用户名
密码
(30天内有效)
注册
注册
首页 > 案例资料 >

【科普】“探针”搜集数据,它获取你的MAC地址违法吗?

我要收藏
2021-03-17

目  录

一、两家法院,认定截然相反

二、MAC地址什么

三、探针获取MAC地址的技术原理

四、MAC地址是不是个人信息

1.“个人信息”越来越复杂:《个人信息保护法(草案)》与《民法典》的不同定义

2.行业部门对MAC地址的态度

3.执法部门对MAC地址的态度

4.司法部门对MAC地址的态度

五、规制收集MAC地址的另外路径


同样的“WiFi探针”设备,不同的司法认定。


日前,天津市第一中级人民法院宣判了一起买卖非法获取个人信息的电子产品的案件,在该案中,天津一中院认为,手机MAC地址属于个人信息,并判决对生产商、经销商买卖非法收集公民个人信息的电子产品所取得的财产予以收缴。


与本案不同的是,在2019年的一起案件中,杭州杭州经济技术开发区人民法院认为原告没有证明获取MAC地址的违法性。


“探针”收集Mac地址是否侵害个人信息?不同法院,对此作出了截然不同的判决。(内容见今天二条)


1 两家法院,认定截然相反

1.天津一中院


据媒体报道,天津一中院在案件中审理中,对名为“探针盒子”的电子产品的使用功能进行了充分调查,确认产品具有未经同意收集不特定人手机MAC地址的功能,且该功能是产品的主要卖点。法院认为,虽然手机MAC地址本身不能识别用户的身份,但与其他信息相结合,可以获取该手机用户的电话号码,因此,手机MAC地址属于法律规定的与其他信息结合识别自然人个人身份的信息。根据网络安全法规定,收集自然人的个人信息应该经自然人本人同意,而涉案产品的主要功能是不经用户同意即收集其个人信息,属于非法获取公民个人信息的工具,因此应认定涉案产品为违法产品。


2.杭州经济技术开发区法院


2019年,在贾凯与商优(杭州)信息技术有限公司合同纠纷一案中【(2019)浙0191民初189号】,杭州经济技术开发区法院指出,名为“商优盒子”的产品具备的智能选址、行业分析、客流统计等功能,其功能主要通过“商优盒子”获取Mac地址实现,原告未提供有效证据证明其违法性,本院确认该部分功能不违反法律规定。



两个“盒子”本质上是一个“盒子”

天津案件中的设备叫“探针盒子”,杭州案件中的设备叫“商优盒子”。


“探针盒子”在2019年“315”晚会上“一举成名”。中央电视台涉案产品获取手机用户信息的情况进行了报道:涉案产品不仅可以收集用户手机号码,甚至可以对用户进行精准画像。当用户手机无线局域网处于打开状态时,涉案产品能迅速识别出用户手机的MAC地址,经系统后台大数据匹配,就可以转换出用户的手机号码,继而拨打骚扰电话等。


这也是天津案件的来由。媒体曝光后,成都某实业公司以产品违法已停止销售为由,起诉要求天津某科技公司回购未售出的276套产品、退还保证金并承担利息损失。


“商优盒子”则是杭州商优公司推出的广告服务基础产品。商优公司在答辩中介绍,“商优盒子”通过收集移动设备Mac地址获取半径100米范围内客户的信息(时间、性别、年龄、兴趣、购买记录等),自主生成用户画像,用户可登陆“商优盒子”软件,查看盒子获取的客户Mac值,分析客户特征,通过电脑端进行线上本地化广告投放,也可将Mac值与客户手机号码进行匹配,生成虚拟号码,通过运营商用发送短信或拨打电话的方式把广告投放给需要的消费者。


