京东金融App被点名 涉嫌过度收集用户个人信息
陈拾九移动支付网2019/9/17 19:00:31

9月15日,国家计算机病毒应急处理中心发布《移动APP违法违规问题及治理举措》,京东金融App因“涉嫌超范围采集用户隐私信息的行为”被点名。

京东金融App是京东金融集团推出的移动投资应用,具有众多金融理财功能。国家计算机病毒应急处理中心对其5.2.32版本进行了检测,至撰稿时,京东金融App已经迭代更新至5.2.70版本,而更新时间是9月16日下午17时许。

京东金融App申请权限超40项

《移动APP违法违规问题及治理举措》在“2019年网络安全专题发布会”上发布,京东金融App遭到点名,原因是“App未按照其隐私声明申请隐私权限”。据移动支付网了解,京东金融在2019年4月18日更新了隐私政策,并在4月24日正式生效。

在隐私政策中,出于核心功能业务需求,京东金融App申请收集用户身份信息、银行卡信息、手机号、地址、职业、教育、财产信息、面部特征、指纹信息、位置信息、交易及转账红包信息、设备型号及设备识别码、网络使用习惯、设备状态等等隐私信息。

京东金融App声明以上信息属于核心业务所必须的信息,如果用户不提供信息,京东金融将无法提供对应的产品与/或服务。这些信息中只有寥寥几种信息需要申请隐私权限,比如设备信息及识别码权限、获取网络状态权限、指纹识别器调动权限、位置权限、获取软件列表权限等等。

除此之外,京东金融还声明了6项“不提供不会影响您使用京东金融”的个人信息,其中包括允许访问相机、允许访问相册、允许访问通讯录、开启麦克风权限等。

也就是说,这6项权限属于用户可以控制的,用户可以自由选择是否提供给京东金融App。那么京东金融申请了多少项权限呢?

应用宝中显示,“京东金融5.2.70”申请了42项权限。太平洋电脑网应用说明显示“京东金融5.2.50”申请了41项权限。

太平洋电脑网截图

很明显,其中很多权限并没有在隐私声明中得到体现,比如发送短信权限、蓝牙权限、写入系统设置权限、写入外部储存权限等等。其中“允许应用程序发送短信”有可能致使用户被恶意扣费。

京东金融App未完整说明业务逻辑和权限关系,未全部说明权限用途,涉嫌违反《网络安全法》第四十一条:“网络运营者收集、使用个人信息应明示收集、使用信息的目的、方式和范围,并经被收集者同意。”

京东金融App的问题是行业问题

今年2月16日,有网友微博发布两条视频显示,京东金融App会自动获取用户敏感图片,用户打开京东金融App放置后台,再打开招商银行App并截图,再打开文件管理,发现招商银行截图出现在了京东金融App缓存里。

事情一经曝出,在网上掀起了轩然大波,引起了网友热议,京东金融迅速做出澄清:“属于技术失误,并未窃取用户隐私”。随后在3月公布了泰尔实验室APP安全性定向检测结果:京东金融APP Android版本“客服截屏反馈功能”未见用户非授权情况下上传图片缓存文件夹中的拍照或截屏图片。

时隔半年,京东金融App再次因为隐私问题登上了媒体的新闻报道,不同于2月的网友爆料,这次是官方点名,京东金融又会做出什么回应呢?

在数字经济和数字金融时代,金融支付机构穷尽所能搜集用户个人信息支持业务发展创新,期间不可避免的会涉及到用户隐私和数据安全问题。京东金融App不是个案,广东警方自四月以来点名132款App存在严重隐私安全问题,网信办点名30款App违反《网络安全法》第四十一条,其中不乏中国银行、日照银行、嘉联支付、国通星驿这样的金融支付机构。

用户隐私和数据安全问题是整个行业的问题,不是某一家公司的问题,这个问题涉及到产业链的每一个环节。杭州魔蝎数据科技有限公司、新颜科技人工智能科技有限公司、杭州存信数据科技有限公司陆续被查也是这个行业问题缩影的一部分。

用户隐私和数据安全是互联网永远的红线。《数据安全管理办法》、《个人信息出境安全评估办法》、《App违法违规收集使用个人信息行为认定方法》、《移动互联网应用(App)收集个人信息基本规范》等系列制度文件相继面世向公众征求意见。

监管不断趋于严格,金融支付机构该如何拥抱监管?又该如何在拥抱监管的同时继续业务创新发展?移动支付网将于11月5日在深圳举办“2019第四届中国移动金融安全大会”,本次大会将探讨有关问题。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。

展开全文
相关阅读
资讯查询取消