近年来,随着中国经济的高速增长及移动端的兴起,各种宣称拥有 Wi-Fi 探针结合数据挖掘技术的公司也如雨后春笋般兴起,这类公司往往在宣传里带上新零售、AI、大数据等一大堆时髦的新名词,俨然成为高新技术公司的代表。此类应用无一例外都是利用所谓的 Wi-Fi 探针技术来实现精准营销、客流分析及人群画像,据说可以提高零售的效率,吸引消费者到线下门店,让消费者获得更好的消费体验等,然而事实真的如此吗?
近年来,随着中国经济的高速增长及移动端的兴起,各种宣称拥有 Wi-Fi 探针结合数据挖掘技术的公司也如雨后春笋般兴起,这类公司往往在宣传里带上新零售、AI、大数据等一大堆时髦的新名词,俨然成为高新技术公司的代表。此类应用无一例外都是利用所谓的 Wi-Fi 探针技术来实现精准营销、客流分析及人群画像,据说可以提高零售的效率,吸引消费者到线下门店,让消费者获得更好的消费体验等,然而事实真的如此吗?
Wi-Fi 探针的技术原理
事实上 Wi-Fi 探针不是什么高深的黑科技,也不是近几年才冒出来的新技术,其实伴随着 Wi-Fi 的诞生伊始,这种技术就开始存在。现如今这类公司宣传的专用 Wi-F 探针基本都是基于一些廉价的 Openwrt 公版家用路由器实现的,所以说实际上要实现 Wi-Fi 探针的功能不需要高端设备,普通的无线路由器只要修改相应驱动就能实现此功能。
我们知道,Wi-Fi 是基于 IEEE802.11 协议,在此协议中中,定义了 AP(无线接入点)和 STA(站点、比如我们的手机)的两种工作模式,规定了 Beacon、Ack、Data、Probe 等多种无线数据帧类型。AP 在工作时会周期性地向周围发送 Beacon。在我们的手机(既站点)没有连接到无线接入点上时,也会发送 Probe 帧进行探测询问哪个 AP 是可以接入的,由于无线信号是公开透明的,所以说白了,Wi-Fi 探针就是基于 AP 抓取各种无线数据帧来抓获手机等 Wi-Fi 客户端的信息。
Wi-Fi 探针能抓取到的数据有设备 MAC 地址、Wi-Fi 信号强度、Wi-Fi 信号频道、信号帧类型等。这里需要指出的是,并不是移动端必须要连接上 Wi-Fi,探针才能采集到上述信息。实际上只要移动端开启了网卡,就有可能在各种区域被 Wi-Fi 探针采集到信息、轨迹等,因为对于一些老设备来说,在未连接 Wi-Fi 时发送的帧携带有设备真实、唯一的 MAC 地址。也就是说,很多用户是在不知情的情况下被采集了相关信息,但主要是依赖对较老的设备 MAC 地址的收集。
Wi-Fi 探针的技术在国内外的应用
早期的 Wi-Fi 探针应用可追溯到 Motorola 公司,该公司于 2010 年收购了一家名为 AirDefense 的 Wi-Fi 安全服务公司,并顺势推出自己的产品 ADSP,通过 Wi-Fi 探针来获取用户信息,以期提升零售商服务水平。
国外还有采用 Wi-Fi 探针来收集用户数据并商用的美国 Euclid 公司,这家公司可以说是国内各种宣扬 Wi-Fi 探针技术公司的祖师爷,但是很不幸的是,当这家公司在美国被爆出利用 Wi-Fi 采集用户信息时,遭到了媒体和公众的一致质疑和声讨,而采用了 Euclid 公司解决方案的 Nordstrom(诺德斯特龙,美国高档百货店)和 Homedepot(家得宝,美国第二大零售商)等公司也迫于压力纷纷停止了与 Euclid 的合作。如今这家公司在美国已几乎销声匿迹,该公司的隐私条款也一再修改,如今做出的承诺是:「只要用户选择退出,Euclid 将不会采集用户的任何信息并会将此用户的信息完全从 Euclid 的数据库中删除」。同样,在英国伦敦也有一家叫 Renew 广告公司利用在垃圾桶上装上 Wi-Fi 探针来采集路过行人信息,也被伦敦政府勒令叫停。
在中国,2016 年百度的「黄金眼」被曝光,百度利用 Wi-Fi 探针收集 mac 地址,给到合作店铺(基本是莆田医院)个人搜索行为、搜索记录、性别、年龄、爱好、职业、喜爱的网站、关注的热点、来源地等信息。莆田医院再利用这些数据来实现对过往人群的精准营销,事件被虎嗅网爆出后,百度紧急叫停此计划。
虽然在国内外,Wi-Fi 探针由于涉及到侵犯用户隐私,多次被媒体曝光,一再引起公众的担忧,但是在国内仍然有相当多的商业公司沉迷于此,这类公司往往利用媒体宣传来为其技术合法性摇旗呐喊,试图利用各种说辞来粉饰其收集用户信息的本质,但实质上,根据去年实行的网络安全法及刑法修正案,不管是否盈利,收集用户轨迹 50 条以上即属犯法行为。
Wi-Fi 探针真的那么神吗?
