专业解读

本文共一万余字，将拆分为（一）（二）（三）系列篇，三期内容分别包括：
（一）
1. Wi-Fi跟踪技术所获取的信息的法律属性
2. Wi-Fi跟踪技术在行政法下的监管问题
（二）Wi-Fi跟踪技术的民事法律保护问题
（三）针对Wi-Fi跟踪技术保护完善建议

如今，Wi-Fi的应用在社会生活中无处不在，成为相当一部分群体生活中必不可少的一部分。但是，大范围使用Wi-Fi也将为个人信息的泄露带来风险。2025年1月1日，我国《网络数据安全管理条例》正式施行，进一步规范了在网络安全法、数据安全法和个人信息保护法的下位配套规范。2024年，西班牙数据保护局（Agencia Española de Protección de Datos, AEPD）对数据控制者发布了《Wi-Fi跟踪技术数据控制者指南》（简称《指南》）。

本文将从Wi-Fi跟踪技术出发，结合Wi-Fi跟踪技术的法律属性，对Wi-Fi跟踪技术（简称“该技术”）处理的行政、刑事、民事法律规范中对于个人信息使用影响产生的问题进行分析及讨论。针对当前该技术行政法规范的不统一性、民事同意原则制定的欠缺、可能带来的刑事处罚等问题，提出行政、民事、刑事法律保护完善的建议，并且根据境外相关法律法规及指南结合我国的实际情况，建议在应用Wi-Fi追踪技术的情况下如何通过严格落实个人信息数据保护影响评估、个人信息匿名化和去标识化处理以及技术手段更好地推动加强对个人信息的保护。

关键词：Wi-Fi跟踪技术、个人信息保护、个人信息数据保护影响评估、个人信息匿名化和去标识化处理、技术手段

Wi-Fi跟踪技术是一种通过移动设备发射的Wi-Fi 信号对数据进行识别和跟踪的技术，可检测设备在特定区域内的存在情况，并识别移动模式，因此可用于估算容量、分析人流或测量停留时间等。该技术在购物中心、博物馆、工作场所、公共区域、公共交通、大型公共活动场所等都有实际应用。然而，随着该技术的不当应用也会带来严重的隐私风险，使得个人信息泄露并且被滥用，因为它可能会在数据主体没有行动或不知情，或在没有适当法律依据的情况下对其行动进行跟踪。

在实践中利用该技术或其规则漏洞而从事的违法违规活动也日益加剧。在未知的网络环境中，在没有保护的前提下连接Wi-Fi，将会触发该技术从而可能导致个人信息被窃取和滥用。任何人都有自由行动的权利，无论是公共行政部门或者是私营公司都无权跟踪利用。因此，为了更好地使用该技术，有必要明确其法律属性，结合实际情况，对于现实中所发生的问题进行有效地解决。

一、Wi-Fi跟踪技术获取的信息的法律属性

针对Wi-Fi跟踪技术来说，在不同情况下，通过该技术可能会处理的信息属性也将会有所差异：

第一，根据我国《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息。因此，通过该技术所收集的信息如果是已识别或者可识别自然人的，则属于个人信息。例如，当电子设备连接到Wi-Fi时，设备中的所有信息都是通过识别设备本身的MAC地址来启动，而MAC地址通常有24位用于识别制造商，另外24位由制造商自由分配。根据我国《信息安全技术个人信息安全规范》（GB/T 35273-2020）中对于个人信息的相关分类，设备MAC地址属于个人信息中的个人常用设备信息中的一个类型，因为通过MAC地址，可以成功识别与该自然人相关的各种信息。

第二，如果通过该技术所收集的信息，一旦泄露、非法提供或滥用可能危害到人身和财产安全，导致个人名誉、身心健康受到损害或歧视性待遇的，属于个人敏感信息。例如，通过该技术在一定情况下可能可以识别数据主体的身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生物信息、交易信息、14岁以下（含）儿童的个人信息等，上述信息均属于个人敏感信息。

第三，如果该技术所收集的信息无法将其与信息提供主体相关联或者被识别，该信息不属于个人信息。例如，为了能够获知博物馆每个区域的受欢迎程度，通过该技术的红外客流计数器而收集的人数信息，不属于个人信息。

第四，在该技术收集个人信息后，对收集的个人信息进行了技术处理，达到了使个人信息主体无法被识别或者关联，且处理后的信息不能被复原。该种被匿名化处理的个人信息所获得的信息不属于个人信息。