“探针盒子”、“商优盒子”,说白了都是为广告投放服务的产品,其技术原理、商业模式相同,实际上是一种“盒子”。


2 MAC地址什么

以上两种“盒子”,可以统称为“WiFi探针”。它的功能是可以获取上网设备的MAC地址。


“MAC地址”英文为Media Access Control Address,和上网设备有关,是网络设备制造商生产时写在硬件内部的编码。长度为48位,6个字节(byte),通常表示为12个16进制数,每2个16进制数之间用冒号隔开。


大家都听说过IP地址(Internet Protocol Address),是指互联网协议地址。IP地址是一种网络拓扑地址,是根据协议分配的。


MAC地址与IP地址的一个不同,在于它属于第二层(网络链路层),处于计算机网络的底层,所以也称为物理地址,是网络设备(网卡)的唯一的标识符,它由IEEE(电气与电子工程师协会)分配给不同设备生产商的代码。


MAC地址的作用是使局域网中的机器能互相连接,建立通信,侦测传输错误。要向局域网中的其他机器发送信息,就需要借助MAC地址,来指定发送信息的目的地。(Jaye’s Blog:《网络协议:OSI模型第二层数据链路层》)


关于IP地址与MAC地址通信,我用快递物流来类比一下(因为对技术不熟悉,不知道理解是否正确,还望方家指教),北京海淀黄庄A小区的人给大兴黄村B小区的朋友邮寄包裹,快递人员在将包裹送到大兴黄村B小区之前,先要把包裹送到大兴黄村区域收货中心。这个区域中心的地址,相当于IP地址,B小区的地址则相当于MAC地址。从IP地址到MAC地址,数据包(快递包裹)通过ARP(address resolution protocol:地址解析协议)映射完成。


3 “WiFi探针”获取MAC地址的技术原理

前面提到的两个“盒子”,都是“WiFi探针”。


“WiFi探针”是一个AP(ACCESS POINT),即无线接入点,本质上是一种无线路由器。AP是有线网与无线网沟通的桥梁。无线路由器是AP、路由功能、集线器的集合体。


只要开启了WiFI的智能终端设备进入AP路由器信号覆盖的区域,终端设备就会被探测出来。“WiFi探针”就是通过基于各种无线数据帧来抓获手机等WIFI客户端的MAC 地址信息。


通俗地说,“每个AP每隔一定时间(几十毫秒到几秒不等)向周围的sta和AP广播beacon帧,就是告诉周围的sta和其他的AP:我是xxxx(bssid),快来连我!我是xxxx(bssid),快来连我!每个sta(可以理解为手机、笔记本)除了默默监听周边AP发送的beacon帧以外,还会偷偷发送probe帧:我是xxxx(mac地址),我能连你吗?我是xxxx(mac地址)我能连你吗?”(老王SEO:《WiFi探针技术》,https://zhuanlan.zhihu.com/p/98103330)


关于“WiFi探针”技术工作流程,还是摘引前文的表述。WiFi探针作为一个AP,定时向四周广播发送Beacon帧(信标帧),通知附近的WiFi设备“我是一个AP”。WiFi设备、手机、平板电脑等也不停发送probe帧(探测请求帧),去寻找附近可用的AP。在probe帧中包含了设备的mac地址,当AP接收到probe帧之后就获取了这个设备的MAC地址。


“WiFi探针”能采集到的数据包括四种:(1)设备MAC地址;(2)WiFi信号强度;(3)WiFi信号频道;(4)信号帧类型。


  4 MAC地址是不是“个人信息”

1.“个人信息”越来越复杂:《个人信息保护法(草案)》与《民法典》的不同定义


《个人信息保护法(草案)》(2020)第四条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”


该定义与欧盟《通用数据保护条例》中“个人数据”的定义类似:


‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;


《民法典》第一千零三十四条:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”


在《个人信息保护法(草案)》与《民法典》中,对“个人信息”的表述不同。《个人信息保护法(草案)》中的定义里提出了“已识别或者可识别的”这样的定语。


该表述容易造成误读,我认为,它的断句应该是:

