“精准营销”触碰隐私：强推霸屏广告，1元可得用户微信

　　当手机莫名其妙遇到广告弹窗，或者连接到了一个毫无用处的“WiFi”时，你可能走进了“WiFi探针”设备的覆盖范围里。

 

　　“前些日子，我在逛商场时，手机莫名其妙连接上了一个类似于推广的WiFi，无论怎么都去不掉。”10月21日，在天津工作的徐小姐对记者表示。

 

　　新京报记者近日调查发现，一种以WiFi探针为主要技术手段的广告营销设备悄然兴起，该类设备通过获取用户手机Mac地址收集用户信息。有些设备可以强制用户手机弹窗，并冒充已连接WiFi在微信置顶界面投放无法消除的“狗皮膏药式”广告。微信方面对此表示，目前已监控到此类恶意欺骗行为，并对监控到的情况进行技术应对。

 

　　此外，一些生产WiFi探针设备的公司通过与电信运营商合作，获取了用户手机Mac地址与手机号的关系，使得广告主可以通过打电话、发短信以及弹窗广告的方式进行营销；另一些公司则接入了百度、腾讯等公司的大数据库，为广告主提供用户画像，甚至直接提供用户的微信。

 

　　那么，这一“精准营销”手段是否合规，它距离骚扰有多远呢？

 

　　“此前工信部等十三部门一起打击骚扰电话。此类电话未经用户许可，可确定为骚扰电话。”电信专家付亮告诉新京报记者。

 

　　“WiFi设备获取用户Mac地址，以及互联网公司通过用户画像进行精准营销均是很正常的技术，但是如果把用户画像对应的手机号码也对应出来，对应的用户就‘透明’了，在公共市场上很容易出问题。”10月19日，网络安全专家张百川对记者表示。

 

　　广告伪装成“微信置顶WiFi”，想去去不掉

 

　　用着微信突然弹出一个置顶WiFi，还消除不了。记者调查发现，一个名为“WiFi探针”的技术，以及其衍生出的WiFi广告设备浮出水面。黑产利用设备获取用户手机Mac地址及已连接WiFi名，发送强制弹窗。

 

　　“在家用着自己的WiFi，微信界面顶部却突然出现了一个‘已连接某某WiFi’的选项，然而它并没有WiFi功能。之后我无论如何操作，例如把自家WiFi和微信重启，微信顶部的WiFi连接标志还是跟狗皮膏药一样无法消除。”有网友在百度贴吧上吐槽。

 

　　上述案例在去年年底零星出现，今年已经逐渐增多。据新京报记者调查，此项功能往往与广告营销有关。

 

　　“我可以对手机进行强制弹窗，并在微信上留下4小时无法消除的WiFi连接标志，如果点击就可以跳转到你设置好的广告。”10月16日，一位从事“WiFi广告大数据精准营销”的人士向记者表示。

 

　　该人士称，这类广告从微信客户端“根本无法消除”，会一直保留4个小时，“只要给我用户的手机Mac地址，以及已连接的WiFi名称，就能实现。”

 

　　10月16日，记者将上述两项数据告知该人士后，不出一分钟，记者的手机微信客户端就显示连接到了一个名为“招生助手”的WiFi，此后无论记者如何操作，该标识都无法关闭，且一旦点击就会跳出广告。该人士表示，如果购买他们的设备，可以自动搜索到进入设备范围的手机数据，设备就可以自动向进入范围的手机发送上述弹窗了。

 

　　新京报记者调查发现，在“强制弹窗”的背后，一个名为“WiFi探针”的技术，以及其所衍生出的WiFi广告设备浮出水面：该设备外形类似平时的路由器，可以获取到附近用户的手机Mac地址以及已连接WiFi名。

 

　　根据CNNIC（中国互联网信息中心）年度报告显示，网民通过WiFi触网比例高达91.8%，其中公共场所WiFi上网比例近半（42.4%）。WiFi已成为网民在固定场所下介入互联网的首选方式。WiFi的入口地位已基本确定。在这一背景下，WiFi探针技术也应运而生。

 

　　“手机Mac地址可以理解为手机的‘身份证’，每台设备的Mac地址都是独一无二的。”10月17日，从事网络安全方面工作的李淳（化名）称，“这类WiFi探针技术的原理其实并不复杂，因为探测无线设备的Mac地址是目前互联网路由器均备的基本功能，WiFi探针可以通过民用WiFi的WLAN信号段获取设备的Mac地址，且用户可以通过关闭移动设备的无线路由功能来主动屏蔽对Mac地址的获取能力。所以个人认为获取Mac地址本身并不违规。”

