作者 | 連翹
來源 | 起風財經(ID:QFCJ2018)
近日,新京報上刊登了一篇文章,標題是《“精準營銷”觸碰隱私:強推霸屏廣告,1元可得用戶微信》,文章講了許多商家通過一種名叫“WiFi探針”的技術手段做廣告營銷。只要用戶走進設備範圍即被強推廣告,甚至可撥電話進行推銷。
IT時報也發表了一篇文章《WiFi探針躲暗處收集信息不連WiFi一樣會被抓取數據》,和上個案例一樣,只要用戶走進設備範圍,自己所有數據就被無聲無息地盜走了。
互聯網大數據時代,個人信息安全問題堪憂。WIFI探針是否違法?如何保護自己?起風財經(ID:QFCJ2018)進行了多方面的考察。
“WIFI探針”是什麼原理?
wifi探針是指基於wifi探測技術,自動識別特定範圍內已開啟wifi接收裝置的移動終端設備(Android或IOS智能手機、手提電腦、平板等)並獲取設備MAC信息的一種硬件。
記者在淘寶上發現,目前市場上的WIFI探針產品有“探客寶”、“WIFI魔盒”、“商優盒子”、“獵數魔盒”、“招財寶”等多款產品,這些產品最關鍵的作用就是“收集方圓200米甚至更遠的人的手機的MAC地址”。 MAC地址是網絡設備的唯一標識,具有唯一性。得到手機MAC地址後,可以通過技術破解獲取更多的用戶信息。
具體做法有幾種,其中一種比較複雜,即WiFi探針獲取用戶MAC地址後,再跟擁有大數據的公司合作,即可獲得用戶的手機號碼、購物記錄等信息。這也是目前大部分WIFI探針產品使用的方法。
還有一種非常直接,《IT時報》記者曾演示,只要WIFI是開啟的,即使什麼操作都不做,手機的MAC 地址、IP地址、SSID(WiFi名稱列表)、Hostname(手機型號)也會瞬間出現在窺視者電腦上。然後手機便會自動聯上WIFI,該記者“瀏覽《IT時報》官網、登錄《IT時報》後臺,網址、網頁圖片與內容、登錄後臺的賬號與密碼等所有信息”都以明文形式在窺視者電腦屏幕上同步顯示。而這種是利用的WIFI審計設備,利用大部分用戶手機數據包裡都有曾經連接過的WiFi列表,直接獲取用戶敏感信息。
根據報道中的描述,起風財經(ID:QFJC2018)記者發現,這就是網上售賣的名為“探客寶”或“商優盒子”一類的產品,在淘寶上京東上都有售,售價2000到8000元不等。
跟其中一個淘寶賣家聊天時,他表示他表示通過該產品,可以直接向用戶撥打電話,還能看到用戶的多種偏好。
當記者提出是否違法時,賣家一直強調自己的產品並不會觸犯法律,原因是電話號碼加密不顯示(這也是目前許多WIFI探針產品為了避免違法所採用的方式),尾號也是虛擬的,僅可供聯繫到被採集區域人群的被採集人,至於微信、密碼這些,賣家表示“更不可能”。
而且他強調,通過探客寶得到的相關人物畫像,只有基礎信息,僅供參考,不涉及侵犯隱私。並稱網上那些完全碰紅線的產品,在網上都是隱晦地在賣,不會正大光明地放到網上賣。而且還強調原配件和研發商是兩家上市公司。
為了證明自己的合法性,賣家貼出了上海一家律所出示的證明產品合法的證書,但是為了避嫌,又馬上把信息撤回了。
起風財經(ID:QFCJ2018)通過天眼查發現,“探客寶”所屬的是一家蘇州公司,沒有詳細的創始人信息。“集客寶”生產商是成都集客寶電子商務有限公司。“尋客寶盒”所屬公司是上海翰裕信息科技有限公司,公司創始人名下還有一家小型綜合網絡技術公司和一家裝飾公司。
另一家“WIFI魔盒”所屬公司是成都一家小型電子商務工作室。總體來看,這些公司規模都不大。可見“WiFi探針”的技術儘管並不是什麼高超的黑客工具,但這種簡單粗暴的方式卻屢試不爽,並已形成完整產業鏈。
如何自我保護?
