OPPO 安全中心

欢迎您（漏洞报告者，以下简称报告者）使用OPPO安全应急响应中心平台服务。本协议约定OPPO广东移动通信有限公司及其关联企业（以下简称“OPPO”）与登录、使用OPPO安全应急响应中心（security.oppo.com，OSRC）的用户（以下称为“报告者”）之间关于在OSRC网站上收集、提交漏洞的权利义务。请在提交漏洞前仔细阅读本协议，报告者使用本平台提交漏洞即表明报告者已完整准确地阅读并了解本协议的内容，并自愿接受本协议的约束。OPPO有权不时对本协议进行修改与更新，请报告者留意查看本协议的最新版本。如您对修改存有任何异议，或者您不同意OSRC公布的规则，请您立即停止使用服务。

本协议经报告者点击同意后生效。

一、定义

1.1 关联企业就OPPO而言，系指通过合同安排或任何其它方式直接或间接拥有或控制该特定一方、或被该特定一方拥有或控制、或与该特定一方处于同一控制之下的任何其他主体。

1.2 保密信息系指一方（“OPPO”）通过任何载体以口头或书面形式向另一方（“报告者”）披露的与协议范围相关的任何专有和/或保密信息。

二、保密性

2.1 报告者应对保密信息保守秘密，并承诺至少以与处理和防止其自身的保密信息向外披露相同的谨慎程度，且不得低于合理的谨慎程度对待OPPO披露的所有保密信息。未经OPPO的事先书面同意，不得向任何第三方披露任何该等保密信息。

2.2 报告者保证以善意的、负责任的、合作的态度提交漏洞，OPPO会在漏洞提交后尽快响应，对于确实存在的漏洞会及时和报告者沟通，确认漏洞修复进度。为保障用户安全，报告者保证在该漏洞修复完成前，不向任何第三方透露相关漏洞相关信息。

2.3 若报告者发现该漏洞可能被其他恶意攻击者利用，或被实际存在的第三方知晓，报告者应将此情况先行通报OPPO，OPPO会确定是否存在实际的威胁，并在此基础上统筹决定是否采取、如何采取预防或修补措施。即便存在上述实际的威胁，报告者仍会尊重和信任OPPO对漏洞的处理，同意不向任何第三方公开漏洞相关信息。

2.4 报告者在发现漏洞的过程中若接触到OPPO或用户的数据，报告者知晓这些数据为保密信息，报告者保证不会剽窃盗取、更改、使用、或以下载存储等任何方式复制、携带、散布、泄露这些数据，OPPO对这些数据的所有权在任何情况下不发生任何形式的转移。

2.5 报告者保证不会利用其发现的漏洞谋取本平台评分、奖励之外的其他利益。

2.6 报告者不得以任何身份以及任何方式对本协议所涉及的漏洞、情报信息进行公开或者不公开的评论。如您无法确认某些信息是否为保密信息，您亦将这些信息作为保密信息进行保护。

三、保密期限

3.1 报告者在本协议项下保护保密信息义务的期限直至OPPO公开保密信息为止。

3.2 本协议有效期为自本协议生效之日长期有效。

四、使用限制

4.1 报告者承诺其仅为项目所需使用保密信息。报告者被明确禁止为项目之外的任何其他目的使用OPPO的保密信息。

4.2 经OPPO随时书面要求，报告者应：(1)向OPPO归还OPPO的所有保密信息、含有该等保密信息的所有文件或媒介，以及该等信息的所有复制件或摘要，或(2)销毁包含该等保密信息的所有文件或媒介，以及该等信息的所有复制件或摘要，并向OPPO提供一份由报告者授权代表签署的关于该等销毁的书面证明。

4.3 报告者不得对向其披露的任何软件实施逆向工程、反编译或反汇编，不得删除、套印或涂抹OPPO所披露的保密信息的任何原件或复制件上的任何著作权、商标、标识、图例说明或其他所有权说明。

4.4  报告者不得为任何非法目的而使用漏洞及漏洞提供的相关信息和OSRC网站的信息，具体地，您不得从事以下活动：

1)未经允许，进入计算机信息网络或者使用计算机信息网络资源的；

2)未经允许，对计算机信息网络功能进行删除、修改或者增加的；

3)未经允许，对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；

4)故意制作、传播计算机病毒等破坏性程序的；

5)其他危害计算机信息网络安全的行为。

如您违反上述保证，OPPO有权采取注销您的账户等措施，如因您上述行为给OPPO造成损失的，您应予赔偿。

4.5 报告者使用OSRC网站时将遵从国家、地方法律法规、行业惯例和社会公共道德，不会利用OSRC网站及相关服务进行存储、发布、传播如下信息和内容：

1)违反国家法律法规政策的任何内容（信息）；

2)违反国家规定的政治宣传或新闻信息；

3)涉及国家秘密或安全的信息；

4)封建迷信或淫秽、色情、下流的信息或教唆犯罪的信息；

5)博彩有奖、赌博游戏；

6)违反国家民族和宗教政策的信息；

7)妨碍互联网运行安全的信息；

8)侵害他人合法权益的信息或其他有损于社会秩序、社会治安、公共道德的信息或内容;

