虎嗅注:手机通讯如此发达的今天,低头族到处蹭Wi-Fi已经成了常态,像Wi-Fi万能钥匙这样的共享Wi-Fi形态,也就先行成为了共享经济的一种。由于资产更轻,资金投入少,又能收集大量用户数据、获得高流量,各种山寨版共享Wi-Fi大军也随机兴起,在监管缺位的情况下,还存在售卖用户个人信息的行为,在很多法律业内人士看来,这已经触碰到了法律的边界。现在相关立法陆续出台,但监管难度在于执行。但更重要的是,“严厉的法规是一把双刃剑,在有效遏制不法行为的同时,也会影响新兴行业的快速发展”。
本文转自公众号“财经杂志”(ID:i-caijing),作者:刘以秦,编辑:谢丽容。
2018年3月28日,央视一则有关免费共享Wi-Fi涉嫌非法获取用户信息的报道将免费共享Wi-Fi行业推上了风口浪尖。处于舆论中央的是目前宣称用户量已经高达9亿的Wi-Fi万能钥匙。其后是一家名为Wi-Fi钥匙的公司。
央视报道称,上述两家公司涉嫌非法获取用户信息,并通过所搜集的信息进行广告推广。4月3日,工信部随之发布通报,要求对移动应用程序“Wi-Fi万能钥匙”和“Wi-Fi钥匙”等公司进行调查。
工信部的调查目前仍无定论。
4月11日,Wi-Fi万能钥匙相关负责人接受《财经》记者采访,他说:
“Wi-Fi万能钥匙获取的用户信息均在国家法律法规允许的范围内,还须经过用户同意,所获取数据只限于提升用户体验,并无数据买卖行为。”
上述负责人称,公司正在积极配合调查。事件发生后,Wi-Fi万能钥匙公开声明称,Wi-Fi万能钥匙的运行原理是热点资源共享,不是破解。Wi-Fi万能钥匙一直重视对密码的保护。公司已成立专门工作小组,继续优化现有产品的流程。
“这个行业过去、现在和未来最大的问题就是难以获得信任。”他对《财经》记者说。
在此之前,共享Wi-Fi与共享出行、共享旅游出租等被外界普遍认为是中国“共享经济”模式的典型代表。围绕共享Wi-Fi服务,一批公司得以生存壮大。目前市面上的服务商数量高达数千家。Wi-Fi万能钥匙之外,百度、阿里巴巴、腾讯、360等公司都曾推出过类似的产品。
经过数年前的一轮拼杀之后,Wi-Fi万能钥匙因其布点最大、用户最多,最终成为这个市场的独角兽,除了超过9亿的总用户数,Wi-Fi万能钥匙宣称日活用户达到2亿,仅次于微信与QQ。
这也是Wi-Fi万能钥匙处于声浪中央的核心原因。
不过,在上千家免费共享Wi-Fi服务商中,正规军之外的更大的群体在公众视线之外,他们或者以山寨某款Wi-Fi服务商(例如Wi-Fi万能钥匙、腾讯Wi-Fi管家等)的App形象出现,或以铺设虚假热点的非法物理状态存在。这些山寨应用以“共享网络”为名,实为获取用户个人信息,售卖数据盈利。
一位数据监管分析专家对《财经》记者说,山寨军团和以逐利为目的的初创公司从一开始就不会讨论自律,Wi-Fi万能钥匙这样的手握巨量用户的大型公司,虽然初步形成了与其体量和影响力相匹配的技术体系,但在法律法规监管缺位的情况下,一些灰度空间的存在必不可免。
高流量加上监管缺位导致的行业乱象,共同构成了共享Wi-Fi行业的红与黑。
监管的重点应为两点:明确正规共享Wi-Fi数据分享、使用权限,建立用户平台信任监管机制;其次,打击山寨蹭网类应用,还共享Wi-Fi行业共享本质。
孵化超级流量
Wi-Fi万能钥匙于2012年上线,运营方是盛大网络创始人陈大年创办的连尚网络公司。其技术原理是,通过云计算技术,拥有Wi-Fi密码的用户可以在平台上进行分享,被分享的Wi-Fi可以被使用者直接免费连接,不需要输入密码。
当时,共享经济概念尚未普及,“共享Wi-Fi”概念一出,获得资本的极大追捧。IT桔子数据显示,2015年初,连尚网络以10亿美元的估值获得5200万美元的A轮融资,创造了境内互联网行业A轮融资额和估值的纪录。同年6月,连尚网络的股权众筹,以认购额超77亿元人民币、超募237倍以及融资6500万元的成绩创造了境内股权众筹的三项纪录。
