京东金融回应侵犯隐私:属低级失误 不会侵犯用户隐私

　　本报记者 郑瑜 何莎莎 北京报道

　　京东金融被曝侵犯用户隐私一事有了最新进展，京东金融相关人士从技术层面给出了进一步回应。

　　京东金融人士对《中国经营报》记者表示，安全技术团队对所有版本的京东金融APP进行排查后，发现安卓系统上的APP5.0.5以后版本存在某用户通过微博发布的安全问题，并已定位问题且下线修复。

　　京东金融人士表示，在客服截屏反馈功能上存在技术问题，属于需求错误开发。“该功能不应该使用手机缓存技术来实现，应该直接使用手机实时内存（RAM）实现并增强提醒，无须使用手机本地缓存”。

　　问题由于“多此一举”

　　2月16日，有微博用户在微博上宣称，京东金融疑似会自主获取用户的敏感图片信息并上传，紧接着该用户展示了两条视频，视频内容显示用户分别在打开京东金融APP后又打开招商银行APP，对某页面进行截图后，打开京东金融APP文件目录后又找到该截图图片；用户使用美颜相机对某物体拍摄一张照片，该照片同样随后出现在京东金融缓存中。

　　京东金融方面彼时对《中国经营报》记者回应，京东金融已暂时下线“图片助手”功能，并表示，上述用户发布视频里的图片正是上述提示图片在手机本地的缓存，该缓存图片仅用于用户手机上的提示，只要用户不选择发送给客服，这些图片都会待在用户手机中，“京东金融后台系统是绝对看不到的”。

　　“从技术上来说，目前APP获取用户手机页面截图和缩略图常见的有两种可能，都是为了提高用户体验而做。一种是在用户截图时方便调用客服或分享功能，很多应用都会加入这个需求获取权限，使用场景是在应用内针对用户的截图行为出现实时反应，发现用户有截图行为立刻调动询问是否出现问题需要寻找客服解决或者询问是否要分享。”互联网分析师于斌认为，“还有一种获取截图的情况，就是在用户调用分享的时候，APP用来截取当前页面作为缩略图，方便分享。”

　　在记者采访中，有金融公司工程师进一步提出，京东金融获取这些缓存图片的理由还需要京东金融方面给出充分合理解释。

　　反馈该问题的微博用户也对记者表示，希望京东方面进行技术说明，这样比较能使人信服。

　　而2月17日京东金融方面在回复侵犯用户隐私事件的官方文件中，承认了这个问题是由于客服截屏反馈功能使用了本无需要使用的手机缓存技术而导致的。

　　对于为何会产生“多此一举”的问题，京东金融人士进一步解释道，2018年12月，京东金融APP5.0.5版本上线了客服截屏反馈功能，此功能的目的是，用户对京东金融APP进行截屏时，本人可将京东金融APP截屏发送给在线客服人员，以提高与在线客服的沟通效率。此功能实现是通过安卓系统的两个官方通用类ContentObserver和MediaStore的组合调用来接收用户手机截屏动作的通知，使用了UniversalImageLoader这个通用第三方库实现截屏的本地缓存以及预览缩略图快速展示，但上述技术均不具备图片自动上传的能力，图片仅缓存在用户手机本地。

　　而京东金融APP在该项功能开发上存在技术问题，具体为“用户将京东金融APP切换到后台后，该功能继续运行，继续接收新增图片通知（包括截屏和照片等）并在手机本地缓存，而原功能设计需求是切换后自动停止该功能，属于需求错误开发。同时，经过安全技术团队深度评估，该功能也不应该使用手机缓存技术来实现，应该直接使用手机实时内存（RAM）实现并增强提醒，无须使用手机本地缓存，当京东金融APP切换或退出时，将自动清空。”

　　“缓存图片存在手机本地并未上传”

　　记者注意到，不少观点认为下载一些APP时开通的相册访问权限即包括获取相册中的照片。DCCI互联网研究院院长刘兴亮向记者表示，该相册访问权限一般为最高权限，用户同意后APP是可以访问用户相册的。“留存了缓存广义上属于监听技术的一种，监听技术不会影响到用户安全。”

　　上述工程师也认为，这个相册访问权限的确是用户同意了就可以访问，许多APP都存在该功能，但是一个APP不应该在没必要的时候去访问并且留存。

　　京东金融方面在承认微博用户反馈的问题为“低级失误”的同时，也强调，此次技术问题涉及的新增缓存图片仅存在用户手机本地，京东金融APP绝对没有对用户照片和截屏进行私自上传，而且对该功能进行了全面排查，并未发现任何一张未经授权的图片被收集。

　　京东金融方面还作出承诺，将在周一（2月18日）邀请权威官方机构对京东金融APP进行全面的安全性检测，并承诺未来每季度进行权威官方检测，及时公告检测结果。并将“邀请包括上述微博用户在内的用户和外部专家、媒体组成信息安全顾问小组，对京东金融APP提供的产品和服务进行独立、长期的检查监督，将定期公布顾问小组的检查结果”。

责任编辑：贾振飞