 

　　不过，在获取这两项数据后，广告设备销售方却可以通过技术手段向用户的手机做出发送强制弹窗广告，以及设置无法消除的置顶WiFi。

 

　　“获取地址是一回事，但强推广告就是另一回事了，这肯定涉嫌骚扰了。”李淳称。“一般很多弹窗都是用他们自己的DNS，按说不允许，但技术上确实是可以做到的。”10月19日，网络安全专家张百川表示。

 

　　10月17日，微信方面对此表示，微信连WiFi是微信推出的功能，方便用户快速连接商户WiFi热点的功能。而“WiFi探针”类的黑产是利用了技术手段，对手机连接WiFi的时间点、Mac地址等进行监控，并利用这些公开的信息恶意欺骗微信后台，使得后台误认为用户已连接上WiFi。

 

　　微信方面称，目前已监控到此类恶意欺骗行为，并对监控到的情况进行技术应对。用户如发现此类恶意行为，欢迎向微信反馈投诉。

 

　　网上卖“WiFi广告强推”设备，几百到数千元

 

　　网购平台上能搜到不少出售“WiFi广告强推”相关设备，售价从数百元到数千元不等。买家将其放置在人流密集地，便可采集用户信息。这些设备可具备从“霸屏广告”、“强制弹窗”到“电销触达”等不同功能。

 

　　事实上，目前以WiFi探针技术为基准衍生出的广告营销已经形成了一条产业链。

 

　　10月16日，新京报记者以“WiFi广告强推”、“WiFi吸粉”等关键词在网购平台上搜索发现，销售类似设备的商家为数不少，一套设备的价格依据辐射范围、功能、开发公司不同，从几百到数千元不等。

 

　　记者随机选择了一家店铺进行咨询，店主表示，“最便宜的设备辐射范围200米，卖488元，最贵的设备辐射范围可以达到2公里，2350元。”对于具体如何应用，该店主介绍称其有客户是小额贷款公司的老板。“他每天派出一名员工携带我们的设备到写字楼转一圈，采集到写字楼里员工和老板的手机信息。此后只要是上班时间，就通过后台向写字楼所有人手机里弹出广告，业务人数大大增加。”

 

　　综合不少网店的产品介绍可以发现，由于此类设备大小与普通的WiFi路由器相仿，买家可以将其放置在某一人流密集的地方，或者车载、背包该设备，以采集更多的用户信息。

 

　　记者在一名买家的朋友圈中看到，一台WiFi探针设备被放置在了某小区的空调散热器后面。“这个设备打开后，500米至2公里附近的安卓手机，只要连接着任意一个WiFi，就会接收到预先设置好的广告内容。”店主称。

 

　　9月1日，新京报记者曾以买家身份联系到一名“WiFi广告魔盒”销售人员，其介绍称，“WiFi广告魔盒”的特色是“WiFi霸屏”与“强弹广告”。在上述销售人士发给记者的测试视频中，四台不同型号的手机，不论是锁屏还是正在看视频，进入该设备的覆盖范围后，都强制连接上了WiFi，并弹出了响声巨大的广告。该“广告魔盒”的销售人员称，其也是利用上面的WiFi探针技术实现的强推广告。

 

　　据“WiFi广告魔盒”销售人员介绍，购买该产品的买家通常会针对性地把设备放置到针对性的场景下。“你搞汽车，就把我们的设备放到4S店附近采集用户数据，你搞教育，就去学校采集，你搞房地产，就去售楼中心采集，抢占同行的客源。”

 

　　记者发现，WiFi探针设备其实已经历了数次“换代升级”，除了简单的收集数据外，其功能也从“霸屏广告”、“强制弹窗”到“电销触达”甚至“分析用户画像”一步步丰富了起来。

 

　　例如，在业务介绍中，“WiFi广告魔盒”可以扫描到进入范围内用户的电话号码。记者在WiFi广告魔盒后台界面看到，进入设备范围的数据中包含了做了脱敏处理的电话号码。该号码虽然对广告主不可见，但却可以拨打以及发送短信。

 

　　而另一款相似的“WiFi广告机”则可以分析出进入设备范围的用户画像，其精确度可以到达用户的年龄、性别、收入、学历等。

 

　　据了解，拨打电话和获取用户画像并非WiFi探针技术的原生功能，而是需要与电信运营商和大数据提供商“谈合作”才能拥有。

 