对于极度依赖智能手机的现代人来说,共享Wi-Fi是一个强需求,Wi-Fi万能钥匙的用户量迅速增加。2014年12月,该公司就宣布用户量达到5亿,日均热点连接数超过17亿。而当时Wi-Fi万能钥匙团队人数仅有36人。
2018年,该公司宣称用户数量达到9亿,这几乎是与智能手机保有量数据同步增长。
高流量也带来了高收入,上述Wi-Fi万能钥匙负责人告诉《财经》记者,Wi-Fi万能钥匙已经实现盈利。
在共享经济领域,实现盈利并不容易。共享经济的先行者Airbnb在成立九年后的2016年底才宣布公司实现盈利。中国的共享经济公司更是为了迅速成长,拼命烧钱——估值高达576亿美元的超级独角兽滴滴出行,2018年才接近盈利;两家明星共享单车公司摩拜与ofo,也都还距离盈利目标尚远。
相比这些公司提供的住宿、出行服务,Wi-Fi万能钥匙的资产更轻,相对投入资金也较少。同时,在Wi-Fi万能钥匙推出之时,几乎没有强劲的竞争对手——360免费Wi-Fi于2014年9月上线,腾讯的Wi-Fi管家推出时间在2016年3月。
2016年12月与2017年12月,Wi-Fi万能钥匙分别完成一轮超过1亿美元的融资。
目前Wi-Fi万能钥匙的估值已经达到50亿美元,并且已经有在香港上市的计划。
Wi-Fi万能钥匙宣称的商业模式并不复杂,与大部分互联网产品一样,通过流量变现。Wi-Fi万能钥匙的App内提供了一栏内容服务,用户可以浏览大量来自不同内容平台的资讯与文章,其中也穿插着广告内容,形式类似于今日头条,这一模式也被称为“feed流”。
这些内容中间的广告推送,依靠的是Wi-Fi获取的用户信息。Wi-Fi万能钥匙会获取用户的手机型号、GPS定位、上网行为等数据,在后台进行分析后,推送符合用户画像的广告。
但Wi-Fi万能钥匙本质上还是一个工具型产品,一位互联网行业投资人告诉《财经》记者,工具型产品的想象空间远低于生态型产品。这也是为什么同样是靠流量变现,今日头条估值高达500亿美元,是Wi-Fi万能钥匙的10倍,QuestMobile数据显示,今日头条月活跃用户为1.7亿,低于Wi-Fi万能钥匙宣称的数据量。
过去几年移动互联网迅速发展,流量红利已经到达瓶颈,这对于依靠流量变现的公司来说,是一个共同的难题。为了更大程度的吸引和沉淀流量,今日头条在近几年推出了大量不同形式的内容,包括短视频、问答等等。
Wi-Fi万能钥匙也在积极拓展边界,在图文资讯内容之外,还推出了网络文学、视频等内容,甚至还在试水游戏。
高增长的流量背后,行业对Wi-Fi技术安全性的要求也越来越高。
对此,Wi-Fi万能钥匙请到有“中国安全教父”之称的龚蔚担任首席安全官,并在2015年9月与众安保险合作,推出Wi-Fi安全险,如有用户通过Wi-Fi万能钥匙遭遇信息泄露问题,全额赔偿。
Wi-Fi万能钥匙提供的安全险保护范围是:用户在通过Wi-Fi万能钥匙连接的热点网络环境下,发生了Wi-Fi热点恶意行为,导致用户财产受损的情况。该保险最高赔付金额为10万元人民币,单日/单次最高赔付金额为1万元人民币。
该安全险需要用户在App上主动申请,填写真实姓名以及身份证信息即可生效。安全险的用户协议对不提供赔付的范围也作出了明确规定,其中最主要的一点是,用户必须是在连接Wi-Fi万能钥匙认证安全的Wi-Fi热点时发生事故,才给予赔偿。
不过,上述Wi-Fi万能钥匙负责人向《财经》记者表示,截至今天,该公司没有产生一起赔付事件。
2016年,曾经有用户向警方报案,称自己的个人信息遭泄露,用户曾怀疑是使用了Wi-Fi万能钥匙等软件导致,但在最终调查之后发现,是由于该用户手机被植入了木马。
