本文来自微信公众号:财经E法 (ID:CAIJINGELAW),作者:姚佳莹,编辑:郭丽琴,头图来自:视觉中国
网购App得物近期深陷争议。11月12日,一名网友上传视频称,其在“双十一”期间在得物上购买商品,由于质量存在问题,便上传视频向得物反馈。
然而,该网友的华为手机推送了拦截提示:“检测到‘得物’删除了视频,已成功拦截。请前往‘图库’>‘相册’>‘最近删除’确认被删除内容”。该网友称:“得物通过我的手机权限删除证据视频。”
得物App属中腰部垂类电商平台,主打潮牌交易及真伪鉴定,潮流分享等服务。海豚社榜单数据显示,2021年,得物商品交易总额为800亿元,在中国电商平台中排名第九。2021年,各主要电商零售平台市场份额大致为:阿里巴巴占52%,京东20%,拼多多15%,字节电商5%,快手电商4%。
11月13日,得物先后两次对这一事件作出回应。
第一份回应否认了删除用户视频的说法:“得物完全没有任何动力去做删除用户相册等不合规的行为;同时,对于用户的海量视频内容,得物没有相应技术能力进行批量识别,甚至定向删除。”
在第二份回应中,得物称,并未删除用户手机中的原视频,被清除的是临时缓存文件。用户在App中编辑、处理、上传视频过程中,系统会生成临时缓存文件,上传成功后清除缓存。而用户手机系统检测到得物对临时缓存文件的处理,故触发了系统拦截通知。
尽管得物称,已第一时间研究优化体验,避免误会,但用户的担忧并未消除。财经E法以用户身份致电得物客服,对方回应称,平台不会未经用户允许,删除用户图片、视频等本地文件。就财经E法询问的手机系统为何会弹出“拦截‘得物’删除视频”相关提示,客服回应称,目前正在优化用户体验。
得物删除的到底是其声称的缓存文件,还是爆料用户声称的本地视频,目前双方均未出示有力证据以佐证说法。
多名专家向财经E法表示,如果得物删除的是用户编辑视频/图片时的缓存文件,并无问题。但若得物删除的是用户的本地文件,则涉嫌违法,严重则可能涉及刑事责任。
财经E法多次联络爆料用户,但截至发稿前,对方并未回复。
一、删“缓存”没问题
得物称,为了缩短用户的编辑视频等待时间,避免影响用户原视频,得物采取临时文件缓存方案。该方案是将用户添加的文字、音乐、贴纸等功能与原视频合并,采用视频分段处理方式加速写进临时缓存文件,生成新的视频文件上传,在上传成功后会清理临时缓存文件。
“在用户编辑视频时采取临时缓存文件管理方案,是为了不占用用户额外磁盘空间,亦是行业各大知名App进行视频处理的通用方案。”得物在声明中提到。
华东政法大学副研究员王镭向财经E法解释,得物App的技术过程是,根据用户对于处理手机里某张照片/视频的指令,从本地相册里找到该照片/视频,复制创设一个本地临时缓存文件,再进行加工处理,上传等操作完成后再将临时缓存文件删除。
为何手机能拦截得物APP的这一删除行为?一位智能手机企业的工程师向财经E法表示,在用户编辑视频、图片时,App通过缓存方式缩短用户等待时长,优化用户体验是普遍情况。
这位工程师介绍,手机终端作为底层系统,拥有较高权限,当手机系统检测到App要删除手机数据时,为了保护用户数据,会统一进行拦截。从拦截策略来看,不同手机厂商略有不同,有的是直接拦截,再通知用户;有的则告知用户有软件要删除手机数据,询问用户是否允许。
“但手机系统分辨不出App删除的是原文件,还是缓存文件。”该工程师表示。
如果得物删除的确实是缓存文件,如何界定?是否需要得到用户的知情同意?
一位不愿具名的信息安全专家向财经E法表示,文档、图片、视频、音频、网络访问数据等均能成为缓存数据,至于是否属于个人信息,需要结合具体情境。如果是表情包等不具备可识别个人身份的数据,则不属于个人信息,如果平台能够通过提取、分析缓存数据,与特定个人和身份相关联,则属于个人信息。“若平台未经用户授权同意,向他人提供或将用户的个人信息用于其他目的,则明显属于违规收集使用个人信息的行为。”这位专家表示。
王镭亦认为,App得以调取本地照片或视频进行加工处理,肯定已得到用户同意。如果实现某一功能的所有技术细节、数据处理的每一过程性小步骤,都需要用户单独同意,是不必要的。
“从《数据安全法》角度看,只要不存在技术漏洞,不对用户手机本地文件安全产生风险,以及不具有数据外泄的风险,删除缓存就不违反《数据安全法》。”王镭补充说。
北京清律律师事务所主任熊定中也认为,缓存只是临时性地记录用户上传数据的实时状态,在退出编辑后,删除缓存以释放用户空间,符合技术必要性。
对外经济贸易大学法学院副教授、数字经济与法律创新研究中心主任许可表示,只要原文件还保留在用户手机中,删除缓存并不构成违法删除用户数据的问题。许可介绍说,清除编辑过程中的缓存文件,针对的是数据,而非信息。“显然不需要得到用户知情同意,否则手机会时刻被程序弹窗挤满。”许可表示。
二、删除“本地文件”就严重了
目前,爆料用户并未就得物的回应作进一步说明,如果真如爆料用户所称,得物未经其同意,调取其手机权限以删除证据视频,又该如何界定?
许可向财经E法表示,首先从民事责任层面,涉嫌违反《个人信息保护法》对个人信息处理的知情同意权;其次是可能违反《网络安全法》《数据安全法》规定的数据安全责任;情节严重的,还可能构成《刑法》第二百八十六条下的破坏计算机信息系统罪。
《刑法》第二百八十六条规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
对此,王镭的看法有所不同。他认为,一方面,如果得物删除的是本地文件,则说明App存在漏洞,违反《数据安全法》规定的数据安全保护义务; 但另一方面,这并不违反《个人信息保护法》,因为App对删除手机存储文件的操作,针对的是数据而非其中的个人信息,用户遭受的是财产损失,而非隐私、尊严受到侵害。
2020年8月,工信部组织第三方检测机构对一批手机应用软件进行检查,通报了101款未完成整改的手机App,涉及问题包括违规收集个人信息,强制频繁过度索取权限,强制用户使用定向推送功能等。其中,得物App因“违规使用个人信息”被通报。
前述不愿具名的信息安全专家表示,在这一事件中,还应关注手机系统、运营商对个人信息和隐私应承担的责任和义务。“相较App,手机系统和运营商往往拥有更高权限,可以不留痕迹地调取个人信息”。
许可透露,在正在修订的《电信和互联网用户个人信息保护规定》中,将增加智能硬件、比如手机终端对个人信息的保护义务,例如禁止App违规调用权限的责任将由手机终端承担。
本文来自微信公众号:财经E法 (ID:CAIJINGELAW),作者:姚佳莹,编辑:郭丽琴