被质疑App不当获取用户图片信息京东金融：将邀权威官方机构对APP进行全面安全性检测-众创网-数字赋能专家

被质疑App不当获取用户图片信息京东金融：将邀权威官方机构对APP进行全面安全性检测

众创网2019-02-18

2月16日，有微博网友发布了两条视频，质疑京东金融的App不当获取用户的敏感图片信息。京东金融方面向中国之声发来书面回应称，这些图片只存在于用户自己的手机当中，除非用户上传至京东金融，否则京东金融方面看不到用户相关信息。京东金融还就这一事件向用户致歉，并已下线了相关功能。

京东金融方面彼时回应称，京东金融已暂时下线“图片助手”功能，并表示，上述用户发布视频里的图片正是上述提示图片在手机本地的缓存，该缓存图片仅用于用户手机上的提示，只要用户不选择发送给客服，这些图片都会待在用户手机中，“京东金融后台系统是绝对看不到的”。

而2月17日，京东金融方面在回复侵犯用户隐私事件的官方文件中，承认了这个问题是由于客服截屏反馈功能使用了本无需要使用的手机缓存技术而导致的。

对于为何会产生“多此一举”的问题，京东金融人士进一步解释道，2018年12月，京东金融APP5.0.5版本上线了客服截屏反馈功能，此功能的目的是，用户对京东金融APP进行截屏时，本人可将京东金融APP截屏发送给在线客服人员，以提高与在线客服的沟通效率。此功能实现是通过安卓系统的两个官方通用类ContentObserver和MediaStore的组合调用来接收用户手机截屏动作的通知，使用了UniversalImageLoader这个通用第三方库实现截屏的本地缓存以及预览缩略图快速展示，但上述技术均不具备图片自动上传的能力，图片仅缓存在用户手机本地。

京东金融方面在承认微博用户反馈的问题为“低级失误”的同时，也强调，此次技术问题涉及的新增缓存图片仅存在用户手机本地，京东金融APP绝对没有对用户照片和截屏进行私自上传，而且对该功能进行了全面排查，并未发现任何一张未经授权的图片被收集。

京东金融方面还作出承诺，将在今日邀请权威官方机构对京东金融APP进行全面的安全性检测，并承诺未来每季度进行权威官方检测，及时公告检测结果。并将“邀请包括上述微博用户在内的用户和外部专家、媒体组成信息安全顾问小组，对京东金融APP提供的产品和服务进行独立、长期的检查监督，将定期公布顾问小组的检查结果”。

抛开窃取之嫌，如果京东金融拿到这些用户信息，可有什么用处？

如今企业都在做智能推送、精准推送等服务，而要实现这些，必须要拿到更多维、更丰富的数据。但用户保护隐私意识越来越强，这些平台要想拿到更多数据，有的会偷偷做擦边球，在隐私协议不讲清楚情况下，私自盗用。很多平台存着侥幸之心，认为：第一、很少有用户会认真仔细把长长的隐私协议看完；第二、平台窃取了哪些信息，大多用户基本都是毫无察觉。

京东金融是京东数科旗下子品牌，为个人和企业提供数字金融服务。金融类型应用主要向用户推荐各种理财产品。如果能拿到用户更多的日常行为数据，就能更精确得分析用户需求并做推送。

从京东金融APP“隐私设置”处查看的京东金融隐私政策看，该平台有些用户信息是必须收集的，比如平台在提供以下服务：实名认证，资格、信用及偿付能力审核，支付服务、保障交易安全、个性化服务等，此时，用户必须提供个人身份信息、个人财产信息、个人常用设备信息、个人教育工作信息、面部特征、个人位置信息等信息，还有一些用户主动提及的或基于用户的同意而采集的信息。

另外，京东金融隐私协议显示，平台对用户信息的使用范围包括：可能会将用户的个人信息与京东金融的关联方共享；可能会向其合作伙伴等第三方共享用户的交易信息、账户信息及设备信息：比如京东集团的成员——京东商城等；或共享给提供技术、咨询服务的供应商；共享给合作金融机构等。

窃取用户隐私一直是用户十分敏感的问题，但却难以遏制商家一边消费着用户一边窃取用户敏感信息。目前的APP或多或少都在获取用户信息。

据腾讯社会研究中心联合DCCI互联网数据中心上个月发布的《隐私安全及网络欺诈行为分析报告》显示，在该报告选取的样本中，当前所有的Android端APP都会不同程度的获取手机隐私权限。其中，投资理财类APP是获取手机隐私权限最多的APP，其平均获取的权限数量为17.2项。值得欣慰的是，Android端越界获取手机隐私权限从2017年的25.3%下降到2018年下半年的2.0%。另外，在被获取的隐私权限中，照片、定位服务和打开相机是iOS端APP最常获取的三大隐私权限，分别有高达85%、79%和76%的APP获取了以上权限。