我们向往自由,却从未真正自由。
我们追求体验,却不得已放弃隐私?
2019年被看作是“数字经济”大行其道的开端。新年伊始,京东金融APP被网友曝出自动获取用户截图、照片一事引爆网络。
京东金融“盗图”事件还原
2月16日,有网友微博发布两条视频显示,京东金融App会自动获取用户敏感图片,用户打开京东金融App放置后台,再打开招商银行App并截图,再打开文件管理,发现招商银行截图出现在了京东金融App缓存里。
当天下午京东金融对此事回应称,“缓存图片只存储在用户本地手机设备内,仅供用户本地操作提示,不会上传到京东金融后台系统。图片只在用户选择发送客服后才会上传服务器,京东金融后台系统才会看到图片。”
京东金融表示,图片缓存现象其实是其在2018年12月发布的版本中的一个便利小功能,如果用户打开京东金融App后进行截屏,京东金融会认为用户有可能想投诉或建议的动机。
网友则认为京东金融的回复毫无说服力,该网友表示,“我的第二条视频还证明了京东金融还会‘窃取’美颜相机的照片。这个和‘截图反馈’功能毫无关系。”
2月17日下午,京东金融就上述事件进行道歉并披露最新排查结果。京东金融称,安全技术团队对所有版本的京东金融APP进行排查后,发现安卓系统上的App5.0.5以后的版本存在该问题,并已定位问题且下线修复。
京东金融表示,京东金融App在上述功能开发中存在技术问题,具体为用户将京东金融App切换到后台后,该功能继续运行,继续接受新增图片通知(包括截屏和照片等)并在手机本地缓存,而原设计需求是切换后自动停止该功能,属于需求错误开发。
京东金融自始自终都强调以“技术”标榜,“盗图”事件有可能真的只是一个技术bug,但是这件事却再次为互联网行业的用户隐私和用户安全问题敲响了警钟。
用户隐私和数据安全是互联网永远的红线
就好比食品安全、医疗安全、出行安全问题一样,用户隐私和数据安全也将始终伴随着各行业发展而持续存在。
尤其在数字经济和数字金融时代,大公司总是穷尽所能去采集用户信息,然后通过自己的技术和模型,建立各种维度的数据标签去刻画用户画像以达到企业的各种业务诉求。
亿欧金融认为,京东金融APP“盗图”事件反映的只是用户个人信息安全问题的冰山一角。在大数据、人工智能红的发紫的当下,企业对于用户个人信息的需求增强,越线行为也是时有发生。
关于过度收集用户信息方面,最早可以追溯到2010年腾讯与360的“3Q大战”,360推出“360隐私保护器”发现,只要开启QQ,无论是否登录聊天帐号,它都会自动扫描电脑硬盘,访问一些敏感信息。此外,还有2017年支付宝年度账单事件;江苏省消费者权益保护委员会指控百度侵犯隐私事件;2018年年中,ViVO NEX发现QQ浏览器调用手机摄像头事件等。
2018年12月,据中国互联网协会网站公布的信息显示,通过技术检测以及用户举报发现,QQ音乐等18款APP疑似存在过度收集“短信”“通讯录”“位置”“录音”等用户敏感信息,万能看等9款APP疑似存在未经用户同意收集使用用户个人信息。
同时包括芒果TV、趣头条、金山词霸、信用金卡、猪宝钱包、美期分期、信用白条、掌e贷、宜人贷等14款APP存在过度收集用户个人信息、未经用户同意收集使用用户个人信息等问题。
在用户个人信息泄漏方面,2019年2月14日,GDI基金会荷兰安全研究员Victor Gevers发现,中国深圳的一家人工智能公司深网视界(SenseNets)对于其人脸识别数据库没有密码保护,导致大量人脸数据直接暴露在网上。
据了解,深网视界的人脸识别数据库有超过250万用户信息,包括身份证号码、地址、出生日期、识别其身份的位置等。
2018年12月,Google+出现漏洞,能够让应用开发者使用应用程序接口(API)在11月的6天时间中,访问5250万用户的姓名、电子邮箱、职业和年龄以及其他详细信息遭泄露,即使用户把个人资料设置为“非公开”。
2018年年末,万豪集团旗下喜达屋酒店的一个顾客预订数据库被黑客入侵,近5亿人次的详细个人信息被泄露。
值得关注的是,此前还有震惊一时的“借贷宝10G不雅裸照”、“雅虎30亿用户信息泄露”等信息泄露事件。
在用户个人信息倒卖方面,互联网金融尤其是金融科技企业问题尤为明显。有业内人士向亿欧金融表示,在互联网金融发展初期,企业对于用户个人信息保护是忽视的,一些金融科技企业数据裸存现象严重,这其实就是典型的数据倒卖。
据此前新京报报道,记者以购买网贷数据为名联系了一名贷款中介,其表示,可以以1.5元一条的价格向记者提供来自各大网贷平台当天的贷款数据,数据内容包括借款人的姓名、电话、身份证号、借款金额等。
随后,新京报记者经过议价,以1元一条的价格向该人士购买了100条数据,这些数据涉及借钱用、速贷之家、新浪轻松借等几十家平台,并附有借款人在该平台上借款的手机号码以及姓名。
事实上,用户个人信息倒卖属于违法行为,刑法第二百五十三条规定:向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
亿欧金融认为,在用户个人信息收集与传输方面企业要做到两点,一是任何数据的交互一定要经过用户授权,交互的数据要经过脱敏、不开放底层数据。二是未经过用户授权的数据要禁止对其他机构开放。此外,关于数据资产的应用及开发、用户隐私的保护等法律法规的缺失也是行业问题频发的根本原因。
技术是把双刃剑。新技术代表了时代的进步,在积极拥抱新技术的同时,各行业也不应该忽视新技术所带来的各种风险。
在商业社会里,人人都知道数据就是金钱,但我们更应该清楚“尊重别人的隐私是最起码的修养”。