2018年3月28日,央视一则有关免费共享WiFi涉嫌非法获取用户信息的报道将免费共享WiFi行业推上了风口浪尖。处于舆论中央的是目前宣称用户量已经高达9亿的WiFi万能钥匙。其后是一家名为WiFi钥匙的公司。
央视报道称,上述两家公司涉嫌非法获取用户信息,并通过所搜集的信息进行广告推广。4月3日,工信部随之发布通报,要求对移动应用程序“WiFi万能钥匙”和“WiFi钥匙”等公司进行调查。
工信部的调查目前仍无定论。
4月11日,WiFi万能钥匙相关负责人接受《财经》记者采访,他说,“WiFi万能钥匙获取的用户信息均在国家法律法规允许的范围内,还须经过用户同意,所获取数据只限于提升用户体验,并无数据买卖行为。”
上述负责人称,公司正在积极配合调查。事件发生后,WiFi万能钥匙公开声明称,WiFi万能钥匙的运行原理是热点资源共享,不是破解。WiFi万能钥匙一直重视对密码的保护。公司已成立专门工作小组,继续优化现有产品的流程。
“这个行业过去、现在和未来最大的问题就是难以获得信任。”他对《财经》记者说。
在此之前,共享WiFi与共享出行、共享旅游出租等被外界普遍认为是中国“共享经济”模式的典型代表。围绕共享WiFi服务,一批公司得以生存壮大。目前市面上的服务商数量高达数千家。WiFi万能钥匙之外,百度、阿里巴巴、腾讯、360等公司都曾推出过类似的产品。
经过数年前的一轮拼杀之后,WiFi万能钥匙因其布点最大、用户最多,最终成为这个市场的独角兽,除了超过9亿的总用户数,WiFi万能钥匙宣称日活用户达到2亿,仅次于微信与QQ。
这也是WiFi万能钥匙处于声浪中央的核心原因。
WiFi万能钥匙宣称日活用户达到2亿,仅次于微信与QQ。图/视觉中国
不过,在上千家免费共享WiFi服务商中,正规军之外的更大的群体在公众视线之外,他们或者以山寨某款WiFi服务商(例如WiFi万能钥匙、腾讯WiFi管家等)的App形象出现,或以铺设虚假热点的非法物理状态存在。这些山寨应用以“共享网络”为名,实为获取用户个人信息,售卖数据盈利。
一位数据监管分析专家对《财经》记者说,山寨军团和以逐利为目的的初创公司从一开始就不会讨论自律,WiFi万能钥匙这样的手握巨量用户的大型公司虽然初步形成了与其体量和影响力相匹配的技术体系,但在法律法规监管缺位的情况下,一些灰度空间的存在必不可免。
高流量加上监管缺位导致的行业乱象,共同构成了共享WiFi行业的红与黑。
监管的重点应为两点:明确正规共享WiFi数据分享、使用权限,建立用户平台信任监管机制;其次,打击山寨蹭网类应用,还共享WiFi行业共享本质。
孵化超级流量
WiFi万能钥匙于2012年上线,运营方是盛大网络创始人陈大年创办的连尚网络公司。其技术原理是,通过云计算技术,拥有WiFi密码的用户可以在平台上进行分享,被分享的WiFi可以被使用者直接免费连接,不需要输入密码。
当时,共享经济概念尚未普及,“共享WiFi”概念一出,获得资本的极大追捧。IT桔子数据显示,2015年初,连尚网络以10亿美元的估值获得5200万美元的A轮融资,创造了境内互联网行业A轮融资额和估值的纪录。同年6月,连尚网络的股权众筹,以认购额超77亿元人民币、超募237倍以及融资6500万元的成绩创造了境内股权众筹的三项纪录。
对于极度依赖智能手机的现代人来说,共享WiFi是一个强需求,WiFi万能钥匙的用户量迅速增加。2014年12月,该公司就宣布用户量达到5亿,日均热点连接数超过17亿。而当时WiFi万能钥匙团队人数仅有36人。
2018年,该公司宣称用户数量达到9亿,这几乎是与智能手机保有量数据同步增长。
