作者 | 连翘
来源 | 起风财经(ID:QFCJ2018)
近日,新京报上刊登了一篇文章,标题是《“精准营销”触碰隐私:强推霸屏广告,1元可得用户微信》,文章讲了许多商家通过一种名叫“WiFi探针”的技术手段做广告营销。只要用户走进设备范围即被强推广告,甚至可拨电话进行推销。
IT时报也发表了一篇文章《WiFi探针躲暗处收集信息不连WiFi一样会被抓取数据》,和上个案例一样,只要用户走进设备范围,自己所有数据就被无声无息地盗走了。
互联网大数据时代,个人信息安全问题堪忧。WIFI探针是否违法?如何保护自己?起风财经(ID:QFCJ2018)进行了多方面的考察。
“WIFI探针”是什么原理?
wifi探针是指基于wifi探测技术,自动识别特定范围内已开启wifi接收装置的移动终端设备(Android或IOS智能手机、手提电脑、平板等)并获取设备MAC信息的一种硬件。
记者在淘宝上发现,目前市场上的WIFI探针产品有“探客宝”、“WIFI魔盒”、“商优盒子”、“猎数魔盒”、“招财宝”等多款产品,这些产品最关键的作用就是“收集方圆200米甚至更远的人的手机的MAC地址”。 MAC地址是网络设备的唯一标识,具有唯一性。得到手机MAC地址后,可以通过技术破解获取更多的用户信息。
具体做法有几种,其中一种比较复杂,即WiFi探针获取用户MAC地址后,再跟拥有大数据的公司合作,即可获得用户的手机号码、购物记录等信息。这也是目前大部分WIFI探针产品使用的方法。
还有一种非常直接,《IT时报》记者曾演示,只要WIFI是开启的,即使什么操作都不做,手机的MAC 地址、IP地址、SSID(WiFi名称列表)、Hostname(手机型号)也会瞬间出现在窥视者电脑上。然后手机便会自动联上WIFI,该记者“浏览《IT时报》官网、登录《IT时报》后台,网址、网页图片与内容、登录后台的账号与密码等所有信息”都以明文形式在窥视者电脑屏幕上同步显示。而这种是利用的WIFI审计设备,利用大部分用户手机数据包里都有曾经连接过的WiFi列表,直接获取用户敏感信息。
根据报道中的描述,起风财经(ID:QFJC2018)记者发现,这就是网上售卖的名为“探客宝”或“商优盒子”一类的产品,在淘宝上京东上都有售,售价2000到8000元不等。
跟其中一个淘宝卖家聊天时,他表示他表示通过该产品,可以直接向用户拨打电话,还能看到用户的多种偏好。
当记者提出是否违法时,卖家一直强调自己的产品并不会触犯法律,原因是电话号码加密不显示(这也是目前许多WIFI探针产品为了避免违法所采用的方式),尾号也是虚拟的,仅可供联系到被采集区域人群的被采集人,至于微信、密码这些,卖家表示“更不可能”。
而且他强调,通过探客宝得到的相关人物画像,只有基础信息,仅供参考,不涉及侵犯隐私。并称网上那些完全碰红线的产品,在网上都是隐晦地在卖,不会正大光明地放到网上卖。而且还强调原配件和研发商是两家上市公司。
为了证明自己的合法性,卖家贴出了上海一家律所出示的证明产品合法的证书,但是为了避嫌,又马上把信息撤回了。
起风财经(ID:QFCJ2018)通过天眼查发现,“探客宝”所属的是一家苏州公司,没有详细的创始人信息。“集客宝”生产商是成都集客宝电子商务有限公司。“寻客宝盒”所属公司是上海翰裕信息科技有限公司,公司创始人名下还有一家小型综合网络技术公司和一家装饰公司。
另一家“WIFI魔盒”所属公司是成都一家小型电子商务工作室。总体来看,这些公司规模都不大。可见“WiFi探针”的技术尽管并不是什么高超的黑客工具,但这种简单粗暴的方式却屡试不爽,并已形成完整产业链。
如何自我保护?
