法治课｜被指擅自获取用户敏感图片，京东金融是否违法？

近日，安卓版京东金融App（以下简称“京东金融”）被指擅自获取用户敏感图片，引发公众关注。2月16日，网友 @瘦出的肋骨已经消失的大侠阿木 在微博爆料称，京东金融在手机后台运行时，他随机打开某银行App界面并进行截图。随后，他在手机文件管理器中京东金融的文件目录下，找到了上述截图。

对此，京东金融方面回应称，所谓“图片获取”实为2018年12月发布版本中的一项便利小功能：当用户打开京东金融后进行截图操作，软件会认为用户有可能想向客服投诉或建议。京东金融表示，缓存图片只存储在用户本地手机设备内，仅供用户本地操作提示，不会上传到京东金融后台系统。

截至目前，京东金融App已暂时下线“图片助手”小功能。法律人士表示，京东金融App此项功能虽属于技术bug，但仍可能涉嫌违法，或涉及非法收集用户个人信息。此外，针对当下的此类互联网公司涉嫌侵犯隐私事件，由于缺乏有约束力的国家标准和行政监管，用户维权亦存在难题。

读取用户相册截图：京东金融是否违法？

澎湃新闻（www.thepaper.cn）注意到，在安卓版京东金融App隐私政策中，共有3条涉及相机相册和用户银行账号信息：1.在安装时，需要获得读取存储卡内容，包括修改或删除存储卡的内容；2.访问相册是为咨询客服时提供证明；3.收集的信息包括个人财产证明类信息，例如：各个银行账户及其他支付工具的账户信息等。@瘦出的肋骨已经消失的大侠阿木 据此质疑，京东金融隐私政策未提到在用户非主动发送的情况下私自读取相册截图涉嫌违规。

京东金融此举是否涉嫌违规、违法？在北京志霖律师事务所副主任、中国政法大学知识产权研究中心特约研究员赵占领看来，此次事件很可能是京东金融的技术bug。

赵占领指出，用户在手机上截取其他应用的图片，可能会涉及非常敏感的个人信息，特别是用户在操作网银时的截图，直接涉及到用户的隐私和财产安全。“然而，用户在手机上截取其他应用软件界面的图片，多数情况下与京东金融没有直接关联，对于京东金融实际用处不大。”赵占领分析，京东金融如果真的要通过这种方式收集用户个人信息，也不会把用户的截图放在京东金融的文件目录里，“这样会留下明显的证据。”

2月17日，京东方面再次回应称，将邀请权威官方机构对京东金融进行全面的安全性检测，并承诺未来每季度进行权威官方检测，及时公告检测结果。截至发稿，京东金融方面暂未公布安全性检测结果。

赵占领告诉澎湃新闻，如果用户的截图被上传到京东金融的服务器，京东金融可能涉及非法收集用户个人信息，即使在用户协议中有约定，也违反了法律规定的“正当、合法、必要原则”中的必要原则。

澎湃新闻注意到，《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息”。

对此，京衡律师上海事务所副主任邓学平亦认为，京东金融的“图片助手”功能可能涉嫌违法。“如果京东金融读取了缓存于用户手机的照片，这与用户下载京东金融APP的初衷相悖，属于收集与其提供的服务无关的个人信息”，倘若在没有事先公开明示或征得用户同意的情况下，构成了对用户公民信息的侵犯。此外，邓学平还表示，京东金融收集消费者在其他金融机构的个人信息，很可能构成不正当竞争或者窃取商业秘密。

“公民的个人信息被非法获取，会造成全方位的风险。”邓学平表示，京东金融即便没有将截图上传，其违法性和危害性亦不言而喻。软件对用户的图片信息进行全方位读取后可能会对相关信息进行分析、上传，“即便截图不上传，但图片中的信息可能会被上传，或者与用户的信息进行绑定。”

安全规范约束力不足：优先保护用户信息还是企业利益？

澎湃新闻注意到，2018年5月，《信息安全技术个人信息安全规范》（下称“《规范》”）正式实施，明确了个人信息保护的基本原则和具体实行的办法，以及互联网企业如何履行个人信息保护的义务。

澎湃新闻此前报道中发现，当前通行的多数软件、平台隐私条款当中，不仅存在重要条款缺失，同时，免责条款依旧是企业免除信息使用责任的“避风港”，给用户利益被侵犯、滥用埋下隐患。

以“个人敏感信息采集”为例，《规范》明确界定了“个人信息”和“个人敏感信息”的范畴，并规定个人信息控制者需在收集前向个人信息主体逐一说明收集个人敏感信息系为完成何种附加功能所必需，并允许个人信息主体逐项选择是否提供或同意自动采集个人敏感信息。

澎湃新闻在采访中发现，能够做到“逐一说明”个人敏感信息用途的隐私条款寥寥无几。在赵占领看来，上述国标属推荐性标准而非强制性标准，对企业的约束力不足。

赵占领告诉澎湃新闻，判断企业收集个人信息的范围是否过大主要依据收集个人信息的“必要”原则。如果企业不能证明其收集某类个人信息具有必要性，则这种收集行为不合法。但在实际操作中，因为缺乏具体的标准，对于“必要”原则的理解存在诸多争议。

对此，上海社会科学院信息研究所研究员张衠此前接受澎湃新闻采访时指出，按照我国法律和监管部门要求，App应通过弹窗作为增强告知的方式，以获得用户的明示同意后，方可使用敏感信息，这也是目前国际上主流的明确告知方式。但这并不意味着数据控制者（企业）采取安全措施保护用户信息安全的义务就此不复存在，亦不能减轻（信息泄漏事故发生时）企业所应承担的责任。张衠表示，企业除了获取用户同意之外，还需要为数据主体（用户）提供更多的控制权和数据处理的透明度。

隐私维权“举证责任倒置”能否解局？律师：加强行政监管

那么，非法收集、使用公民个人信息行为一旦发生，法律如何制裁？

在邓学平看来，目前应用软件收集、使用个人信息的现象十分普遍，而被侵害者往往很难发现。“现在一堆法律虽有规定，但监管甚至存在九龙治水的现象，如果所有的问题都要靠消费者自己发现，技术能力做不到，导致维权成本高昂。”

对此，赵占领认为，完善当前法律的关键之一在于对于正当、合法、必要三原则中的“必要”原则应进一步明确、细化标准，避免企业以此为由任意扩大所收集的个人信息的范围。与此同时，对于个人信息的民事侵权或违约行为，赵占领建议建立举证责任倒置的规则，解决用户个人通过法律途径维权的举证难题。

邓学平指出，简单一律地实行举证责任倒置在此类案件的司法实践中也会产生一定问题，需要细化设计。“否则随便一个消费者，不需要任何理由，就可以把一家公司告上法庭，公司就需要不停的应诉。”邓学平建议，消费者或用户首先需要举证证明自己的信息被侵害了，然后再应用举证责任倒置，由公司举证证明自己没有非法侵害用户个人信息。

邓学平还表示，举证责任倒置是民事诉讼中的举证原则，但是针对侵犯公民个人信息案件，主要的法律救济手段不应该是民事诉讼，而是行政举报，由监管机构给予行政处罚，情节严重的，再由公安机关追究刑事责任。

“所以，App上线的时候，行政监管不可少。这一块目前有待加强。”邓学平说。