更新日期：2025年12月10日

生效日期：2025年12月10日

欢迎您使用教育漏洞报告平台常态化漏洞挖掘演习专栏。平台由上海交通大学（以下简称我们）提供，旨在通过开展常态化漏洞挖掘工作，汇聚教育系统安全力量，共同提升教育系统网络安全防护能力。

您的信任对我们至关重要，我们深知个人信息安全的重要性。我们将按照法律法规要求，采取严格的安全保护措施，保护您的个人信息安全。本《隐私政策》旨在向您清晰说明，在您注册成为本平台的用户并使用平台时，我们如何收集、使用、存储、共享和保护您的个人信息，以及您所享有的权利。

一、我们如何收集和使用您的个人信息

我们遵循“合法、正当、必要和诚信”原则，并基于不同的业务场景，分别收集和使用您的个人信息：

（一）平台账号注册

为创建您在本平台的基础账号，您需要提供您的电子邮箱地址。我们将通过向该邮箱发送激活链接的方式完成账号注册。您的邮箱将作为您登录本平台的账号名，并用于接收平台通知。

（二）参与漏洞挖掘活动

为了遵守国家网络实名制要求，确保漏洞挖掘活动参与的严肃性，并建立可追溯的责任机制，您需要额外提供以下信息完成实名认证和资料完善：

1. 实名认证必要信息

为完成实名认证，您需要提供您的姓名和身份证号码。我们通过依法设立的第三方实名认证服务机构的接口进行核验。在此过程中，您的身份证号码仅用于实时认证匹配，认证完成后，本平台系统不会以任何形式存储您的身份证号码。我们仅保存认证成功的状态标识符（Token）及您的姓名。

2. 活动参与必要信息

为便于活动的管理和沟通，以及为用户提供更好的服务，我们需要收集：

单位及院系/部门：用于人员归属管理、统计和内部协作。

身份（教职工/学生）：用于区分参与者群体，进行精准化管理和协作。

学生证/工作证：用于核实学生/教职工身份以及确认单位信息。

手机号：用于重要通知（如漏洞处理进展）的即时沟通。

性别：用于区分参与者群体，进行精准化管理和协作。

出生年份：用于区分参与者群体，进行精准化管理和协作。

学历信息：教职工用户必填，为优化特定用户服务使用。

教育经历：学生用户必填，为优化特定用户服务使用。

3. 可选信息

为便于我们提供更佳的服务，您可以选择提供：

所获荣誉信息：学生用户选填，为优化特定用户服务使用。

擅长领域：用于平台内部的匿名化统计与分析，以改进我们的服务。

（三）业务功能信息

漏洞信息：您提交的漏洞详情、技术细节及相关证明材料，是我们核心服务的处理对象。

操作日志：当您使用我们的服务时，我们会自动收集您的IP地址、浏览器类型、访问日期和时间等日志信息，用于保障账号安全、运营维护及满足网络安全等级保护的审计要求。

二、我们如何使用Cookie和同类技术

我们使用Cookie来维持网站的安全运行和您的登录状态。Cookie不会用于识别您的个人身份，仅用于存储会话标识符。您可以根据浏览器设置拒绝Cookie，但这可能导致您无法正常登录或使用本平台的部分功能。

三、我们如何共享、转让、公开披露您的个人信息

（一）共享

我们不会与任何无关第三方共享您的个人信息，但以下情况除外：

与监管/执法机构共享：为遵守适用的法律法规、法院裁决或其他政府机关强制性的要求，我们可能会共享您的必要信息。

与关联漏洞单位共享：为有效验证和修复漏洞，在您同意或为处理漏洞所必需的前提下，我们可能会将您的姓名、单位等最小必要信息，共享给被披露漏洞的具体教育机构（即“运营者”）。原则上，我们不会直接共享您的手机号等联系方式，漏洞沟通将通过本平台站内信或经脱敏处理的邮箱/电话进行。

学术研究与统计：在进行匿名化处理（使得信息无法单独或结合其他信息识别到特定个人）后，我们可能将聚合数据用于学术研究或行业分析报告。

（二）转让与公开披露

我们不会将您的个人信息转让给任何公司、组织和个人，也不会公开披露您的个人信息，除非获得您的单独同意或法律法规的强制性要求。

四、我们如何保护和存储您的个人信息

（一）安全保护措施

我们已根据国家网络安全制度的要求，实施了一系列安全保护措施，包括但不限于：

技术措施：数据加密传输与存储（如对密码进行强哈希处理）、严格的访问控制（遵循最小权限原则）、部署防火墙、入侵检测/防御系统等。

管理措施：对处理个人信息的人员进行背景审查、安全保密培训并签署保密协议。建立内部数据分类分级管理制度。

应急响应：制定网络安全事件应急预案，定期进行安全演练和风险评估。

（二）个人信息存储

存储期限：我们仅在为您提供本平台服务所需的期限内保留您的个人信息。在您主动注销账号后，或在法律法规规定的保存期限届满后，我们将对您的个人信息进行删除或匿名化处理。

存储地点：我们在中华人民共和国境内收集和产生的个人信息，将存储在境内。

五、您的权利

您对自己的个人信息享有以下权利：

访问与更正：您有权通过账号设置访问和修改您提供的个人资料。

删除：在特定情形下（如我们处理信息的行为违反法律法规），您可以请求删除个人信息。

撤回同意：您可以通过注销账号的方式，撤回我们继续收集和使用您个人信息的全部授权。

注销账号：您可以通过联系平台管理员申请注销账号。注销后，您将无法再使用本平台的服务。我们将根据法律规定删除或匿名化处理您的个人信息。

六、我们如何处理未成年人的个人信息

我们非常重视对未成年人个人信息的保护。若您是18周岁以下的未成年人，请在您的监护人指导下仔细阅读本政策，并在征得您的监护人同意后使用我们的服务。对于经监护人同意而收集的未成年人个人信息，我们只会在法律允许、监护人明确同意或保护未成年人所必要的情况下使用或披露。

七、本政策如何更新

我们的隐私政策可能变更。未经您明确同意，我们不会削减您按照本隐私政策所应享有的权利。对于重大变更，我们会在本页面发布更新后的版本，并通过显著方式（例如在网站首页发布公告）通知您。

八、如何联系我们

如果您对本隐私政策有任何疑问、意见或建议，或需要进行投诉、举报，您可以通过contact@src.sjtu.edu.cn与我们联系，我们将在15个工作日内答复。

请您在登录和提交注册信息前，务必仔细阅读并充分理解本《隐私政策》的全部内容。您点击“同意”按钮的行为，即视为您已完全理解并接受本政策的全部约定，并同意我们按照本政策收集、使用、存储和保护您的个人信息。