手机APP 收集用户数据应如何合规?——以“京东金融保存用户截图”事件为例

2019年2月16号,一位微博名为“瘦出的肋骨已经消失的大侠阿木”的网友,在微博上发布视频,演示安卓版的京东金融App(下称“京东金融”)在后台运行时,会将用户招商银行的截图保存上传到京东金融的后台服务器。随后,该网友又发布一视频,演示安卓版的京东金融不仅会缓存截图,还会保存相册内的照片,图片类型不限,凡是相册内的图片都有被缓存的可能。由此,引发了京东金融用户和多家媒体的评论和广泛关注。
在网友的演示视频中我们可以看到当安卓版京东金融在后台运行时,会将用户招商银行的截图进行保存上传。这条微博下也有几位网友自己动手进行测试发现问题复现,这意味着京东金融确实在上传用户敏感截图信息。
先看下窃取银行截图的演示视频:(有声音说明)
这条微博下有网友评论表示复现问题:

京东金融上传银行截图原因:
作为金融类型应用主要向用户推荐各种理财产品,上传银行类截图软件很可能是用来分析用户账户持有资产。
有资产数据后就可以用来向用户推送更精准的理财产品等,从视频中我们可以看到京东金融已保存很多截图。
这种全方位的监视对于用户来说与被强 X有有何区别?如果你以为这就是京东金融,那么下面还有更夸张的。
直接上传用户照片有是为哪般:
这名网友随后发布的演示视频显示京东金融不但私自窃取用户银行类截图还会直接上传用户相机拍照的图片。
监控用户银行账户信息还能向推广理财产品上考虑,但是直接上传用户各种照片信息京东金融到底想干嘛呢?
不论是银行类截图还是用户的照片内容都是极具私密的,京东金融未经用户同意直接窃取又与病毒有何区别。
私自上传用户刚刚拍摄的照片演示视频:
相关法律法规对个人信息收集的规定
在对京东金融此次事件进行法律分析之前,我们先来看下我国法律对网络运营者收集用户个人信息有着哪些明确的法律规定。
《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。该条明确规定,一是,网络运营者收集用户信息应当事先经过用户的同意;二是,网络运营者收集用户的信息应当与其提供的服务相匹配。
在《网络安全法》第四十一条规定的基础上,《信息安全技术个人信息安全规范》做出了对用户收集更详细的规范和要求。
1. 收集数据的定义

《信息安全技术个人信息安全规范》第3.5条规定:
收集 collect
获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。
注:如果产品或服务的提供者提供工具供个人信息主体使用,提供者不对个人信息进行访问的,则不属于本标准所称的收集行为。
例如,离线导航软件在终端获取用户位置信息后,如不回传至软件提供者,则不属于个人信息收集行为。

2. 收集个人信息的合法性要求

《信息安全技术个人信息安全规范》第5.1条规定:
对个人信息控制者的要求包括:
a) 不得欺诈、诱骗、强迫个人信息主体提供其个人信息;
b) 不得隐瞒产品或服务所具有的收集个人信息的功能;
c) 不得从非法渠道获取个人信息;
d) 不得收集法律法规明令禁止收集的个人信息。

3. 收集个人信息的最小化要求

《信息安全技术个人信息安全规范》第5.2条规定:
对个人信息控制者的要求包括:
a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联。直接关联是指没有该信息的参与,产品或服务的功能无法实现;
b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;
c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

4. 征得个人信息主体的授权同意

《信息安全技术个人信息安全规范》第5.3条规定:
对个人信息控制者的要求包括:
a) 收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功 能分别收集的个人信息类型,以及收集、使用个人信息的规则(例如收集和使用个人信息的目的、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况等),并获得个人信息主体的授权同意;
b) 间接获取个人信息时:
1) 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
2) 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露等。如本组织开展业务需进行的个人信息处理活动超出该授权同意范围,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意。
《信息安全技术个人信息安全规范》第5.4条、第5.5条规定了征得授权同意的例外及收集个人敏感信息时的明示同意条款,不再赘述。

5. 隐私政策的内容和发布

《信息安全技术个人信息安全规范》第5.6条规定:
对个人信息控制者的要求包括:
a) 个人信息控制者应制定隐私政策,内容应包括但不限于:
1) 个人信息控制者的基本情况,包括注册名称、注册地址、常用办公地点和相关负责人的联系方式等;
2) 收集、使用个人信息的目的,以及目的所涵盖的各个业务功能,例如将个人信息用于推送商业广告,将个人信息用于形成直接用户画像及其用途等;
3) 各业务功能分别收集的个人信息,以及收集方式和频率、存放地域、存储期限等个人信息处理规则和实际收集的个人信息范围;
4) 对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方类型,以及所承担的相应法律责任;
5) 遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施; GB/T 35273—2017 6
6) 个人信息主体的权利和实现机制,如访问方法、更正方法、删除方法、注销账户的方法、撤回同意的方法、获取个人信息副本的方法、约束信息系 统自动决策的方法等;
7) 提供个人信息后可能存在的安全风险,及不提供个人信息可能产生的影响;
8) 处理个人信息主体询问、投诉的渠道和机制,以及外部纠纷解决机构及联络方式。
b) 隐私政策所告知的信息应真实、准确、完整;
c) 隐私政策的内容应清晰易懂,符合通用的语言习惯,使用标准化的数字、图示等,避免使用有歧义的语言,并在起始部分提供摘要,简述告知内容的重点;
d) 隐私政策应公开发布且易于访问,例如,在网站主页、移动应用程序安装页、 社交媒体首页等显著位置设置链接;
e) 隐私政策应逐一送达个人信息主体。当成本过高或有显著困难时,可以公告的 形式发布;
f) 在本条a)所载事项发生变化时,应及时更新隐私政策并重新告知个人信息主体。

