WIFI探針盒子“精準行銷”觸碰隱私：強推霸屏廣告

當手機莫名其妙遇到廣告彈窗，或者連接到了一個毫無用處的“WiFi”時，你可能走進了“WiFi探針”設備的覆蓋範圍裡。

“前些日子，我在逛商場時，手機莫名其妙連接上了一個類似於推廣的WiFi，無論怎麽都去不掉。”10月21日，在天津工作的徐小姐對記者表示。

新京報記者近日調查發現，一種以WiFi探針為主要技術手段的廣告行銷設備悄然興起，該類設備通過獲取用戶手機Mac地址收集用戶信息。有些設備可以強製用戶手機彈窗，並冒充已連接WiFi在微信置頂界面投放無法消除的“狗皮膏藥式”廣告。微信方面對此表示，目前已監控到此類惡意欺騙行為，並對監控到的情況進行技術應對。

此外，一些生產WiFi探針設備的公司通過與電信運營商合作，獲取了用戶手機Mac地址與手機號的關係，使得廣告主可以通過打電話、發短信以及彈窗廣告的方式進行行銷；另一些公司則接入了百度、騰訊等公司的大數據庫，為廣告主提供用戶畫像，甚至直接提供用戶的微信。

那麽，這一“精準行銷”手段是否合規，它距離騷擾有多遠呢？

“此前工信部等十三部門一起打擊騷擾電話。此類電話未經用戶許可，可確定為騷擾電話。”電信專家付亮告訴新京報記者。

“WiFi設備獲取用戶Mac地址，以及互聯網公司通過用戶畫像進行精準行銷均是很正常的技術，但是如果把用戶畫像對應的手機號碼也對應出來，對應的用戶就‘透明’了，在公共市場上很容易出問題。”10月19日，網絡安全專家張百川對記者表示。

廣告偽裝成“微信置頂WiFi”，想去去不掉

用著微信突然彈出一個置頂WiFi，還消除不了。記者調查發現，一個名為“WiFi探針”的技術，以及其衍生出的WiFi廣告設備浮出水面。黑產利用設備獲取用戶手機Mac地址及已連接WiFi名，發送強製彈窗。

“在家用著自己的WiFi，微信界面頂部卻突然出現了一個‘已連接某某WiFi’的選項，然而它並沒有WiFi功能。之後我無論如何操作，例如把自家WiFi和微信重啟，微信頂部的WiFi連接標誌還是跟狗皮膏藥一樣無法消除。”有網友在百度貼吧上吐槽。

上述案例在去年年底零星出現，今年已經逐漸增多。據新京報記者調查，此項功能往往與廣告行銷有關。

“我可以對手機進行強製彈窗，並在微信上留下4小時無法消除的WiFi連接標誌，如果點擊就可以跳轉到你設置好的廣告。”10月16日，一位從事“WiFi廣告大數據精準行銷”的人士向記者表示。

該人士稱，這類廣告從微信客戶端“根本無法消除”，會一直保留4個小時，“只要給我用戶的手機Mac地址，以及已連接的WiFi名稱，就能實現。”

10月16日，記者將上述兩項數據告知該人士後，不出一分鐘，記者的手機微信客戶端就顯示連接到了一個名為“招生助手”的WiFi，此後無論記者如何操作，該標識都無法關閉，且一旦點擊就會跳出廣告。該人士表示，如果購買他們的設備，可以自動搜索到進入設備範圍的手機數據，設備就可以自動向進入範圍的手機發送上述彈窗了。

新京報記者調查發現，在“強製彈窗”的背後，一個名為“WiFi探針”的技術，以及其所衍生出的WiFi廣告設備浮出水面：該設備外形類似平時的路由器，可以獲取到附近用戶的手機Mac地址以及已連接WiFi名。

根據CNNIC（中國互聯網信息中心）年度報告顯示，網民通過WiFi觸網比例高達91.8%，其中公共場所WiFi上網比例近半（42.4%）。WiFi已成為網民在固定場所下介入互聯網的首選方式。WiFi的入口地位已基本確定。在這一背景下，WiFi探針技術也應運而生。

“手機Mac地址可以理解為手機的‘身份證’，每台設備的Mac地址都是獨一無二的。”10月17日，從事網絡安全方面工作的李淳（化名）稱，“這類WiFi探針技術的原理其實並不複雜，因為探測無線設備的Mac地址是目前互聯網路由器均備的基本功能，WiFi探針可以通過民用WiFi的WLAN信號段獲取設備的Mac地址，且用戶可以通過關閉移動設備的無線路由功能來主動屏蔽對Mac地址的獲取能力。所以個人認為獲取Mac地址本身並不違規。”