“个人信息是以电子或者其他方式记录的——

与已识别或者可识别的自然人有关的——(此行可先忽略不看)

各种信息。”


也就是说,“已识别或者可识别”强调的是通过“信息”可识别到特定人,并非强调特定人的“已识别或可识别”。即,一切“可识别”到特定人的信息,都是个人信息。反之,“不可识别”到特定人的信息,不是个人信息。所以,《草案》中特别注明了“不包括匿名化处理后的信息”作为提示。


以往司法实践里,对个人信息的认定,一直采取“单独识别”和“结合识别”标准,那么,《草案》中认定方式,是否还包括了“结合识别”要求?现在很不好判断,还需要进一步分析。


如果在此再引入《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017)第一条中的定义(“刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”),就会发现,关于个人信息的认定变得更加复杂了。


在《“两高”解释》的定义中,个人信息除了有识别性信息,还有反映性信息。根据该解释,个人信息包括两类:一是“可识别或结合识别”的身份信息,一是反映特定自然人活动情况的信息。


由上可见,何为“个人信息”,其实不只是四个字而已,讨论起来很复杂。这里列入常规的认识,供判断。


一般认为,个人信息包括姓名、出生日期、身份证件信息(身份证、护照等)、个人生物识别信息、通信通讯联系方式、住址、账户信息、财产状况、位置信息等。其中,个人信息里最重要的还有个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的信息,主要包括:身份证件信息(身份证、护照等)、个人生物识别信息、银行账号、征信信息、财产信息、交易信息、位置信息、健康生理信息等。


这个的表述,也是行业内较为认可的概念。


2.行业部门对MAC地址的态度


法律上的表述太复杂。MAC地址究竟是不是个人信息?下面从行业部门、执法部门、司法部门的态度三个方面梳理一下。


互联网行业内对MAC地址是不是“个人信息”的态度,可以从其隐私政策中可以看出来。总体上看,收集MAC地址信息为行业所认可。我梳理了京东APP、百度地图APP、抖音APP、飞书APP、微信APP、携程APP、饿了么APP、招商银行APP、北京农商银行APP等几家公司的隐私政策条款。在此列举数例。


京东APP:

本隐私政策中涉及的个人信息包括:基本信息(包括个人姓名、生日、性别、住址、个人电话号码、电子邮箱);个人身份信息(包括身份证、军官证、护照、驾驶证等);个人生物识别信息(包括声纹、面部识别特征等);网络身份标识信息(包括个人信息主体账号、IP地址、个人数字证书等);个人财产信息(包括交易和消费记录、余额、京豆、优惠券、京东E卡、游戏类兑换码等虚拟财产信息);通讯录;个人上网记录(包括网页浏览记录、软件使用记录、点击记录);个人常用设备信息(包括硬件型号、设备MAC地址操作系统类型、软件列表唯一设备识别码(如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等在内的描述个人常用设备基本情况的信息));个人位置信息(包括行程信息、精准定位信息、住宿信息、经纬度等)。


百度地图APP:

设备信息。为了保证地图基础功能服务的正常运行,向您提供问题诊断等服务并进行数据统计,我们会收集您的硬件型号、操作系统版本、设备配置、唯一设备标识符、网络设备硬件地址MAC、广告标识符IDFA信息、设备连接信息以及设备状态信息、网络身份标识信息。当您授予设备权限时,我们会收集国际移动设备身份码IMEI。


携程APP:

交易安全保障及金融风险控制所必需收集的信息


为更准确地识别预防攻击和保护您的账户安全(包括形成风控标签/画像/模型、判断是否属于IP/设备黑名单、是否是真实设备/模拟器、是否安装风险软件/App等),我们将在您使用产品的过程中,自动收集设备信息或软件信息,例如您的IP地址和移动设备所用的型号/版本/存储空间和设备识别码(如IDFA/IMEI/IMSI/OAID/Android ID/OPENUDID/GUID/序列号)、SIM卡信息、设备应用安装/卸载列表、进程信息、设备MAC地址、网络类型/网络状态、设备连接的无线网络信息(如SSID/BSSID/状态/列表/MAC)、传感器信息、MEID(仅针对CDMA制式的手机)、以及通过网页浏览器、移动设备用于接入我们服务的配置信息。我们将通过访问权限最小化、访问日志记录、与订单信息分开存储与授权等安全措施来保护这些设备和软件信息。


