京东金融App被曝窃取用户隐私，获取敏感图片

2月16日，一位微博号叫@瘦出的肋骨已经消失的大侠阿木的网友，在其微博上发布一视频并附文称“京东金融APP被曝光会获取用户的敏感图片并上传。”

不到半小时，上述网友又在其微博发布第二条视频并附文“京东金融不止偷截图，还会偷照片。”

从该网友发布的演示视频看，当安卓版京东金融在后台运行时，如果用户此时进行“截图或拍照”操作，该截图或照片可在京东金融文件目录处找到，且保存命名被模糊化。

另外，在该网友的这两条微博评论区下面，多个网友称，自行测试了一下，复现成功。

当天下午，京东金融通过官方微博@京东金融客服回应此事称，“京东金融绝对不会收集未经用户授权的任何信息，更不会窃取！关注到用户@瘦出的肋骨已经消失的大侠阿木反馈的问题后，我们有话要说。”

京东金融解释称，如果用户打开京东金融App后进行了截图，APP会认为用户有可能想向平台的客服投诉或建议。为了方便用户和客服沟通，平台在用户界面的左上角展示图片提示， 用户可进一步选择是否联系客服并发送图片。

“而大侠阿木视频里的图片正是该提示图片在手机本地的缓存。”

京东金融还称，上线”图片助手”小功能原本是希望优化用户体验，但是却给用户带来了不良感受。

但京东金融的此番解释，并不能说服网友@瘦出的肋骨已经消失的大侠阿木。该网友随后又发微博称，“京东金融解释说是反馈功能的预缓存，但是并无说服力。因为京东金融 “窃取”美颜相机的照片与“截图反馈”功能毫无关系。又怎么解释呢？”

“另外，技术角度上讲，，因为既浪费时间，又浪费性能，还浪费内存空间。”

“所以仍然有理由进行进一步的揣测，”

对于京东金融这种行为，京东金融称，是优化用户体验；而上述网友却认为，京东金融确实是为了其他目的。那京东金融到底有没有窃取用户隐私，该平台要这些数据有何用处？

京东金融要这些数据干嘛？

抛开窃取之嫌，如果京东金融拿到这些用户信息，可有什么用处？

如今企业都在做智能推送、精准推送等服务，而要实现这些，必须要拿到更多维、更丰富的数据。但用户保护隐私意识越来越强，这些平台要想拿到更多数据，有的会偷偷做擦边球，在隐私协议不讲清楚情况下，私自盗用。很多平台存着侥幸之心，认为：第一、很少有用户会认真仔细把长长的隐私协议看完；第二、平台窃取了哪些信息，大多用户基本都是毫无察觉。

京东金融是京东数科旗下子品牌，为个人和企业提供数字金融服务。金融类型应用主要向用户推荐各种理财产品。如果能拿到用户更多的日常行为数据，就能更精确得分析用户需求并做推送。

从京东金融APP“隐私设置”处查看的京东金融隐私政策看，该平台有些用户信息是必须收集的，比如平台在提供以下服务：实名认证，资格、信用及偿付能力审核，支付服务、保障交易安全、个性化服务等，此时，用户必须提供个人身份信息、个人财产信息、个人常用设备信息、个人教育工作信息、面部特征、个人位置信息等信息，还有一些用户主动提及的或基于用户的同意而采集的信息。

另外，京东金融隐私协议显示，平台对用户信息的使用范围包括：可能会将用户的个人信息与京东金融的关联方共享；可能会向其合作伙伴等第三方共享用户的交易信息、账户信息及设备信息：比如京东集团的成员——京东商城等；或共享给提供技术、咨询服务的供应商；共享给合作金融机构等。

猎云网发现，京东金融是可使用京东账号登陆。照此看，京东金融上获取到的用户信息，也可以给京东商城做用户画像，京东商城由此向用户推荐商品。

窃取用户隐私的APP都该封杀？

据京东金融隐私协议显示，京东金融手机获取用户个人信息有三种方式。其中一项是，京东金融主动收集，但该项明文规定收集的必须是用户发送给平台的信息。

另一方面，京东金融隐私协议规定，使用该APP，有些信息用户必须授权，而有些是可选择授权。用户可选择授权项包括：开启定位、访问相机、访问相册、访问通讯录和访问日历。

目前，京东金融已关闭“图片助手”功能，所以也无法测试在“不允许访问相机和相册”下，会不会出现相同现象，即截图在京东金融文件目录下复现。目前也无法判断京东金融有没有私自将用户截图进行保存并上传。

窃取用户隐私一直是用户十分敏感的问题，但却难以遏制商家一边消费着用户一边窃取用户敏感信息。目前的APP或多或少都在获取用户信息。

据腾讯社会研究中心联合DCCI互联网数据中心上个月发布的《隐私安全及网络欺诈行为分析报告》显示，在该报告选取的样本中，当前所有的Android端APP都会不同程度的获取手机隐私权限。其中，投资理财类APP是获取手机隐私权限最多的APP，其平均获取的权限数量为17.2项。值得欣慰的是，Android端越界获取手机隐私权限从2017年的25.3%下降到2018年下半年的2.0%。另外，在被获取的隐私权限中，照片、定位服务和打开相机是iOS端APP最常获取的三大隐私权限，分别有高达85%、79%和76%的APP获取了以上权限。

另外，在上述网友发布的微博下有评论称，不止京东金融有监控用户截图行为，美团也有类似行为。

其实除了手机APP，会泄露隐私的渠道还有：公共WiFi、旧手机和企业数据等。但手机APP是重要的隐私泄露渠道之一。

在人工智能时代，AI发展离不开数据，但人们又重视隐私。企业要考虑的，一方面是，如何保证用户隐私安全；另一方面是，如何合理获取用户数据。毕竟一旦有企业恶意使用用户信息或者用户的隐私数据被泄漏，被不法分子偷取利用，后果不堪设想。

互联网时代，诈骗电话、诈骗短信依然层出不穷。但光靠卸载APP来保护隐私已是不现实，学会自我保护也很重要。当然，要不要卸载这些APP，还是看个人需求，如果不卸载，就多学些如何保护隐私的方法。比如：在合规渠道下载软件、慎重对待手机隐私权限管理、谨慎填写个人隐私信息、不要随便打开不明链接等等。

附京东金融回应全文：