不過，在獲取這兩項數據後，廣告設備銷售方卻可以通過技術手段向用戶的手機做出發送強製彈窗廣告，以及設置無法消除的置頂WiFi。

“獲取地址是一回事，但強推廣告就是另一回事了，這肯定涉嫌騷擾了。”李淳稱。“一般很多彈窗都是用他們自己的DNS，按說不允許，但技術上確實是可以做到的。”10月19日，網絡安全專家張百川表示。

10月17日，微信方面對此表示，微信連WiFi是微信推出的功能，方便用戶快速連接商戶WiFi熱點的功能。而“WiFi探針”類的黑產是利用了技術手段，對手機連接WiFi的時間點、Mac地址等進行監控，並利用這些公開的信息惡意欺騙微信後台，使得後台誤認為用戶已連接上WiFi。

微信方面稱，目前已監控到此類惡意欺騙行為，並對監控到的情況進行技術應對。用戶如發現此類惡意行為，歡迎向微信反饋投訴。

網上賣“WiFi廣告強推”設備，幾百到數千元

網購平台上能搜到不少出售“WiFi廣告強推”相關設備，售價從數百元到數千元不等。買家將其放置在人流密集地，便可采集用戶信息。這些設備可具備從“霸屏廣告”、“強製彈窗”到“電銷觸達”等不同功能。

事實上，目前以WiFi探針技術為基準衍生出的廣告行銷已經形成了一條產業鏈。

10月16日，新京報記者以“WiFi廣告強推”、“WiFi吸粉”等關鍵詞在網購平台上搜索發現，銷售類似設備的商家為數不少，一套設備的價格依據異塵餘生範圍、功能、開發公司不同，從幾百到數千元不等。

記者隨機選擇了一家店鋪進行谘詢，店主表示，“最便宜的設備異塵餘生範圍200米，賣488元，最貴的設備異塵餘生範圍可以達到2公里，2350元。”對於具體如何應用，該店主介紹稱其有客戶是小額貸款公司的老闆。“他每天派出一名員工攜帶我們的設備到辦公大樓轉一圈，采集到辦公大樓裡員工和老闆的手機信息。此後只要是上班時間，就通過後台向辦公大樓所有人手機裡彈出廣告，業務人數大大增加。”

綜合不少網店的產品介紹可以發現，由於此類設備大小與普通的WiFi路由器相仿，買家可以將其放置在某一人流密集的地方，或者車載、背包該設備，以采集更多的用戶信息。

記者在一名買家的朋友圈中看到，一台WiFi探針設備被放置在了某小區的空調散熱器後面。“這個設備打開後，500米至2公里附近的安卓手機，只要連接著任意一個WiFi，就會接收到預先設置好的廣告內容。”店主稱。

9月1日，新京報記者曾以買家身份聯繫到一名“WiFi廣告魔盒”銷售人員，其介紹稱，“WiFi廣告魔盒”的特色是“WiFi霸屏”與“強彈廣告”。在上述銷售人士發給記者的測試視頻中，四台不同型號的手機，不論是鎖屏還是正在看視頻，進入該設備的覆蓋範圍後，都強製連接上了WiFi，並彈出了響聲巨大的廣告。該“廣告魔盒”的銷售人員稱，其也是利用上面的WiFi探針技術實現的強推廣告。

據“WiFi廣告魔盒”銷售人員介紹，購買該產品的買家通常會針對性地把設備放置到針對性的場景下。“你搞汽車，就把我們的設備放到4S店附近采集用戶數據，你搞教育，就去學校采集，你搞房地產，就去售樓中心采集，搶佔同行的客源。”

記者發現，WiFi探針設備其實已經歷了數次“換代升級”，除了簡單的收集數據外，其功能也從“霸屏廣告”、“強製彈窗”到“電銷觸達”甚至“分析用戶畫像”一步步豐富了起來。

例如，在業務介紹中，“WiFi廣告魔盒”可以掃描到進入範圍內用戶的電話號碼。記者在WiFi廣告魔盒後台界面看到，進入設備範圍的數據中包含了做了脫敏處理的電話號碼。該號碼雖然對廣告主不可見，但卻可以撥打以及發送短信。