北京农商银行APP:

当您使用手机银行服务时,为了维护服务的正常运行,优化我行的服务体验及保障您的账号,我行会收集以下基础信息,包括您的设备厂商、设备型号、操作系统、唯一设备标识符、手机银行软件版本号、登录IP地址、MAC地址(物理地址)、接入网络的方式、类型和状态、操作日志,这些信息是为您提供服务必须收集的基础信息,以保障您正常使用我行的服务。


3.执法部门对MAC地址的态度


在执法部门眼中,收集MAC地址已经成为企业合规的敏感点。


对APP的监管部门主要有四个:国信办、工信部、市场监管总局、公安部。四个部门职能各有侧重,但又有交叉,目前其主导地位的是工信部、国信办,但市场监管总局、公安部在执法力度上也非常突出。


2020年1月8日,工信部通报第二批存在问题且未完成整改的15款APP,咖啡品牌“luckin coffee(瑞幸咖啡)”APP因“私自收集MAC地址”被点名。瑞幸咖啡在回应中表示,APP除了需要客户提供手机号码,还需要客户提供手机的设备MAC地址作为双重验证。因公司技术部在流程设计时工作失误,在获取该信息时未先要求客户授权。


事实上,工信部在推进APP侵害用户权益专项整治行动中,几乎每次通报的违规APP名单里都存在APP未经用户同意私自收集设备MAC地址信息的情形。


工信部对APP非法收集用户个人信息的依据主要是《移动智能终端应用软件预置和分发管理暂行规定》。根据该规定,企业应保障用户知情权,未经同意不得收集个人信息,并明确告知收集使用用户个人信息的目的、方式。


该规定明确,“提供移动智能终端预置软件的生产企业和互联网信息服务提供者应自觉维护行业公平竞争,依法维护用户的知情权和选择权,不得实施破坏市场竞争秩序、侵犯用户合法权益的行为”,“生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能、违法发送商业性电子信息;未经明示且经用户同意,不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为”,“生产企业和互联网信息服务提供者均应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息,包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等,明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等”。


四部门的执法依据主要还有《App违法违规收集使用个人信息行为认定方法》《信息安全技术 个人信息安全规范》《APP收集使用个人信息最小必要评估规范》,另外,《消费者权益保护法》《网络安全法》也是重要执法依据。


4.司法部门对获取MAC地址的态度


尽管开篇提到了两个不同判断的案例,但司法部门整体上趋于对于“探针”设备持否定态度。


在上诉人青岛讯飞优数信息技术有限公司、张文静因与被上诉人青岛德斯普信息技术有限公司凭样品买卖合同纠纷一案【(2019)鲁02民终11454号】,青岛市中级人民法院指出:


对于双方买卖的招财喵产品,尽管涉案合同未记载其性能,但被上诉人提交的微信聊天记录显示,上诉人向被上诉人发送了该产品(其)具有“200米锁定精准客户,踏入200米直径即可导出联系方式、兴趣爱好、性别年龄、经常使用APP等详细数据,避免您过度的人力成本,无效的电话营销,过度的三方网站投入”等宣传资料。2019年中央电视台3.15晚会报道,璧合科技股份有限公司“招财喵”探针盒子不仅可以收集用户信息,甚至可以对用户精准画像。二者相互印证,表明上诉人所出售招财喵产品,在其卖点和功能上涉及侵犯个人隐私,损害社会公共利益,应属无效合同。


