2

两个“盒子”本质上是一个“盒子”

天津案件中的设备叫“探针盒子”，杭州案件中的设备叫“商优盒子”。

这也是天津案件的来由。媒体曝光后，成都某实业公司以产品违法已停止销售为由，起诉要求天津某科技公司回购未售出的276套产品、退还保证金并承担利息损失。

“商优盒子”则是杭州商优公司推出的广告服务基础产品。商优公司在答辩中介绍，“商优盒子”通过收集移动设备Mac地址获取半径100米范围内客户的信息（时间、性别、年龄、兴趣、购买记录等），自主生成用户画像，用户可登陆“商优盒子”软件，查看盒子获取的客户Mac值，分析客户特征，通过电脑端进行线上本地化广告投放，也可将Mac值与客户手机号码进行匹配，生成虚拟号码，通过运营商用发送短信或拨打电话的方式把广告投放给需要的消费者。

“探针盒子”、“商优盒子”，说白了都是为广告投放服务的产品，其技术原理、商业模式相同，实际上是一种“盒子”。

3

MAC地址什么

以上两种“盒子”，可以统称为“WiFi探针”。它的功能是可以获取上网设备的MAC地址。

“MAC地址”英文为Media Access Control Address，和上网设备有关，是网络设备制造商生产时写在硬件内部的编码。长度为48位，6个字节（byte），通常表示为12个16进制数，每2个16进制数之间用冒号隔开。

大家都听说过IP地址（Internet Protocol Address），是指互联网协议地址。IP地址是一种网络拓扑地址，是根据协议分配的。

MAC地址与IP地址的一个不同，在于它属于第二层（网络链路层），处于计算机网络的底层，所以也称为物理地址，是网络设备（网卡）的唯一的标识符，它由IEEE（电气与电子工程师协会）分配给不同设备生产商的代码。

MAC地址的作用是使局域网中的机器能互相连接，建立通信，侦测传输错误。要向局域网中的其他机器发送信息，就需要借助MAC地址，来指定发送信息的目的地。（Jaye’s Blog：《网络协议：OSI模型第二层数据链路层》）

关于IP地址与MAC地址通信，我用快递物流来类比一下（因为对技术不熟悉，不知道理解是否正确，还望方家指教），北京海淀黄庄A小区的人给大兴黄村B小区的朋友邮寄包裹，快递人员在将包裹送到大兴黄村B小区之前，先要把包裹送到大兴黄村区域收货中心。这个区域中心的地址，相当于IP地址，B小区的地址则相当于MAC地址。从IP地址到MAC地址，数据包（快递包裹）通过ARP（address resolution protocol：地址解析协议）映射完成。

4

“WiFi探针”获取MAC地址的技术原理

前面提到的两个“盒子”，都是“WiFi探针”。

“WiFi探针”是一个AP（ACCESS POINT），即无线接入点，本质上是一种无线路由器。AP是有线网与无线网沟通的桥梁。无线路由器是AP、路由功能、集线器的集合体。

只要开启了WiFI的智能终端设备进入AP路由器信号覆盖的区域，终端设备就会被探测出来。“WiFi探针”就是通过基于各种无线数据帧来抓获手机等WIFI客户端的MAC 地址信息。

关于“WiFi探针”技术工作流程，还是摘引前文的表述。WiFi探针作为一个AP，定时向四周广播发送Beacon帧（信标帧），通知附近的WiFi设备“我是一个AP”。WiFi设备、手机、平板电脑等也不停发送probe帧（探测请求帧），去寻找附近可用的AP。在probe帧中包含了设备的mac地址，当AP接收到probe帧之后就获取了这个设备的MAC地址。

“WiFi探针”能采集到的数据包括四种：（1）设备MAC地址；（2）WiFi信号强度；（3）WiFi信号频道；（4）信号帧类型。

5

MAC地址是不是“个人信息”

1.“个人信息”越来越复杂：《个人信息保护法（草案）》与《民法典》的不同定义

该定义与欧盟《通用数据保护条例》中“个人数据”的定义类似：

‘personal data’ means any information relating to an identified or identifiable natural person (‘data subject’); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

该表述容易造成误读，我认为，它的断句应该是：

“个人信息是以电子或者其他方式记录的——

各种信息。”

由上可见，何为“个人信息”，其实不只是四个字而已，讨论起来很复杂。这里列入常规的认识，供判断。

这个的表述，也是行业内较为认可的概念。

2.行业部门对MAC地址的态度

法律上的表述太复杂。MAC地址究竟是不是个人信息？下面从行业部门、执法部门、司法部门的态度三个方面梳理一下。

互联网行业内对MAC地址是不是“个人信息”的态度，可以从其隐私政策中可以看出来。总体上看，收集MAC地址信息为行业所认可。我梳理了京东APP、百度地图APP、抖音APP、飞书APP、微信APP、携程APP、饿了么APP、招商银行APP、北京农商银行APP等几家公司的隐私政策条款。在此列举数例。

