中國經濟週刊微信號:ChinaEconomicWeekly
中國經濟週刊官方網站:經濟網 www.ceweekly.cn
《中國經濟週刊》記者 銀昕 | 北京報導
責編:周琦
自2014年始, 各手機應用商店上線了一系列有WiFi免費分享和輔助連接功能的軟體,
隨著人們越來越注重個人資訊保護, “蹭網”軟體引發了越來越多線民的擔憂。
日前, 工信部宣佈將對“WiFi萬能鑰匙”“WiFi鑰匙”等具有免費向使用者提供他人WiFi網路功能、涉嫌入侵他人WiFi網路和竊取使用者個人資訊的移動應用程式進行調查。
“工信部在這個時間點對這些已存在多年的‘蹭網’軟體進行調查, 背後的原因在於有關部門希望行業的發展更加規範。 此外, 由於《網路安全法》的誕生,
工信部發佈公告後不久, 被點名的“WiFi萬能鑰匙”回應稱, 公司“一貫尊重並保護用戶的隱私, 獲取的使用者資訊均在國家法律允許的範圍之內, 須經過用戶同意”。 “WiFi萬能鑰匙”表示, 公司一直強調由WiFi熱點主人分享熱點, 並加大查處非熱點主人分享的力度, 也將進一步優化取消熱點分享的流程。 “產品只提供‘分享’功能, 而非‘破解’, 只有以熱點形式被分享出來的網路才能被使用者使用, 我們對密碼採取128位元非對稱加密, 從不明文顯示密碼。 ”
對於破解和分享兩種技術的區別, 張程則明確告訴《中國經濟週刊》記者,
通信行業觀察家項立剛介紹, 相比於分享, 破解的難度更大, 是在完全不知道密碼的情況下窮舉試錯, 有一定的技術門檻。 不過他強調, 不能確定所有服務商都從未採取過破譯的嘗試, “服務商只需要‘破譯’出一部分城市中的網路即可, 其他的可以用熱點的方式進行分享。 ”
中國WiFi產業聯盟秘書長雄歌對《中國經濟週刊》記者說, 從實際情況看, 很多WiFi密碼都是相同的(比如8個8或12345678), 甚至很多WiFi不設密碼。 “當然不排除一些服務商會使用破解技術, 但目前主流的做法是通過用戶分享。 ”雄歌說, “在細節上有的公司做得比較理性,
雄歌所說的理性和“野蠻”, 區別在於WiFi的建立者和擁有者是否是在被充分告知的前提下, 擁有充分知情權地主動將自家網路分享出去, 還是在提示和告知極不充分的前提下“被自願”地分享了自家網路。
以“360免費WiFi”軟體為例, 使用者在知曉密碼的情況下用密碼登錄的方式登錄某網路時, 左下角會默認勾選為“我願意分享該網路”, 由於該提示位置並不明顯, 用戶稍不留意便會“被自願”地分享自家網路, 此後任何使用同款應用的其他人均可通過該應用“蹭”上此網路。
此外, 一款名為“騰訊Wifi管家”的軟體推出的“離線WiFi包”也引起了市場的關注。 騰訊方面稱, 該服務是將城市裡的部分公共WiFi打包成離線包,
按照常理, 有資格分享WiFi密碼的人應為網路的創建者和擁有者, 但在目前的手機應用中, 均無對網路所有者進行識別和排查的功能。 項立剛告訴《中國經濟週刊》記者, 一些私人網路之所以會被上述軟體“分享”出去, 原因在於有訪客從所有者處得知密碼後, 使用此類軟體登錄, 並在告知不充分的情況下“被自願”地分享了所有者網路。
張程介紹,判定一個登錄者是否是該網路的創建者和所有者,背後涉及的一系列技術十分複雜,也要投入很高的成本,“要通過大資料分析判斷他是否經常登錄此網路,還是只是偶爾登錄,還要知道他是否同時出現在這台路由器的後臺並實際控制著這個網路。”這些正是目前“蹭網”軟體行業絕大多數服務商尚未解決的問題。“這種認定技術很有難度,到底達到什麼條件才認定登錄人是‘擁有者’,而不是訪客,是個挑戰。”張程說。
業內人士介紹,“微信連WiFi”是一種對雙方知情權保護比較到位的方式,通過關注微信公眾號等機制,網路主人和登錄使用者都十分清晰地知曉正在分享或者正在被分享網路的整個過程。
