京东金融涉嫌窃取用户隐私？听听专家们怎么说

近日，有网友质疑京东金融APP擅自保存用户图片，涉嫌窃取用户隐私。京东金融对其进行了回应，承认产品存在技术问题，但绝对没有将用户照片和截屏进行私自上传。今日，京东金融独家回应人民网，称已按公告表述于17日如期联系了多家专业权威检测机构，邀请其对京东金融app进行全面安全性检测。截至记者发稿，已经有机构决定受理京东金融app安全检测委托。近日，京东金融将会公布具体进展。

多位业内专家先后向人民网记者表示， “单纯的本地储存照片不会泄露用户隐私。缓存图片是否被任意上传至企业后台和利用方式是否有边界，才是判断隐私泄露与否的关键。”

存图存照片？京东金融：致歉但否认窃取隐私

2月16日，网友@瘦出的肋骨已经消失的大侠阿木（下简称“阿木”） 发布视频称，京东金融APP会获取用户图片并上传。网友打开京东金融APP切换至“后台运行”模式后，打开银行APP界面截图，随后，网友在京东金融的文件目录下，发现了刚刚保存的银行APP界面截图。

此后，阿木发布第二条视频并表示：“京东金融不止偷截图，还会偷照片。”视频中，阿木在京东金融APP后台运行过程中，使用美颜相机拍照。随后，阿木在京东金融的文件目录下，再次发现了所拍照片。

一天之内，相关内容被大量转发，引起网友讨论。不少网友进行测试，并纷纷回复称确实能够“复现”，并担心京东金融是否会以此举获得自己的隐私信息。

事发当日，京东金融做出首次回应，并在次日作出二次回应。两次回应中，京东金融均拒绝承认窃取用户隐私，但对用户的不良感受致以歉意。

2月16日下午，京东金融通过微博作出承诺称，绝不会收集未经用户授权的任何信息。缓存图片只存储在用户本地手机设备内，不会上传到京东金融后台系统。同时，京东金融APP暂时下线“图片助手”功能，并对给用户带来的不良感受致以歉意。

但是，爆料网友阿木对此番回应并不认可。阿木从技术角度提出，反馈功能的预缓存，只需要缓存图片的原始路径即可，而不需要复制一份原始图片。

次日，京东金融进行第二次回应，承认京东金融APP在客服截屏反馈功能开发上存在技术问题，属于需求错误开发。同时，京东金融表示，本周会邀请权威官方机构对京东金融APP进行全面的安全性检测，并邀请阿木在内的相关人员对京东金融进行长期监督。

如何判断隐私泄露？是否上传缓存图片成关键点

双方各执一词。现在，围绕“储存行为会不会泄露用户信息”、“照片是否被上传照片至京东金融后台”的争议成为了事件的焦点。人民网就此采访了多位相关专业人士求证相关问题。

中国计算机取证专委会委员万涛表示，“目前，市场上许多APP都有类似 ‘截图助手’ 的功能，比如淘宝、微信等。这类设计主要是为了提升用户体验的便捷性。”

一位资深编程人员介绍说，“一般APP提供的类似功能在使用图片时，会直接到图片所在的文件夹中访问。而京东金融则是将图片拷贝至京东金融的文件夹，需要使用照片时，访问京东金融文件夹。”

万涛认为， “就京东金融事件而言，所谓 ‘图片截取’ 的本质是缓存。单纯的缓存并不会泄露用户的隐私。缓存图片是否被任意上传至企业后台和利用方式是否有边界，才是判断隐私泄露与否的关键。”

那么，如何得知缓存图片是否被上传呢？2月17日，京东金融公开表示将于18日邀请第三方权威机构对京东金融APP就“是否泄露用户隐私”问题进行检测。

万涛认为，第三方机构的结果将比京东金融的声明更具有说服力，“第三方检测机构有两种，一种是证明APP本身的安全性，比如不会被黑客攻击等；一种是司法的取证类机构，更善于鉴定企业行为。第三方机构主要是依靠公信力和专业能力立足。只要该机构有足够的资质和公信力，寻求检测是一个比较有效的判断途径。”

专家：预防APP隐私泄露有办法

互联网时代，个人隐私的保护是用户关注的重点话题。

缓存用户照片违法吗？中国政法大学知识产权中心特约研究员、北京志霖律师事务所副主任赵占领表示，“不管图片内容是否涉及用户个人信息或个人隐私，如果APP仅对于用户的照片进行本地缓存、保存在用户手机里，只要不存在上传等泄露行为，并不违反法律。”但是，他强调，“为了避免用户误解甚至产生恐慌心理，有必要明确告知用户。”

缓存图片后会被上传吗？“在安卓系统下，APP只要获得手机图库读取权限都有可能缓存图库中的图片。”万涛说，“并且，从技术上看，APP获得图库权限后，自动缓存并上传照片是可以做到的，当然这其中也存在资源开销和实际效益问题。但是由于技术水平和条件限制，用户自己很难判断APP缓存的图片是否被上传。”

一位资深编程人员解释说，“因为处于商业保密和效率原因，APP上传下载的数据有可能是被分拆、加密、转码、打包的，这个对于普通用户来说比较难分析，或者仅仅靠截图后流量变化得出结论。”

如何有效避免各类APP盗取用户隐私信息？关闭图库权限，可以避免类似问题。在苹果手机的系统中，对于授权分为“始终授权”、“使用应用期间授权”和“永不授权”三类。万涛建议用户将相关权限调整至“使用应用期间授权”。此外，安卓系统下的授权分类目前仅有“授权”和“不授权”两类，如果图库内容有敏感隐私信息，建议用户在使用完APP后关闭相关图库的授权。

此次事件中，网友在网络平台公开对这种行为提出质疑。一位资深业内人士对这种行为表示认可，“大众的隐私意识增强倒逼厂商在隐私方面做得更完善，能够提供足够强的信用背书以及数据使用报告。”