高流量也带来了高收入,上述WiFi万能钥匙负责人告诉《财经》记者,WiFi万能钥匙已经实现盈利。
在共享经济领域,实现盈利并不容易。共享经济的先行者Airbnb在成立九年后的2016年底才宣布公司实现盈利。中国的共享经济公司更是为了迅速成长,拼命烧钱——估值高达576亿美元的超级独角兽滴滴出行,2018年才接近盈利;两家明星共享单车公司摩拜与ofo,也都还距离盈利目标尚远。
相比这些公司提供的住宿、出行服务,WiFi万能钥匙的资产更轻,相对投入资金也较少。同时,在WiFi万能钥匙推出之时,几乎没有强劲的竞争对手——360免费WiFi于2014年9月上线,腾讯的WiFi管家推出时间在2016年3月。
2016年12月与2017年12月,WiFi万能钥匙分别完成一轮超过1亿美元的融资。
目前WiFi万能钥匙的估值已经达到50亿美元,并且已经有在香港上市的计划。
WiFi万能钥匙宣称的商业模式并不复杂,与大部分互联网产品一样,通过流量变现。WiFi万能钥匙的App内提供了一栏内容服务,用户可以浏览大量来自不同内容平台的资讯与文章,其中也穿插着广告内容,形式类似于今日头条,这一模式也被称为“feed流”。
这些内容中间的广告推送,依靠的是WiFi获取的用户信息。WiFi万能钥匙会获取用户的手机型号、GPS定位、上网行为等数据,在后台进行分析后,推送符合用户画像的广告。
但WiFi万能钥匙本质上还是一个工具型产品,一位互联网行业投资人告诉《财经》记者,工具型产品的想象空间远低于生态型产品。这也是为什么同样是靠流量变现,今日头条估值高达500亿美元,是WiFi万能钥匙的10倍,QuestMobile数据显示,今日头条月活跃用户为1.7亿,低于WiFi万能钥匙宣称的数据量。
过去几年移动互联网迅速发展,流量红利已经到达瓶颈,这对于依靠流量变现的公司来说,是一个共同的难题。为了更大程度的吸引和沉淀流量,今日头条在近几年推出了大量不同形式的内容,包括短视频、问答等等。
WiFi万能钥匙也在积极拓展边界,在图文资讯内容之外,还推出了网络文学、视频等内容,甚至还在试水游戏。
高增长的流量背后,行业对WiFi技术安全性的要求也越来越高。
对此,WiFi万能钥匙请到有“中国安全教父”之称的龚蔚担任首席安全官,并在2015年9月与众安保险合作,推出WiFi安全险,如有用户通过WiFi万能钥匙遭遇信息泄露问题,全额赔偿。
WiFi万能钥匙提供的安全险保护范围是:用户在通过WiFi万能钥匙连接的热点网络环境下,发生了WiFi热点恶意行为,导致用户财产受损的情况。该保险最高赔付金额为10万元人民币,单日/单次最高赔付金额为1万元人民币。
该安全险需要用户在App上主动申请,填写真实姓名以及身份证信息即可生效。安全险的用户协议对不提供赔付的范围也作出了明确规定,其中最主要的一点是,用户必须是在连接WiFi万能钥匙认证安全的WiFi热点时发生事故,才给予赔偿。
不过,上述WiFi万能钥匙负责人向《财经》记者表示,截至今天,该公司没有产生一起赔付事件。
2016年,曾经有用户向警方报案,称自己的个人信息遭泄露,用户曾怀疑是使用了WiFi万能钥匙等软件导致,但在最终调查之后发现,是由于该用户手机被植入了木马。
被调查后,WiFi万能钥匙将屏蔽敏感政府企事业单位附近的热点从方圆100米扩大到了方圆200米,上述WiFi万能钥匙负责人对《财经》记者说,虽然该平台上超过80%的热点是来源于餐馆、商店的WiFi以及合作的运营商热点、公共场所热点等,很少有家庭与办公场所热点,但为了在更高程度上保证安全,“这样的措施也是无奈之举”。