第五，通过对该技术所收集的个人信息进行去标识化处理，在不借助额外信息的情况下无法识别或者关联的信息不属于个人信息。

由此可见，该技术所收集的信息是否属于个人信息或者个人敏感信息需要通过收集的具体情况进行分析。

二、Wi-Fi跟踪技术在行政法下的监管问题

（一）禁止性法律规范不明确

当前，在我国行政法领域，通过《网络安全法》《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律、法规，结合各地的实际情况，就加强互联网安全保护技术措施制定了地方性法规。

根据《网络安全法》中的规定，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。对于违反规定的网络运营者，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。根据《中华人民共和国计算机信息系统安全保护条例》中规定，计算机信息系统包含网络设施，计算机信息系统的安全保护也应当包含保障网络设施的安全。

在这里，一整套的Wi-Fi上网系统可以被看作为网络设施。该条例规定，对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。对于有害数据危害计算机信息系统安全的行为，由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以1.5万元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得1至3倍的罚款。《计算机信息网络国际联网安全保护管理办法》规定，任何单位和个人不得从事未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的危害计算机信息网络安全的活动，而Wi-Fi是利用无线通信技术在局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，因此该技术可以被认作为计算机信息网络活动中的一个环节。

如果违背了上述规定，将由公安机关给予警告，有违法所得的，没收违法所得，对个人可以并处5000元以下的罚款，对单位可以并处1.5万元以下的罚款；情节严重的，并可以给予6个月以内停止联网、停机整顿的处罚，必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格；构成违反治安管理行为的，依照治安管理处罚法的规定处罚；构成犯罪的，依法追究刑事责任。根据《互联网安全保护技术措施规定》，互联网安全保护技术措施要保障互联网信息安全，该技术作为互联网信息活动环节中的一环，也应当受到该规定的保护。如果违反了上述规定，公安机关应当依法对辖区内互联网服务提供者和联网使用单位安全保护技术措施的落实情况进行指导、监督和检查，其处罚标准适用于《中华人民共和国计算机信息系统安全保护条例》的第二十一条处罚标准。上海、山西、长沙等地都颁布了针对网络安全管理相关的行政处罚通知。

根据上述条例及规定，可以看出存在以下问题：第一，实际操作中的执行困难。例如在《计算机信息系统安全保护条例》中规定的“有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告”的要求，在实际操作中，对于单位来说如何确保其准确、及时地报告是一个巨大的挑战，特别是对于小型的企业以及个人用户，他们更加缺乏相关的法律意识。第二，专业词汇的解释更新。随着该技术、物联网、云计算、人工智能等发展，网络设施和信息系统的定义需要及时地更新和扩展，以适应新兴技术带来的安全挑战。第三，处罚的标准过于单一。在实践中，例如，“对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加”这一条款中，每个行为所可能造成的后果的严重程度都有所不同，处罚规则制定的单一可能导致在执法时对于不同程度的损害适用同一处罚标准的结果。

（二）被监管的主体界限不明确

《网络安全法》中对于网络运营者的定义为网络的所有者、管理者和网络服务提供者，该技术的运营主体为网络运营者。

2024年8月23日，镇江市公安局丹徒分局根据《中华人民共和国网络安全法》第二十一条第二项，第五十九条第一款之规定，决定对丹徒区辛丰丘尔小吃店处警告，原因是其提供了无需用户号码登记，输入密码即可登录的开放式无线网络Wi-Fi。在该案中，丹徒分局将小吃店视为“网络运营者”，认为其没有履行网络安全保护义务。目前，存在两种观点：第一种观点认为，由于小吃店属于无线Wi-Fi的所有者以及管理者，并且以该无线Wi-Fi为客户提供网络服务，因此其属于网络运营者。第二种观点认为，虽然小吃店拥有无线Wi-Fi，但是客户使用的互联网接入服务主要是由中国电信、中国移动和中国联通等电信企业提供，小吃店仅拥有使用权，对Wi-Fi服务的管理权限远不及这些电信企业，因此，应当将这些电信企业视为网络服务的提供者。如果将小吃店认作为网络服务的提供者，将会使得网络安全管理义务过于严苛。

由此可见，在实践中对于网络运营者的界定存在不同观点。从法律的广泛性和可操作性来看，对于小型的商家，如果将其认作为网络运营者，将会很难要求其履行与大型电信企业相同的安全义务。从执法的公平性和合理性来看，公安机关对于小型商家过于严苛的执法将会给小型商家带来过重的负担，不利于营造良好的营商环境。

作者简介

张婷
北京办公室 高级合伙人

业务领域：境内外争议解决、海外上市、国际并购与国际工程、境内外并购与资本市场等
邮箱：zhangting@dtlawyers.com.cn

郭毅佳
北京办公室 律师

业务领域：境外上市、跨境投融资并购、数据出境业务、公司治理
邮箱：guoyijia@dtlawyers.com.cn