涉嫌过度收集用户个人信息 App被点名

本篇文章1633字，读完约4分钟

作者:陈为

9月15日，国家计算机病毒应急中心发布了《移动应用违法问题及治理办法》，京东金融应用因涉嫌“超范围收集用户隐私信息”被点名。

京东金融应用是京东金融集团推出的移动投资应用，具有多种财务管理功能。国家计算机病毒应急中心测试了其版本5.2.32。在撰写本文时，JD Finance应用程序已经迭代更新到5.2.70版本，更新时间是9月16日下午17: 00。

京东金融应用拥有40多个应用权限

《手机应用违规及治理办法》在“2019网络安全专题会议”上发布，京东财经应用因“根据其隐私声明未申请隐私权”而被点名。根据移动支付网络，京东金融于2019年4月18日更新了其隐私政策，该政策于4月24日生效。

在隐私政策中，由于核心功能业务要求，京东金融应用程序申请收集用户身份信息、银行卡信息、手机号码、地址、职业、教育、财产信息、面部特征、指纹信息、位置信息、交易和转账红包信息、设备型号和设备识别码、网络使用习惯、设备状态等隐私信息。

京东金融应用程序声明上述信息是核心业务所必需的。如果用户不提供信息，京东金融将无法提供相应的产品和/或服务。只有少数几种信息需要申请隐私权，如设备信息和识别码权、访问网络状态权、指纹阅读器转让权、定位权、访问软件列表权等。

此外，京东金融还声明了六项不会影响您使用京东金融的个人信息，包括访问相机、相册、地址簿的许可以及打开麦克风的权利。

也就是说，这六个权限是用户可以控制的，用户可以自由选择是否将它们提供给京东财经应用。那么京东金融申请了多少权利？

根据申请宝，“京东财经5.2.70”申请了42项权利。根据太平洋计算机网络的申请说明，“京东财经5.2.50”申请了41项权利。

太平洋计算机网络截图

显然，这些权利中有许多都没有体现在隐私声明中，如发送短信、蓝牙权利、编写系统设置、编写外部存储权限等。其中，“允许应用程序发送短信”可能会导致用户被恶意指控。

京东财经app没有充分解释业务逻辑和权限关系，也没有充分解释权限的使用。涉嫌违反《网络安全法》第41条:“网络经营者应当明确说明收集和使用个人信息的目的、方法和范围，并同意被收集人的意见。”

京东金融应用的问题是一个行业问题

今年2月16日，一名网民在微博上发布了两个视频，显示京东金融应用将自动获取用户的敏感照片。用户打开京东金融应用并将其放在后台，然后打开招商银行应用并截图，然后打开文件管理，发现招商银行的截图出现在京东金融应用的缓存中。

这一事件一经披露，就在网上引起了轩然大波，引发了网民的热烈讨论。京东金融迅速澄清:“这是一个技术错误，并没有窃取用户的隐私。”随后，在3月份，我们公布了泰尔实验室应用的定向安全检测结果:JD Finance APP的Android版本“客户服务截图反馈功能”没有在未经用户授权的情况下上传图片或图片缓存文件夹中的截图。

半年后，由于隐私问题，京东财经应用再次出现在媒体的新闻报道中。不像二月份爆出新闻的网民，这次它被正式命名。京东金融会做出什么回应？

在数字经济和数字金融时代，金融支付机构尽力收集用户的个人信息以支持业务发展和创新，这不可避免地涉及到用户隐私和数据安全问题。京东金融应用不是这样。自4月份以来，广东警方公布了132款存在严重隐私问题的应用。互联网信息办公室命名的30个应用违反了网络安全法第41条。有许多金融支付机构，如中国银行、日照银行、贾立安支付和郭彤兴义。

用户隐私和数据安全是整个行业的问题，而不是某个公司的问题，它涉及产业链的每一个环节。杭州莫邪数据技术有限公司、欣彦科技人工智能技术有限公司和杭州存信数据技术有限公司相继被调查，这也是这个行业问题的一个缩影。

用户隐私和数据安全是互联网永恒的红线。《数据安全管理办法》、《个人信息出站安全评估办法》、《应用程序违法收集和使用个人信息行为认定办法》、《移动互联网应用收集个人信息基本标准》等一系列系统文件相继出台，征求公众意见。