智联招聘安全应急响应中心(ZPSRC)隐私漏洞处理标准V2.0

公告编号:智联招聘安全应急响应中心(ZPSRC)隐私漏洞处理标准V2.0作者:ZPSRC发布日期:2022-10-10 16:48:18

一. 漏洞接收范围

核心业务:智联招聘APP,智联招聘小程序

非核心业务:智联招聘无需安装的应用小程序

(目前仅接收智联招聘APP及以下3个小程序:智联招聘、智联校招、职Q社区)

(暂不接受隐私政策法律协议相关的问题)


注意事项:

1、隐私漏洞请在官方网站、主流应用商店下载最新版本APP进行测试,以白帽子提交漏洞的时间和在线版本为准,历史版本漏洞不接收;研发内测版本(或灰度版本)存在的问题不接收

2、因“非主流设备不兼容”导致的某些不合规问题不在接收范围内(如:刻意使用小屏幕、低分辨率的手机打开《隐私政策》导致文字显示不清等)


二. 奖励规则

依据漏洞危害程度,漏洞等级分为严重、高、中、低四个等级。

ZPSRC结合利用场景中漏洞的严重程度、利用难度、业务范围等综合因素给予相应的漏洞奖励。

漏洞对应积分表如下(单位 分):(1积分=10RMB)


严重

高危

中危

低危

APP

300-150

150-80

80-20

20-5

小程序-核心

100-80

80-50

50-20

20-1

小程序-非核心

80-50

50-20

20-10

10-1


 

等级

判定标准

严重

 

1. 在App中没有隐私政策(或同等效力内容文本,如“个人信息保护政

策”)或在相应隐私政策(或同等效力内容文本,如“个人信息保护政

策”)中没有收集使用个人信息规则。

高危

 

1. 在App首次运行时未通过弹窗、主动勾选等方式提示用户阅读隐私政策

等收集使用规则;

2. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围;

3. 不给权限不让用,APP安装和运行时,向用户索取与当前服务场景无关

的权限,用户拒绝授权后,应用退出或关闭;

4. APP私自共享给第三方个人信息,或共享的个人信息超出用户同意的范

围;

5. App新增业务功能申请收集的个人信息超出用户原有同意范围,若用户

不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除

外;

6. 未提供有效的更正、删除个人信息及注销用户账号功能,或者为更正

、删除个人信息或注销用户账号设置不必要或不合理条件;

7. 更正、删除个人信息或注销用户账号等用户操作已执行完毕,但有证据

显示实际并未完成(如更正、删除邮箱地址之后,原有邮箱地址仍然收到A

PP的营销邮件);

8. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限,或

者用户明确表示不同意后,仍收集个人信息;

9. 用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权

限,或频繁征求用户同意、干扰用户正常使用;

10. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集

个人信息的权限,如故意欺瞒、掩饰收集使用个人信息的真实目的;

11. 违反其所声明的收集使用规则或者未征得用户同意前,收集使用个人

信息;

12. App在用户未使用相关功能或服务时,提前申请开启通讯录、定位、

短信、录音、相机等权限。

中危

 

1. 未通过隐私政策等方式逐一列出APP收集使用个人信息的目的、方式、

范围等,如未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收

集使用个人信息的目的、方式、范围。

2. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知

用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;

3. 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账

号、行踪轨迹等个人敏感信息之前,未明确告知用户其目的,或者目的不

明确、难以理解;

4. 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无

关,或者收集个人信息的频度等超出业务功能实际需要;

5. 未经用户同意更改其设置的可收集个人信息的开关状态或者以默认方式

同意隐私政策,如APP更新时自动将用户设置的权限恢复到默认状态或默

认勾选同意隐私政策;

6. 要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无

法使用,或频繁征求用户同意、干扰用户正常使用;

7. 向用户提供数据主体权利平台、隐私邮箱等方式反馈隐私权利诉求,未

在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工

作日为限)对用户诉求进行响应;

8. 利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项

(强制用户使用定向推送功能)。

低危

 

1.  隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次

点击等操作才能访问到;

2. 隐私政策等收集规则难以阅读,如文字过小过密、颜色过淡、模糊不

清;

3. 以默认选择同意隐私政策等非明示方式征求用户同意。

 

 

参考标准:

1.    《App违法违规收集使用个人信息行为认定方法》

http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm

2.   《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

http://www.cac.gov.cn/2020-07/28/c_1597492913060262.htm

3.   《常见类型移动互联网应用程序必要个人信息范围规定》

http://www.cac.gov.cn/2021-03/22/c_1617990997054277.htm