而另一款相似的“WiFi廣告機”則可以分析出進入設備範圍的用戶畫像，其精確度可以到達用戶的年齡、性別、收入、學歷等。

據了解，撥打電話和獲取用戶畫像並非WiFi探針技術的原生功能，而是需要與電信運營商和大數據提供商“談合作”才能擁有。

“技術上，如果只知道用戶手機的Mac地址，是無法知道用戶手機號碼或用戶畫像的。但如果做WiFi探針的公司與擁有Mac手機號碼對應關係的電信運營商有合作，或者接入了擁有用戶畫像數據公司的數據庫，就另當別論了，這在技術上是可以實現的。”張百川告訴新京報記者。

在張百川看來，獲得用戶號碼以及用戶畫像是“行銷層面”的事情，“只要電信運營商，以及大數據擁有方樂意與WiFi探針設備銷售公司合作，是完全可以達成上述功能的。”

從彈窗到騷擾電話，短信0.06元/條，外呼0.21元/分鐘

根據設備提供商介紹，目前多款WiFi探針設備具備撥打電話功能。有專家稱，只有與電信運營商合作，這一功能才能達成。這些設備的潛在客戶是各類電銷公司，造成的是撥打騷擾電話的實際效果。

目前，已有多款WiFi探針設備上線了撥打電話功能。

如一款名為“智子盒子”的產品在其介紹中稱，其技術原理是利用WiFi探針技術獲取設備Mac地址後，根據Mac地址映射設備號或電話號碼，最後根據映射的設備號進行廣告投放，或者利用手機號碼進行短信和電話行銷。

至於如何根據Mac地址映射設備號或電話號碼，有專家稱，只有與電信運營商合作，這一功能才能達成。新京報記者在“智子盒子”的開發方智子科技官方網站發現，早在2014年，智子科技就與中國電信達成了戰略合作協議，並“為中國電信提供一系列DSP廣告技術支持，共同為中國電信龐大數量級的品牌企業客戶提供流量渠道。”

目前，不少WiFi探針設備供應商主推撥打電話和發送短信的功能，潛在客戶則是各類電銷公司。

如“WiFi廣告魔盒”銷售人士直言，“傳統的電話行銷效率太低，比如房產行業打電話差不多500元話費才能成交一個客戶，如果採用精準行銷設備，100元就能成交。”他說，“現在都在做這個，昨天有個招生的客戶，打了200個電話就成了3單，一單3萬，傳統電銷是做不到2%的轉化率的。”

記者在該設備的後台看到，可以設置其采集信息的範圍，如1到100米。其采集到的用戶數據可以顯示手機號碼的前3位和後4位，後面可以選擇直接從設備後台給用戶撥打電話、發短信。無論是撥打電話還是發送短信都需要費用。短信單價為0.06元/條，外呼價格是0.21元/分鐘。

新京報記者發現，為了規避法律風險，上述設備銷售公司均不直接提供用戶的電話號碼。在智子盒子的產品介紹中，其表示電話觸達是“通過正規的運營商大數據服務接口實現的”，且“所有收集的手機號均是匿名的，不存在任何個人信息。只能通過運營商直接提供的行銷通道觸達到客戶”。即雖然該設備不提供用戶手機號碼，但可以從設備後台選擇直接撥號。撥打電話的方式是先有一個電話打給設備使用者，然後再轉到用戶的手機上，用戶接到的電話會顯示為一個虛擬號碼。

即便如此，上述設備依然可以造成撥打騷擾電話的實際效果。9月初，新京報記者曾以電銷公司身份接觸了一家WiFi探針銷售公司，對於撥打電話的方式，該員工稱，由於“買賣手機號是違法的”，只能從平台內部向外撥打電話，但如果嫌這樣一個一個撥打太麻煩，可以“提供接口的調用，也是通過平台撥打，但可以使用你們電銷公司自己的撥號系統，你們自己可以選擇將自己的號碼設為主叫號碼還是被叫號碼。”

一些公司甚至推出了“AI電銷”服務，如聲牙科技在其“聲牙盒子”的宣傳資料中稱，“AI電銷機器人的撥號頻率可以達到每天800-1000通，是人工撥打頻率的4-5倍。”

打騷擾電話，間接識別用戶真實身份，涉嫌違法？

用WiFi探針技術推“強製彈窗”、撥打電銷電話，算不算違規？有電信專家表示，此類電話未經用戶許可，可確定為騷擾電話。法律專家表示，這種未經用戶同意收集用戶信息的行為，違反法律規定。撥打電話是一種行銷行為，涉嫌侵犯用戶的生活安寧權。

那麽，這算不算違規呢？有從事安全行業的專家對記者表示，手機Mac地址不屬於用戶隱私範疇，從產品介紹來看，這些設備的銷售方沒有獲得用戶隱私信息，並不違法，但此類設備也需要監管，“應該有專業的管理部門來防範它做非法的事情，如果通過WiFi收集用戶信息就屬於違法行為。”

