一、核心原则

• 快看安全中心坚定遵守相关法律法规的规定，并致力于通过隐私众测培养优秀的隐私保护力量，以提高公司内部的合规能力。我们承诺，每一份提交的报告都将由专业团队进行评估与处理，对于隐私漏洞的提供者，我们将给予相应的奖励。

• 快看强烈反对任何有损公司利益的行为。未经授权，任何人不得在公众场所或平台上讨论或披露隐私漏洞的细节，也不得向任何第三方泄露隐私漏洞信息。如有上述行为，快看保留追究其法律责任的权利。

二、争议及解决方法

• 一般情况下，我们依据奖励评级细则实施分级奖励；对于存在争议的问题，将由安全团队内部进行深入讨论并通过投票决定评级。请注意，最终对评级细则的解释权归安全团队所有。

三、隐私漏洞评分细则

业务范围：所有面向终端用户的快看应用

根据隐私问题发现的难易程度、影响程度、发生可能性等因素，将隐私漏洞分为高、中、低三个等级。

请注意，此评分规则仅供参考。漏洞的最终评分将根据漏洞的实际发现利用难度、业务特性、漏洞的影响范围、报告的详细程度、复测过程中上报者的配合程度等多个因素进行综合评定。快看安全中心享有最终解释权。

漏洞忽略：在一般情况下，如下问题会被忽视：法律、法规和标准中的相关要求处于暂未发布施行的状态（如草稿、征求意见稿、未实施），或已发布但只面向部分行业生效或暂未实质推行（如面向部分行业的推荐性标准只针对对应行业生效），隐私政策中错别字问题。

隐私漏洞报告要求：

1. 技术类隐私漏洞需提供有效的日志类信息，包括但不限于：完整的测试堆栈信息、其网络流量抓包截图、284log或其他日志文件。只提交检测平台、检测工具类的结果截图类证据将不被接受。

2. 仅以静态扫描Manifest结果为依据提交的缺少相关隐私声明的漏洞，但没有提供实际调用记录的，确认为低危，有调用记录的，确认为中危。

3. 仅提供SDK列表截图，白帽子提示SDK列表不全以外，还应当补充提交关于SDK实际传输了数据给第三方的证据。否则不予通过。

四、参考标准

• 全国人大常委会《中华人民共和国网络安全法》

• 全国人大常委会《中华人民共和国个人信息保护法》

• 国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》

• 全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序（App）个人信息保护常见问题及处置指南》

• 全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序（App）收集使用个人信息自评估指南》

• 全国信息安全标准化技术委员会《移动互联网应用程序（APP）系统权限申请使用指南》

• App专项治理工作组《App违法违规收集使用个人信息自评估指南》

• APP专项治理工作组《App申请安卓系统权限机制分析与建议》

• 四部委《App违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191号）

• 工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）

• 工业和信息化部《关于开展互联网行业市场秩序专项整治行动的通知》（工信部信管函〔2021〕165号）