也有業內人士建議,應從WiFi技術底層做出改變,從根本上摒棄密碼登錄的方式。“從技術上看,最好的方式是從設備廠商開始,不再使用密碼的認證模式。”雄歌認為,與“蹭網”相比,非密碼登錄模式相對安全,比較適合公共場景,但如果用於家庭私人網路,為了防“蹭網”只能通過驗證碼登錄,體驗感會差很多。
在上述軟體尚未完成自糾自查,工信部也尚未完成對該類軟體的調查之前,私人網路如何避免被“蹭”?雄歌告訴《中國經濟週刊》記者,目前在WiFi連接領域的服務商和產品很多,在不斷競爭和洗牌的過程中,服務商都在避免被打上“蹭網”的標籤,增加了保護網路安全的功能。“這個行業從過去的1000多家到只剩下兩三家主流公司,產品功能也從單純的‘蹭網’變成了網路安全管理。”
例如,“騰訊WiFi管家”就有家用網路防“蹭”保護設置,一旦使用者通過真實密碼登錄將其設定為家用網路,陌生人就不能通過“智慧連接”功能對家用網路解鎖。
除了依靠網路安全管理,關閉私人網路的對外廣播是否可以防“蹭網”?項立剛告訴《中國經濟週刊》記者,廣播關閉後陌生人的手機確實搜索不到該網路信號,只能手動輸入網路名稱和密碼才能進入,原則上可以保證安全。然而,若有訪客在主人關閉網路對外廣播前便已經登錄過該網路,其設備內依舊會存有網路名稱和密碼,還是可以登錄網路。
網路密碼能否被認作個人資訊?在我國現行法律法規中,對個人資訊安全保護的主要依據是2017年6月生效的《網路安全法》,法律界呼籲儘快出臺的《個人資訊保護法》目前尚在草案階段。2018年5月1日即將生效的《個人資訊安全規範》雖被很多業內人士重視,但其本身只是行業內的國家級推薦性標準,沒有法律效力。也就是說,在法理上對“蹭網”軟體的執法依據只有《網路安全法》。
中國政法大學李俊慧教授告訴《中國經濟週刊》記者,《網路安全法》沒有專門的章節對WiFi密碼的保護問題進行規定,但是作為一種網路服務,類似“WiFi萬能鑰匙”等WiFi熱點連接服務,也需要遵守《網路安全法》有關個人資訊保護和網路安全等方面的規定。“如果密碼分享不是自主自願的行為,涉嫌侵犯分享者的知情權和WiFi熱點設置者對其資產的管理和控制權。”
李俊慧介紹,對個人資訊的保護,《網路安全法》有明確闡述:任何個人和組織不得竊取或者以其他非法方式獲取個人資訊,不得非法出售或者非法向他人提供個人資訊。“問題的關鍵在於,網路密碼在我國的司法實踐中是否會被認作個人資訊。一旦‘蹭網’被認定為系侵犯個人資訊的行為,有關單位就應承擔民事侵權責任,甚至行政責任、刑事責任。”
業內人士認為,“蹭網”軟體的生存空間在於很多人對“蹭網”本身有需求,軟體越是操作不規範,特別是在分享前對被分享者的知情權保護不到位,並且不給網路主人停止或拒絕分享的許可權,就可連接到更多的陌生網路,也就更能吸引想“蹭網”的用戶。
李俊慧接受《中國經濟週刊》記者採訪時說,“劣幣驅逐良幣”發生的原因在於監管機制在很長一段時間內的失靈,“這就需要監管部門的監管手段或方式與時俱進,從事前、事中和事後等環節建立起有效的監管體系。類似‘WiFi萬能鑰匙’等產品和服務已經在市面存在多年,監管部門為何遲遲沒有動作,才是問題的關鍵所在。”
從2017年6月1日《網路安全法》正式實施,到2018年元旦後的“支付寶年度帳單”事件,再到包括螞蟻金服、百度和今日頭條在內的企業接連因個人資訊保護問題被有關部門約談,曾經宣揚“開放”“共用”等理念的互聯網行業,近期有向“安全”“隱私”等方面轉向的趨勢。“早期互聯網喜歡強調開放性,但目前的移動互聯網業內很多人已經不再提‘開放’了。”項立剛告訴《中國經濟週刊》記者,移動互聯網行業發展越接近成熟期,就越強調對安全和隱私的偏重,而不是一味開放。
張程介紹,判定一個登錄者是否是該網路的創建者和所有者,背後涉及的一系列技術十分複雜,也要投入很高的成本,“要通過大資料分析判斷他是否經常登錄此網路,還是只是偶爾登錄,還要知道他是否同時出現在這台路由器的後臺並實際控制著這個網路。”這些正是目前“蹭網”軟體行業絕大多數服務商尚未解決的問題。“這種認定技術很有難度,到底達到什麼條件才認定登錄人是‘擁有者’,而不是訪客,是個挑戰。”張程說。
