《中国经济周刊》记者 银昕 | 北京报道
责编:周琦
(本文刊发于《中国经济周刊》2018年第15期)
自2014年始,各手机应用商店上线了一系列有WiFi免费分享和辅助连接功能的软件,可帮助用户在不知晓网络密码的情况下连接并使用一部分已被分享出来的网络;此外,一些网页浏览器本身也搭载了WiFi辅助连接功能,记者尝试用某款浏览器登录一个陌生网络,几秒钟后便连接成功。
随着人们越来越注重个人信息保护,“蹭网”软件引发了越来越多网民的担忧。
日前,工信部宣布将对“WiFi万能钥匙”“WiFi钥匙”等具有免费向用户提供他人WiFi网络功能、涉嫌入侵他人WiFi网络和窃取用户个人信息的移动应用程序进行调查。
“工信部在这个时间点对这些已存在多年的‘蹭网’软件进行调查,背后的原因在于有关部门希望行业的发展更加规范。此外,由于《网络安全法》的诞生,相关部门也有法可依了。”网络服务商迈外迪CEO张程对《中国经济周刊》记者分析说。
告知不充分,网络“被自愿”分享
工信部发布公告后不久,被点名的“WiFi万能钥匙”回应称,公司“一贯尊重并保护用户的隐私,获取的用户信息均在国家法律允许的范围之内,须经过用户同意”。“WiFi万能钥匙”表示,公司一直强调由WiFi热点主人分享热点,并加大查处非热点主人分享的力度,也将进一步优化取消热点分享的流程。“产品只提供‘分享’功能,而非‘破解’,只有以热点形式被分享出来的网络才能被用户使用,我们对密码采取128位非对称加密,从不明文显示密码。”
对于破解和分享两种技术的区别,张程则明确告诉《中国经济周刊》记者,“破译”技术不外乎强大的计算程序使其采用穷举法的方式试错,一位数一位数地排列组合,最终获得正确答案。
通信行业观察家项立刚介绍,相比于分享,破解的难度更大,是在完全不知道密码的情况下穷举试错,有一定的技术门槛。不过他强调,不能确定所有服务商都从未采取过破译的尝试,“服务商只需要‘破译’出一部分城市中的网络即可,其他的可以用热点的方式进行分享。”
中国WiFi产业联盟秘书长雄歌对《中国经济周刊》记者说,从实际情况看,很多WiFi密码都是相同的(比如8个8或12345678),甚至很多WiFi不设密码。“当然不排除一些服务商会使用破解技术,但目前主流的做法是通过用户分享。”雄歌说,“在细节上有的公司做得比较理性,有的公司做得比较‘野蛮’。”
雄歌所说的理性和“野蛮”,区别在于WiFi的建立者和拥有者是否是在被充分告知的前提下,拥有充分知情权地主动将自家网络分享出去,还是在提示和告知极不充分的前提下“被自愿”地分享了自家网络。
以“360免费WiFi”软件为例,用户在知晓密码的情况下用密码登录的方式登录某网络时,左下角会默认勾选为“我愿意分享该网络”,由于该提示位置并不明显,用户稍不留意便会“被自愿”地分享自家网络,此后任何使用同款应用的其他人均可通过该应用“蹭”上此网络。
此外,一款名为“腾讯Wifi管家”的软件推出的“离线WiFi包”也引起了市场的关注。腾讯方面称,该服务是将城市里的部分公共WiFi打包成离线包,帮助用户在没有网络或者网络比较差的场景下连接上安全的公共WiFi,此功能基于“一个网络对应一个密码”的原则,而非“野蛮撞库”。“在用户尝试连接WiFi之前,我们已经对这部分公共WiFi的安全性做了排查鉴定,这些离线包内的公共WiFi都是同意对外分享的公共WiFi。”腾讯公司一位负责人对《中国经济周刊》记者说。
如何判定网络主人是谁?
