“隐秘的角落？”——Wi-Fi探针使用的数据合规

华诚律师事务所  吴月琴  何鑫

Wi-Fi探针目前在客流统计、考勤、精准营销、公共安全、VIP贵宾提醒等均有运用，主打“无感”特质，在客户无感知场景下，快速、精准识别顾客设备地址，再结合大数据匹配到设备对应的个人用户，即可向该用户手机发送短信、拨打营销电话、投放弹窗广告。3.15曝光后，Wi-Fi探针一夜之间似乎成为“隐秘角落”窥探个人信息的“非法”工具。本文围绕Wi-Fi探针收集数据、应用场景具体分析，以期厘清合规风险，给出合规建议。

一、通过使用Wi-Fi探针可以获取的信息

1．设备MAC地址

收集顾客设备MAC地址，是Wi-Fi探针最直接的功能。当用户携带开启了Wi-Fi开关的设备进入Wi-Fi探针的可探测范围内，Wi-Fi探针即会收集设备的MAC地址。

2．位置及轨迹信息

WIFI探针记录了设备MAC地址，实际也就可获知该用户在该时间所处的大致地理位置。理论上，如果一定区域内设置多个Wi-Fi探针，根据各个Wi-Fi探针收集设备MAC地址时获取的RSSI信号值，即可推算出用户的精确位置以及在一定时间范围内的行踪轨迹。

3．获取设备用户其他信息

当获取了用户的设备MAC地址后，通过与数据库匹配，收集者可以匹配设备用户的其他信息（如姓名、职业、联系方式、APP使用状况等）。收集者所能关联到的用户个人信息范围，则取决于数据库的规模以及自身的实际需求。

根据《GB/T 35273—2020 信息安全技术 个人信息安全规范》（以下简称“《个人信息安全规范》”），个人信息的判断核心是识别与关联。识别是指由信息本身的特殊性识别出特定自然人，即“从信息到个人”；关联是指已知特定自然人在其活动中产生的信息，即“从个人到信息”。[①]此外，根据《个人信息安全规范》附录，设备MAC地址及位置信息被明确列举为个人信息，因此上述信息应认为属于个人信息。

二、Wi-Fi探针的实际运用场景

Wi-Fi探针的实际运用场景主要为数据分析、广告定向推送以及短信电话营销场景。

1．数据分析

向商家提供数据分析是Wi-Fi探针提供商的基本服务。在该场景下，商家可以通过后台查看各类数据分析，包括客流数据分析、停留数据分析、顾客基础画像等内容，并可以对数据分析进行导出。

在该场景下，由于商家仅能查看并导出数据分析，而数据分析本身并不能识别或关联到特定主体，因此数据分析并不属于个人信息范畴。但需要注意的是，数据报告的形成过程基于对收集的设备MAC地址以及经过匹配获得的其他个人信息的分析、汇聚及融合，并最终形成顾客的间接画像，这是典型的个人信息处理行为。

2．广告定向推送

商家将获得的进店顾客间接画像进一步用于定向推送场景。商家根据已经为顾客预先标记的行为偏好、购买需求、消费能力等标签，可以实现分人群、分时段、分类别通过APP等渠道向顾客定向投放广告，从而达到精准引流、降低定向成本并增加交易量的营销目的。

在该场景下，用户间接画像的形成是个人信息处理行为，而通过用户间接画像向顾客进行个性化展示，又涉及对个人信息的使用，这些应满足《网络安全法》、《个人信息安全规范》等法律法规及国家标准所提出的合规要求。

3．短信电话营销

在该场景下，Wi-Fi探针提供商通过将获取的用户设备MAC地址与合作电信运营商匹配，可获取顾客手机号，进而为商家提供向设备发送营销短信或拨打营销电话服务。该业务场景一方面涉及对个人信息的使用，另一方面，从电信运营商处获得顾客手机号，又涉及间接收集顾客个人信息的情形，均需满足相应的合规要求。

三、Wi-Fi探针使用的合规分析及建议

1．商业主体的数据主体身份定性

Wi-Fi探针的使用一般涉及三方主体，即Wi-Fi探针提供商、商家以及顾客个人。开展数据合规工作的首要工作是明确谁是个人信息控制者，对此，需要结合具体商业模式判断。

目前，商业模式主要包括三种：模式（1）商家购买Wi-Fi探针提供商的数据分析、精确营销等服务，Wi-Fi探针的设备所有权归提供商所有；（2）商家购买Wi-Fi探针提供商的设备，并向提供商购买数据分析、精确营销等增值服务；（3）商家购买Wi-Fi探针设备，Wi-Fi探针提供商为商家提供系统接口或平台以管理或导出收集的设备MAC地址等数据，商家自行进行数据分析等。

无论哪种商业模式，商家实际上可以决定收集个人信息处理的目的与方式，我们认为，应当被认为属于个人信息控制者。不同商业模式的区别在于，在前两种模式中， 探针提供商实际上接受商家委托，对收集的个人信息进行了处理行为，此时探针提供商是委托处理行为的受委托方，而在第三种模式中，由于探针提供商仅向商家提供系统而并未对个人信息进行处理，处理行为由商家实施，此时则不存在个人信息的委托处理情况。此外，如果探针提供商实际取得了对个人信息的控制权（如出于其他目的对收集的个人信息进行处理、使用的），也应被认定为属于个人信息控制者。