業內人士介紹,“微信連WiFi”是一種對雙方知情權保護比較到位的方式,通過關注微信公眾號等機制,網路主人和登錄使用者都十分清晰地知曉正在分享或者正在被分享網路的整個過程。
也有業內人士建議,應從WiFi技術底層做出改變,從根本上摒棄密碼登錄的方式。“從技術上看,最好的方式是從設備廠商開始,不再使用密碼的認證模式。”雄歌認為,與“蹭網”相比,非密碼登錄模式相對安全,比較適合公共場景,但如果用於家庭私人網路,為了防“蹭網”只能通過驗證碼登錄,體驗感會差很多。
在上述軟體尚未完成自糾自查,工信部也尚未完成對該類軟體的調查之前,私人網路如何避免被“蹭”?雄歌告訴《中國經濟週刊》記者,目前在WiFi連接領域的服務商和產品很多,在不斷競爭和洗牌的過程中,服務商都在避免被打上“蹭網”的標籤,增加了保護網路安全的功能。“這個行業從過去的1000多家到只剩下兩三家主流公司,產品功能也從單純的‘蹭網’變成了網路安全管理。”
例如,“騰訊WiFi管家”就有家用網路防“蹭”保護設置,一旦使用者通過真實密碼登錄將其設定為家用網路,陌生人就不能通過“智慧連接”功能對家用網路解鎖。
除了依靠網路安全管理,關閉私人網路的對外廣播是否可以防“蹭網”?項立剛告訴《中國經濟週刊》記者,廣播關閉後陌生人的手機確實搜索不到該網路信號,只能手動輸入網路名稱和密碼才能進入,原則上可以保證安全。然而,若有訪客在主人關閉網路對外廣播前便已經登錄過該網路,其設備內依舊會存有網路名稱和密碼,還是可以登錄網路。
網路密碼能否被認作個人資訊?在我國現行法律法規中,對個人資訊安全保護的主要依據是2017年6月生效的《網路安全法》,法律界呼籲儘快出臺的《個人資訊保護法》目前尚在草案階段。2018年5月1日即將生效的《個人資訊安全規範》雖被很多業內人士重視,但其本身只是行業內的國家級推薦性標準,沒有法律效力。也就是說,在法理上對“蹭網”軟體的執法依據只有《網路安全法》。
中國政法大學李俊慧教授告訴《中國經濟週刊》記者,《網路安全法》沒有專門的章節對WiFi密碼的保護問題進行規定,但是作為一種網路服務,類似“WiFi萬能鑰匙”等WiFi熱點連接服務,也需要遵守《網路安全法》有關個人資訊保護和網路安全等方面的規定。“如果密碼分享不是自主自願的行為,涉嫌侵犯分享者的知情權和WiFi熱點設置者對其資產的管理和控制權。”
李俊慧介紹,對個人資訊的保護,《網路安全法》有明確闡述:任何個人和組織不得竊取或者以其他非法方式獲取個人資訊,不得非法出售或者非法向他人提供個人資訊。“問題的關鍵在於,網路密碼在我國的司法實踐中是否會被認作個人資訊。一旦‘蹭網’被認定為系侵犯個人資訊的行為,有關單位就應承擔民事侵權責任,甚至行政責任、刑事責任。”
業內人士認為,“蹭網”軟體的生存空間在於很多人對“蹭網”本身有需求,軟體越是操作不規範,特別是在分享前對被分享者的知情權保護不到位,並且不給網路主人停止或拒絕分享的許可權,就可連接到更多的陌生網路,也就更能吸引想“蹭網”的用戶。
李俊慧接受《中國經濟週刊》記者採訪時說,“劣幣驅逐良幣”發生的原因在於監管機制在很長一段時間內的失靈,“這就需要監管部門的監管手段或方式與時俱進,從事前、事中和事後等環節建立起有效的監管體系。類似‘WiFi萬能鑰匙’等產品和服務已經在市面存在多年,監管部門為何遲遲沒有動作,才是問題的關鍵所在。”
從2017年6月1日《網路安全法》正式實施,到2018年元旦後的“支付寶年度帳單”事件,再到包括螞蟻金服、百度和今日頭條在內的企業接連因個人資訊保護問題被有關部門約談,曾經宣揚“開放”“共用”等理念的互聯網行業,近期有向“安全”“隱私”等方面轉向的趨勢。“早期互聯網喜歡強調開放性,但目前的移動互聯網業內很多人已經不再提‘開放’了。”項立剛告訴《中國經濟週刊》記者,移動互聯網行業發展越接近成熟期,就越強調對安全和隱私的偏重,而不是一味開放。