對於撥打電銷電話這一行為，在電信專家付亮看來，雖然他們強調是通過“正規的運營商通道”，但通道合規，不意味著內容合規。“此前工信部等十三部門一起打擊騷擾電話。此類電話肯定未經用戶許可，可確定為騷擾電話。如果三大電信運營商參與其中，運營商也違法。”

除了撥打電話外，目前已有不少WiFi探針設備銷售商上線了用戶畫像服務。

“此前，WiFi探針技術的應用場景主要有VIP到店提醒、人流監控、區域熱點圖、智慧交通乃至考勤等。”李淳表示，“而一旦將Mac地址與用戶畫像匹配起來，就可以達到分析店鋪客源的效果。”

9月初，新京報記者曾拿到某一WiFi探針設備的後台使用權限，在操作中，記者發現只要從後台設置好具體時間，就可以觀察到進入設備範圍的人群畫像構成，畫像內容包括用戶的年齡段、學歷、收入、運營商、最喜歡登錄哪個APP等。這意味著，當用戶走進該設備的數據采集範圍，用戶是什麽樣的人，興趣愛好如何早就被記錄下來了。

這些數據來自於擁有用戶大數據的公司。如聲牙科技在其產品介紹中稱“聲牙科技的數據庫主要來源於聲牙科技對接的各大ADX（如百度BES、騰訊廣點通、阿里TANX等）以及八大主流媒體資源（優酷、愛奇藝、今日頭條、騰訊新聞、騰訊視頻、墨跡氣象、天天快報、陌陌），ADX和主流媒體會分發廣告請求數據到聲牙平台，裡面會攜帶用戶的設備號信息、用戶標簽信息、APP信息、地理位置信息。這些是原始數據。關於加工後的畫像標簽主要以百度為主。”

有大數據相關行業人士稱，“只要獲得大數據公司提供用戶畫像的接口，就可以在技術上達成上述效果，但前提是得談好合作。”

記者在一份聲牙盒子的“畫像匹配結果”中發現，其用戶畫像維度精確到了27項，例如“性別女，25-34歲，本科，旅遊達人，無未成年子女，收入3-5k，無車，企業白領，IT業人員，已婚無房，手機檔次低檔等”。

“繪製用戶畫像是許多APP的‘隱含功能’。”李淳表示，“例如不管百度、騰訊還是阿里，它們的APP中都有相關的隱私協議，可以合法地讀取用戶各個維度的數據，從而繪製用戶畫像，以分析客源構成，為廣告行銷作參考，這些數據可以與第三方共享，但都是脫敏的，且有保護數據安全的義務。”如百度APP隱私協議中就有“我們可能會將您的匿名化的用戶畫像與廣告服務商/廣告主共享，以幫助其在不識別您個人的前提下提升廣告有效觸達率”的表述。

“事實上，通過多重的數據比對，是可以確定一個人的具體信息的。”李淳表示。“所以問題在於，當這類精準行銷設備提供商在與大數據公司合作，獲得脫敏用戶畫像的同時，若同時獲得了撥打用戶電話、發送短信的權限，就會提高用戶信息洩露的風險。”

此前，記者詢問聲牙盒子銷售人士是否有用戶更精確的信息時，其表示“只要加一塊錢，就可以給你用戶的微信號碼。比如你去給該意向客戶打電話，如果客戶有意思，你可以在後台給這名客戶備注上，之後你把備注信息發給我，加一塊錢，我就可以給你用戶的微信號，你可以加他微信完成後續的行銷。”

對於如何獲得用戶的微信號，聲牙科技合夥人表示是“從數據庫篩選的”。

對此，寧夏誠托律師事務所梁正大律師認為，這類設備是否涉嫌違法，要分情況來看，如果是正常收集沒有用於其他目的不能算違法，收集方有保密和不得洩露的義務，不得洩露或出賣該信息給他人。如果設備采集到信息後，非法利用就違反相關法律。

“用戶的設備號本身並不能識別用戶的身份，可一旦和手機號結合，就能識別出用戶的真實身份，屬於個人信息範圍，未經用戶同意收集用戶的個人信息，違反網絡安全法等法律的基本規定。此外，即便商家在收集用戶信息時，用戶同意了，但收集之後它再通過與移動運營商的合作獲知用戶手機號碼進行撥打，是一種行銷行為，也是一種未得到用戶同意的行為，涉嫌侵犯用戶的生活安寧權。”10月22日，北京志霖律師事務所副主任趙佔領對新京報記者表示。