合合安全应急响应中心 ISRC

隐私政策

合合安全应急响应中心隐私政策

版本及生效日期

生效日期：【2025 年 8 月 20 日】

更新日期：【2025 年 8 月 13日】

上海合合信息科技股份有限公司（注册地址：上海市静安区万荣路1256、1258号1105-1123室，以下简称“合合信息”或“我们”）系合合安全应急响应中心的运营者。我们非常重视保护用户（以下简称“您”）的个人信息和隐私。您在注册、登录和使用合合安全应急响应中心时，我们会收集、使用、保存、共享您的相关个人信息。为呈现我们处理您个人信息的情况，我们特制定《合合安全应急响应中心隐私政策》（以下简称“隐私政策”），我们承诺严格按照本隐私政策处理您的个人信息。
我们在此提醒您：

在您登录合合安全应急响应中心前，请您务必认真阅读本隐私政策，充分理解各条款内容。您知晓并确认，当您勾选或点击“同意”本隐私政策，就表示您同意我们按照本隐私政策处理您的个人信息。

本隐私政策适用范围包括合合安全应急响应中心网站。

本隐私政策将帮助您了解以下内容：

一、个人信息定义及范围
二、我们如何收集和使用您的个人信息
三、我们如何保存您的个人信息
四、我们如何共享、转让、公开披露您的个人信息
五、我们如何使用Cookie技术
六、第三方产品或服务如何获得您的个人信息
七、我们如何保护您的个人信息
八、您如何管理您的个人信息
九、我们如何处理未成年人的个人信息
十、您的个人信息如何在全球范围转移

十一、本隐私政策如何更新
十二、如何联系我们

一、个人信息定义及范围

1.个人信息：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息（我们将在本政策中对具体个人信息以粗体进行显著标识）。
2.敏感个人信息：敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹信息，以及不满十四周岁未成年人的个人信息（我们将在本政策中对具体敏感个人信息以粗体加下划线进行显著标识）。
3.儿童：指不满十四周岁的未成年人。
4.去标识化：指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。
5.匿名化：指个人信息经过处理无法识别特定自然人且不能复原的过程。

二、我们如何收集和使用您的个人信息

合合安全应急响应中心的业务功能为在线提交漏洞，我们收集和使用您个人信息的情形：

1. 注册登录

当您注册合合安全应急响应中心时，我们需要收集您的邮箱、用户名、手机号码、登录密码；当您登录合合安全应急响应中心时，我们需要收集您的邮箱、登录密码。我们收集您的上述信息是为了帮助您完成合合安全应急响应中心账户的注册或登录，如您不提供这类信息，我们将无法正常向您提供服务。
您还可以根据您的自身需求选择向我们提供您的头像、团队、个人主页、微信、QQ号码，以完善您的个人资料，但您不提供这些信息，不影响您正常使用我们的服务。

2. 保障服务的可靠性和稳定性

为了保障服务的可靠性和稳定性，我们需要收集您的设备型号、操作系统版本、浏览器类型、使用的语言、接入网络的方式、网络质量数据、合合安全应急响应中心注册账户ID。我们收集您的上述信息是为了保障应用运行的可靠性稳定性，由于您无法关闭收集上述数据的权限，如您不提供这类信息，则您将无法使用我们的服务。

3. 提交漏洞

当您进行提交漏洞功能时，我们可能需要收集您选择上传的文档资料。我们需要您上传资料是为了帮助您说明您所提交的漏洞情况，除您自行选定的文档资料外，我们不会处理您的其他文档资料，如您不同意我们读取上述文档资料，您可能因无法使用提交漏洞服务，但不影响您使用我们的其他服务。

4. 礼品兑换

当您使用礼品兑换服务时，我们需要收集您所需填写的收件人姓名、手机号码、邮编、收货地址。我们收集您的上述信息是为了给您寄送您所选择兑换的礼品，如您不提供这类信息，我们将无法为您提供礼品兑换服务，但不影响您使用我们的其他服务。

5. 客户服务

在您通过本网站或本隐私政策中指定的联系方式（电话、邮箱）联系我们，向我们提出投诉、建议、咨询或进行反馈时，为便于与您联系、尽快帮助您解决问题或记录相关问题的处理方案及结果，我们可能会收集您与我们的通信或通话记录、您提供的联系方式信息、您为了证明相关事实提供的信息、程序运行日志、设备信息、系统版本、设备语言国家。我们收集上述信息是为了完成客户服务，如您不提供这类信息，您的投诉、建议、咨询或反馈可能无法得到及时、有效处理，但不影响您正常使用我们的其他服务。