尽管做了不少安全方面的应对措施,对WiFi万能钥匙和整个共享WiFi行业的质疑声仍然存在。一位WiFi产业人士告诉《财经》记者,各行各业对个人数据信息的需求都很大,这样的环境催生出了数据交易行业,共享WiFi本质上就是一个获取用户信息的工具,而“现实情况是,几乎所有的共享WiFi公司,都涉及到个人信息数据交易。”
山寨温床
打开苹果应用商店,搜索“WiFi”或“免费WiFi”等关键词,会出来一大批长相与名称类似的应用。例如“WiFi钥匙”、“WiFi钥匙管家”、“WiFi万能”等等,这些应用的功能从表面上看和WiFi万能钥匙的功能几乎相差无几——免费一键连接WiFi热点。
这些应用中的绝大多数都是山寨或钓鱼WiFi。上述WiFi万能钥匙负责人告诉《财经》记者,WiFi万能钥匙专门成立了一个跨部门维权组,向各应用分发渠道投诉维权打击山寨应用。仅2017年,这个虚拟合作部门就举报了累计超过1600个山寨应用,但上述WiFi万能钥匙人士表示,这项工作既很必要又很难产生实质作用——被举报后,山寨应用被下架了,但他们可以很快又改一个名字重新上线。
这完全被应用背后的利益驱使——共享WiFi技术门槛不高,同时,还能获取同等投入下的超高量级用户数据。
另一家共享WiFi公司技术人士告诉《财经》记者,通过WiFi技术,后台可以获取到用户的手机号、上网行为数据(包括各类App的账号密码)、精准的位置信息、具有全球唯一性的Mac码和Imei地址等等。
仅靠这些数据,就足以在地下黑色数据市场卖出不错的价格,以位置信息为例,一名用户在机场使用公共WiFi,后台可以直接定位该用户是在普通候机厅还是VIP候机厅,并推送不同的广告。
多位行业人士向《财经》记者透露,在某些情况下,例如,诱导用户注册,关联手机号,WiFi甚至能获取到用户的身份证信息,概率在10%,这能让数据交易的价格翻上数倍。“足够精准的高净值人群的数据一条就能卖到几百甚至上千元,而公共WiFi的获客成本,平均仅为3毛钱。”
“最后导致在这个(共享WiFi)行业里,山寨军的用户规模虽然不多,但数量大,很多坏人。”一位数据分析人士说,坐地轻松获取数据,然后卖掉,或者干脆接一些广告变现,黑产中人很难拒绝这门生意。
一位曾从事数据交易多年的人士告诉《财经》记者,提供WiFi获取的用户信息与电信运营商、互联网公司内鬼卖出的数据,共同构成了数据黑产的两大主力来源。
到了这个层面,这些披着“共享WiFi”外衣的寻租客们,可以是一个和大型平台名字很像的应用,也可以是一个简单搭建场景的不安全的公共WiFi。他们的目的是为了非法获取利益,已经远远脱离了共享的实质。
一家位于南京的共享WiFi公司的销售负责人曾向《财经》记者透露,他们通过WiFi,记录用户上网行为,以及经常出入的场所,来进行用户画像。该公司官网数据显示,每天能搜集的用户行为数据超过100亿条。
这些数据会被卖给有需求的客户,或者通过他们自有的渠道将广告直接推送到用户的手机上。
《财经》记者在与该WiFi公司销售人员沟通的过程中发现,该公司对于客户购买数据的真实用途并不过问,只要提出需求,类似“经常出入高级酒店的高收入人群”即可。
这样搜集并售卖用户个人数据的行为已经触碰到了法律的边界。一位专注互联网信息安全的律师表示,任何时候,公司出售用户的个人敏感信息,尤其是能够定位到个人的数据,如身份证、手机号、个人位置信息等,均不合法。而“公共WiFi是最常见的一种手段”。
法律法规的制定总是滞后于产业发展。在缺乏法规约束的互联网世界,流动的数据就好比俯首可拾的金钱,企业往往需要对自身有更高的道德自律,来承担一部分原本应由政府来承担的职责。