　　“技术上，如果只知道用户手机的Mac地址，是无法知道用户手机号码或用户画像的。但如果做WiFi探针的公司与拥有Mac手机号码对应关系的电信运营商有合作，或者接入了拥有用户画像数据公司的数据库，就另当别论了，这在技术上是可以实现的。”张百川告诉新京报记者。

 

　　在张百川看来，获得用户号码以及用户画像是“营销层面”的事情，“只要电信运营商，以及大数据拥有方乐意与WiFi探针设备销售公司合作，是完全可以达成上述功能的。”

 

　　从弹窗到骚扰电话，短信0.06元/条，外呼0.21元/分钟

 

　　根据设备提供商介绍，目前多款WiFi探针设备具备拨打电话功能。有专家称，只有与电信运营商合作，这一功能才能达成。这些设备的潜在客户是各类电销公司，造成的是拨打骚扰电话的实际效果。

 

　　目前，已有多款WiFi探针设备上线了拨打电话功能。

 

　　如一款名为“智子盒子”的产品在其介绍中称，其技术原理是利用WiFi探针技术获取设备Mac地址后，根据Mac地址映射设备号或电话号码，最后根据映射的设备号进行广告投放，或者利用手机号码进行短信和电话营销。

 

　　至于如何根据Mac地址映射设备号或电话号码，有专家称，只有与电信运营商合作，这一功能才能达成。新京报记者在“智子盒子”的开发方智子科技官方网站发现，早在2014年，智子科技就与中国电信达成了战略合作协议，并“为中国电信提供一系列DSP广告技术支持，共同为中国电信庞大数量级的品牌企业客户提供流量渠道。”

 

　　目前，不少WiFi探针设备供应商主推拨打电话和发送短信的功能，潜在客户则是各类电销公司。

 

　　如“WiFi广告魔盒”销售人士直言，“传统的电话营销效率太低，比如房产行业打电话差不多500元话费才能成交一个客户，如果采用精准营销设备，100元就能成交。”他说，“现在都在做这个，昨天有个招生的客户，打了200个电话就成了3单，一单3万，传统电销是做不到2%的转化率的。”

 

　　记者在该设备的后台看到，可以设置其采集信息的范围，如1到100米。其采集到的用户数据可以显示手机号码的前3位和后4位，后面可以选择直接从设备后台给用户拨打电话、发短信。无论是拨打电话还是发送短信都需要费用。短信单价为0.06元/条，外呼价格是0.21元/分钟。

 

　　新京报记者发现，为了规避法律风险，上述设备销售公司均不直接提供用户的电话号码。在智子盒子的产品介绍中，其表示电话触达是“通过正规的运营商大数据服务接口实现的”，且“所有收集的手机号均是匿名的，不存在任何个人信息。只能通过运营商直接提供的营销通道触达到客户”。即虽然该设备不提供用户手机号码，但可以从设备后台选择直接拨号。拨打电话的方式是先有一个电话打给设备使用者，然后再转到用户的手机上，用户接到的电话会显示为一个虚拟号码。

 

　　即便如此，上述设备依然可以造成拨打骚扰电话的实际效果。9月初，新京报记者曾以电销公司身份接触了一家WiFi探针销售公司，对于拨打电话的方式，该员工称，由于“买卖手机号是违法的”，只能从平台内部向外拨打电话，但如果嫌这样一个一个拨打太麻烦，可以“提供接口的调用，也是通过平台拨打，但可以使用你们电销公司自己的拨号系统，你们自己可以选择将自己的号码设为主叫号码还是被叫号码。”

 

　　一些公司甚至推出了“AI电销”服务，如声牙科技在其“声牙盒子”的宣传资料中称，“AI电销机器人的拨号频率可以达到每天800-1000通，是人工拨打频率的4-5倍。”

 

　　打骚扰电话，间接识别用户真实身份，涉嫌违法？

 

　　用WiFi探针技术推“强制弹窗”、拨打电销电话，算不算违规？有电信专家表示，此类电话未经用户许可，可确定为骚扰电话。法律专家表示，这种未经用户同意收集用户信息的行为，违反法律规定。拨打电话是一种营销行为，涉嫌侵犯用户的生活安宁权。

 

　　那么，这算不算违规呢？有从事安全行业的专家对记者表示，手机Mac地址不属于用户隐私范畴，从产品介绍来看，这些设备的销售方没有获得用户隐私信息，并不违法，但此类设备也需要监管，“应该有专业的管理部门来防范它做非法的事情，如果通过WiFi收集用户信息就属于违法行为。”