（三）征得同意的例外

请您理解，在下列情形中，根据法律法规，我们处理您的个人信息无需征得您的授权同意。

1. 根据您的要求订立或履行合同所必需；

2. 为履行法定职责或者法定义务所必需，例如与国家安全、国防安全、与刑事侦查、起诉、审判和判决执行等直接相关的法定职责或者法定义务；

3. 为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

4. 为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

5. 在合理的范围内处理你自行公开的个人信息，或者其他已经合法公开的个人信息（如合法的新闻报道、政府信息公开等渠道合法公开的个人信息）；

6. 法律法规规定的其他情形。

特别说明：根据法律规定，如信息无法单独或结合其他信息识别到特定个人的，其不属于个人信息。当您的信息可以单独或结合其他信息识别到您时，或我们把没有与任何特定个人建立联系的数据与您的个人信息结合使用时，我们会将其作为您的个人信息，按照本隐私政策进行处理与保护。

三、我们如何保存您的个人信息

1.我们将在本隐私政策载明的目的所需的最短保存期限之内，保存您的个人信息，除非法律法规另有规定。我们判断个人信息的存储期限主要依据以下标准：

（1）保证我们为您提供服务的安全和质量；

（2）您是否同意更长的留存时间；

（3）根据诉讼时效的相关需要；

（4）是否存在关于存储期限的其他特别约定或法律法规规定。

前述期限届满后，我们将对您的个人信息做删除或匿名化处理。
2.我们将您的个人信息保存在中华人民共和国境内（不包括香港特别行政区、澳门特别行政区及台湾地区）。
3.在您终止使用某项服务后，我们会停止对您的信息的收集和使用，法律法规或监管部门另有规定的除外。当您成功申请注销账户后，我们仅在法律规定范围内最短期限保存您的个人信息，当您的个人信息超出上述保存期限，我们将对您的个人信息进行删除或匿名化处理。
4.如我们停止运营，我们将及时停止收集您个人信息的活动，将停止运营的通知以逐一送达或公告的形式通知您，并对所持有的您的个人信息进行删除或匿名化处理。删除或匿名化处理从技术上难以实现的，我们会停止除存储和采取必要的安全保护措施之外的处理。

四、我们如何共享、转让、公开披露您的个人信息

1. 共享

您同意我们为向您提供服务而向支持我们功能的关联方共享您的个人信息。这些支持包括为我们提供基础设施技术服务、数据处理等，支持我们功能的关联方无权将您的个人信息用于与本隐私政策所载明的目的无关的其他用途；如要改变个人信息的处理目的，他们将另行征得您的授权同意。我们目前不会将您的个人信息共享给除关联方以外的第三方，如需将您的个人信息共享给除关联方以外的第三方，我们会另行征求您的同意。

2. 转让

我们不会将您的个人信息转让给任何公司、组织和个人，但在涉及合并、收购或破产清算时，如涉及到个人信息转让，我们会向您告知，并要求新的持有您个人信息的公司、组织继续受此个人信息保护政策的约束，否则我们将要求该公司、组织重新向您征求授权同意。

3. 公开披露

我们仅会在另行获得您明确同意，或基于法律规定，或行政机关或司法机关的合法要求时，公开披露您的个人信息。
根据法律规定、行政机关或司法机关的要求所必须提供您个人信息的情况下，我们可能会依据所要求的个人信息类型和披露方式公开披露您的个人信息。在符合法律的前提下，当我们收到上述披露信息的要求时，我们会要求必须出具与之相应的法律文件，如传票或调查函。我们将对所有的要求都进行慎重的审查，以确保其具备合法依据，且仅限于执法部门因特定调查目的且有合法权力获取的数据。

五、我们如何使用Cookie技术

1、当您使用合合安全应急响应中心网站时，为您获得更轻松的访问体验，我们会在您的终端设备上存储名为 Cookie的小数据文件。Cookie 通常包含标识符、站点名称以及一些号码和字符。借助于Cookie，网站能够存储您的登录记录。我们向您发送Cookie是为了简化您重复登录的步骤。
2、我们不会将 Cookie 用于本隐私政策所述目的之外的任何用途。您可根据自己的偏好管理或删除Cookies。有关详情，请参见 https://www.aboutcookies.org/。您可以清除计算机上保存的所有Cookie，大部分网络浏览器都设有阻止 Cookies 的功能。但如果您这么做，则需要在每一次访问我们的网站时更改用户设置，而且您之前所记录的相应信息也均会被删除，并且可能会对您所使用服务的安全性有一定影响。如需详细了解如何更改浏览器设置，请访问您使用的浏览器的相关设置页面。

