份有限公司，重庆 400065； 2.重庆邮电大学 经济管理学院，重庆 400065；

3.重庆邮电大学 移通学院，重庆 401520)

摘要：移动应用安全状况日益凸显，亟需采取相应的监管策略。基于完全信息三方静态博弈模型，探讨移动应用安全监管中政府、移动应用商店以及移动应用开发商三者之间的博弈决策问题。政府通过对应用商店的监管发现存在应用商店与开发商合谋的情况。对于减少应用商店与开发商合谋，政府可给予应用商店未来的合作机会等间接激励,其作用优于现金支持的直接激励。而有效控制监管成本，增加应用商店和开发商合谋所产生的损失，是减少应用商店与开发商合谋概率的有效途径。从博弈角度出发，提出了政府从移动应用传播渠道入手的安全监管策略，即政府在何种条件下能更好发挥通过应用商店间接监管的作用。

关键词：移动应用；安全监管；合谋博弈

一、前言

移动互联网用户的“爆炸式”增长、云存储技术的日益成熟以及移动通信网络数据上网的逐步提速，都让移动应用市场规模快速壮大，也让人们的日常生活发生了深刻变革。在利益驱使下，部分移动应用开发商(以下简称“开发商”)设计恶意移动应用程序，使得恶意吸费、恶意内嵌广告、隐私窃取、诱骗欺诈等一系列移动应用安全问题越来越突出，严重损害了用户利益，制约了移动应用市场的良性发展。然而，移动应用安全监管需要耗费额外的成本，若缺乏外部力量的干预，移动应用商店(以下简称“应用商店”)和开发商主观上无意为此付费，也就是说没有改善此种状况的内在动机。因此，政府对移动应用安全的监管必不可少。

目前，国内外基于监管理论的研究主要涉及食品安全[1]、环境[2]、互联网低俗内容[3-4]等方面。对于移动应用安全问题的研究则主要集中于移动应用安全问题的威胁[5-6]、防护措施[7]，即应用开发环节[8]的加强以及移动智能终端安全框架[9]的建立，而对移动应用安全监管的研究鲜有涉及。基于此，笔者拟运用博弈论，探索我国政府如何通过对应用商店的有效激励，督促开发商提供安全应用，以弥补现有研究的不足，促进移动应用的良性发展。

二、政府、应用商店及开发商之间的博弈分析

针对移动应用安全问题越来越突出的状况，政府作为移动应用发展过程中的监督者，对于推动移动应用产业良性发展的作用举足轻重，如何有效监管移动应用安全，已然成为国内重要研究课题。闵栋等针对移动智能终端安全问题进行分析，提出了移动智能终端安全监管策略[10]；马志刚则针对移动应用商店发展情况，分析了应用商店监管的法律不足，以及应用商店模式获取巨大利益的合法性，提出了具体完善的政策建议[11]；杜跃进等人从起源、途径、宿主三个维度分析了移动互联网安全的技术框架，提出了安全管理策略，在一定程度上解决了我国的移动应用安全问题[4]。此外，工信部2013年推出的《关于加强移动智能终端进网管理的通知》，从立法监管角度降低了移动应用风险。然而，移动应用数量巨大，每年均有上百万种应用软件上市。应用安全的监管，需要较高的技术投入，人力、资金耗费巨大，仅凭政府一己之力困难重重。因此，我们拟从加强移动应用传播渠道的安全着手来减少应用的安全隐患，其中应用商店、开发商是移动应用的关键传播渠道[12]。在移动应用市场，移动应用商店和开发商作为追求自身利益最大化的经济个体，为获取最大利益，开发商向应用商店提出合作意向，而应用商店也可通过与开发商合谋以获取额外收益。因此，政府进行监管时，需考虑他们的合谋行为。在此基础上，笔者建立政府、应用商店、开发商三方博弈模型，引入政府对应用商店的激励和惩罚机制，探讨政府对应用商店抽查的最优概率，应用商店与开发商最优合谋概率；分析政府通过资金支持的直接激励还是给予更多的商业合作机会的间接激励哪一种更能使开发商或应用商店放弃合谋之道。

(一) 模型假设及建立

笔者将应用商店视为政府委托监管应用安全的被委托人，而应用商店因自身利益选择与开发商合谋，因此，政府、应用商店、开发商三者之间存在合谋博弈。三者追求各自利益最大化，且政府属于强势方，应用商店和开发商的策略会受其影响。应用商店审核不严，让安全不达标应用上线，视为合谋。合谋会给社会带来损失，用Rg表示，对开发商进行处罚，用F表示，应用商店审核不严要受处罚用F1表示。

