中国青年网北京2月17日电 (记者 李永鹏) 近日,一段京东金融APP疑似“收集用户隐私”的内容引发网友关注。网友称,京东金融App会在后台获取用户如银行APP截图之类的敏感图片,并将其缓存上传。对此,2月16日下午,京东金融客服回应称:绝不收集未经用户授权的任何信息,缓存图片仅为方便用户联系客服投诉或建议。目前,相关功能已被下线。北京春林律师事务所主任、律师庞九林表示,此次事件要看京东金融是否属于“有意为之”。若“京东金融”有意识地从自身以外的APP上非法窃取公民个人信息,则严重违反《网络安全法》,存有极大的安全隐患。
2月17日下午,京东金融再次通过官微宣布,将马上采取以下措施:1、已邀请权威官方机构对京东金融App进行全面安全性检测;2、邀请包括反映问题在内的用户和外部专家、媒体组成信息安全顾问小组,对我们的服务进行监督;3、建立更为严谨的安全审查机制,对每一项技术应用和业务功能进行更加严格、全面的安全测试。
此前,2月16日,有网友发布视频称,京东金融App会获取用户敏感图片并进行上传。视频显示,在京东金融APP处于后台运行期间,会自动存储用户在银行应用进行操作时所保存的的页面截图至京东金融APP的文件目录中。
后台收集敏感信息 京东金融APP被曝疑似收集用户隐私
随后不久,该网友另补新视频,称“京东金融不止偷截图,还会偷照片。”新视频显示,京东金融APP在后台运行期间,用手机其他相机软件拍摄的图片也出现在京东金融的文件目录中。
相关内容随后引发网友关注,不少网友操作后发现,IOS系统并不会出现相关问题,而安卓版的智能手机确实会产生视频中所反映的情况。对此,有网友称,“或许是因为给予了访问相册的权限,禁掉权限可能就拿不到图了。”但不少网友纷纷表示,因为有了存储权限所以就能从如银行软件或其他APP中获取信息,实在让人无法接受。
京东回应质疑 称不会自动上传缓存图片,已下线该功能
对此,2月16日下午,京东金融方回应称,京东金融绝对不会收集未经用户授权的任何信息,更不会窃取!关注到用户反馈的问题后,已迅速做了技术排查和处理。
针对“为什么会有图片缓存?是否为窃取用户隐私?”京东金融相关声明回应称,“这其实是我们在2018年12月发布的版本中的一个便利小功能:如果用户打开京东金融APP后进行了截图,我们会认为用户有可能向我们的客服投诉或建议。为了方便用户和客服沟通,我们在用户界面的左上角展示图片提示,用户可进一步选择是否联系客服并发送图片。而视频里的图片正是该提示图片在手机本地的缓存。该缓存图片仅用于用户手机上的提示,只要用户不选择发送给客服,这些图片都会乖乖地待在用户的手机里,京东金融后台系统是绝对看不到的。”
图片来源于网络
“声明”另承诺:“绝不会收集未经用户授权的任何信息”;“声明”强调,缓存图片只存储在用户本地手机设备内,仅供用户本地操作提示,不会上传到京东金融后台系统。图片只在用户选择发送客服后才会上传服务器,京东金融后台系统才会看到图片。京东坚决维护用户信息安全,绝不会收集未经用户授权的任何信息。
“声明”最后表示,京东金融APP感谢广大网友监督,将立刻改进用户体验。上线“图片助手”小功能原本是希望优化用户体验,但是却给用户带来了不良感受。京东向相关的监督表示感谢,也对广大用户致以歉意。京东金融APP目前已暂时下线“图片助手”小功能,待进一步改进用户安全体验后再上线,也欢迎广大用户继续用最严格的标准监督。
律师:若有意为之,则严重违反《网络安全法》
“如此海量的信息,而且是涉及到用户极端敏感的金融信息,一旦泄露,那么所有银行用户的网络安全,都将受到极大威胁。”对此,庞九林表示,收集的信息一旦遭到泄露,则属于严重违反《网络安全法》的行为,并会产生相关安全隐患。
针对上述相关情况,2月17日上午,北京春林律师事务所主任、律师庞九林告诉记者,若“京东金融”是有意识地从自身以外的渠道非法窃取公民个人信息,则涉嫌严重违反《网络安全法》,并极易造成安全隐患。
“此次事件所暴露出来的问题,要看京东金融是否属于‘有意为之’。”庞九林称,该行为的主要危险在于,用户不论是在工商、农业、中国、建设等银行APP或者是诸如蚂蚁、平安等金融服务APP上操作,所填写个人信息,都会在不知不觉中被收集走。虽然京东金融声明,其并未将相关收集到的信息保存在自身系统中,但它既然能收集信息,那便完全能够上传并保存。
庞九林告诉记者,若对信息的收集另有他用,那京东金融此举涉嫌非法侵入他人网络,属于窃取网络数据的违法行为。依照《中华人民共和国网络安全法》(以下简称《网络安全法》)第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
《网络安全法》第四十一条则显示,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。第四十四条注明,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
庞九林称,京东方是否涉嫌窃取用户个人信息,具体要看其有无向用户明示收集、使用信息目的、方式和范围。
庞九林向记者解释,根据《网络安全法》第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
记者另检索发现,《网络安全法》六十四条规定,网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
对于许多网友担心的“个人隐私信息遭泄露后被他人买卖”这一情况,庞九林表示,窃取用户个人信息的一方如将收集的信息提供给其他机构或个人使用,将违反《刑法》规定,构成侵犯个人信息罪。情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
而其中违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
爆料请拨打中国青年网新闻采编中心热线010-56937112、010-57380667或发送至邮箱news@youth.cn、qwxwzx@163.com。倾听青年心声,关注青年权益,我们24小时在线。更多新闻内容请关注@中青网新闻中心新浪官方微博。
