一個點外賣的軟件，憑什么刪你的照片？

今天最嚇人的新聞，不是外賣晚了，也不是騎手遲到了。

而是一個你天天拿來點飯、買菜、團(tuán)購的軟件，居然把用戶手機(jī)里的照片給刪了。

這不是卡頓，不是閃退，也不是“小毛病”。

這是直接把手伸進(jìn)了你的相冊，伸進(jìn)了你的生活。

3月24日，多家媒體報道，部分安卓用戶反映，在使用美團(tuán) App 期間，手機(jī)相冊里的照片、視頻，甚至音頻文件被異常刪除。美團(tuán)客服的說法是：這是“安卓系統(tǒng)在極少數(shù)情況下，App 自動緩存清理時遇到第三方 SDK 沖突導(dǎo)致異常”；截至回應(yīng)時，已有 180多位用戶聯(lián)系客服，預(yù)計潛在波及范圍在數(shù)百人，平臺稱已緊急修復(fù)，并表示會協(xié)助找回、承擔(dān)費用和賠償損失。按美團(tuán)自己的口徑，這次問題發(fā)生在用戶本地手機(jī)系統(tǒng)層面，不涉及讀取、存儲或轉(zhuǎn)移用戶個人數(shù)據(jù)。

但我要說，這個解釋，不是免責(zé)。 恰恰相反，這說明問題更嚴(yán)重。 因為用戶沒有點“刪除”，卻發(fā)生了“刪除”的結(jié)果。 不管你把它叫 bug，叫異常，還是叫第三方 SDK 沖突，本質(zhì)都一樣：一個外賣軟件，在用戶沒有明確操作的情況下，動到了用戶最私人的本地內(nèi)容。 這就叫越界。 而且是非常惡劣的越界。 相冊里裝的不是幾張無關(guān)緊要的圖片，可能是孩子成長的照片，是工作材料，是證件，是證據(jù)，是很多人留不住第二份的人生記錄。

為什么這次大家會特別強烈地感受到：安卓和 iPhone，安全邊界真的不一樣。 因為蘋果的思路，是先把門釘死，再談授權(quán)。Apple Platform Security 明確寫著，iPhone 上所有第三方 App 都在沙盒里，受限于各自邊界，不能隨意訪問其他 App 存儲的文件，也不能隨便改設(shè)備；如果要碰到自己邊界之外的信息，只能通過系統(tǒng)明確提供的服務(wù)。與此同時，iPhone 還有更細(xì)的照片權(quán)限控制：用戶可以只給 App 看“選中的那幾張”，很多場景甚至可以直接走系統(tǒng)照片選擇器，不必把整個相冊權(quán)限都交出去；Apple 還提供 App Privacy Report，讓用戶回看一個 App 是怎么使用已經(jīng)授予的權(quán)限的。

安卓這些年也不是沒進(jìn)步。 Android 11 強化了 scoped storage，Android 14 又加入了 Selected Photos Access，允許用戶只給 App 開放部分照片和視頻；官方也在推薦開發(fā)者優(yōu)先使用系統(tǒng) photo picker，而不是一上來就要整個媒體庫權(quán)限。可問題在于，安卓長期存在歷史包袱和兼容模式：Android 官方文檔明確寫著，Android 10 時期應(yīng)用可以臨時退出 scoped storage；而在 Android 9 及以下，如果應(yīng)用拿到 WRITE_EXTERNAL_STORAGE，就可以修改甚至刪除媒體文件。換句話說，安卓是在不斷補門，但這扇門過去開得更大，現(xiàn)實里又存在版本差異、適配差異、廠商差異，所以邊界往往沒有 iPhone 那么硬。

這就是為什么，這次公開報道里，問題集中爆在安卓用戶身上，而不是 iPhone。 不是因為 iPhone 絕對不會出事。 而是因為蘋果默認(rèn)把權(quán)限切得更細(xì)，把系統(tǒng)隔離做得更死，把“你只能拿到用戶明確交給你的那一小部分東西”這件事，做成了平臺級規(guī)則。 安卓在朝這個方向走，但過去太多 App 習(xí)慣了“大口子權(quán)限”，太多體驗建立在“先給我全開”之上。 一旦平臺治理、開發(fā)規(guī)范、第三方 SDK 管控里哪一環(huán)松了，最后倒霉的就是普通用戶。

更關(guān)鍵的是，這種事不只是“用戶不爽”，它已經(jīng)踩到了監(jiān)管紅線。 網(wǎng)信辦發(fā)布的《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》明確寫著，實際打開的權(quán)限超出用戶授權(quán)范圍，或者違反聲明規(guī)則收集使用個人信息，都可能被認(rèn)定為違法違規(guī)。2026年1月公開征求意見的《互聯(lián)網(wǎng)應(yīng)用程序個人信息收集使用規(guī)定》又進(jìn)一步強調(diào)，App 只能在用戶使用具體功能時索要對應(yīng)權(quán)限，必須與當(dāng)前功能場景直接相關(guān)，而且要做到最低頻度、最小范圍，不得調(diào)用非必要權(quán)限。個人信息保護(hù)法也要求處理個人信息必須公開透明，明示目的、方式和范圍，并采取必要措施保障安全。

所以，這件事最該罵的地方就在這里： 美團(tuán)不是沒有技術(shù)能力，而是沒有守住邊界敬畏。 你可以做外賣，你可以做到店，你可以做團(tuán)購，你可以做酒旅。 但你沒資格替用戶“管理”相冊。 更沒資格替用戶“刪除”人生。 哪怕你說這是“小概率”，對平臺來說是概率，對用戶來說，可能就是幾年回憶，一瞬間沒了。

所以最后我只想說一句： 一個點外賣的軟件，手伸得太長了。 這次刪掉的是照片。 下次呢？ 如果連相冊邊界都守不住，那用戶憑什么繼續(xù)相信你能守住手機(jī)里更重要的東西？