近日，京东旗下一款名为“京东微联”的智能家居应用软件在没有明确告知用户的前提下，擅自将用户输入的个人WiFi密码上传至京东服务器，为用户的网络安全埋下隐患。京东技术团队回应称，“虽然黑客对HTTPS传输通道的劫持是比较困难的，但微联未来会对敏感信息进行二次加密。”

智能家居APP要上传你的WIFI密码，视频观赏APP要监控你的联系人，连阅读类的APP都要随时调取你的通讯记录……这就是APP时代“权限越界”乱象。有业内人士将“京东微联”的这种行为作了一个比喻：“我请了一个保姆来我家干活，结果这个保姆在未经我允许的情况下擅自去配了一把我家的钥匙，这样的行为对我自身的安全肯定产生了影响。”

无论当事方如何辩解，有两个问题是绕不过的：第一，作为智能家居软件，获取用户WIFI并上传至自己的端口，这是必须的吗？获取并上传用户密码的必要性是一回事，泄露不泄露是另一回事，不能说没有泄露行为、那么获取并上传用户密码就有了正当性与正义性。这就像保姆私自配了主人的钥匙，没有偷窃没有破坏就合理合法了吗？

第二，WIFI密码被上传这件事，用户果真知情吗？调阅《京东智能云用户使用协议》，第六条载明：“在初次添加某款智能硬件设备的过程中，您需为此设备提供WiFi环境接入所需的SSID以及密码，用于智能硬件设备和WiFi环境的一键配置。”京东据此认为，他们就上传WiFi密码等信息向用户进行了说明。但问题是，“提供”与“上传”是一个概念吗？如此敏感的信息互动，不需要二次明确和确认吗？

信息安全，生死底线。今年6月起施行的《网络安全法》明确规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”遗憾的是，肆意收集用户敏感信息、动辄揽下大权限的APP却是屡见不鲜：工信部近日公布了2017年二季度检测发现问题的应用软件名单，共计42款，其中不少软件就涉及未经用户同意，收集、使用用户个人信息；恶意操控用户手机等问题。值得注意的是，这些问题软件不少来自知名厂商的应用商店，如中兴、酷派、三星等。于此而言，京东WIFI事件怕只是权限失控里的冰山一角而已。

眼下的问题是，用户如何能甄别出常用APP里，究竟掺杂了多少制造商的“私货”在里面？数据显示，截至2017年二季度末，全国移动电话用户13.65亿户，4G用户总数达到8.88亿户，占比达65.1%。如果手机APP继续无人监管、无人审查，别说是上传WIFI密码，就是挟持用户、监控私隐，亦恐怕迟早会成为大概率的社会危机。有一点是肯定的：与其号召用户“千万别装”“小心谨慎”，倒不如依法监管、利剑高悬，让无良软件失去生存的空间与炫技的土壤。

当然，对京东WIFI事件来说，双方唇枪舌剑之外，总得有个靠谱的真相。而制度设计在作壁上观之后，也该为APP的江湖立下基本的规矩、祭出底线的罚单了。