抛开精准营销不谈,单从这类公司宣传的所谓客流分析、人流轨迹等方面入手分析,Wi-Fi 探针真的有如宣传般那么精准吗?
1、现有技术根本无法还原随机 mac
为保护个人隐私,Apple 公司从 IOS 8 开始引入了随机 mac 机制。继 Apple 公司之后,google 在安卓系统 6.0 以后也引入了随机 mac 机制,微软在 windows 10 也加入了随机 MAC 机制。避免被采集设备采集到,保护终端用户隐私数据,已经成为一个发展趋势。
其技术原理是手机进行主动扫描时,手机的无线设备会广播一个 Probe 请求,此 probe 包里面的 mac 地址是不是手机真实的 mac 地址而是一个随机 mac 地址。然后手机会等待周围的无线访问接入点 (AP) 返回 Probe 响应。这个随机化只是发生在扫描过程中的,而在手机与无线接入点进行关联的过程以及数据传输的过程中,使用 mac 地址仍然是设备真实的 MAC 地址。
事实上,这类公司采用 Wi-Fi 探针采集的 mac 地址,很大一部分都是随机 mac。而以目前现有的技术,不管哪家公司,根本无法做到用随机 mac 地址还原成真实 mac 地址。既然基础采集的数据有一大半是随机 mac,而且也无法还原,那采集来的 mac 信息意义何在?恐怕这些公司宣传的所谓客流、进店人数、到店率、来访频次、新老客户比率等信息都要大打折扣了,那所谓的精准营销更是无稽之谈!如果说只能连上 Wi-Fi 才能采集得到 mac 地址,那还需要 Wi-Fi 探针做什么?
另外,有些公司所宣传的诱导算法,其实就是利用 Wi-Fi 探针伪装成运营商或机场热点等信号,诱使手机主动去连接从而获取用户真实 mac 地址,利用这类非法手段得来的数据,这种商业模式,正规的商家敢采用吗?
2、定位数据严重不准
众所周知,目前流行的 Wi-Fi 定位,不管是三角定位还是指纹定位,普遍采用的都是基于 RSSI(场强)的定位,此类定位有很大缺陷。
首先,此类定位容易受各种环境的影响,比如室内的应用环境,电磁波的多径效应、人体对信号的遮挡等原因,RSSI 的可靠性变得很差,即使做到最好的定位,精度也在 5 米以上。其次,此类定位需要加装比完成无线覆盖更多的 AP,由于各 AP 之间存在同频干扰,从而可能带来用户无线连接体验不佳。此外,采用此类定位,比如指纹定位,需要耗费大量的时间和精力用在采样上,而且当环境有所变更时,如要重新采样。例如 AP 天线变化,位置变化,加入或者拆了隔板,都会造成信号强度的变化,又需要进行重新采样。这类定位方式在如今大型购物中心、机场等领域都是行不通的。实际上很多机场、购物中心已经摈弃了 Wi-Fi 定位,改用蓝牙定位。
利用 RSSI 来定位获取用户轨迹这种方式不仅投入巨大,而且精度差,入店率统计也不准。既然定位、轨迹都不准确,那谈何精准营销?目前 Wi-Fi 联盟正计划推出 Wi-Fi Location 定位技术,新技术将采用 IEEE 标准 802.11-2016 中的精细定时测量 (FTM) 协议所定义的时差测距方法,此技术将会与现有室内 Wi-Fi 网络兼容,定位精度能达到 1 米。该技术原理与 GPS 非常相似,是通过信号发出返回的时间差计算位置。与传统的定位方法相比具有高精度、高实时性、无需采样的特点。
3、受运营商冲击严重
