京东金融App申请权限超40项《移动APP违法违规问题及治理举措》

9月15日，国家计算机病毒应急响应中心发布《手机APP违法问题及治理办法》，京东金融APP因“涉嫌超出范围收集用户隐私信息”被点名。

京东金融App是京东金融集团推出的一款移动投资应用，具有多种金融功能。国家计算机病毒应急响应中心对其版本5.2.32进行了测试。截至发稿时，京东金融App已迭代更新至5.2.70版本，更新时间为9月16日17:00。

京东金融App拥有40多个应用权限

《2019年网络安全专题会议》发布《移动APP违法问题及治理办法》，京东金融APP因“该APP未按照其隐私声明申请隐私权”而被命名。据移动支付网消息，京东金融于2019年4月18日更新隐私政策，4月24日正式生效。

隐私政策中京东隐私政策合理吗，京东金融App出于核心功能业务需求，适用于收集用户身份信息、银行卡信息、手机号码、地址、职业、学历、房产信息、面部特征、指纹信息、位置信息、交易信息及转账红包信息、设备型号及设备识别码、网络使用习惯、设备状态等隐私信息。

京东金融App声明上述信息是核心业务所必需的。如果用户不提供信息，京东金融将无法提供相应的产品和/或服务。只有少数几种信息需要申请隐私权限，例如设备信息和识别码权限、访问网络状态权限、指纹识别器移动权限、位置权限、访问软件列表等。

此外，京东金融还声明了“不提供不会影响您使用京东金融的个人信息”的6项个人信息，包括相机访问权限、相册访问权限、访问权限地址簿京东隐私政策合理吗，以及打开麦克风的权限。

也就是说，这6个权限是用户可控的，用户可以自由选择是否提供给京东金融App。那么京东金融申请了多少权限呢？

应用宝显示“京东金融5.2.70”已申请42个权限。太平洋互联网应用说明显示，“京东金融5.2.50”申请了41个权限。

太平洋互联网截图

显然，其中许多权限并未体现在隐私声明中，例如发送短信的权限、蓝牙的权限、写入系统设置的权限、写入外部存储的权限等等。其中，“允许应用发送短信”可能会导致用户被恶意收费。

京东金融App没有充分说明业务逻辑和权限关系，也没有充分说明权限的目的。涉嫌违反《网络安全法》第四十一条：“网络运营者收集、使用个人信息，应当明示收集、使用信息的目的、方式和范围，并征得被收集人同意。”

京东金融App的问题是行业问题

今年2月16日，有网友在微博晒出两段视频，显示京东金融App会自动获取用户敏感图片。用户打开京东金融App放在后台，然后打开招商银行App截图，然后打开文件管理。发现招行的截图出现在京东金融App的缓存中。

事件一经曝光，在网上引起轩然大波，引发网友热议。京东金融很快做出澄清：“是技术错误，没有窃取用户隐私。”紧接着，3月，泰尔实验室APP安全定向检测结果公布：安卓版京东金融APP的“客服截图反馈功能”没有看到图片中上传的照片或截图未经用户授权的缓存文件夹。

时隔半年，京东金融App因隐私问题再次被媒体报道。与2月份爆料的网友不同，这次是正式点名。京东金融将如何应对？

在数字经济和数字金融时代，金融支付机构尽最大努力收集用户的个人信息以支持业务发展和创新，这不可避免地涉及到用户隐私和数据安全问题。京东金融App并非孤例。自 4 月以来，广东警方已点名 132 款应用程序存在严重的隐私和安全问题。国家网信办点名中国银行、日照银行、交通大学等30家违反《网络安全法》第四十一条的应用，以及银联、国通行易等金融支付机构。

用户隐私和数据安全问题是整个行业的问题，而不是单个公司的问题。这个问题涉及到产业链的每一个环节。杭州魔蝎数据科技有限公司、心研科技人工智能科技有限公司、杭州存心数据科技有限公司的相继调研，也是这个行业问题的一个缩影。

用户隐私和数据安全是互联网永恒的红线。 《数据安全管理办法》、《个人信息出境安全评估办法》、《App非法收集和使用个人信息行为识别办法》、《移动互联网应用（App）收集个人信息基本规范》等一系列制度性文件信息》等系列制度文件已向社会公开。征求意见。

监管越来越严，金融支付机构该如何拥抱监管？如何在拥抱监管的同时继续业务创新发展？移动支付网将于11月5日在深圳举办“2019第四届中国移动金融安全大会”，本次会议将讨论相关问题。返回搜狐，查看更多