六、第三方产品或服务如何获得您的个人信息

您同意并理解，为了更好地提供服务，我们的产品可能会集成或接入第三方服务，如SDK、API或H5。

我们会对合作方提供的软件开发工具包（SDK）和应用程序接口（API）进行严格的安全监测，以确保您的数据安全。

目前，合合安全应急响应中心实际未集成或接入第三方服务。

七、我们如何保护您的个人信息

我们非常重视用户个人信息的安全。为此，我们采取了行业通行的数据保护技术与管理措施，例如网络隔离、数据加密、访问控制等措施。
我们严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规，已通过了公安部信息系统安全等级保护（二级）的测评和备案，并取得了ISO 27001信息安全管理体系认证、数据安全风险管理认证、数据安全管理能力认证。
请您知悉，虽然我们依法采取了合理的措施保护您的信息，但没有任何系统或网络是绝对安全的。如果我们的物理、技术或管理防护设施遭到破坏，导致信息被非授权访问、公开披露、篡改、或毁坏，导致您的合法权益受损，我们将在法律规定的范围内承担责任，我们也将尽最大努力追究侵权人的法律责任，同时希望您尽最大努力配合我们的工作。
在不幸发生个人信息安全事件后，我们将按照法律法规的要求向您告知：安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。事件相关情况我们将以邮件、信函、电话、推送通知等方式告知您，难以逐一告知个人信息主体时，我们会采取合理、有效的方式发布公告。同时，我们还将按照监管部门要求，上报个人信息安全事件的处置情况。
我们的个人信息安全责任部门为【信息安全委员会】，联络方式为security@intsig.net。

八、您如何管理您的个人信息

在您使用合合安全应急响应中心期间，您可以访问、更正、删除您的个人信息，以及行使改变授权同意的范围与注销账号的权利，您的意见会及时得到处理。
1. 访问您的个人信息
您有权访问您的个人信息，法律法规规定的例外情况除外。如果您想行使数据访问权，可以在登录合合安全应急响应中心后，请点击右上角【昵称】-【个人主页】-【我的个人信息】页面进行访问。如果您无法自行访问您的个人信息，请通过security@intsig.net联系我们进行访问，我们将在收到请求的十五个工作日内进行处理。

2. 更正您的个人信息
当您发现我们处理的关于您的个人信息有错误时，您有权要求我们作出更正。您可以在登录合合安全应急响应中心后，请点击右上角【昵称】-【个人主页】-【我的个人信息】页面进行更正。如果您无法自行更正您的个人信息，请通过security@intsig.net联系我们进行更正，我们将在收到请求的十五个工作日内进行处理。

3. 更新您的个人信息
您有权更新您的个人信息，您可以在登录合合安全应急响应中心后，请点击右上角【昵称】-【个人主页】-【我的个人信息】页面进行更新。如果您无法自行更新您的个人信息，请通过security@intsig.net联系我们进行更新，我们将在收到请求的十五个工作日内进行处理。如您需要修改您的账号密码，请在合合安全应急响应中心网站内点击右上角【昵称】-【个人主页】-【修改密码】页面自行更改。

4. 删除您的个人信息
对于您上传的个人信息，您可以在登录合合安全应急响应中心后，请点击右上角【昵称】-【个人主页】-【我的个人信息】页面进行删除。如果您无法自行删除您的个人信息，请通过security@intsig.net联系我们进行删除，我们将在收到请求的十五个工作日内进行处理。

在以下情形中，您可以向我们提出删除个人信息的请求，但已做匿名化处理或法律法规另有规定的除外：

（1）我们违反法律法规或与您的约定收集、使用个人信息；

（2）我们违反法律法规或与您的约定与第三方共享或转让您的个人信息，我们将立即停止共享、转让行为，并通知第三方及时删除；

（3）我们违反法律法规规定或与您的约定，公开披露您的个人信息，我们将立即停止公开披露的行为，并发布通知要求相关接收方删除相应的信息；

（4）您不再使用我们的产品或服务，或我们终止服务及运营。
若我们决定响应您的删除请求，我们还将根据法律法规和标准文件的规定，同时通知从我们获得您的个人信息的实体，要求其及时删除，除非法律法规另有规定，或这些实体获得您的独立授权。
当您从我们的服务中删除信息后，我们可能不会立即在备份系统中删除相应的信息，但会在备份更新时删除这些信息。
5. 注销账户

您可以通过security@intsig.net联系我们申请注销您的账号，我们将在十五个工作日内进行处理。

您注销上述账户的行为是不可逆的，我们将停止为您提供产品或服务，不再收集您的个人信息，并依据您的要求删除与您账户相关的个人信息或做匿名化处理，但法律法规另有规定或监管部门另有要求的除外。

