姚尧

分享型WiFi企业手握大量用户数据，当法律缺位时，仅靠企业自律来保护用户安全很难。

今年早些时候，有媒体曝光了部分分享型WiFi企业涉嫌非法获取用户信息的问题。5月19日，公安部网络安全保卫局表示，已集中约谈向境内提供服务的119家相关企业，并提出了5项指导性措施，要求相关企业切实加强公民个人信息保护。

此前，共享经济里的分享出行、分享旅游出租和分享WiFi一直广受瞩目，并被视为分享经济中的典型，随着一大批分享型WiFi企业的应运而生，仅WiFi万能钥匙一家此前就宣称日活跃用户数已经达到2亿，规模不可谓不大。但事实表明，与庞大的用户规模结伴而来的不仅只有高流量，还带来了一系列“灰色地带”。

有业内人士表示，只有明确分享型WiFi数据使用权限，建立一套完善的监管机制，才有可能还其本来的分享经济面貌。

大流量的诱惑

2012年，共享经济概念仍未普及，但分享型WiFi却已经火了起来。数据显示，仅仅三年时间，分享型WiFi企业已经获得了众多的资金青睐。2015年初，连尚网络的估值已有10亿美元，且A轮融资就5200万美元。当年7月，连尚网络又通过股权众筹资金达77亿元，超募规模达237倍。

WiFi万能钥匙就是连尚网络的产品。在技术上，WiFi万能钥匙就是通过云计算技术，让拥有WiFi密码的用户可以通过该平台分享WiFi网络，实现免费、免密直接接入。在移动网络资费依然昂贵时，对分享型WiFi的需求何等强烈已可想而知。

此后，WiFi万能钥匙的用户迅速增加，2014年用户量已经达到5.2亿，日均热点链接数超过16.9亿个，而彼时其团队成员仅有三十多人。2018年初，用户数则达到9.1亿，普及速度之快与智能手机几近相当。有企业内部人士曾表示，受益于超高流量，WiFi万能钥匙已实现盈利。目前其估值已达近50亿美元，并已有上市的计划。与此同时，360免费WiFi于2014年9月上线，腾讯的WiFi管家在2016年3月推出。

从商业模式角度看，分享型WiFi产品并不复杂，主要就是通过数据流量变现。以WiFi万能钥匙为例，其开设一档内容服务，公司会通过不同用户的画像向他们推荐不同内容，期间也会穿插广告等。此外，WiFi万能钥匙也在积极拓展边界，在图文资讯内容之外，还推出了网络文学、视频等内容，甚至还在尝试游戏。

而在维护用户的信息安全问题上，WiFi万能钥匙也下了不少功夫。首先是在2015年9月与众安保险合作，推出WiFi安全险，如有用户通过WiFi万能钥匙遭遇信息泄露问题，全额赔偿。其次，WiFi万能钥匙将屏蔽敏感政府企事业单位附近的热点从方圆100米扩大到了方圆200米，虽然该平台上超过80%的热点是来源于餐馆、商店的WiFi以及合作的运营商热点、公共场所热点等，但很少有家庭与办公场所热点，都是为了在更高程度上保证安全。

尽管做了不少安全方面的应对措施，对WiFi万能钥匙和整个共享WiFi行业的质疑声仍然存在。有业内人士表示，共享WiFi本质上就是一个获取用户信息的工具，其结果必然导致数据交易。同时，其想象空间又远低于微信等生态型产品。随着移动互联网迅速发展，流量红利的光环早已褪去，深入挖掘数据背后的价值才是出路，分享型WiFi普遍面临转型难题。

已然泛滥成灾

在大多数手机应用商店中，只要输入关键词“WiFi”等，就会马上出现众多与WiFi万能钥匙“外形”类似的应用产品，而他们在功能上也很同质化，无一例外都是提供免费WiFi服务。腾讯WiFi管家和360免费WiFi等也面临类似问题。业内人士表示，分享型WiFi技术门槛并不高，却能获取大量用户数据，这就是类似应用大量泛滥的根本原因。