1.假定政府不抽查，应用商店严格审核，与开发商无合谋行为，那么政府获得的社会损失就会减少Rg，应用商店与开发商获得的额外收益将为0，政府、应用商店、开发商三者收益记为(Rg，0，0)。

2.假定政府不抽查，应用商店审核不严格，与开发商合谋，那么应用商店与开发商将获得额外收益kB和(1-k)B，其中k(k<1/2)为应用商店与开发商利益分成比例，B为应用安全不达标获得的额外总收益。此时政府、应用商店、开发商三者收益记为(0，kB，(1-k)B)。

3.假定政府抽查，应用商店严格审核，与开发商无合谋。政府监管成本Ci，应用商店与开发商无额外收益，政府给予应用商店直接激励R和间接激励R′。 因间接激励成本较低，故在此省略。此时政府、应用商店、开发商三者收益记为(Rg-Ci-R，R+R′，0)。

4.假定政府抽查，应用商店与开发商有合谋，但政府未发现，仍给应用商店激励支持。此时政府、应用商店、开发商三者收益记为(-R-Ci，kB+R+R′，(1-k)B)。

5.假定政府抽查，应用商店与开发商有合谋，被政府发现，对开发商进行处罚F，对应用商店进行处罚F1。应用商店负面损失以及处罚总损失为S。开发商被处罚及应用被强制下线总损失A(A>S)，此时政府、应用商店、开发商三者收益记为(Rg-Ci+F+F1，-S，-A)。

6. 假定应用商店与开发商合谋的概率为p1，政府抽查的概率为p2，政府发现合谋的概率r。政府抽查收益为π1，不抽查收益为π2，应用商店合谋收益为π3，不合谋收益为π4，开发商合谋收益为π5，不合谋收益为π6。

基于以上假设，我们可以得出政府、应用商店以及开发商三方合谋博弈的支付矩阵，具体如表1所示。

表1　政府、应用商店与开发商三方合谋博弈矩阵模型

(二)模型求解与分析

根据上文假设，我们可知政府抽查时的收益为

π1=p1[r(Rg-Ci+F+F1)+(1-r)

(-R-Ci)]+(1-p1)(Rg-Ci-R)

(1)

政府不抽查时的收益为

π2=(1-p1)Rg

(2)

令政府抽查与不抽查时的收益相等，即π1=π2，我们可求得应用商店与开发商合谋的最优概率为

(3)

根据上文假设，我们可知应用商店参与合谋时的收益为

π3=p2[-rS+(1-r)(kB+R+R′)]+

(1-p2)kB

(4)

应用商店不参与合谋时的收益为

π4=p2(R+R′)

(5)

令应用商店参与合谋和不参与合谋时的收益相等，即π3=π4，我们可求得政府抽查的最优概率为

(6)

由此得出结论，政府通过应用商店进行间接监管时，不宜通过增加直接激励R来促进应用商店加强安全审核，而可以利用政府资源，为应用商店提供间接激励R′，如为应用商店提供与更好的开发商发展合作的机会和平台等。

根据上文假设，我们可以得出开发商参与合谋时的收益为

(1-k)B

(7)

开发商不参与合谋时的收益为

π6=0

(8)

令开发商参与合谋与不参与合谋的收益相等，即π5=π6，我们可以求得政府抽查开发商的最优概率为

(9)

政府对开发商最有效的监管途径，即增加对开发商合谋被发现时的处罚和负面损失之和A。例如加大处罚F，同时增加应用安全信誉度的影响力，以减少开发商合谋的可能性。

4.影响开发商收益，降低合谋的关键

据实际分析可知，开发商是合谋的主动方，当其安全不达标时才会主动寻求与应用商店合谋。此时政府应通过减少开发商合谋收益来减少应用商店与开发商合谋。相比重点从应用商店入手，其效果更佳。

综上分析可知，由于k<0.5，故kB<(1-k)B；此时，当S+kB+R+R′≥A+(1-k)B时，得

(10)

三、结论及建议

笔者从政府监管策略角度出发，研究了政府、开发商、应用商店在移动应用安全监管问题中的行为关系，建立了相应的监管合谋博弈模型，并对模型求解结果进行了讨论，主要结论如下。