京东APP：

本隐私政策中涉及的个人信息包括：基本信息（包括个人姓名、生日、性别、住址、个人电话号码、电子邮箱）；个人身份信息（包括身份证、军官证、护照、驾驶证等）；个人生物识别信息（包括声纹、面部识别特征等）；网络身份标识信息（包括个人信息主体账号、IP地址、个人数字证书等）；个人财产信息（包括交易和消费记录、余额、京豆、优惠券、京东E卡、游戏类兑换码等虚拟财产信息）；通讯录；个人上网记录（包括网页浏览记录、软件使用记录、点击记录）；个人常用设备信息（包括硬件型号、设备MAC地址、操作系统类型、软件列表唯一设备识别码（如IMEI/androidID/IDFA/OPENUDID/GUID、SIM卡IMSI信息等在内的描述个人常用设备基本情况的信息））；个人位置信息（包括行程信息、精准定位信息、住宿信息、经纬度等）。

百度地图APP：

设备信息。为了保证地图基础功能服务的正常运行，向您提供问题诊断等服务并进行数据统计，我们会收集您的硬件型号、操作系统版本、设备配置、唯一设备标识符、网络设备硬件地址MAC、广告标识符IDFA信息、设备连接信息以及设备状态信息、网络身份标识信息。当您授予设备权限时，我们会收集国际移动设备身份码IMEI。

携程APP:

交易安全保障及金融风险控制所必需收集的信息

为更准确地识别预防攻击和保护您的账户安全（包括形成风控标签/画像/模型、判断是否属于IP/设备黑名单、是否是真实设备/模拟器、是否安装风险软件/App等），我们将在您使用产品的过程中，自动收集设备信息或软件信息，例如您的IP地址和移动设备所用的型号/版本/存储空间和设备识别码（如IDFA/IMEI/IMSI/OAID/Android ID/OPENUDID/GUID/序列号）、SIM卡信息、设备应用安装/卸载列表、进程信息、设备MAC地址、网络类型/网络状态、设备连接的无线网络信息（如SSID/BSSID/状态/列表/MAC）、传感器信息、MEID（仅针对CDMA制式的手机）、以及通过网页浏览器、移动设备用于接入我们服务的配置信息。我们将通过访问权限最小化、访问日志记录、与订单信息分开存储与授权等安全措施来保护这些设备和软件信息。

北京农商银行APP:

当您使用手机银行服务时，为了维护服务的正常运行，优化我行的服务体验及保障您的账号，我行会收集以下基础信息，包括您的设备厂商、设备型号、操作系统、唯一设备标识符、手机银行软件版本号、登录IP地址、MAC地址（物理地址）、接入网络的方式、类型和状态、操作日志，这些信息是为您提供服务必须收集的基础信息，以保障您正常使用我行的服务。

3.执法部门对MAC地址的态度

在执法部门眼中，收集MAC地址已经成为企业合规的敏感点。

对APP的监管部门主要有四个：国信办、工信部、市场监管总局、公安部。四个部门职能各有侧重，但又有交叉，目前其主导地位的是工信部、国信办，但市场监管总局、公安部在执法力度上也非常突出。

2020年1月8日，工信部通报第二批存在问题且未完成整改的15款APP，咖啡品牌“luckin coffee（瑞幸咖啡）”APP因“私自收集MAC地址”被点名。瑞幸咖啡在回应中表示，APP除了需要客户提供手机号码，还需要客户提供手机的设备MAC地址作为双重验证。因公司技术部在流程设计时工作失误，在获取该信息时未先要求客户授权。

事实上，工信部在推进APP侵害用户权益专项整治行动中，几乎每次通报的违规APP名单里都存在APP未经用户同意私自收集设备MAC地址信息的情形。

工信部对APP非法收集用户个人信息的依据主要是《移动智能终端应用软件预置和分发管理暂行规定》。根据该规定，企业应保障用户知情权，未经同意不得收集个人信息，并明确告知收集使用用户个人信息的目的、方式。

该规定明确，“提供移动智能终端预置软件的生产企业和互联网信息服务提供者应自觉维护行业公平竞争，依法维护用户的知情权和选择权，不得实施破坏市场竞争秩序、侵犯用户合法权益的行为”，“生产企业和互联网信息服务提供者所提供移动智能终端应用软件不得调用与所提供服务无关的终端功能、违法发送商业性电子信息；未经明示且经用户同意，不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为”，“生产企业和互联网信息服务提供者均应通过用户提示、企业网站等方式明示所提供移动智能终端应用软件的信息，包括名称、功能描述、卸载方法、开发者信息、软件安装及运行所需权限列表等，明确告知用户应用软件收集、使用用户个人信息的内容、目的、方式和范围等”。