“但很多时候,你并不清楚具体的线在哪。”前述数据监管分析专家说道。
监管盲区如何突破
在很长的一段时间内,共享WiFi领域正规军与山寨军团共舞。
“人们有时候一边用我们,一边骂我们,”另一家共享WiFi创业公司创始人对《财经》记者说,“平台和用户之间的相互信任,法律法规的清晰化起决定性作用。”
对于那些已经手握高流量,且有长期发展规划的平台而言,这恐怕是当下最现实的需求。
目前中国的法律政策大多笼统,并没有明文规定哪些信息属于不能被获取的隐私信息。WiFi万能钥匙的App内提供的隐私政策提到,该应用会收集用户的三大类信息——设备信息、日志信息、位置信息,其中设备信息包括具有唯一标识性的IMEI码、MAC地址、设备型号、设备操作系统、设备位置等;日志信息包括IP地址、安装或使用移动应用的信息以及访问服务的日期、时间、时长等。
他们获取的用户信息,几乎所有的主流App都会获取。但这些信息的不同力度和层面的组合,带来的价值确实令人遐想。
多位共享WiFi和数据交易行业人士对《财经》记者表示,WiFi万能钥匙的商业模式中也存在灰色地带,目前也没有明确的监管方式和政策。而上述WiFi万能钥匙负责人对此的回应是:“我们体量这么大,如果有问题,还能活到今天吗?”
监管“黑WiFi”的思路,与打击数据黑产大致类似。不过,当下的监管难题在于执行。
共享WiFi热点分散,数千家山寨、钓鱼WiFi也像蚂蚁一样缩在隐秘的缝隙里。一家一家地调查、打击需要投入大量的人力物力。
深圳市的一位负责互联网安全事件的网络警察告诉《财经》记者,对于一些非法钓鱼App,警方也只能通过用户的报案来查找线索,而很多情况下,用户自己都不清楚个人信息是如何被泄露的。
在立法监管层面,走在最前面的是欧盟。欧盟一贯以强硬的法律手段保护个人数据,1970年欧盟出台了全世界第一部数据保护法案,随后的几十年间又不断出台相关法案。包括谷歌在内的不少科技公司,都曾在欧盟吃过天价罚单。
5月25日,欧盟即将施行新的隐私保护条款法规,规定科技公司必须提供一种个人用户能够下载、修改、删除所有储存在服务器上个人数据的方法。
美国对于企业的监管更多地来自企业自身。美国自1995年开始实行行业自律,由公司或者行业内部制定行业的行为规章与指引,为行业的隐私保护提供示范。同行业自律性规范包括企业自身制定隐私权政策、中立组织的“认证制度”。
行业自律尽管缺乏强制力与执行力、自律范围也具有一定局限性,但一定程度上既可以防止完全市场自由调控造成经济的无序发展,又能防止法律滞后制约网络行业快速发展的风险。
不过,严厉法规是欧盟在互联网产业无法匹敌中美两国的原因之一。多位接受《财经》记者采访的中国行业人士认为,严厉的法规是一把双刃剑,在有效遏制不法行为的同时,也会影响新兴行业的快速发展。
一位研究国际数据监管政策的分析人士认为,现阶段的中国更多是向欧盟模式发展。
自2017年6月出台严厉的《网络安全法》后,2018年5月1日,中国国家标准化管理委员会发布的《信息安全技术个人信息安全规范》也将正式实施,要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则,均要经过个人信息主体的授权同意。
腾讯研究院资深专家王融在此前接受《财经》记者采访时认为,中国的互联网公司通常是一边创新、一边挑战法律的边线,就算相关立法陆续出台,但监管和执法仍然艰难。她认为,立法者与监管部门应该更多地考虑到科技行业发展的特殊性,在一定范围内鼓励而非阻碍新技术与新模式的发展。