京東金融迴應輿論 技術人員實測未發現有上傳圖片行為
近日,一位網友在微博上爆料京東金融疑似會自主獲取使用者的敏感照片並上傳,引發廣大使用者的擔憂。針對該微博網友的質疑,京東金融客服在事件發生48小時內兩次做出官方迴應,稱京東金融堅決維護使用者資訊保安,絕不會收集未經使用者授權的任何資訊,更不會竊取。關注到使用者反饋的問題後,已經做了技術排查和漏洞修復,並願意接受權威官方機構的檢測。
京東金融客服官微同時在宣告中解釋了圖片為何會出現在使用者手機的京東金融檔案目錄中,稱這是2018年12月釋出的App版本中的一個便利小功能,為的是方便向客服投訴或進行溝通建議。這些圖片只作為快取圖片存在於使用者手機中,只要使用者自己不主動上傳,京東金融後臺系統絕對看不到,不會侵犯使用者隱私。京東金融還表示,目前,上述功能已暫時下線。
在此事件當中,使用者最關注的兩個點在於:第一,京東金融將使用者私密截圖的快取圖片存放在自家App的檔案目錄中,本身是否涉及隱私洩露;第二,技術層面而言,這些快取圖片是否存在未經使用者允許被呼叫的技術可能性。
對此,京衡律師上海事務所律師餘超表示,“如果圖片快取在使用者手機本地,不具備自動上傳能力,在退出App後自動清空,則在技術上無法實現侵犯客戶隱私的可能。另一方面,也沒證據表明京東金融有侵犯客戶隱私的主觀故意。也許這就是一個技術失誤”。
在首份宣告中,京東金融表示,截圖快取獲取的初衷意願是為了方便使用者,發生截圖行為時能夠方便呼叫客服,儲存的圖片也只是在自己個人手機內的子目錄,沒有使用者允許並不會上傳。
對外經貿大學數字經濟與法律創新研究中心執行主任許可表示,“只有App通過遠端伺服器等技術手段實際控制了使用者的資料資訊,才能構成資料收集。如果截圖反饋功能只是將圖片儲存於本地,顯然這些資訊的掌控者仍是使用者,只要App沒有抓取這些資訊上傳,就不構成資料收集,因而也就不會涉及個人資訊洩露的問題”。
移動技術專家、賽迪安全中心移動安全實驗室研究員彭根表示,像京東金融儲存截圖所採用的技術是普遍的。“比如,當你聊天時,剛剛截圖後,聊天App會提示你是否傳送這張截圖。實現方法有:App監控截圖操作,或讀取儲存截圖的資料夾等。”
京東金融在第二份官方宣告中表示,上述圖片反饋功能的實現是通過安卓系統的兩個官方通用類ContentObserver和MediaStore的組合呼叫來接收使用者手機截圖動作的通知,使用UniversalImageLoader這個通用第三方庫實現截圖的本地快取以及預覽縮圖快速展示,但上述技術均不具備圖片自動上傳的能力,圖片僅快取在使用者手機本地。