四部门的执法依据主要还有《App违法违规收集使用个人信息行为认定方法》《信息安全技术 个人信息安全规范》《APP收集使用个人信息最小必要评估规范》，另外，《消费者权益保护法》《网络安全法》也是重要执法依据。

4.司法部门对获取MAC地址的态度

尽管开篇提到了两个不同判断的案例，但司法部门整体上趋于对于“探针”设备持否定态度。

在上诉人青岛讯飞优数信息技术有限公司、张文静因与被上诉人青岛德斯普信息技术有限公司凭样品买卖合同纠纷一案【(2019)鲁02民终11454号】，青岛市中级人民法院指出：

对于双方买卖的招财喵产品，尽管涉案合同未记载其性能，但被上诉人提交的微信聊天记录显示，上诉人向被上诉人发送了该产品（其）具有“200米锁定精准客户，踏入200米直径即可导出联系方式、兴趣爱好、性别年龄、经常使用APP等详细数据，避免您过度的人力成本，无效的电话营销，过度的三方网站投入”等宣传资料。2019年中央电视台3.15晚会报道，璧合科技股份有限公司“招财喵”探针盒子不仅可以收集用户信息，甚至可以对用户精准画像。二者相互印证， 表明上诉人所出售招财喵产品，在其卖点和功能上涉及侵犯个人隐私，损害社会公共利益，应属无效合同。

司法部门对收集MAC地址是否为收集个人信息的认识不一，很大程度上跟司法人员对“WiFi探针”设备性能和技术原理认识有差异。青岛、天津法院认为，“WiFi探针”不止收集MAC地址，还认为同时也收集用户的其他个人新信息。

而根据公司自辩，他们否认“WiFi探针”收集其他个人信息。比如，2019年3月18日，璧合科技股份有限公司发布公告，称，（1）“招财喵”收集的信息为用户的MAC地址，不存在收集年龄、性别、婚姻状况、教育程度、收入、使用的APP等数据；（2）“招财喵”匹配的信息主要来自店铺管理者自行上传的会员数据或经营数据，且未提供过拨打电话的功能，不存在违反《网络安全法》所规定的情形。

“WiFi探针”确实可以用于用户画像，帮助做商业推广、广告投放。但它是否还收集其他个人信息，这一点应该是未来在司法实践中值得诉讼参与方继续探讨的。

收集MAC地址是否侵害个人信息， 我认为，相比之下，杭州法院的立场更为谨慎，对报道中所述的技术特点和产品功能没有直接评价，选择了忽略，有意避开了根据新闻报道来作是非判断。杭州法院没有对该行为定性，但引用了《广告法》第四十三条（常说的“垃圾广告”条款，任何单位或者个人未经当事人同意或者请求，不得向其住宅、交通工具等发送广告，也不得以电子信息方式向其发送广告。以电子信息方式发送广告的，应当明示发送者的真实身份和联系方式，并向接收者提供拒绝继续接收的方式）， 对“商优盒子”获取的Mac地址行为进行了评价。法院认为，收集Mac地址与客户手机号匹配后向目标客户发送广告短信，或者拨打广告电话，该功能违反了《中华人民共和国广告法》的强制性规定，原告依法不得取得相应的代理权。

鉴于篇幅，关于“WiFi探针”更深的技术原理、“WiFi探针”与大数据条件下的精准营销服务、“WiFi探针”与用户画像合规、个性化展示和程序化广告等方面的问题，都来不及深入探讨，希望将来有机会再来完成。

6

规制收集MAC地址的另外路径

前面说过，在司法判断的趋势上，倾向于将其作为个人信息对待。但杭州法院的判决，仍是留下了一点口子。杭州法院也为采取其他方式规制收集MAC地址问题提供了可能。

比如，可以从收集MAC地址的目的去解决法律问题。选择途径可以依据《消费者权益保护法》，对经营者行为进行规制；依据《广告法》对广告主、广告经营者、广告发布者的行为进行规制；依据《民法典》中的隐私权，对个人信息之外的隐私予以民法上的保护。

前两个方式都是依据商业逻辑而行，更具有普遍性。如果经营者违规收集、使用个人信息，擅自发送商业性信息、拨打推销电话，消费者或用户可以根据消费者权益保护法、广告法等规定维护自己的权益。返回搜狐，查看更多