1.影响开发商和应用商店合谋的主要因素是应用商店的间接激励以及应用商店被发现合谋产生的总损失，在政府控制惩罚力度得当的情况下，适当加大以上两者的实施力度，就能有效防范应用商店和开发商的合谋行为。

2.政府对应用商店的间接激励优于直接激励。由政府、应用商店、开发商三方合谋博弈模型可知，政府对应用商店的间接激励优于直接激励；间接激励包括政府利用自己的资源，为应用商店提供更多的合作机会，如增加应用商店与行业上下游或同级的交流合作；为应用安全水平较高的应用商店提供与更多移动应用开发商、行业协会、第三方平台、其他大型企业的合作和交流，甚至更高的发展平台，也可以给予安全审核时的技术支撑，减少其安全审核成本等。

本文的局限体现在：以政府会严格监管应用安全为前提，对被发现的安全不达标应用进行严肃处理，后续研究可以考虑在此基础上加强政府对下级监管部门放松监管后的处罚等。此外，本文的理论分析结论仍有待实证研究进行检验。

参考文献：

[1]左伟,潘涌璋.基于博弈论的食品安全监管分析[J].科技管理研究，2011(23):32-35.

[2]任玉珑,王恒炎,刘贞.环境监管中的合谋博弈分析与防范机制[J].统计与决策，2008(17):45-47.

[3]李钢,宋强.中国互联网低俗内容监管的博弈分析[J].管理评论，2011(10):77-82.

[4]杜跃进,李挺.移动互联网安全问题与对策思考[J].信息通信技术，2013(4):11-15.

[5]迈克菲.中国移动设备用户恶意软件和短信诈骗风险增加[J].通信世界，2013(18):39.

[6]QUENTIN H. Where Apps Meet Work,Secret Data Is at Risk[N].New York Times，2013-03-04.

[7]杨卫军,秦海权,王鹏. Android 移动应用软件检测平台[J].信息网络安全，2012(8):64-66.

[8]LI Wenmin,WEN Qiaoyan,SU Qi,et al. Password Authenticated Multiple Key Exchange Protocol for Mobile Applications[J].China Communications， 2012(1):66-72.

[9]ENCK W, GILBERT P. TaintDroid:An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphones[J].ACM Transactions on Computer Systems，2014(2):1-29.

[10]闵栋,刘东明.移动智能终端安全问题及监管策略研究[J].电信网技术，2012(5):13-16.

[11]马志刚.应用软件商店模式：一个需要法律解释的监管命题[J].世界通信，2012(3):21-24.

[12]郝建涛.基于双层规划的移动应用商店利益分层研究[D].北京:北京邮电大学,2012:16-17.

(编辑:段明琰)

Game Analysis and Suggestions of the Supervision for Mobile Application Security

YANY Fengrui1， LIU Mengjuan2， PAN Quanhong3

(1.ChongqingChongyouInformationTechnology(Group)CO.,LTD,Chongqing400065,China;2.SchoolofEconomicsandManagement,ChongqingUniversityofPostsand

Telecommunications,Chongqing400065,China;3.CollegeofMobileTelecommunications,ChongqingUniversityofPostsand

Telecommunications,Chongqing401520,China)

Abstract:With the growing mobile application security problem, it is necessary to provide effective supervision for China APP security. Based on the tripartite complete information static game model, the authors discussed how to prevent the collusive behaviors between mobile application stores and application developers through the government’s supervision in the mobile application security regulation. We founded that the indirect incentive to mobile application store such as cooperation opportunities which is provided by government is better than direct funding incentive including cash incentives. And the key to reduce the probability of collusive behaviors between mobile application store and application developers is controlling the regulatory costs effectively and increasing the loss when the conspiracy was found between the app stores and the developers. In conclusion, it is found that the government under some conditions can better play the role of indirect regulation through the app store.

Keywords:mobile applications; mobile applications; collusion game

文章编号：1673- 8268(2016)02- 0102- 05

中图分类号：F621

文献标识码：A

DOI：10.3969/j.issn.1673- 8268.2016.02.018

作者简介：杨丰瑞(1963-)，男，重庆人，教授，硕士生导师，博士，主要从事通信运营管理研究。

基金项目：重庆市社会科学规划项目:临时性组织的合作与学习机制研究(2014SKZ05)

收稿日期：2015- 06- 04修回日期：2015- 11- 30