司法部门对收集MAC地址是否为收集个人信息的认识不一,很大程度上跟司法人员对“WiFi探针”设备性能和技术原理认识有差异。青岛、天津法院认为,“WiFi探针”不止收集MAC地址,还认为同时也收集用户的其他个人新信息。


而根据公司自辩,他们否认“WiFi探针”收集其他个人信息。比如,2019年3月18日,璧合科技股份有限公司发布公告,称,(1)“招财喵”收集的信息为用户的MAC地址,不存在收集年龄、性别、婚姻状况、教育程度、收入、使用的APP等数据;(2)“招财喵”匹配的信息主要来自店铺管理者自行上传的会员数据或经营数据,且未提供过拨打电话的功能,不存在违反《网络安全法》所规定的情形。


“WiFi探针”确实可以用于用户画像,帮助做商业推广、广告投放。但它是否还收集其他个人信息,这一点应该是未来在司法实践中值得诉讼参与方继续探讨的。


收集MAC地址是否侵害个人信息,我认为,相比之下,杭州法院的立场更为谨慎,对报道中所述的技术特点和产品功能没有直接评价,选择了忽略,有意避开了根据新闻报道来作是非判断。杭州法院没有对该行为定性,但引用了《广告法》第四十三条(常说的“垃圾广告”条款,任何单位或者个人未经当事人同意或者请求,不得向其住宅、交通工具等发送广告,也不得以电子信息方式向其发送广告。以电子信息方式发送广告的,应当明示发送者的真实身份和联系方式,并向接收者提供拒绝继续接收的方式),对“商优盒子”获取的Mac地址行为进行了评价。法院认为,收集Mac地址与客户手机号匹配后向目标客户发送广告短信,或者拨打广告电话,该功能违反了《中华人民共和国广告法》的强制性规定,原告依法不得取得相应的代理权。


鉴于篇幅,关于“WiFi探针”更深的技术原理、“WiFi探针”与大数据条件下的精准营销服务、“WiFi探针”与用户画像合规、个性化展示和程序化广告等方面的问题,都来不及深入探讨,希望将来有机会再来完成。


5 规制收集MAC地址的另外路径

前面说过,在司法判断的趋势上,倾向于将其作为个人信息对待。但杭州法院的判决,仍是留下了一点口子。杭州法院也为采取其他方式规制收集MAC地址问题提供了可能。


比如,可以从收集MAC地址的目的去解决法律问题。选择途径可以依据《消费者权益保护法》,对经营者行为进行规制;依据《广告法》对广告主、广告经营者、广告发布者的行为进行规制;依据《民法典》中的隐私权,对个人信息之外的隐私予以民法上的保护。


前两个方式都是依据商业逻辑而行,更具有普遍性。如果经营者违规收集、使用个人信息,擅自发送商业性信息、拨打推销电话,消费者或用户可以根据消费者权益保护法、广告法等规定维护自己的权益。


作者简介


刘洋,中国政法大学法律硕士,北京大学传播学(新媒体专业)硕士。中关村网络安全与信息产业联盟互联网法治专委会副主委。合著《网络法案》(法律出版社),著有《读不孤》(人民日报出版社),《生命玉树——全国公安特警驰援玉树抗震救灾纪实》(公安局治安管理局内部印刷)。曾任人民公安报编辑、副主任,人民公安报驻湖南记者站副站长(兼),曾借调在公安部直属机关党委工作。专注于传媒法、网络法、网络安全与刑事法律实务。



本文仅代表作者目前所持的理论观点,不代表作者供职机构或其他相关机构的意见。本文仅为交流之用,所有内容不构成对任何个案的意见、建议或观点。作者和发布平台明示不对任何根据本文任何内容的作为或不作为所导致的后果承担责任。


本站声明

本文仅代表作者观点,不代表城市数据派立场;
本文系作者授权城市数据派发表,未经许可,不得转载;
本网站上的所有内容均为虚拟服务,一经购买成功概不退款,请您理解。

点赞0
没有更多评论……