KKSRC 隐私漏洞评定标准规章制度

余杭律师事务所 2025-06-05 05:18

一、核心原则

  • 快看安全中心坚定遵守相关法律法规的规定,并致力于通过隐私众测培养优秀的隐私保护力量,以提高公司内部的合规能力。我们承诺,每一份提交的报告都将由专业团队进行评估与处理,对于隐私漏洞的提供者,我们将给予相应的奖励。

  • 快看强烈反对任何有损公司利益的行为。未经授权,任何人不得在公众场所或平台上讨论或披露隐私漏洞的细节,也不得向任何第三方泄露隐私漏洞信息。如有上述行为,快看保留追究其法律责任的权利。

二、争议及解决方法

  • 一般情况下,我们依据奖励评级细则实施分级奖励;对于存在争议的问题,将由安全团队内部进行深入讨论并通过投票决定评级。请注意,最终对评级细则的解释权归安全团队所有。

三、隐私漏洞评分细则

业务范围:所有面向终端用户的快看应用

根据隐私问题发现的难易程度、影响程度、发生可能性等因素,将隐私漏洞分为高、中、低三个等级。

请注意,此评分规则仅供参考。漏洞的最终评分将根据漏洞的实际发现利用难度、业务特性、漏洞的影响范围、报告的详细程度、复测过程中上报者的配合程度等多个因素进行综合评定。快看安全中心享有最终解释权。

漏洞忽略:在一般情况下,如下问题会被忽视:法律、法规和标准中的相关要求处于暂未发布施行的状态(如草稿、征求意见稿、未实施),或已发布但只面向部分行业生效或暂未实质推行(如面向部分行业的推荐性标准只针对对应行业生效),隐私政策中错别字问题。

隐私漏洞报告要求:

  1. 技术类隐私漏洞需提供有效的日志类信息,包括但不限于:完整的测试堆栈信息、其网络流量抓包截图、284log或其他日志文件。只提交检测平台、检测工具类的结果截图类证据将不被接受。

  2. 仅以静态扫描Manifest结果为依据提交的缺少相关隐私声明的漏洞,但没有提供实际调用记录的,确认为低危,有调用记录的,确认为中危。

  3. 仅提供SDK列表截图,白帽子提示SDK列表不全以外,还应当补充提交关于SDK实际传输了数据给第三方的证据。否则不予通过。

漏洞级别

判定标准:

与主要用户所在的国家或地区的相关法律法规冲突,未及时修复能够导致企业的经营、或声誉等受到损害;

奖励标准(安全币)

高危

问题新颖且行业内罕见,需要一定技术深度才能够发现的问题

1500-2500
中危

一般情況下,隐私漏洞的发现与鉴别需要一定的技术手段。包括但不限于:

  1. 同意隐私政策前收集个人信息或打开个人信息权限;

  2. 强制定向推送信息;

  3. 若通过嵌入第三方代码插件收集个人信息的功能,是否向用户明示;

  4. 调用与服务或功能无关的权限;

除此之外,隐私政策中的重要内容遗漏,也属于中危险漏洞,包括:

  1. 收集个人信息的范国超出隐私政策中描述的范围;

  2. 收集的频率超出其实现产品或服务的业务功能所必需的最低频率。

400-800
低危

一般情况下,该类问题不需要技术手段就可以发现,如隐私政策中描述性内容文本遗漏等,包括但不限于:

  1. 未告知个人信息处理者的名称或者姓名和联系方式;

  2. 未告知个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

  3. 未告知个人行使本法规定权利的方式和程序,例如复制、删除或更正个人信息的途径;

  4. 隐私政策的文本不易于阅读,例如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等;

50-150

四、参考标准

  • 全国人大常委会《中华人民共和国网络安全法》

  • 全国人大常委会《中华人民共和国个人信息保护法》

  • 国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》

  • 全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)个人信息保护常见问题及处置指南》

  • 全国信息安全标准化技术委员会《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》

  • 全国信息安全标准化技术委员会《移动互联网应用程序(APP)系统权限申请使用指南》

  • App专项治理工作组《App违法违规收集使用个人信息自评估指南》

  • APP专项治理工作组《App申请安卓系统权限机制分析与建议》

  • 四部委《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号)

  • 工业和信息化部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)

  • 工业和信息化部《关于开展互联网行业市场秩序专项整治行动的通知》(工信部信管函〔2021〕165号)

延伸阅读
  • 快看安全应急响应中心(KKSRC)漏洞评分与奖励标准 v2.1

    一、基本原则1、强化合作:快看安全中心热切期盼与白帽子合作,以此方式加强我们的业务安全以及行业之间的合作。我们高度鼓励并欢迎广大用户对我们的产品和业务的安全漏洞进行反馈,我们将保证:每一份反馈的报告我

您身边的法律专家 快速匹配专业律师,
一对一解决您的法律问题,
已提供49958次咨询
0/500 发送