编者按：

本公号在刊登DPO沙龙和相关社群活动的同时，还将刊登DPO社群成员的精彩文章。本篇作者为一线互联网公司数据保护法律顾问黑啤。

正文：

2月17日消息，针对有网友称京东金融App会保存用户在其他APP的截屏图片在自己的文件夹内，因此质疑京东金融App侵犯用户隐私。

对此，京东金融方面回应称， “此功能的目的是，用户对京东金融App进行截屏时，本人可将京东金融App截屏发送给在线客服人员，以提高与在线客服的沟通效率。此功能可以实现截屏的本地缓存以及预览缩略图快速展示（通过Content Observer 和 Media Store组合调用接受用户手机截屏动作通知，并通过Universal Image Loader实现截屏本地缓存和缩略图快速展示），但技术上不具备图片自动上传的能力，图片仅缓存在用户手机本地”。

京东金融否认把数据上传了服务器，并且在声明中为了提高公信力，他们还将邀请权威官方机构进行检测，并公告检测结果。从京东的解释看，京东就是为了用户给客服传图方便，在本地暂存了数据，并没有自动上传。但还是“小白”用户的感觉仍是隐私被窥探，公司没底线，有用户称已经卸载京东APP。

其实，这个问题的症结就是产品设计中没有融入隐私设计的理念（PBD——Privacy by Design），仅考虑了用户的功能需求，没有考虑用户的隐私需求。
 
从隐私设计的角度看，京东金融App存在三个设计逻辑问题：

第一、数据处理不符合必要性原则

截屏属于处理用户个人信息的行为，该行为应仅在处理目的的场景下发生。因京东金融截屏的目的是发送给在线客服人员，那么用户切换到第三方APP后已经脱离了京东的应用场景，京东APP调用接受用户手机截屏动作通知及后续的截屏本地缓存和缩略图快速展示功能应立即停止，但根据京东的解释其显然没有区分自身和第三方应用。

第二、没有考虑个人信息的安全

产品设计阶段需要考虑消费者的个人数据安全可能面对的威胁， 使用手机本地缓存可能增加数据泄露的风险，应该直接使用手机实时内存（RAM）实现，当App切换或退出时，将自动清空，避免数据泄露。

第三、没有考虑用户的隐私体验

产品对权限的调用和对个人信息的使用，需要考虑用户的隐私感知和体验。京东截取了用户在第三方APP的截图，会让用户感觉到被监控，这也是用户不能接受的底线问题。
 

此次事件给我们敲响了一记警钟，隐私设计评估的重要性不言而喻。依照《个人信息安全规范》国标，隐私防护措施必须与个人信息处理动作同步规划并同步上线，关于个人信息处理的新技术\新业务\新产品规划和实施阶段，或与第三共享方数据前需进行PIA评估和PBD设计。

我们在考虑如何给用户创造智能和便利的同时，也要如何为用户创造为创造安全感、尊重感和价值感，建议大家在产品设计阶段，也融入隐私保护设计的理念，考虑如下问题：

如何确保消费者数据的安全。考虑消费者的个人数据安全可能面对的威胁，并制定相应的数据隐私政策的安全保障措施。

我们收集的数据是否是必要的。考虑个人数据收集的目的，并将存储在设备上和/或其收集的个人信息限制于实现目的所合理需要的数据要素内。考虑是否存在通过收集较少类别的个人数据的方式来提供商品或者服务，并尽可能地避免收集敏感个人数据。

消费者的隐私期待是什么。在设计产品或服务时，应当注意合理的用户期望的内容。若产品或服务将收集更多类别的个人数据或以非常规方式处理此类数据，则可能将承担更高的通知和选择义务以及其他要求。

用户有哪些控制权。考虑是否有方法可以向用户提供对其数据的额外控制和选择。这些选择可能涉及采纳或者拒绝收集特定类型的数据，被给予用户关于自身或第三方如何使用其数据的选择，以及对其个人数据的控制。  
我们要保存多久数据。应对个人数据的保存采取合理的限制，一旦数据超出收集的合法目的，就应予以处置。