2．设备MAC地址收集的授权风险

部分Wi-Fi探针提供商认为，Wi-Fi探针并没有主动收集设备MAC地址，而是被动地接受设备发出的probe帧，因此并不是个人信息收集行为。而《个人信息安全规范》明确，判断是否存在收集行为，其本质为是否取得对个人信息的控制权，至于是否主动收集或是通过交互式手段被动收集，并不影响对收集行为的认定。[②]因此，Wi-Fi探针提供商的这一判断虽然从技术角度上是成立的，但从数据合规层面考量是不正确的。

在上述基础上，我们需进一步明确该环节的合规难点。一般而言，Wi-Fi探针在收集顾客设备MAC地址过程中缺乏同顾客必要的交互环境，这使得如何履行“告知+同意”规则成为潜在合规难点。我们认为，商家可以在店铺门口（即在Wi-Fi探针的作用范围外）以醒目方式向客户告知其在使用Wi-Fi探针收集顾客设备MAC地址、收集的用途等内容，并提示用户进入店铺内即“视为”同意向商家提供设备MAC地址。如不希望被收集，可以提前关闭设备Wi-Fi开关。对于可能属于个人敏感信息的顾客位置及行踪轨迹， 还应取得个人的明示同意。

3．数据匹配中的个人信息共享风险

利用Wi-Fi探针开展数据分析等活动，需要将获取的设备MAC地址同数据库进行匹配，从而获取顾客的其他个人信息。若商家使用自有数据库进行匹配，则仅涉及个人信息的分析、汇聚及融合，在获得顾客授权同意的前提下，合规风险是可控的。若商家或Wi-Fi探针提供商同第三方开展合作，使用第三方数据库进行匹配，则会产生个人信息共享的问题。

实务中，部分Wi-Fi探针提供商或第三方认为，其用于匹配的个人信息已经加密处理，不存在合规风险。然而在Wi-Fi探针的应用场景下，数据必须具有可识别或可关联性才可用于进行数据匹配，这则要求采取的加密措施仅能达到去标识化程度，此时用于匹配的数据仍属于个人信息。而根据《个人信息安全规范》，在个人信息共享过程中，数据库提供方作为个人信息提供方，需获取个人信息主体的授权同意并加强第三方管理。而对于商家而言，作为个人信息控制者以及个人信息共享过程中的接收者，会涉及到间接收集顾客个人信息的情况。此时，商家除需要关注自身是否满足个人信息收集及处理等过程中，获得顾客授权同意（如间接收集）等合规要求外，还需要关注数据库提供方在收集及共享顾客个人信息过程中的合法性与合规性，从而确保在共享过程中的个人信息的合规性。

4．定向推送的风险

商家通过获取的用户画像进行定向推送，根据群体画像通过APP向特定顾客投放广告的行为属于《个人信息安全规范》中所提及的个性化展示，需要满足相应的合规要求，如采取适当的方式显著区分个性化展示内容与非个性化展示内容以及为个人信息主体提供不针对其个人特征的选项等。

5．短信电话营销的风险

在该场景下，如前所述，涉及对顾客手机号码的使用，在手机号码未经加密处理的情况下具有极大的侵入性。虽然Wi-Fi探针提供商表示获取的手机号码并不直接提供给商家，而是仅提供给商家拨号平台或接口使用，但根据工信部近日发布的《通信短信息和语音呼叫服务管理规定（征求意见稿）》，商家在未事先征得顾客同意的情况下向顾客发送营销短信或拨打营销电话存在较大的合规风险。[③]

近年来，工信部已就骚扰电话问题多次约谈电信运营商，今年7月22日再次因网络诈骗和骚扰电话问题约谈三大运营商。[④]可见，短信电话营销场景无论对商家还是电信运营商，均有着较大的合规风险。

6．Wi-Fi探针的刑事风险

《刑法》第二百五十三条规定了侵犯公民个人信息罪，且最高院最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对侵犯公民个人信息罪的标准等进行了明确。在Wi-Fi探针使用过程中，若商家未经顾客授权或明知/应知第三方个人信息来源不合法但仍同其进行匹配的，则可能属于“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息”，因而有面临刑事风险的可能。因此商家及Wi-Fi探针提供商应加强顾客个人信息收集及处理等环节的合规把控，并严格审查第三方个人信息来源的合法性，从而避免面临刑事风险的可能。

[①] 《GB/T 35273—2020 信息安全技术 个人信息安全规范》附录A。

[②] 《GB/T 35273—2020 信息安全技术 个人信息安全规范》3.5注1：（收集）包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集行为，以及通过共享、转让、搜集公开信息等间接获取个人信息等行为。

[③] 《通信短信息和语音呼叫服务管理规定（征求意见稿）》第十六条 任何组织或个人未经用户同意或者请求，或者用户明确表示拒绝的，不得向其发送商业性短信息或拨打商业性电话。用户未明确同意的，视为拒绝。用户同意后又明确表示拒绝接收的，应当停止。

[④] 中新经纬，“工信部约谈三家电信运营商！坚决打击码号违规使用”，http://www.jwview.com/jingwei/html/07-23/335460.shtml。