WiFi认证系统在运行过程中会收集大量用户数据，手机号、设备信息、上网时间、访问记录等。这些数据既是满足合规要求的必要产出物，也是潜在的安全风险源。怎么管好这些数据，是每个运营方都需要认真对待的事。

数据分类

先把WiFi认证系统涉及的数据分个类。身份信息是手机号、身份证号（如果做了公安部核验）、房间号或PMS关联信息。设备信息是MAC地址、设备类型（从User-Agent推断）、操作系统版本。行为信息是认证时间、上下线时长、访问的目标URL或域名（如果做了流量审计的话）。系统运行日志是认证成功和失败的记录、错误日志、性能指标。

这四类数据的敏感程度递减，但管理要求各有侧重。身份信息保护级别最高，任何读取和导出都应该有审计记录；行为信息的留存期限有法律要求不能随便删；系统日志主要用于排障，但其中可能包含敏感信息片段。

存储安全

数据存在哪里是第一个要明确的问题。WiFi认证系统的数据默认存在本地网关设备上，对一体机设备来说就是内置硬盘或闪存。需要确认的是：存储介质有没有加密？设备被盗或报废之后数据能不能被恢复？有没有定期做异地备份？

很多小型场所在这个问题上是裸奔状态，数据明文存在设备本地硬盘上，没有任何加密，任何人拿到这台设备就能导出全部历史数据。合规检查的重点通常是日志完整性和留存时长，这个问题可能不会每次都被问到，但如果发生数据泄露事件，这个漏洞会被放大成严重的管理过失。

最低限度应该做到：存储启用全盘加密（主流网关设备基本都支持）、设备物理安放在有门禁控制的机房或机柜中、报废前执行数据擦写而不是简单格式化。

访问控制

谁能看到这些数据？理想状态是只有经过授权的人员在明确的业务需求下才能查询和导出。但实际中很多场所的做法是谁管WiFi系统谁就有全部数据的访问权，没有任何额外的权限控制。

这带来的风险是：离职员工在被注销权限之前批量导出了数据，或者被钓鱼攻击窃取了凭证的账号可以自由浏览全部认证记录，后果都是不可控的。

合理的做法是至少做到：系统登录需要独立的强密码且定期更换、敏感操作（如批量导出日志）需要二次审批或通知、所有查询和导出行为都有操作日志记录并保留足够长的时间。这些措施花不了多少钱，主要是意识和管理习惯的问题。

第三方数据共享

WiFi认证系统供应商通常会远程维护设备或者收集一些运行数据用于产品改进。这里有一个灰色地带，供应商能看到多少你的数据？这些数据会不会被用来做其他用途？合同终止之后供应商手里还留着什么？

采购阶段就应该把这些事情问清楚并写进合同：供应商能访问的字段清单、访问目的和频率限制、数据存储位置（必须在境内）、合作终止后的数据删除义务和时限。很多小型供应商在这方面的规范程度不高，需要采购方主动提出要求，而不是默认对方会自觉遵守。

数据生命周期

数据不是存了就可以不管的。法律要求的60天留存期满之后怎么办？一直留着会增加存储成本和安全风险，删掉又怕将来需要追溯时找不到。

一种可行的做法是分层归档：最近60天的热数据保持在线可快速查询；60天到1年的温数据压缩后转移到低成本归档存储；超过1年的冷数据脱敏处理后保留摘要统计信息或者彻底销毁。这样既满足合规要求，又控制了长期存储的风险暴露面。

WiFi认证系统的数据管理不是装完系统就不用管的事情。数据在产生的那一刻就开始了它的生命周期，采集、存储、访问、共享、归档、销毁，每个环节都需要有对应的规程和控制措施。这些工作做得越规范，系统运营过程中的风险就越可控。