被调查后,Wi-Fi万能钥匙将屏蔽敏感政府企事业单位附近的热点从方圆100米扩大到了方圆200米,上述Wi-Fi万能钥匙负责人对《财经》记者表示,虽然该平台上超过80%的热点是来源于餐馆、商店的Wi-Fi以及合作的运营商热点、公共场所热点等,很少有家庭与办公场所热点,但为了在更高程度上保证安全,“这样的措施也是无奈之举”。
尽管做了不少安全方面的应对措施,对Wi-Fi万能钥匙和整个共享Wi-Fi行业的质疑声仍然存在。一位Wi-Fi产业人士告诉《财经》记者,各行各业对个人数据信息的需求都很大,这样的环境催生出了数据交易行业,共享Wi-Fi本质上就是一个获取用户信息的工具,而“现实情况是,几乎所有的共享Wi-Fi公司,都涉及到个人信息数据交易”。
山寨温床
打开苹果应用商店,搜索“Wi-Fi”或“免费Wi-Fi”等关键词,会出来一大批长相与名称类似的应用。例如“Wi-Fi钥匙”“Wi-Fi钥匙管家”“Wi-Fi万能”等等,这些应用的功能从表面上看和Wi-Fi万能钥匙的功能几乎相差无几——免费一键连接Wi-Fi热点。
这些应用中的绝大多数都是山寨或钓鱼Wi-Fi。上述Wi-Fi万能钥匙负责人告诉《财经》记者,Wi-Fi万能钥匙专门成立了一个跨部门维权组,向各应用分发渠道投诉维权打击山寨应用。仅2017年,这个虚拟合作部门就举报了累计超过1600个山寨应用,但上述Wi-Fi万能钥匙人士表示,这项工作既很必要又很难产生实质作用——被举报后,山寨应用被下架了,但他们可以很快又改一个名字重新上线。
这完全被应用背后的利益驱使——共享Wi-Fi技术门槛不高,同时,还能获取同等投入下的超高量级用户数据。
另一家共享Wi-Fi公司技术人士告诉《财经》记者,通过Wi-Fi技术,后台可以获取到用户的手机号、上网行为数据(包括各类App的账号密码)、精准的位置信息、具有全球唯一性的Mac码和IMEI地址等等。
仅靠这些数据,就足以在地下黑色数据市场卖出不错的价格,以位置信息为例,一名用户在机场使用公共Wi-Fi,后台可以直接定位该用户是在普通候机厅还是VIP候机厅,并推送不同的广告。
多位行业人士向《财经》记者透露,在某些情况下,例如,诱导用户注册,关联手机号,Wi-Fi甚至能获取到用户的身份证信息,概率在10%,这能让数据交易的价格翻上数倍。有人士说:“足够精准的高净值人群的数据一条就能卖到几百甚至上千元,而公共Wi-Fi的获客成本,平均仅为3毛钱。”
“最后导致在这个(共享Wi-Fi)行业里,山寨军的用户规模虽然不多,但数量大,很多坏人。”一位数据分析人士说,坐地轻松获取数据,然后卖掉,或者干脆接一些广告变现,黑产中人很难拒绝这门生意。
一位曾从事数据交易多年的人士告诉《财经》记者,提供Wi-Fi获取的用户信息与电信运营商、互联网公司内鬼卖出的数据,共同构成了数据黑产的两大主力来源。
到了这个层面,这些披着“共享Wi-Fi”外衣的寻租客们,可以是一个和大型平台名字很像的应用,也可以是一个简单搭建场景的不安全的公共Wi-Fi。他们的目的是为了非法获取利益,已经远远脱离了共享的实质。
一家位于南京的共享Wi-Fi公司的销售负责人曾向《财经》记者透露,他们通过Wi-Fi,记录用户上网行为,以及经常出入的场所,来进行用户画像。该公司官网数据显示,每天能搜集的用户行为数据超过100亿条。
这些数据会被卖给有需求的客户,或者通过他们自有的渠道将广告直接推送到用户的手机上。
《财经》记者在与该Wi-Fi公司销售人员沟通的过程中发现,该公司对于客户购买数据的真实用途并不过问,只要提出需求,类似“经常出入高级酒店的高收入人群”即可。
这样搜集并售卖用户个人数据的行为已经触碰到了法律的边界。一位专注互联网信息安全的律师表示,任何时候,公司出售用户的个人敏感信息,尤其是能够定位到个人的数据,如身份证、手机号、个人位置信息等,均不合法。而“公共Wi-Fi是最常见的一种手段”。
