我發現一個有意思的現象：如果互聯網上沒什么大事兒，一旦某款知名應用出現隱私安全類問題，就會很受關注。今天輪到了支付寶安卓版『隱私門』。

如果只是說支付寶會提前申請獲取手機的拍照和錄音權限，倒不會受到很多關注，關鍵是爆料人聲稱，支付寶還會暗自調用拍照和錄音，然后直接將你的照片或者聲音上傳到服務器…這個問題就大了。

Android應用濫用用戶權限一直都是個問題，一個預報天氣的應用都要拿到你的攝像頭權限，不過，這些權限都是經過用戶同意才給的（不過這就像互聯網企業注冊時的用戶協議一樣，除了撰寫者認真看過的人不多），理論上不能怪App開發者，道德上可譴責其太貪心，尤其是不管三七二十一，什么權限都先占著的開發者。

這類問題現在大家懶得討論了，因為見怪不怪，討論了這么多年也沒啥結果，也沒啥后果。申請拍照和錄音權限，支付寶并不算貪心，掃一掃付款、給好友發語音要用到，爆料者反映的問題主要有兩個：

1、支付寶在啟動時就觸發了相應權限，是否有必要？支付寶官方解釋時，這是為了用戶體驗著想，因為Android6.0以下系統沒有標準的權限提示和檢查接口，支付寶為了避免在用戶掃一掃或者發語音時再提示中斷體驗，所以事先激發。

2、支付寶會每隔X分鐘自行啟動攝像頭拍照（而且是利用預覽窗口截圖），錄音X分鐘，還有人說啟動支付寶時聽到了『喀嚓』一聲，更可怕的是，支付寶將照片和錄音還上傳到服務器了。證據是一些反編譯代碼。不過截至目前，我個人都沒看到有說服力的證據，而支付寶對此回應是：這是毫無根據的造謠（見文末）。

我個人看法是，第一點關于權限調用時間點的指責，支付寶的做法是否妥當，是否還有最優解，值得商榷——就算不侵犯用戶隱私，讓用戶迷惑、擔憂也是不好的，一款支付為核心的工具，安全可信賴才是第一位的。

不過，對于第二點，我認為從動機和常理來看，是不可能的事情。

在你啟動支付寶時錄下的聲音、拍下的照片對于支付寶來說究竟有什么價值？就算它想拿到盡量多的大數據，也不需要這些錯亂的數據，這些數據不會對業務帶來任何價值。如果說支付寶個別開發人員有偷窺癖，我也不信，個人開發者可能會這樣干，但大公司都有代碼審計流程。

就算這些數據確實有價值，支付寶拿到有用，但直接用這種方式去獲取數據，被發現并證實了后果還是很嚴重的——過去中國互聯網應用隱私類問題不少，但還沒有過如此夸張的問題。

攜程之前的信用卡漏洞，確實比較嚴重，拿到了不該拿的信息，但這不是故意的，類似的還有CSDN等網站的明文密碼問題，這類問題一說一堆，都是疏忽大意造成了隱私問題。但支付寶如果真的會定時拍照和錄音還上傳到服務器，是不可能由漏洞造成的，這需要比較復雜的編程和服務器端的配合，如果這樣干，一定不是疏忽大意，而是有意為之。但從動機來看，實在想不到它會這樣干的理由。

總之，我并不相信支付寶會悄悄拍照和錄音上傳。

不過，不是每個用戶都會像我這樣去分析，所以朋友圈已經有不少用戶，甚至科技圈內的用戶都在以訛傳訛，而且一些還義憤填膺上來要支付寶證明自己沒有偷偷拍照和錄音并上傳。但稍微有點法律常識的都知道，這是無法證明的事情，法律上我們反對有罪推定，對于企業恐怕也不能要其證明其無罪。阿里巴巴永遠無法證明雙十一的數據沒有水分，道理都是一樣的。

事實上，支付寶這個事情，在互聯網再熟悉不過了，每一次出現安全漏洞、隱私問題，都是一堆用戶瘋狂轉發，但回過頭來看，真正出現嚴重問題的又有幾次呢？去年底，趨勢科技說百度有個漏洞會給一億部安卓手機帶來安全風險，最后證明這是夸大其詞。

鑒于安全問題可能會帶來嚴重后果，再怎么強調也不過分，但要注意到一個事實是，很多安全問題被夸大了，不論是HTTPS還是某郵箱數據泄露，后果其實并沒有那么嚴重，最初卻被一些人夸大為影響全網用戶、夸大為嚴重威脅。很多時候說安全問題，或者隱私問題，都是『狼來了』的故事，有人告訴我們狼來了，最后浪沒有來。

我并不反對對互聯網巨頭的應用進行監督、發現和公布，這樣做是對的，也是值得致敬的，不論是督促企業加強安全意識、加大安全投入還是引導用戶更關注自己的隱私，有百利而無一害，近日蘋果與FBI斗法保護用戶隱私的行為更是受到全球用戶贊許，體現了普世價值。

不過，我也非常反對出于各種目的『夸大問題』的做法，就像狼來了的故事，無關痛癢的問題報告太多了，只會讓大家麻木。