關於“WIFI探針”產品,起風財經(ID:QFJC2018)諮詢了前360安全員、網絡安全機構“白帽匯安全研究院”的負責人鄧煥。
聽說淘寶和京東公開售賣這種WIFI探針產品,鄧煥表示非常吃驚,“這是違法的。”他說,“單單得到手機MAC地址,然後匹配手機號碼,就已經是違返了《中華人民共和國網絡安全法》了,因為他們存儲了大量的MAC+手機號對應的信息,這些都是個人隱私,雖然有的隱私並沒有被曝光使用。”
即便上面那家淘寶賣家聲稱“尾號是虛擬”的,但鄧煥稱,只要是真的用戶信息就是違法,除非店家聲稱的功能都是騙人的。那這種情況下,不可能沒儲存用戶信息,否則跟本沒辦法匹配,也沒辦法顯示出用戶的畫像。
“要不說現在的推送越來越精準了,因為啥數據都在他們那邊啊,能不精準麼?”鄧煥說。
這種WIFI探針類產品,鄧煥表示其實很容易生產,普通小公司就能做出來,只是很多安全人士出於良心,並不會去做這種事。
至於如何防備隱私洩露,他透露主要就是在公共場合關閉WIFI。“在關鍵點上注意,其它已經見慣不怪了,多看下網上關於信息安全類的科普文章吧。”
他也提示要做到絕對安全是很難的,因為有的情況自己無法控制,比如目前微信是任何人都離不開的工具,哪天微信被人黑了,個人數據就全都洩露了。
“信息安全一定是多方共同維護的,不是單方面就能保證的。”他說,“個人、手機制造商、網站、app開發商等都得有意識。”
律師怎麼說
法律工作者吳真晗認為,“WiFi探針”技術涉嫌違反多項法律法規。關於強推廣告一事,違反了《廣告法》的第一章第三條“廣告應當真實、合法,以健康的表現形式表達廣告內容”,及第一章第四條“不得欺騙、誤導消費者”。
另外,《中華人民共和國網絡安全法》(簡稱《網絡安全法》)已經自2017年6月1日起開始施行,其中第二十七條明確規定“任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動,……不得提供專門用於從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具 ”。由此看來,“WiFi探針”明顯是違法技術。
在《網絡安全法》頒佈之前,如果一個網站被黑,用戶信息洩露了,只能認倒黴。但新頒佈的《網絡安全法》第二十一條規定“網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改”,即如果用戶的信息在平臺上被洩露,網站必須要承擔責任,現在已經有了多個因此而受到處罰的案例。
比如,2018年8月,河南省公安廳監測發現,洛陽市北控水務集團遠程數據監測平臺遭到黑客攻擊。經查,洛陽市北控水務集團網絡安全技術措施落實不到位。8月14日,洛陽市公安局長春路分局依據《網絡安全法》第五十九條第一款之規定,給予洛陽市北控水務集團高達80000元罰款的行政處罰,同時相關負責人也受到了處罰。
除了《網絡安全法》,吳真晗認為,對於非法採集用戶信息的行為,也可適用最高法和最高檢聯合發佈的
《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(簡稱《解釋》),《解釋》中認定非法入侵手機、iPad等平板電腦的行為也定性為犯罪,造成20臺以上計算機系統被植入病毒程序等,即可入罪。不過,也有人提出了反對意見,浙江大學法學院的王露認為,互聯網企業提供給WiFi設備銷售者的信息雖然較為多元化,但是如果其進行了較為徹底的匿名化處理,無法定位到某個特定用戶,也不算侵權。她建議我國應當對個人信息進行分級保護,而且互聯網企業對收集到的用戶信息進行嚴格的匿名化處理。但在起風財經(ID:QFCJ2018)看來,這兩點就目前的國情都是難以實現的。
目前關於此類問題的法律案件仍較少,最典型的就是朱某訴百度數據侵權一案。朱某發現利用百度搜索相關關鍵詞後,會在特定的網站上出現與關鍵詞有關的廣告。朱某認為侵害了用戶的隱私權,故訴至法院要求百度停止侵權並進行賠償。此案一審認為百度構成侵權,二審卻判定百度不侵權。當然,此案的發生在《網絡安全法》出臺之前,如果現在判案,或許有不同的結果。
在國外,有的地方對數據保護的要求更為嚴格。歐盟的通用數據保護條例(GDRP)於2018年5月25日出臺,出臺的第一天就迎面痛擊美國兩大科技巨頭臉書、谷歌,控訴它們收集用戶私人數據,並欲給臉書和谷歌分別開出39億歐元和37億歐元的天價罰單。這種處罰力度讓國外網站不敢疏忽。
結語
現在很多這種“WIFI探針”產品的銷售機構都打著“用戶畫像”和“大數據營銷”的幌子,給自己披上新技術的外衣。“WIFI探針”產品與基於大數據的精準服務有本質區別。大數據不會精細到每個用戶的個人隱私信息,“WIFI探針”所要得到的是手機號、微信號等隱私信息。
即使對大數據的利用,目前法律上也有很大爭議,大數據的權屬、使用範圍等目前都未能明確。
這種問題想要解決,指望商家主動行動很難,只能靠國家進一步完善制度來約束,個人進一步增強自我保護意識,以及起風財經(ID:QFCJ2018)這類數字經濟媒體的社會責任感。
閱讀更多 起風財經 的文章
