[TH2021-007]THSRC APP隐私类漏洞评分规则V1.0

THSRC扩大漏洞接收范围，新增隐私漏洞的评分规则V1.0版本！

1、漏洞扩大收集范围，新增APP隐私类漏洞的收集

APP隐私类漏洞是指侵害用户隐私权益的行为，包括但不限于未公开个人信息收集使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使用个人信息、违反必要原则，收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息的。

隐私问题的定义范围参考行业监管部门的认定标准，具体细则如下：

《App违法违规收集使用个人信息行为认定方法》

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

http://www.cac.gov.cn/2020-07/28/c_1597492913060262.htm

《常见类型移动互联网应用程序必要个人信息范围规定》

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm

2、APP隐私类问题的收集范围和奖励

以我司或关联子公司的名下，在中国境内监管部门监管范围内。发布上架至各大应用商店，APPStore上提供公开下载使用的途虎业务的APP/小程序/SDK。包括但不限于途虎养车APP/小程序，途虎养车商户APP/小程序、以及其他汽车保养、轮胎洗美、道路救援、二手车业务APP、汽配龙业务APP、途虎收购的业务及系统产品的APP，以及途虎委托指定的第三方软件开发商开发的APP，途虎APP中嵌入的第三方SDK等。内部员工专用的封闭式APP可以上报账号登录之外的功能的隐私问题（禁止通过社工他人账号登录获取隐私漏洞的方式）。

3、隐私合规类漏洞奖励标准如下：

4、APP隐私类漏洞报告特殊要求及评分原则

    A、白帽子提供的APP版本必须是我司及其相关控股子公司名义在中国境内上架，在监管部门监管范围之内，隐私漏洞范围符合前述《App违法违规收集使用个人信息行为认定方法》等监管认定标准定义内（该方法可随监管部门政策更新同步最新版本）。

    B、隐私类漏洞报告务必包含提供APP下载应用商店，版本，日期，测试硬件机型，操作系统版本，问题截图位置，必要的触发步骤和现象视频等信息。漏洞认定方法和尺度必须符合监管部门的标准，不支持个人私下歧义性的解读理解。

    C、隐私类漏洞所涉及APP和版本，必须是在中国境内我司的官网和各大主流应用下载商店、分发渠道已公开发布的全量新版本，未公开发版的测试版本不作为有效漏洞接收（我司内部测试平台，苹果TestFlight，各类内测托管平台等），之前网上各种陈旧的版本（下载源头是来自各类下载站、代码托管网站，已倒闭停止更新的应用商店，网盘上存留等）的漏洞不作为有效漏洞接收。

    D、漏洞以提交时间为准，第一个报告者获得奖励，后续报告者不得奖励。隐私漏洞政策如有变化，因为认定方法变化导致的漏洞可再次提交算做有效漏洞接收。漏洞状态改成“已修复”后，在高版本再次出现的同样漏洞的，作为有效漏洞接收。

    E、APP必须是我司开发面向用户提供开放式账号申请注册登录的APP，内部专用的封闭式APP仅限在账号登录范围之外的功能的隐私类问题测试（禁止通过社工渠道获取他人账号登录上报隐私漏洞的行为），个人信息的定义仅限消费侧用户，不包括服务供给侧用户信息，非我司开发的外部企业级服务商的APP（譬如企业微信，钉钉，视频会议手机版，滴滴打车企业版之类）不在奖励范围。

    F、隐私类漏洞的提交有效日期自2021年9月5日开始，隐私漏洞所对应APP的发版日期也同日开始计算，之前历史版本的漏洞不接收。

   G、补充技术注意事项：权限部分必须在安卓6.0以上的版本上进行测试（6.0之前没有动态权限申请的概念），小米华为等定制os自带的隐私工具检测只能辅助发现不作为最后结论（白帽子需要关注系统权限工具自动授权和空白通行证的干扰，补充手工调试证据截图，避免误报），各类大厂APP的隐私合规做法可以作为比对参考，但是不作为漏洞判定依据。由于程序Bug和兼容性原因导致的不合规现象不接收，伪造的漏洞不接收，通过文字游戏曲解法律条款协议的造成法理上的漏洞不接收，最后判定漏洞是否成立须以工信部标准和实操认定为最终规则。