用户的隐私体验友好吗。为了尽可能提供最佳的用户体验，应当尽早考虑隐私问题，使得产品能够以一种消费者友好的方式构建其隐私保护的策略。

作为公司的隐私合规法务，面对当下严峻的隐私泄露问题、国家日益加强的监管趋势、大众媒体的舆论解读和用户每一次点击“同意”背后的信任时，我们需要对用户隐私保持一种敬畏的态度，并在日常工作中，担负起我们应尽的社会责任。（完）

关于DPO沙龙活动的有关情况，请见：

DPO社群成果

1. 印度《2018个人数据保护法（草案）》全文翻译（中英对照版）（DPO沙龙出品）

2. 巴西《通用数据保护法》全文中文翻译（DPO沙龙出品）

3. 美国联邦隐私立法重要文件编译第一辑（DPO沙龙出品）

4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译（DPO沙龙出品）

5. 第29条工作组《对第2016/679号条例（GDPR）下同意的解释指南》中文翻译(DPO沙龙出品)

6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”（DPO沙龙出品）

7. 第29条工作组《第2/2017号关于工作中数据处理的意见》（DPO沙龙出品）

8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译（DPO沙龙出品）

9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》（DPO沙龙出品）

10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

11. 第29条工作组《数据可携权指南》全文翻译（DPO沙龙出品）

12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制（DPO沙龙出品）

13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况（DPO沙龙出品）

14. EDPB《关于GDPR适用地域范围（第3条）的解释指南》全文翻译（DPO沙龙出品）

15. 案件摘要：德国反垄断监管机构对Facebook数据收集融合行为裁决（DPO沙龙出品）
    

    
    

线下沙龙实录见：

1. 数据保护官（DPO）沙龙第一期纪实
   

2. 第二期数据保护官沙龙纪实：个人信息安全影响评估指南 
   

3. 第三期数据保护官沙龙纪实：数据出境安全评估

4. 第四期数据保护官沙龙纪实：网络爬虫的法律规制 
   

5. 第四期数据保护官沙龙纪实之二：当爬虫遇上法律会有什么风险

6. 第五期数据保护官沙龙纪实：美国联邦隐私立法重要文件讨论

7. 数据保护官（DPO）沙龙走进燕园系列活动第一期

8. 第六期数据保护官沙龙纪实：2018年隐私条款评审工作

9. 第八期数据保护官沙龙纪实：重点行业数据、隐私及网络安全

   
   

线上沙龙见：

1. DPO社群对数据堂事件的精彩点评

2. DPO社群线上讨论第二期：“出售 & 提供” 个人信息之法律与实务对话

3. 用户授权第三方获取自己在平台的数据，可以吗？不可以吗？（DPO沙龙线上讨论第三期）

   
   

时评见：

1. 数据安全事件时评第一期

2. 数据安全事件时评第二期

3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目：数据可移植性的开源计划

4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

5. 【时事七】美国通过《NIST小企业网络安全法》

6. 【时事八】国际数据流动：欧盟委员会启动对日本的充分性决定流程

7. 【时评九】加州IoT设备网络安全法对物联网法律之影响（附法案翻译）

8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

9. 【时评十一】社交网络平台，需要多点爱还是多点管？

   
   

DPO社群成员观点

1. 个人信息委托处理是否需要个人授权？（DPO社群成员观点）
   

2. 企业如何告知与保护用户的个人信息主体权利（DPO社群成员观点）

3. GDPR“首张”执行通知盯上AlQ公司的前期后后（DPO社群成员观点）

4. 隐私条款撰写调研报告（DPO社群成员观点）

5. 我看到的数据安全（DPO社群成员观点）

6. 数据爬取的法律风险综述（DPO社群成员观点）

7. 银行业金融数据出境的监管框架与脉络（DPO社群成员观点）

8. 解析公安机关《互联网个人信息安全保护指引（征求意见稿）》（DPO社群成员观点）

9. 详解GDPR向Google亮剑缘由（DPO社群成员观点）

10. 从生产安全体系视角看数据安全（DPO社群成员观点）