法律法规的制定总是滞后于产业发展。在缺乏法规约束的互联网世界,流动的数据就好比俯首可拾的金钱,企业往往需要对自身有更高的道德自律,来承担一部分原本应由政府来承担的职责。
“但很多时候,你并不清楚具体的线在哪。”前述数据监管分析专家说道。
监管盲区如何突破
在很长的一段时间内,共享Wi-Fi领域正规军与山寨军团共舞。
“人们有时候一边用我们,一边骂我们。”另一家共享Wi-Fi创业公司创始人对《财经》记者说,“平台和用户之间的相互信任,法律法规的清晰化起决定性作用。”
对于那些已经手握高流量,且有长期发展规划的平台而言,这恐怕是当下最现实的需求。
目前中国的法律政策大多笼统,并没有明文规定哪些信息属于不能被获取的隐私信息。Wi-Fi万能钥匙的App内提供的隐私政策提到,该应用会收集用户的三大类信息——设备信息、日志信息、位置信息,其中设备信息包括具有唯一标识性的IMEI码、MAC地址、设备型号、设备操作系统、设备位置等;日志信息包括IP地址、安装或使用移动应用的信息以及访问服务的日期、时间、时长等。
他们获取的用户信息,几乎所有的主流App都会获取。但这些信息的不同力度和层面的组合,带来的价值确实令人遐想。
多位共享Wi-Fi和数据交易行业人士对《财经》记者表示,Wi-Fi万能钥匙的商业模式中也存在灰色地带,目前也没有明确的监管方式和政策。而上述Wi-Fi万能钥匙负责人对此的回应是:“我们体量这么大,如果有问题,还能活到今天吗?”
监管“黑Wi-Fi”的思路,与打击数据黑产大致类似。不过,当下的监管难题在于执行。
共享Wi-Fi热点分散,数千家山寨、钓鱼Wi-Fi也像蚂蚁一样缩在隐秘的缝隙里。一家一家地调查、打击需要投入大量的人力物力。
深圳市的一位负责互联网安全事件的网络警察告诉《财经》记者,对于一些非法钓鱼App,警方也只能通过用户的报案来查找线索,而很多情况下,用户自己都不清楚个人信息是如何被泄露的。
在立法监管层面,走在最前面的是欧盟。欧盟一贯以强硬的法律手段保护个人数据,1970年欧盟出台了全世界第一部数据保护法案,随后的几十年间又不断出台相关法案。包括谷歌在内的不少科技公司,都曾在欧盟吃过天价罚单。
5月25日,欧盟即将施行新的隐私保护条款法规,规定科技公司必须提供一种个人用户能够下载、修改、删除所有储存在服务器上个人数据的方法。
美国对于企业的监管更多地来自企业自身。美国自1995年开始实行行业自律,由公司或者行业内部制定行业的行为规章与指引,为行业的隐私保护提供示范。同行业自律性规范包括企业自身制定隐私权政策、中立组织的“认证制度”。
行业自律尽管缺乏强制力与执行力、自律范围也具有一定局限性,但一定程度上既可以防止完全市场自由调控造成经济的无序发展,又能防止法律滞后制约网络行业快速发展的风险。
不过,严厉法规是欧盟在互联网产业无法匹敌中美两国的原因之一。多位接受《财经》记者采访的中国行业人士认为,严厉的法规是一把双刃剑,在有效遏制不法行为的同时,也会影响新兴行业的快速发展。
一位研究国际数据监管政策的分析人士认为,现阶段的中国更多是向欧盟模式发展。
自2017年6月出台严厉的《网络安全法》后,2018年5月1日,中国国家标准化管理委员会发布的《信息安全技术个人信息安全规范》也将正式实施,要求个人信息控制者处理个人信息时的目的、方式、范围以及相关规则,均要经过个人信息主体的授权同意。
腾讯研究院资深专家王融在此前接受《财经》记者采访时认为,中国的互联网公司通常是一边创新、一边挑战法律的边线,就算相关立法陆续出台,但监管和执法仍然艰难。她认为,立法者与监管部门应该更多地考虑到科技行业发展的特殊性,在一定范围内鼓励而非阻碍新技术与新模式的发展。