[TH2021-007]THSRC APP隐私类漏洞评分规则V1.0

公告编号:[TH2021-007]作者:审核小姐姐发布日期:2021/11/05 14:18:25

THSRC扩大漏洞接收范围,新增隐私漏洞的评分规则V1.0版本!


1、漏洞扩大收集范围,新增APP隐私类漏洞的收集

APP隐私类漏洞是指侵害用户隐私权益的行为,包括但不限于未公开个人信息收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则,收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息的。

隐私问题的定义范围参考行业监管部门的认定标准,具体细则如下:

App违法违规收集使用个人信息行为认定方法》

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

http://www.cac.gov.cn/2020-07/28/c_1597492913060262.htm

《常见类型移动互联网应用程序必要个人信息范围规定》

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm


2、APP隐私类问题的收集范围和奖励

以我司或关联子公司的名下,在中国境内监管部门监管范围内。发布上架至各大应用商店,APPStore上提供公开下载使用的途虎业务的APP/小程序/SDK。包括但不限于途虎养车APP/小程序,途虎养车商户APP/小程序、以及其他汽车保养、轮胎洗美、道路救援、二手车业务APP、汽配龙业务APP、途虎收购的业务及系统产品的APP,以及途虎委托指定的第三方软件开发商开发的APP,途虎APP中嵌入的第三方SDK等。内部员工专用的封闭式APP可以上报账号登录之外的功能的隐私问题(禁止通过社工他人账号登录获取隐私漏洞的方式)。


3、隐私合规类漏洞奖励标准如下:


image.png


4、APP隐私类漏洞报告特殊要求及评分原则

    A、白帽子提供的APP版本必须是我司及其相关控股子公司名义在中国境内上架,在监管部门监管范围之内,隐私漏洞范围符合前述《App违法违规收集使用个人信息行为认定方法》等监管认定标准定义内(该方法可随监管部门政策更新同步最新版本)。

    B、隐私类漏洞报告务必包含提供APP下载应用商店,版本,日期,测试硬件机型,操作系统版本,问题截图位置,必要的触发步骤和现象视频等信息。漏洞认定方法和尺度必须符合监管部门的标准,不支持个人私下歧义性的解读理解。

    C、隐私类漏洞所涉及APP和版本,必须是在中国境内我司的官网和各大主流应用下载商店、分发渠道已公开发布的全量新版本,未公开发版的测试版本不作为有效漏洞接收(我司内部测试平台,苹果TestFlight,各类内测托管平台等),之前网上各种陈旧的版本(下载源头是来自各类下载站、代码托管网站,已倒闭停止更新的应用商店,网盘上存留等)的漏洞不作为有效漏洞接收。

    D、漏洞以提交时间为准,第一个报告者获得奖励,后续报告者不得奖励。隐私漏洞政策如有变化,因为认定方法变化导致的漏洞可再次提交算做有效漏洞接收。漏洞状态改成“已修复”后,在高版本再次出现的同样漏洞的,作为有效漏洞接收。

    E、APP必须是我司开发面向用户提供开放式账号申请注册登录的APP,内部专用的封闭式APP仅限在账号登录范围之外的功能的隐私类问题测试(禁止通过社工渠道获取他人账号登录上报隐私漏洞的行为),个人信息的定义仅限消费侧用户,不包括服务供给侧用户信息,非我司开发的外部企业级服务商的APP(譬如企业微信,钉钉,视频会议手机版,滴滴打车企业版之类)不在奖励范围。

    F、隐私类漏洞的提交有效日期自2021年9月5日开始,隐私漏洞所对应APP的发版日期也同日开始计算,之前历史版本的漏洞不接收。

   G、补充技术注意事项:权限部分必须在安卓6.0以上的版本上进行测试(6.0之前没有动态权限申请的概念),小米华为等定制os自带的隐私工具检测只能辅助发现不作为最后结论(白帽子需要关注系统权限工具自动授权和空白通行证的干扰,避免误报),各类大厂APP的隐私合规做法可以作为比对参考,但是不作为漏洞判定依据。由于程序Bug和兼容性原因导致的不合规现象不接收,伪造的漏洞不接收,通过文字游戏曲解法律条款协议的造成法理上的漏洞不接收,最后判定漏洞是否成立须以工信部标准和实操认定为最终规则。