 

　　对于拨打电销电话这一行为，在电信专家付亮看来，虽然他们强调是通过“正规的运营商通道”，但通道合规，不意味着内容合规。“此前工信部等十三部门一起打击骚扰电话。此类电话肯定未经用户许可，可确定为骚扰电话。如果三大电信运营商参与其中，运营商也违法。”

 

　　除了拨打电话外，目前已有不少WiFi探针设备销售商上线了用户画像服务。

 

　　“此前，WiFi探针技术的应用场景主要有VIP到店提醒、人流监控、区域热点图、智慧交通乃至考勤等。”李淳表示，“而一旦将Mac地址与用户画像匹配起来，就可以达到分析店铺客源的效果。”

 

　　9月初，新京报记者曾拿到某一WiFi探针设备的后台使用权限，在操作中，记者发现只要从后台设置好具体时间，就可以观察到进入设备范围的人群画像构成，画像内容包括用户的年龄段、学历、收入、运营商、最喜欢登录哪个APP等。这意味着，当用户走进该设备的数据采集范围，用户是什么样的人，兴趣爱好如何早就被记录下来了。

 

　　这些数据来自于拥有用户大数据的公司。如声牙科技在其产品介绍中称“声牙科技的数据库主要来源于声牙科技对接的各大ADX（如百度BES、腾讯广点通、阿里TANX等）以及八大主流媒体资源（优酷、爱奇艺、今日头条、腾讯新闻、腾讯视频、墨迹天气、天天快报、陌陌），ADX和主流媒体会分发广告请求数据到声牙平台，里面会携带用户的设备号信息、用户标签信息、APP信息、地理位置信息。这些是原始数据。关于加工后的画像标签主要以百度为主。”

 

　　有大数据相关行业人士称，“只要获得大数据公司提供用户画像的接口，就可以在技术上达成上述效果，但前提是得谈好合作。”

 

　　记者在一份声牙盒子的“画像匹配结果”中发现，其用户画像维度精确到了27项，例如“性别女，25-34岁，本科，旅游达人，无未成年子女，收入3-5k，无车，企业白领，IT业人员，已婚无房，手机档次低档等”。

 

　　“绘制用户画像是许多APP的‘隐含功能’。”李淳表示，“例如不管百度、腾讯还是阿里，它们的APP中都有相关的隐私协议，可以合法地读取用户各个维度的数据，从而绘制用户画像，以分析客源构成，为广告营销作参考，这些数据可以与第三方共享，但都是脱敏的，且有保护数据安全的义务。”如百度APP隐私协议中就有“我们可能会将您的匿名化的用户画像与广告服务商/广告主共享，以帮助其在不识别您个人的前提下提升广告有效触达率”的表述。

 

　　“事实上，通过多重的数据比对，是可以确定一个人的具体信息的。”李淳表示。“所以问题在于，当这类精准营销设备提供商在与大数据公司合作，获得脱敏用户画像的同时，若同时获得了拨打用户电话、发送短信的权限，就会提高用户信息泄露的风险。”

 

　　此前，记者询问声牙盒子销售人士是否有用户更精确的信息时，其表示“只要加一块钱，就可以给你用户的微信号码。比如你去给该意向客户打电话，如果客户有意思，你可以在后台给这名客户备注上，之后你把备注信息发给我，加一块钱，我就可以给你用户的微信号，你可以加他微信完成后续的营销。”

 

　　对于如何获得用户的微信号，声牙科技合伙人表示是“从数据库筛选的”。

 

　　对此，宁夏诚托律师事务所梁正大律师认为，这类设备是否涉嫌违法，要分情况来看，如果是正常收集没有用于其他目的不能算违法，收集方有保密和不得泄露的义务，不得泄露或出卖该信息给他人。如果设备采集到信息后，非法利用就违反相关法律。

 

　　“用户的设备号本身并不能识别用户的身份，可一旦和手机号结合，就能识别出用户的真实身份，属于个人信息范围，未经用户同意收集用户的个人信息，违反网络安全法等法律的基本规定。此外，即便商家在收集用户信息时，用户同意了，但收集之后它再通过与移动运营商的合作获知用户手机号码进行拨打，是一种营销行为，也是一种未得到用户同意的行为，涉嫌侵犯用户的生活安宁权。”10月22日，北京志霖律师事务所副主任赵占领对新京报记者表示。