涉嫌过度收集用户个人信息 App被点名

作者: 未知 来源: 网络 2019-10-23 16:17:06

作者:陈为

9月15日,国家计算机病毒应急中心发布了《移动应用的非法问题及治理措施》。JD.com金融应用被命名为“涉嫌收集超出范围的用户隐私信息的行为”。

JD.com金融应用是JD.com金融集团推出的移动投资应用,具有多种金融管理功能。国家计算机病毒应急中心测试了它的版本5.2.32。在撰写本文时,JD.com金融应用已经反复更新到5.2.70版,更新时间大约是9月16日晚上17点。

JD.com金融应用拥有40多项应用权限

“移动应用非法问题和治理措施”在“2019年网络安全特别会议”上发布。JD.com金融应用之所以被命名是因为“根据其隐私声明,该应用没有申请隐私权”。据移动支付网络报道,京东金融于2019年4月18日更新了隐私政策,并于4月24日生效。

在隐私政策中,JD.com金融应用程序适用于收集用户身份信息、银行卡信息、手机号码、地址、职业、教育、财产信息、面部特征、指纹信息、位置信息、交易和转账红包信息、设备型号和设备识别码、网络使用习惯、设备状态和其他核心功能业务需求的隐私信息。

JD.com金融应用声明,上述信息对于核心业务是必要的。如果用户不提供信息,JD.com金融将无法提供相应的产品和/或服务。这些信息中只有少数需要申请隐私权,如设备信息和标识码权、网络状态访问权、指纹读取器传输权、位置权、软件列表访问权等。

此外,360buy.com金融还声明了六项“不提供不会影响您使用360buy.com金融的个人信息”的个人信息,包括允许您访问相机、相册、通讯录和麦克风。

也就是说,这6项权利属于用户的控制,用户可以自由选择是否将其提供给JD.com金融应用。京东金融申请了多少权利?

申请包中显示,“京东金融5.2.70”已申请42个权限。太平洋计算机网络的应用说明显示,“京东金融5.2.50”已经申请了41个权限。

太平洋计算机网络截图

显然,这些权利中的许多没有反映在隐私声明中,例如发送短信的权利、蓝牙的权利、写入系统设置的权利、写入外部存储的权利等。其中,“允许应用程序发送短消息”可能会导致用户被恶意扣款。

JD.com金融应用没有充分解释业务逻辑和权限关系,也没有充分解释权限的使用。涉嫌违反《互联网安全法》第四十一条:“网络经营者收集和使用个人信息的目的、方法和范围,应当明确规定,并经被收集人批准。”

京东金融应用的问题是一个行业问题。

今年2月16日,一名网民在微博上发布了两个视频,显示京东金融应用将自动获取用户的敏感图片。用户打开京东金融应用放置背景,然后打开招商银行应用截图,然后打开文件管理,发现招商银行截图出现在京东金融应用缓存中。

这件事一经揭露,就在网上引起了很大的轰动,引起了网民的热烈讨论。京东金融很快澄清,“这是一个技术错误,没有窃取用户隐私”。随后,在3月份,泰尔实验室应用的安全定位测试结果发布:JD.com金融应用安卓版的“客服截图反馈功能”没有看到用户未经授权在图像缓存文件夹上传照片或截图。

六个月后,京东的金融应用再次因隐私问题出现在媒体上。与网民二月份报道的不同,这是一次官方点名。JD.com会做出什么反应?

在数字经济和数字金融时代,金融支付机构已经用尽了收集用户个人信息以支持业务发展和创新的能力。在此期间,不可避免地会涉及用户隐私和数据安全问题。京东的金融应用不是这样。自4月份以来,广东警方已将132款应用列为存在严重隐私安全问题的应用。互联网信息办公室称30个应用程序违反了《互联网安全法》第41条。有许多金融支付机构,如中国银行、日照银行、贾立安支付和郭彤兴业银行。

用户隐私和数据安全问题是一个行业范围的问题,而不是公司的问题。这个问题涉及产业链中的每一个环节。杭州魔天蝎数据科技有限公司、新颜科技人工智能科技有限公司、杭州存新数据科技有限公司相继被检查,这也是该行业问题的缩影。

用户隐私和数据安全是互联网永恒的红线。《数据安全管理办法》、《个人信息出境安全评估办法》、《应用非法采集和使用个人信息识别方法》、《移动互联网应用个人信息采集基本规定》等一系列系统文件相继出台,征求公众意见。

本文来源于移动支付网络

欲了解更多激动人心的信息,请访问金融网站(www.jrj.com.cn)


上一篇:孙俪揭露养娃真相:当妈以后,我再也不漂亮了……

下一篇:石碣70岁老党员刘酧仔:叹家乡发展巨变 赞祖国伟大成就