关于“WIFI探针”产品,起风财经(ID:QFJC2018)咨询了前360安全员、网络安全机构“白帽汇安全研究院”的负责人邓焕。
听说淘宝和京东公开售卖这种WIFI探针产品,邓焕表示非常吃惊,“这是违法的。”他说,“单单得到手机MAC地址,然后匹配手机号码,就已经是违返了《中华人民共和国网络安全法》了,因为他们存储了大量的MAC+手机号对应的信息,这些都是个人隐私,虽然有的隐私并没有被曝光使用。”
即便上面那家淘宝卖家声称“尾号是虚拟”的,但邓焕称,只要是真的用户信息就是违法,除非店家声称的功能都是骗人的。那这种情况下,不可能没储存用户信息,否则跟本没办法匹配,也没办法显示出用户的画像。
“要不说现在的推送越来越精准了,因为啥数据都在他们那边啊,能不精准么?”邓焕说。
这种WIFI探针类产品,邓焕表示其实很容易生产,普通小公司就能做出来,只是很多安全人士出于良心,并不会去做这种事。
至于如何防备隐私泄露,他透露主要就是在公共场合关闭WIFI。“在关键点上注意,其它已经见惯不怪了,多看下网上关于信息安全类的科普文章吧。”
他也提示要做到绝对安全是很难的,因为有的情况自己无法控制,比如目前微信是任何人都离不开的工具,哪天微信被人黑了,个人数据就全都泄露了。
“信息安全一定是多方共同维护的,不是单方面就能保证的。”他说,“个人、手机制造商、网站、app开发商等都得有意识。”
律师怎么说
法律工作者吴真晗认为,“WiFi探针”技术涉嫌违反多项法律法规。关于强推广告一事,违反了《广告法》的第一章第三条“广告应当真实、合法,以健康的表现形式表达广告内容”,及第一章第四条“不得欺骗、误导消费者”。
另外,《中华人民共和国网络安全法》(简称《网络安全法》)已经自2017年6月1日起开始施行,其中第二十七条明确规定“任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动,……不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具 ”。由此看来,“WiFi探针”明显是违法技术。
在《网络安全法》颁布之前,如果一个网站被黑,用户信息泄露了,只能认倒霉。但新颁布的《网络安全法》第二十一条规定“网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”,即如果用户的信息在平台上被泄露,网站必须要承担责任,现在已经有了多个因此而受到处罚的案例。
比如,2018年8月,河南省公安厅监测发现,洛阳市北控水务集团远程数据监测平台遭到黑客攻击。经查,洛阳市北控水务集团网络安全技术措施落实不到位。8月14日,洛阳市公安局长春路分局依据《网络安全法》第五十九条第一款之规定,给予洛阳市北控水务集团高达80000元罚款的行政处罚,同时相关负责人也受到了处罚。
除了《网络安全法》,吴真晗认为,对于非法采集用户信息的行为,也可适用最高法和最高检联合发布的
《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(简称《解释》),《解释》中认定非法入侵手机、iPad等平板电脑的行为也定性为犯罪,造成20台以上计算机系统被植入病毒程序等,即可入罪。不过,也有人提出了反对意见,浙江大学法学院的王露认为,互联网企业提供给WiFi设备销售者的信息虽然较为多元化,但是如果其进行了较为彻底的匿名化处理,无法定位到某个特定用户,也不算侵权。她建议我国应当对个人信息进行分级保护,而且互联网企业对收集到的用户信息进行严格的匿名化处理。但在起风财经(ID:QFCJ2018)看来,这两点就目前的国情都是难以实现的。
目前关于此类问题的法律案件仍较少,最典型的就是朱某诉百度数据侵权一案。朱某发现利用百度搜索相关关键词后,会在特定的网站上出现与关键词有关的广告。朱某认为侵害了用户的隐私权,故诉至法院要求百度停止侵权并进行赔偿。此案一审认为百度构成侵权,二审却判定百度不侵权。当然,此案的发生在《网络安全法》出台之前,如果现在判案,或许有不同的结果。
在国外,有的地方对数据保护的要求更为严格。欧盟的通用数据保护条例(GDRP)于2018年5月25日出台,出台的第一天就迎面痛击美国两大科技巨头脸书、谷歌,控诉它们收集用户私人数据,并欲给脸书和谷歌分别开出39亿欧元和37亿欧元的天价罚单。这种处罚力度让国外网站不敢疏忽。
结语
现在很多这种“WIFI探针”产品的销售机构都打着“用户画像”和“大数据营销”的幌子,给自己披上新技术的外衣。“WIFI探针”产品与基于大数据的精准服务有本质区别。大数据不会精细到每个用户的个人隐私信息,“WIFI探针”所要得到的是手机号、微信号等隐私信息。
即使对大数据的利用,目前法律上也有很大争议,大数据的权属、使用范围等目前都未能明确。
这种问题想要解决,指望商家主动行动很难,只能靠国家进一步完善制度来约束,个人进一步增强自我保护意识,以及起风财经(ID:QFCJ2018)这类数字经济媒体的社会责任感。
閱讀更多 起風財經 的文章
