“美团删照”会是一次普通 Bug么。我更愿意把它看成一次压力测试:当一个 App 能让用户分不清“清缓存”还是“删相册”,隐私保护其实已经输了。3月24日,这事冲上热搜。美团回应称:个别安卓系统版本下,第三方插件冲突导致缓存清理异常,已修复;累计有180多位用户咨询,预计潜在影响数百人。问题不在“有没有解释”,而在这个解释能不能自洽。Android 官方文档写得很清楚:在启用 Scoped Storage 后,应用通常只能直接修改自己创建的媒体文件;如果要改或删其他应用创建的媒体文件,必须走额外授权流程,比如捕获RecoverableSecurityException,或在 Android 11+ 使用createDeleteRequest()触发系统确认。明白了没,“清缓存”和“删用户照片”不是一回事。缓存通常在应用私有目录里;而用户相册里的照片、视频属于共享媒体存储。官方文档明确区分了“应用自有媒体”与“其他应用创建的媒体”,后者的访问与删除权限更严格。所以这次真正让人不安的,不只是照片丢了,而是:为什么用户会感觉自己根本没控制权?Android 这些年一直在补洞。官方机制包括:— 分区存储,限制 App 乱碰别人的文件;— 删除/修改他人媒体文件时弹系统授权;— Android 11+ 支持批量删除请求;— Android 12+ 还有更高阶的 media management 特殊权限路径。但问题是:机制存在,不等于用户真的安全。这次事件暴露的核心矛盾是:Android 的隐私保护仍然偏“工程逻辑”,不是“用户逻辑”。工程师知道 MediaStore、URI、异常捕获、权限分级。普通用户只看到两件事:1)照片没了;2)日志里写的是“美团删了”当保护机制复杂到用户无法理解,系统就算“合规”,体验上也已经失效。更值得警惕的是,很多厂商和平台现在解决问题的思路,还是“加强审核”“约束 SDK”“要求自律”。但这套逻辑有个先天缺陷:它默认应用会按规则来,而真正有效的隐私设计,应该默认应用、插件、SDK、系统兼容层都可能出错。隐私保护最该防的,从来不只是恶意,也包括“看起来像事故的系统性失控”。这里给一个不那么顺耳但更准确的判断:这件事未必足以证明 Android 架构彻底失败,但足以证明它在“可理解的用户控制”上远远不够。这事真正该推动的,不只是美团赔偿,而是三件更硬的改造:第一,所有批量媒体删除必须默认高亮、强确认、可回滚。第二,第三方 SDK 的文件操作权限要单独可见、可审计。第三,系统日志要从“技术可读”变成“用户可读”。别再让用户在“被删完之后”才知道谁动了他的照片。这不是小 Bug,这是移动互联网把“便利”建在“不可见权限”上的老问题,终于又爆了一次。
10个月宝宝每天需要喝多少奶粉?