对于这些应用程序，前述WiFi万能钥匙有关负责人表示，他们中绝大多数都是钓鱼WiFi或者山寨WiFi，他们可以通过这些平台大量窃取用户个人信息并在市场上兜售。为此，连尚网络还专门成立了维权部门，向应用分发渠道进行投诉，以保护用户权益。仅2017年一年时间，就有约1500个相关应用被举报下架。“但这不能解决根本问题，因为他们可以换个名称就又上线了。”他说。

有业内人士表示，用户通过前述平台连接了WiFi后，應用所有者马上就能得到用户的手机号、上网行为数据和定位信息，以及手机上的Mac地址和Imei码等等。这些数据是数据市场上的抢手货。以位置信息为例，一名用户在机场使用公共WiFi，后台可以直接定位该用户是在普通候机厅还是VIP候机厅，并推送不同的广告。

据了解，在数据贩卖市场上，某些足够准确的单个用户数据可以炒到近千元，但通过钓鱼WiFi获取单个用户数据的成本却十分低廉仅有不到1元钱。前述业内人士表示，提供WiFi获取的用户信息与电信运营商、互联网公司内鬼卖出的数据，共同构成了数据黑产的两大主力来源。

有在分享型WiFi工作的人士表示，他们可以简单搭建不安全的公共WiFi，等待愿者上钩，然后使用用户上网行为数据，为用户描绘形象。仅仅一家企业每天可以得到的用户行为数据就有可能高达数百亿条。然后，这些数据会被卖给有需求的客户，或者通过他们自有的渠道将广告直接推送到用户的手机上。

有行业相关的律师表示，上述行为早已越过了法律允许的边界。任何时候，公司出售用户的个人敏感信息，尤其是能够定位到个人的数据，如身份证、手机号、个人位置信息等，均不合法。在相关法律法规依然缺位的情况下，只依靠具有良知的企业的行为自律，很难实现数据安全上的长治久安。

筑牢安全堤坝

目前，我国在互联网数据安全领域的法律政策大多比较笼统，这就带来了许多含混不清的灰色地带，加上执法力量和处罚力度的不足等因素的存在，都加重了对数据安全的威胁。比如，并没有明文规定哪些信息属于不能被获取的隐私信息。有负责互联网安全事件的公安系统工作人员表示，对于一些非法钓鱼应用程序，警方也只能通过用户的报案来查找线索，但更多的时候用户自己都不清楚个人信息是如何被泄露的。

许多App内提供的隐私政策都会提到，该应用会收集用户的三大类信息——设备信息、日志信息、位置信息，其中设备信息包括具有唯一标识性的IMEI码、MAC地址、设备型号、设备操作系统、设备位置等。有业内人士表示，单个看待这些信息的确没有什么，但当他们被组合起来的时候就能形成新的价值。

这一切都需要从立法层面加以界定和处置才是根本的解决途径。而在立法方面，欧盟已经先走了一步。5月25日，被称为“史上最严”数据信息保护条例的欧盟《通用数据保护条例》（GDPR）正式生效。由于拥有超重罚款和最广泛管辖权，全球各行各业都不得不重新审视自己的数据处理政策和行为，以避免动辄数亿元的罚款。

在我国，2017年6月，已出台严厉的《网络安全法》。2018年5月1日，中国国家标准化管理委员会发布的《信息安全技术个人信息安全规范》也已正式实施，要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则，均要经过个人信息主体的授权同意。

在5月19日，公安部网络安全保卫局提出的5项指导性措施中，特别强调了“防范假冒WiFi网络的安全管理措施，发现违法犯罪活动及时向公安机关报告。”

可见，立法正逐步向着保护用户数据安全的方向前进，但腾讯研究院资深专家王融则表达了另一种观点，“在打击和防范过程中，立法者与监管部门应该更多地考虑到科技行业发展的特殊性，在一定范围内鼓励而非阻碍新技术与新模式的发展。”