6.获取个人信息副本

您可以通过security@intsig.net与我们联系，以获取您的个人信息副本，我们将在收到请求的十五个工作日内进行处理。

7. 响应您的上述请求
如您无法按照上述方式行使权利的，您可以采取本隐私政策载明的联系方式与我们联系。为保障安全，您可能需要提供书面请求，或以其他方式证明您的身份。我们可能会先要求您验证自己的身份，然后再处理您的请求。
对于您的合理请求，我们原则上不收取费用，但对多次重复、超出合理限度的请求，我们将酌情收取一定成本费用。对于那些无端重复、需要过多技术手段、给他人合法权益带来风险或者非常不切实际的请求，我们可能会予以拒绝。
如果您的请求被拒绝，我们将告知您拒绝的原因，您可以通过本隐私政策载明的联系方式进行投诉。
8. 响应情形的例外
在以下情形中，我们将无法响应您的请求:
（1）与我们履行法律法规规定的义务相关的；
（2）与国家安全、国防安全直接相关的；
（3）与公共安全、公共卫生、重大公共利益直接相关的；
（4）与刑事侦查、起诉、审判和执行判决等直接相关的；
（5）我们有充分证据表明个人信息主体存在主观恶意或滥用权利的；
（6）出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人同意的；
（7）响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的；
（8）涉及商业秘密的。

九、我们如何处理未成年人的个人信息

1. 我们的产品或服务主要面向成年人（即18周岁以上），并无专门面向未成年人（未满18周岁，下同）的产品和服务或产品和服务的部分功能板块，无需用户输入生日、年龄信息等用以识别用户年龄。
如您为未成年人（即未满18周岁，下同），请您理解，我们非常重视对未成年人个人信息的保护，您在主动提供个人信息前，请加强个人保护意识并谨慎对待。您应在您的父母或其他监护人监督、指导下仔细阅读本隐私权政策，并在征得您的父母或其他监护人同意的前提下使用我们的服务或向我们提供信息。
您应遵守《全国青少年网络文明公约》，为更好地保护未成年人隐私权益，请您慎重上传包含未成年人肖像的内容，增强自护意识。请您理解，我们仅为实现本隐私政策载明的目的处理您上传的内容，不作他用。
2. 若您是未成年人的监护人，我们提示您：
（1）请您关注您所监护的未成年人是否是在取得您的授权同意之后使用我们的产品或服务、主动向我们提供个人信息，您作为监护人应指导并监督被监护人的使用行为；
（2）请您保管好您的支付账户及支付密码等重要信息，以避免被监护人在未取得您同意的情况下在我们的产品或服务中进行支付结算；
（3）如您所监护的未成年人在未获取您同意的情况下已阅读同意本隐私政策，您可以通过本隐私政策载明的方式与我们联系以支持您撤回授权、删除个人信息。
如果您对您所监护的未成年人的个人信息有疑问，请通过本隐私政策载明的方式与我们联系。

十、您的个人信息如何在全球范围转移

原则上，我们在境内收集和处理您的个人信息，也会将您的个人信息保存在中国境内。

由于我们遍布全球的资源和服务器提供产品与服务，这意味着，在获得您的授权同意后，您的个人信息可能会被转移到您使用产品或服务所在国家/地区境外的其他司法管辖区，或者受到来自这些司法管辖区的访问。此类司法管辖区可能设有不同的数据保护法，甚至未设立相关法律。在此类情况下，我们会确保您的个人信息得到所有适用法律和法规要求的充分且同等的保护。例如，我们会请求您对跨境转移个人信息的同意或者在跨境转移之前实施数据匿名等安全举措。

十一、本隐私政策如何更新

我们的隐私政策可能会适时发生变更。我们会在本页面上发布对本隐私政策所做的任何变更。请定期访问本页面，查看本隐私政策是否有任何更新或变更。对于重大变更，我们还会提供更为显著的通知（我们可能会通过弹窗的方式，说明隐私政策的具体变更内容）。未经您明确同意，我们不会削减您按照本隐私政策所应享有的权利。
本隐私政策所指的重大变更包括但不限于:我们的服务模式发生重大变化；个人信息共享、转让或公开披露的主要对象发生变化；您参与个人信息处理方面的权利及其行使方式发生重大变化；我们负责处理个人信息安全的责任部门、联络方式及投诉渠道发生变化；个人信息安全影响评估报告表明存在高风险时。

十二、如何联系我们

我们设立了专门的个人信息保护团队和个人信息保护负责人。如果您对本隐私政策或个人信息保护有任何问题、意见或建议，您可以通过电子邮箱security@intsig.net式联系我们，为了就您反馈的问题进行沟通和跟进，我们将会收集您所需要提供的邮箱地址或联系电话。

我们收到您的问题、意见或建议，并验证您的用户身份后，我们将在十五个工作日内回复。如果您对我们的回复不满意，特别是我们的个人信息处理行为损害了您的合法权益，您还可以向网信、电信、公安及工商等监管部门进行投诉或举报。