智联招聘安全应急响应中心（ZPSRC）隐私漏洞处理标准V2.0

APP

300-150

150-80

80-20

20-5

小程序-核心

100-80

80-50

50-20

20-1

小程序-非核心

80-50

50-20

20-10

10-1

严重

1. 在App中没有隐私政策（或同等效力内容文本，如“个人信息保护政

策”）或在相应隐私政策（或同等效力内容文本，如“个人信息保护政

策”）中没有收集使用个人信息规则。

高危

1. 在App首次运行时未通过弹窗、主动勾选等方式提示用户阅读隐私政策

等收集使用规则；

2. 实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围；

3. 不给权限不让用，APP安装和运行时，向用户索取与当前服务场景无关

的权限，用户拒绝授权后，应用退出或关闭；

4. APP私自共享给第三方个人信息，或共享的个人信息超出用户同意的范

围；

5. App新增业务功能申请收集的个人信息超出用户原有同意范围，若用户

不同意，则拒绝提供原有业务功能，新增业务功能取代原有业务功能的除

外；

6. 未提供有效的更正、删除个人信息及注销用户账号功能，或者为更正

、删除个人信息或注销用户账号设置不必要或不合理条件；

7. 更正、删除个人信息或注销用户账号等用户操作已执行完毕，但有证据

显示实际并未完成(如更正、删除邮箱地址之后，原有邮箱地址仍然收到A

PP的营销邮件)；

8. 征得用户同意前就开始收集个人信息或打开可收集个人信息的权限，或

者用户明确表示不同意后，仍收集个人信息；

9. 用户明确表示不同意后，仍收集个人信息或打开可收集个人信息的权

限，或频繁征求用户同意、干扰用户正常使用；

10. 以欺诈、诱骗等不正当方式误导用户同意收集个人信息或打开可收集

个人信息的权限，如故意欺瞒、掩饰收集使用个人信息的真实目的；

11. 违反其所声明的收集使用规则或者未征得用户同意前，收集使用个人

信息；

12. App在用户未使用相关功能或服务时，提前申请开启通讯录、定位、

短信、录音、相机等权限。

中危

1. 未通过隐私政策等方式逐一列出APP收集使用个人信息的目的、方式、

范围等，如未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收

集使用个人信息的目的、方式、范围。

2. 收集使用个人信息的目的、方式、范围发生变化时，未以适当方式通知

用户，适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等；

3. 在申请打开可收集个人信息的权限，或申请收集用户身份证号、银行账

号、行踪轨迹等个人敏感信息之前，未明确告知用户其目的，或者目的不

明确、难以理解；

4. 收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无

关，或者收集个人信息的频度等超出业务功能实际需要；

5. 未经用户同意更改其设置的可收集个人信息的开关状态或者以默认方式

同意隐私政策，如APP更新时自动将用户设置的权限恢复到默认状态或默

认勾选同意隐私政策；

6. 要求用户一次性同意打开多个可收集个人信息的权限，用户不同意则无

法使用，或频繁征求用户同意、干扰用户正常使用；

7. 向用户提供数据主体权利平台、隐私邮箱等方式反馈隐私权利诉求，未

在承诺时限内(承诺时限不得超过15个工作日，无承诺时限的，以15个工

作日为限）对用户诉求进行响应；

8. 利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项

（强制用户使用定向推送功能）。

低危

1.  隐私政策等收集使用规则难以访问，如进入App主界面后，需多于4次

点击等操作才能访问到；

2. 隐私政策等收集规则难以阅读，如文字过小过密、颜色过淡、模糊不

清；

3. 以默认选择同意隐私政策等非明示方式征求用户同意。