按照常理,有资格分享WiFi密码的人应为网络的创建者和拥有者,但在目前的手机应用中,均无对网络所有者进行识别和排查的功能。项立刚告诉《中国经济周刊》记者,一些私人网络之所以会被上述软件“分享”出去,原因在于有访客从所有者处得知密码后,使用此类软件登录,并在告知不充分的情况下“被自愿”地分享了所有者网络。
张程介绍,判定一个登录者是否是该网络的创建者和所有者,背后涉及的一系列技术十分复杂,也要投入很高的成本,“要通过大数据分析判断他是否经常登录此网络,还是只是偶尔登录,还要知道他是否同时出现在这台路由器的后台并实际控制着这个网络。”这些正是目前“蹭网”软件行业绝大多数服务商尚未解决的问题。“这种认定技术很有难度,到底达到什么条件才认定登录人是‘拥有者’,而不是访客,是个挑战。”张程说。
业内人士介绍,“微信连WiFi”是一种对双方知情权保护比较到位的方式,通过关注微信公众号等机制,网络主人和登录用户都十分清晰地知晓正在分享或者正在被分享网络的整个过程。
也有业内人士建议,应从WiFi技术底层做出改变,从根本上摒弃密码登录的方式。“从技术上看,最好的方式是从设备厂商开始,不再使用密码的认证模式。”雄歌认为,与“蹭网”相比,非密码登录模式相对安全,比较适合公共场景,但如果用于家庭私人网络,为了防“蹭网”只能通过验证码登录,体验感会差很多。
在上述软件尚未完成自纠自查,工信部也尚未完成对该类软件的调查之前,私人网络如何避免被“蹭”?雄歌告诉《中国经济周刊》记者,目前在WiFi连接领域的服务商和产品很多,在不断竞争和洗牌的过程中,服务商都在避免被打上“蹭网”的标签,增加了保护网络安全的功能。“这个行业从过去的1000多家到只剩下两三家主流公司,产品功能也从单纯的‘蹭网’变成了网络安全管理。”
例如,“腾讯WiFi管家”就有家庭网络防“蹭”保护设置,一旦用户通过真实密码登录将其设定为家庭网络,陌生人就不能通过“智能连接”功能对家庭网络解锁。
除了依靠网络安全管理,关闭私人网络的对外广播是否可以防“蹭网”?项立刚告诉《中国经济周刊》记者,广播关闭后陌生人的手机确实搜索不到该网络信号,只能手动输入网络名称和密码才能进入,原则上可以保证安全。然而,若有访客在主人关闭网络对外广播前便已经登录过该网络,其设备内依旧会存有网络名称和密码,还是可以登录网络。
网络密码能否被认作个人信息?
在我国现行法律法规中,对个人信息安全保护的主要依据是2017年6月生效的《网络安全法》,法律界呼吁尽快出台的《个人信息保护法》目前尚在草案阶段。2018年5月1日即将生效的《个人信息安全规范》虽被很多业内人士重视,但其本身只是行业内的国家级推荐性标准,没有法律效力。也就是说,在法理上对“蹭网”软件的执法依据只有《网络安全法》。
中国政法大学李俊慧教授告诉《中国经济周刊》记者,《网络安全法》没有专门的章节对WiFi密码的保护问题进行规定,但是作为一种网络服务,类似“WiFi万能钥匙”等WiFi热点连接服务,也需要遵守《网络安全法》有关个人信息保护和网络安全等方面的规定。“如果密码分享不是自主自愿的行为,涉嫌侵犯分享者的知情权和WiFi热点设置者对其资产的管理和控制权。”
李俊慧介绍,对个人信息的保护,《网络安全法》有明确阐述:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。“问题的关键在于,网络密码在我国的司法实践中是否会被认作个人信息。一旦‘蹭网’被认定为系侵犯个人信息的行为,有关单位就应承担民事侵权责任,甚至行政责任、刑事责任。”
业内人士认为,“蹭网”软件的生存空间在于很多人对“蹭网”本身有需求,软件越是操作不规范,特别是在分享前对被分享者的知情权保护不到位,并且不给网络主人停止或拒绝分享的权限,就可连接到更多的陌生网络,也就更能吸引想“蹭网”的用户。
李俊慧接受《中国经济周刊》记者采访时说,“劣币驱逐良币”发生的原因在于监管机制在很长一段时间内的失灵,“这就需要监管部门的监管手段或方式与时俱进,从事前、事中和事后等环节建立起有效的监管体系。类似‘WiFi万能钥匙’等产品和服务已经在市面存在多年,监管部门为何迟迟没有动作,才是问题的关键所在。”
从2017年6月1日《网络安全法》正式实施,到2018年元旦后的“支付宝年度账单”事件,再到包括蚂蚁金服、百度和今日头条在内的企业接连因个人信息保护问题被有关部门约谈,曾经宣扬“开放”“共享”等理念的互联网行业,近期有向“安全”“隐私”等方面转向的趋势。“早期互联网喜欢强调开放性,但目前的移动互联网业内很多人已经不再提‘开放’了。”项立刚告诉《中国经济周刊》记者,移动互联网行业发展越接近成熟期,就越强调对安全和隐私的偏重,而不是一味开放。
个人信息保护相关法律:
《民法总则》第一百一十一条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
《中国经济周刊》2018年第15期封面