京东金融App是否存在违规收集个人信息?
我们先看看京东金融官方的回应。2019年2月17日京东金融官方发布声明,大致是“只承认会自动缓存用户的截图,否认会自动上传该截图,承认所自动缓存的图片仅为用户在京东金融上的截图,否认会缓存用户手机相册内的其他图片”。强调此次技术问题涉及的新增缓存图片仅存在用户手机本地,京东金融APP坚决没有对用户照片和截屏进行私自上传,也对该功能进行了全面排查,并未发现任何一张未经授权的图片被收集。
京东金融的该解释是否成立?缓存图片的行为是否属于《信息安全技术个人信息安全规范》第3.5条规定的收集行为?京东金融究竟有没有权限来获取和缓存用户相册内的图片?
要回答这一问题,我们还需要去查看京东金融App的《隐私政策》条款。经过笔者仔细阅读京东金融的《隐私政策》条款,发现京东金融明示的收集方式为用户直接提供、京东金融主动收集以及从其他来源取得的三种方式(如图所示)。由此,我们能够看出前两种用户信息收集的方式,都是需要用户主动发送的,京东金融并无主动获取用户个人信息的权限。我们再看一下,与此次事件密切相关的京东金融访问用户相机、相册的权限,如图所示,京东金融确实有访问用户相册的权限,但前提是要获得用户的允许,且是在用户需要评论或是与客服联系时,由用户选择上传相关的图片,而非京东金融。
此次事件中,安卓版手机中的屏幕截图和手机拍下的照片都被另外保存在京东金融APP的文件夹中,尽管未上传,但仍在京东金融App的控制之下,是一种非用户主动提供的获取,是一种未经用户授权的获取,至于是否会使用,用户或是我们都不得而知。根据京东金融的《隐私政策》的规定:一是,京东金融需要在用户授权的前提下,才可访问用户的相册,不可主动缓存用户的手机内的截图或是照片;二是,京东金融所载的能够获取用户图片的功能,其目的仅限于为用户提供使用反馈和与客服联系的目的。超出该范围的收集即为收集过度。
根据《京东金融隐私政策》,其中明确地说明了其收集、使用用户数据的目的、方式和范围(如表二所示),以表示收集信息的目的最小化。而不足之处在于,该《京东金融隐私政策》没有说明动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。
(表二)

目的 方式 范围
1、进行实名制管理 用户自填 身份信息、银行卡信息及手机号
2、进行资格、信用及偿付能力审核 用户自填 个人基本信息、个人身份信息、个人财产信息及其他在具体业务开展过程中基于用户的同意而采集的信息进行风险管理及控制,检测、预防及/或修复欺诈或其他潜在的非法活动
3、为用户提供用户选择的京东金融相关服务 用户自填 个人身份信息、个人财产信息及其他在业务具体开展过程中基于用户的同意而采集的信息对我们产品或服务进行适用性评估、验证交易真实性、处理产品或服务请求以及完成交易指令并向用户发送交易通知等。
4、提供客户服务及进行投诉处理 用户自填 姓名及身份证号码、投诉相关内容。
5、改进产品以为用户提供更为个性化的服务 软件收集 交易信息、浏览信息、用户的关注信息进行数据分析以形成用户画像
6、保障交易安全所必须的功能 软件收集 浏览信息、交易信息、用户常用的软件信息、设备信息等手段
7、开展营销活动 软件收集 用户提供的以及我们自行采集的用户信息
8、实现其他功能 软件收集 (1)开启定位服务-位置信息-提供当地的服务
(2)允许访问相机-相机信息-为了使用摄像头扫码进行支付、扫红包、直接拍摄并上传图片进行晒图或分享,人脸识别
(3)允许访问相册-通选择手机内的照片或图片进行评论或与客服沟通时提供证明。
(4)允许访问通讯录-进行手机充值、购买商品时会用到通讯录中的联系人信息
(5)允许访问日历-便捷管理用户的自定义事项,针对重要事项设定基于系统日历的提醒功能

– 关于比特律 –


比特律专注于TechLaw科技领域专业法律服务,探索科技与法律的前沿问题,服务领域包括互联网、区块链、大数据、人工智能、物联网、生物科技、医疗科技等,下设TechLaw部、资本市场部、知识产权保护部和企业家刑事风险部。


联系我们:微信:legalguard;电话:18911142242


延伸阅读:


人工智能法律:
分类/逐条深度解读电子商务法
无人驾驶法律责任认定与承担分析
AI机器人电话骚扰的法律风险问题分析

人工智能应用的法律问题及责任机制分析


大数据法律:

数据处理协议法律合规审查要点分析

网络平台运用大数据杀熟的法律规制

互联网科技公司用户数据保护法律风险分析及解决方案

GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
GDPR之“用户数据可携权”评析(二) ——“用户数据可携权”实务运用问题分析


区块链法律:
证券法适用于新加坡Token发售/发行之规范及案例

UT/ST之分及ST项目Reg D & Reg S注册发行
Reg A+: 对于小公司 or STO更好的上市方式?

发行证券型Token准备工作/流程及关键点分析

关于SAFT:Simple Agreement for Future Tokens
区块链私募基金模式设计及Token合规要点
Token Fund的设立管理及传统VC发展趋势
新加坡区块链公司架构设计及问题分析
区块链项目落地新加坡实务操作要点分析
香港证监会发布虚拟资产持牌监管标准及运营者框架监管声明

香港1-9号金融牌照分类及申请条件

为您推荐

发表评论

邮箱地址不会被公开。 必填项已用*标注

返回顶部