"数据千万条 合规第一条"——京东金融侵犯用户隐私风波之鉴(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本篇作者为一线互联网公司数据保护法律顾问黑啤。
正文:
2月17日消息,针对有网友称京东金融App会保存用户在其他APP的截屏图片在自己的文件夹内,因此质疑京东金融App侵犯用户隐私。
对此,京东金融方面回应称, “此功能的目的是,用户对京东金融App进行截屏时,本人可将京东金融App截屏发送给在线客服人员,以提高与在线客服的沟通效率。此功能可以实现截屏的本地缓存以及预览缩略图快速展示(通过Content Observer 和 Media Store组合调用接受用户手机截屏动作通知,并通过Universal Image Loader实现截屏本地缓存和缩略图快速展示),但技术上不具备图片自动上传的能力,图片仅缓存在用户手机本地”。
京东金融否认把数据上传了服务器,并且在声明中为了提高公信力,他们还将邀请权威官方机构进行检测,并公告检测结果。从京东的解释看,京东就是为了用户给客服传图方便,在本地暂存了数据,并没有自动上传。但还是“小白”用户的感觉仍是隐私被窥探,公司没底线,有用户称已经卸载京东APP。
其实,这个问题的症结就是产品设计中没有融入隐私设计的理念(PBD——Privacy by Design),仅考虑了用户的功能需求,没有考虑用户的隐私需求。
从隐私设计的角度看,京东金融App存在三个设计逻辑问题:
第一、数据处理不符合必要性原则
截屏属于处理用户个人信息的行为,该行为应仅在处理目的的场景下发生。因京东金融截屏的目的是发送给在线客服人员,那么用户切换到第三方APP后已经脱离了京东的应用场景,京东APP调用接受用户手机截屏动作通知及后续的截屏本地缓存和缩略图快速展示功能应立即停止,但根据京东的解释其显然没有区分自身和第三方应用。
第二、没有考虑个人信息的安全
产品设计阶段需要考虑消费者的个人数据安全可能面对的威胁, 使用手机本地缓存可能增加数据泄露的风险,应该直接使用手机实时内存(RAM)实现,当App切换或退出时,将自动清空,避免数据泄露。
第三、没有考虑用户的隐私体验
产品对权限的调用和对个人信息的使用,需要考虑用户的隐私感知和体验。京东截取了用户在第三方APP的截图,会让用户感觉到被监控,这也是用户不能接受的底线问题。
此次事件给我们敲响了一记警钟,隐私设计评估的重要性不言而喻。依照《个人信息安全规范》国标,隐私防护措施必须与个人信息处理动作同步规划并同步上线,关于个人信息处理的新技术\新业务\新产品规划和实施阶段,或与第三共享方数据前需进行PIA评估和PBD设计。
我们在考虑如何给用户创造智能和便利的同时,也要如何为用户创造为创造安全感、尊重感和价值感,建议大家在产品设计阶段,也融入隐私保护设计的理念,考虑如下问题:
如何确保消费者数据的安全。考虑消费者的个人数据安全可能面对的威胁,并制定相应的数据隐私政策的安全保障措施。
我们收集的数据是否是必要的。考虑个人数据收集的目的,并将存储在设备上和/或其收集的个人信息限制于实现目的所合理需要的数据要素内。考虑是否存在通过收集较少类别的个人数据的方式来提供商品或者服务,并尽可能地避免收集敏感个人数据。
消费者的隐私期待是什么。在设计产品或服务时,应当注意合理的用户期望的内容。若产品或服务将收集更多类别的个人数据或以非常规方式处理此类数据,则可能将承担更高的通知和选择义务以及其他要求。
用户有哪些控制权。考虑是否有方法可以向用户提供对其数据的额外控制和选择。这些选择可能涉及采纳或者拒绝收集特定类型的数据,被给予用户关于自身或第三方如何使用其数据的选择,以及对其个人数据的控制。
我们要保存多久数据。应对个人数据的保存采取合理的限制,一旦数据超出收集的合法目的,就应予以处置。
用户的隐私体验友好吗。为了尽可能提供最佳的用户体验,应当尽早考虑隐私问题,使得产品能够以一种消费者友好的方式构建其隐私保护的策略。
作为公司的隐私合规法务,面对当下严峻的隐私泄露问题、国家日益加强的监管趋势、大众媒体的舆论解读和用户每一次点击“同意”背后的信任时,我们需要对用户隐私保持一种敬畏的态度,并在日常工作中,担负起我们应尽的社会责任。(完)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
案件摘要:德国反垄断监管机构对Facebook数据收集融合行为裁决(DPO沙龙出品)
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点