姚建芳
2019年2月16日凌晨,微博网友“阿木”在微博上发布的一段体验视频显示京东金融窃取用户的隐私图片,具体方式是当京东金融在手机后台运行时,用户在使用手机其它应用时的屏幕截图,会被存储在京东金融的缓存当中。并表示他在此之前还发现,用户使用其它手机应用时拍摄的照片,也会出现在京东金融的缓存文件当中。阿木接受媒体采访时表示,截图跟美颜相机拍照,是两个完全不同的目录,它把后者也复制了一份。
17日上午,京东金融方面发布文字说明称,这是京东金融在2018年12月发布的版本中的一个便利小功能:如果用户打开京东金融APP后进行了截图,京东金融会认为用户有可能想向客服投诉或建议。为了方便用户和客服沟通,京东金融在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。但无论如何,这一截图反馈功能,不具备图片自动上传的能力,图片只是缓存在用户手机本地。目前,京东金融已经下线“图片助手”功能。
据网经社了解,近年来互联网行业频频出现用户信息泄露,以及电商、互联网金融等应用平台窃取用户隐私事件,仅媒体公开报道的就有数十起。
此外,据国内知名第三方网络消费维权平台——“电子商务消费调解平台”近年来受理的全国数十万起电商投诉案件大数据表明,包括当当网、国美在线和1号店等在内的电商平台,以及窝窝团、大众点评、百度糯米、携程、去哪儿和支付宝等在内的生活服务020平台,均屡屡因用户平台信息泄露。泄露用户数据被灰色产业链不法分子频频通过“撞库”方式盗号,造成平台上账户被盗,带来巨大经济损失,成为了网络安全“重灾区”。
对此,长期关注电商行业发展的国内知名电商智库——网经社旗下电商智库电子商务研究中心特发布电商快评。
观点一:京东金融是否侵权违法尚无定论
对此,网经社电子商务研究特约研究员、上海汉盛律师事务所高级合伙人李曼律师认为,京东金融自动获取图片的行为涉嫌侵犯用户个人隐私,但是否泄露用户隐私需要结合其获取后有无将该部分图片进行上传等因素来综合判断。
李曼认为,其主要原因在于,根据国家互联网信息办公室发布的《移动互联网应用程序信息服务管理规定》第七条规定,APP提供者应当依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头和启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关的应用程序。不同于支付宝和微信的“聊天缩略图”功能,京东金融是在后台运行状态下缓存用户的隐私图片,并获取用户在其它应用内产生、与其自身服务无关的截图,绝大多数情况下,用户很难发现上述情况。
对此,作为网经社一电子商务研究中心法律权益部分析师笔者认为,2019年元旦起正式施行的《电子商务法》有多处条款重点涉及了个人信息的保护问题。其中第二十三条明确规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定。此外,第二十五条也规定了应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密进行严格保密,不得泄露、出售或者非法向他人提供。
笔者认为,与此前很多电商和APP应用平台涉及用户信息收集和使用过程中出现的“通病”类似,京东金融用户截屏缓存事件为何短时间内迅速引发业内关注,不管是“小Bug”,还是程序员“有意为之”?以及是否侵权触犯《电子商务法》,目前尚无定论。
观点二:京东金融“技术Bug”所致可能性较大
京东金融就这一问题发布文字说明,其中承认这一APP在截图反馈功能开发上存在技术问题。具体为用户将京东金融APP切换到后台后,该功能继续运行,继续接收新增图片通知(包括截屏和照片等)并在手机本地缓存,而原功能设计需求是切换后自动停止该功能,属于需求错误开发。同时,经过安全技术团队深度评估,该功能也不应该使用手机缓存技术来实现,应该直接使用手机实时内存(RAM)实现并增强提醒,无需使用手机本地缓存,当京东金融APP切换或退出时,将自动清空。
而网经社一电子商务研究中心特约研究员、北京志霖律师事务所副主任赵占领律师也同样认为这个很可能是京东金融APP的技术Bug。赵占领律师指出:
首先,用户在手机上截取其它应用的图片,可能会涉及非常敏感的个人信息,特别是用户在操作网银时的截图,直接涉及到用户的隐私和财产安全,像京东这种知名企业应该不敢做这种直接、明显违法的事情;
其次,用户在手机上截取其它应用软件界面的图片,多数情况下与京东金融之间没有关系,对其实际意义不大;
再次,如果真的要通过这种方式收集用户个人信息,应该也不会把用户的截图放在京东金融APP的文件目录里,这容易留下明显的证据;
最后,用户的截图被放置于京东金融APP的文件目录里,这个可能只是代表存储于用户手机本地,只有上传到服务器才会涉及到非法收集用户个人信息。
观点三:平台发展不能以牺牲用户隐私为代价
抛开京东金融用户截屏缓存事件本身,网经社一电子商务研究中心法律权益部助理分析师蒙慧欣指出,本案发生在“超级独角兽”京东金融(京东数科)身上,具有一定的“典型意义”,同时也给各大电商、金融科技和移动互联网APP平台敲响了警钟。
蒙慧欣认为,APP平台从技术上采取有效的措施对用户的个人信息进行保护,是获取消费者信任的基础,也是平台合规发展的根本。平台绝不能以牺牲用户的隐私作为发展的代价,这样不仅是侵犯消费者的合法权益,实际上也损害自身的可持续发展。
此外,在用户信息保护上,电商平台在获取个人信息的同时,就有保护个人信息的义务。信息泄露较为普遍,主要存在以下两种不同情况:
第一,如果平台提供了符合其规模的保护措施,但在这种情况之下还是被黑客入侵了系统,这种情况属于不可抗力,平台不用承担责任。
第二,如果最终发现因平台存在漏洞,而导致信息泄露,那么平台就要承担责任。
因此,不论处于何种情境,平台都应建立在安全的前提下,防止此类事情再次发生,也应该有足够有效的措施来保障并加以完善。
此前,网经社一电子商务研究中心特约研究员、浙江垦丁律师事务所联合创始人麻策律师,也提醒广大用户网络服务提供者和其它企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当和必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其它企事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
观点四:互联网时代信息泄露的“症结”何在?
为何互联网时代频频出现用户信息泄露以及违规使用用户隐私信息现象?
对此,笔者认为,用户信息被窃取由多方原因造成:
首先,用户的安全意识不够,很多用户习惯性在不同的互联网应用平台使用相同的账户和密码,这样一旦某个平台被黑客入侵信息泄露后,其余平台均能轻松登陆;
其次,平台的安全系统不够严密,虽然很多平台都加强了安全技术投入,但俗话说:“道高一尺魔高一丈”,黑客总有办法入侵,这就需要平台做好与黑客的攻守戰;
再次,平台内部人员监守自盗,这就需要平台加强内部管理,从源头上杜绝此类现象的发生,一旦发现违规人员,严惩不贷。
笔者建议,互联网时代下APP侵犯用户隐私的事件频发,作为普通用户,我们应当格外注意对自身隐私信息的保护。因此,在安装APP时,应当留意其获取的授权包括哪些、开启仅在使用期间获取功能、及时关闭不需要的授权。