THSRC APP隐私类漏洞评分规则V1.0

隐私问题的定义范围参考行业监管部门的认定标准：

《App违法违规收集使用个人信息行为认定方法》

《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》

《常见类型移动互联网应用程序必要个人信息范围规定》

1、途虎养车或关联子公司的名下的

2、在中国境内监管部门监管范围内的

3、发布上架至各大应用商店并提供公开下载使用的

途虎业务的APP/小程序/SDK（需全部满足上述3点）

包括但不限于途虎养车APP/小程序，途虎养车商户APP/小程序、以及其他汽车保养、轮胎洗美、道路救援、二手车业务APP、汽配龙业务APP、途虎收购的业务及系统产品的APP，以及途虎委托指定的第三方软件开发商开发的APP，途虎APP中嵌入的第三方SDK等。

内部员工专用的封闭式APP可以上报账号登录之外的功能的隐私问题（禁止通过社工他人账号登录获取隐私漏洞的方式）。

A、白帽子提供的APP版本必须是我司及其相关控股子公司名义在中国境内上架，在监管部门监管范围之内，隐私漏洞范围符合前述《App违法违规收集使用个人信息行为认定方法》等监管认定标准定义内（该方法可随监管部门政策更新同步最新版本）。

B、隐私类漏洞报告务必包含提供APP下载应用商店，版本，日期，测试硬件机型，操作系统版本，问题截图位置，必要的触发步骤和现象视频等信息。漏洞认定方法和尺度必须符合监管部门的标准，不支持个人私下歧义性的解读理解。

C、隐私类漏洞所涉及APP和版本，必须是在中国境内我司的官网和各大主流应用下载商店、分发渠道已公开发布的全量新版本，未公开发版的测试版本不作为有效漏洞接收（我司内部测试平台，苹果TestFlight，各类内测托管平台等），之前网上各种陈旧的版本（下载源头是来自各类下载站、代码托管网站，已倒闭停止更新的应用商店，网盘上存留等）的漏洞不作为有效漏洞接收。

D、漏洞以提交时间为准，第一个报告者获得奖励，后续报告者不得奖励。隐私漏洞政策如有变化，因为认定方法变化导致的漏洞可再次提交算做有效漏洞接收。漏洞状态改成“已修复”后，在高版本再次出现的同样漏洞的，作为有效漏洞接收。

E、APP必须是我司开发面向用户提供开放式账号申请注册登录的APP，内部专用的封闭式APP仅限在账号登录范围之外的功能的隐私类问题测试（禁止通过社工渠道获取他人账号登录上报隐私漏洞的行为），非我司开发的外部企业级服务商的APP（譬如企业微信，钉钉，视频会议手机版，滴滴打车企业版之类）不在奖励范围。

F、隐私类漏洞的提交有效日期自2021年9月5日开始，隐私漏洞所对应APP的发版日期也同日开始计算，之前历史版本的漏洞不接收。