3G 时代,由于数据流量资费高,另外,3G 体验也不佳,比如中国移动的 TD-SCDMA,由于频谱利用率低,穿透性差,导致体验很差,在此情况下,导致商业 Wi-Fi 建设大行其道,一众公司纷纷投入其中跑马圈地,都想利用 Wi-Fi 占领移动互联网的入口。但如今随着 4G 的兴起以及即将到来的 5G 时代,资费一再降价,用户依靠 Wi-Fi 获得高速网络的日子也已经过去,Wi-Fi 在公共区域已经不再是主流量入口,在国内运营商 3G、4G 覆盖越来越好的情况下,Wi-Fi 作为消费者上网的手段只会越来越不重要,事实上愿意在商场连 Wi-Fi 的顾客也会越来越少,很多用户在公共场所使用的都是数据流量。既然连接 Wi-Fi 的用户少,那 Wi-Fi 探针统计出来的诸如客流统计等信息的准确性恐怕也要大打折扣了。
统计客流,商家利用摄像头就可以了,而且得出来的准确性要远远高于利用 Wi-Fi 来统计客流,那还有必要花费金钱去建设 Wi-Fi 探针吗?
4、技术力量存疑
历史上,商业 Wi-Fi 曾经伴随着 Wi-Fi 热点的建设经历了一拥而上、跑马圈地、鱼龙混杂等各种阶段,如今已回归商业本质。免费的 Wi-Fi 不再有,这类公司迫切需要找到一个新的热点来讲讲故事,于是 Wi-Fi 探针结合大数据便应运而生。很多商业 Wi-Fi 公司在此之前根本没有任何大数据、零售方面的积累,却在近年来纷纷转型大数据、新零售等热门行业,都在宣扬 Wi-Fi 探针结合大数据,令人对这些公司的真实技术实力心存疑虑?
Wi-Fi 探针,实际上只会采集到 mac 地址和信号强度,是根本无法获取人群画像的,这类公司所宣扬的人群画像数据从何而来?是交换而来还是售卖而来?
网络安全法的出台后,Wi-Fi 探针真的合规吗?
2017 年 6 月 1 日,《中华人民共和国网络安全法》已正式实行,同时最高人民法院、最高人民检察院也对打击侵犯个人信息犯罪出台司法解释,对于侵犯公民个人信息罪的定罪量刑标准有了明确规定。非法获取 50 条「敏感信息」即可入罪。刑法相关规定中的「公民个人信息」,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这类公司宣称的可以通过 Wi-Fi 探针获取消费者 mac 地址、行动轨迹等信息真的合法合规吗?他们有技术能力保障获取的信息无法还原吗?至少目前登录这类公司的主页,没有哪一家公司在网站上有介绍对获取的数据进行安全加密,也没有任何的隐私条款。
2018 年 4 月 8 日,公安部就《公安机关互联网安全监督检查规定 (征求意见稿)》公开征求意见。意见稿拟规定,互联网服务提供者窃取、非法出售、非法提供个人信息,即使不构成犯罪,没有违法所得,也将被处以最高一百万元的罚款。所以这类公司真的要好好掂量一下,是否要以身试法?
即使从立法上,目前法律尚不完善,但是从道德上,这类公司在我们并不知情的情况下通过 Wi-Fi 探针收集我们的数据,我想公众都是不能接受的。
总结
我们身处一个科技飞速发展,日新月异的时代。这是一个最好的时代,我们可以享受科技带来的各种便利;这也是一个隐私保护相对不完善的时代,我们的个人隐私被各种数据公司交换、售卖。相信随着国家立法的完善,我们的个人信息一定会得到完善地保护。我们希望看到的结果是商业公司对用户的行为进行分析的时候,同时又对社会的隐私不要造成破坏,不要对道德伦理造成破坏。
如果公众得知 Wi-Fi 探针结合所谓的 AI,呈现给我们绚丽、眼花缭乱的效果本质是搜集我们的个人信息而来,他们作何感想?
不管宣传的如何华丽,如何与大数据结合,如何利用人工智能,Wi-Fi 探针本质上就是一个毫无门槛、技术落后、准确性差、即将被淘汰的技术。归根结底,都是企图利用公众的个人数据来变现。