您同时承诺不得为他人发布上述不符合国家规定或本协议条款约定的信息内容提供任何便利，包括但不限于设置URL链接等。

五、所有权

5.1 您理解并同意：您在OSRC平台提交的漏洞，经过OSRC验证存在的，后续默认由OSRC全权处理。

5.2 您理解并同意：您在 OSRC 平台提交的漏洞报告等的所有权及全部知识产权归OPPO所有。未经OPPO书面许可，您不得自行使用、向任何第三方披露或允许第三方使用上述漏洞报告和该等知识产权。如您违反本条规定，OPPO有权追回向您发放的所有奖励并追究您的法律责任。

5.3 本协议不得被视为对任何一方设置了今后订立任何种类的任何合同安排的义务。

六、担保

本协议项下披露的所有保密信息系按“原样”提供，且未就其准确性或性能、特定目的的适用性、或未侵权作出任何明示、暗示或其他形式的任何担保。

七、适用法律

7.1 双方在本协议项下的权利和义务应受已颁布并生效的中华人民共和国法律的管辖。OPPO提醒您仔细阅读，自主考虑风险。未成年人应在法定监护人的陪同下阅读本协议。

7.2 若双方未能解决双方之间因本协议或其任何条款的解释（包括涉及本协议的订立、存在、有效性、履行、违约或终止的任何问题）而发生的或与之相关的任何争议、分歧或索赔，该等争议、分歧或索赔应提交本合同签订地深圳市南山区人民法院诉讼解决。

八、奖金兑换说明

8.1 奖金金额不足1000元，采用等值京东卡兑换，奖金金额超过1000元，可以自行选择等值京东卡兑换或者采用现金支付。

8.2 现金支付，通过OPPO广东移动通信有限公司账户银行转账的方式支付。

九、一般性规定

9.1 双方同意在一方违反本协议义务或存在违反本协议义务的威胁而另一方没有获得充分的法律救济时，另一方有权获得适当的公平救济。报告者违反本协议的约定或报告者的雇员违反本协议的约定并给OPPO造成损害的，报告者应补偿OPPO的损失。在因执行本协议而产生的诉讼中，胜诉一方有权要求另一方对其支出的合理的律师费、仲裁费、及其它有关费用进行补偿。

9.2 不得转让或以任何其他方式出让本协议以及本协议项下授予的任何权利。

9.3 本协议取代先前就本协议主题事宜作出的任何讨论或达成的任何书面协议，且构成双方就本协议主题事宜达成的完整协议。对本协议的任何弃权或修改须以书面方式作出，并经每一方的授权代表正式签署方对双方具有约束力，未行使某一权利或延迟行使某一权利不得被视为放弃该等权利。

9.4 若本协议的某一条款被某一法院或具有司法管辖权的其他法庭认定为不可执行，本协议的其余条款应保持全面有效。

OPPO广东移动通信有限公司

漏洞评分标准及奖金

生效时间：2022-08-11

互联网：Web、移动应用漏洞、服务器漏洞

业务系数

严重

高危

中危

低危

优质报告奖励

特殊重大额外奖励

极高系数

35000-80000

20000-25000

1600-3000

150-300

基础奖励20-30%的额外奖励

100000

高系数

20000-30000

5000-8000

1000-2000

100-200

基础奖励20-30%的额外奖励

100000

中系数

3000-5000

1000-3000

300-500

50-100

基础奖励20-30%的额外奖励

低系数

500-1000

200-500

50-100

0-50

基础奖励20-30%的额外奖励

安全情报漏洞

业务系数

严重

高危

中危

低危

极高系数

35000-80000

20000-25000

1600-3000

150-300

高系数

20000-30000

5000-8000

1000-2000

100-200

中系数

3000-5000

1000-3000

300-500

50-100

低系数

500-1000

200-500

50-100

0-50

终端、IOT漏洞

等级

奖励金额范围(人民币)

严重

35000-80000

高危

20000-25000

中危

1600-3000

低危

150-300

开发者APP漏洞

严重

高危

中危

5,000-10,000

1,000-2,000

500-1,000

隐私漏洞

严重

高危

5,000-10,000

1,000-2,000

另外：如提供特殊重大漏洞，最高奖励金额可达10w元，由OSRC申请专项奖励给情报报告者。