文档中心 > 商家经营工具-开发指引

开放平台&聚石塔安全违规行为及处罚规范

更新时间:2024/08/01 访问次数:155814

一、概述

为营造安全、规范、有序的开发环境,保障开发者(亦称“服务商”)及其用户(即开发者通过应用进行服务的淘宝平台其他用户)的合法权益,依据《淘宝合作伙伴开发协议》、《开放平台基础规范》、《商家服务市场管理规范》、淘宝平台相关规则等内容制定本规范,适用于淘宝开放平台(以下简称“开放平台”)所有开发者及所有应用。

本规范系对《淘宝合作伙伴开发协议》的有效补充。本规范与《淘宝合作伙伴开发协议》有冲突的,以本规范为准。

二、违规处理措施

违规处理措施开发者应当遵守《淘宝合作伙伴开发协议》(请点击查看)、《开放平台基础规范》(请点击查看)、《淘宝规则》(请点击查看)及开放平台将来可能发布的各类规则。如有违规,开放平台有权对开发者行为及应适用的规则进行单方认定,针对应用或开发者视情节轻重采取一项或多项处理措施:

1)警告:由开放平台发出警告通知,并限时整改;

2)暂停应用授权:指应用无法获得用户的授权,已授权用户在授权未到期前可以继续使用应用,但授权到期后无法重新授权;

3)暂停新用户授权:指应用无法获得新用户的授权,已授权用户在授权到期前可以继续使用应用,授权到期后可以继续授权使用应用;

4)API限流:指限制应用API的调用量;

5)API模糊化:指应用调用的API敏感字段将进行模糊化处理;

6)应用下线:指停止应用所有API&数据同步服务&消息服务的使用,对应用进行下线,已授权用户无法继续使用应用;

7)开发者清退:开发者名下所有应用下线,停止其所有应用API&数据同步服务&消息服务的使用,已授权用户无法继续使用应用,并将开发者身份永久冻结,开放平台将不再与该开发者发生任何合作;

8)其他开放平台根据市场管理需要不时制定的其他措施。

三、安全违规行为

1、安全违规行为

根据开发者或发布的应用违规情形不同的,淘宝将进行以下处理:应用违规处理规则详情请见下表。

违规类型

违规行为

扣分

恶意违规且情节严重

开发者隐瞒其所发现的淘宝平台缺陷且恶意利用。

12

风险资损事件

开发者及其服务/应用违规情节严重,造成消费者、商家或阿里巴巴产生500(含)以上订单客诉量、200万(含)及以上资损金额等重大损失,或造成恶劣影响。

12

开发者及其服务/应用的违规,造成消费者、商家或阿里巴巴产生500(不含)以下订单客诉量、200万(不含)以下资损金额等严重损失,或导致大量用户、商家受到直接影响。

6

安全风险隐患

企业自身问题引发的安全风险隐患,可能给消费者、商家或阿里巴巴造成重大损失,或恶劣影响。

12

开发者屏蔽淘宝平台IP,规避淘宝日常服务排查。

1

开发者发布未经平台确认的信息或向客户传递错误信息等不当言论,造成消费者、商家或阿里巴巴产生重大损失或造成恶劣影响。

6

开发者通过APPKEY或相关权限获取用户个人数据,未按平台相关安全规范对用户敏感信息进行脱敏标示化处理(模糊化、匿名处理等)

3

开发者的应用处理平台用户订单数据,未根据实际业务场景处理用户个人数据或回传的业务场景、使用用途不真实。

3

非法的数据用途

开发者将服务运营数据进行擅自保存、展示、聚合(比如聚合多个商家店铺数据等)、泄露、使用或授权他人使用,服务运营数据包括但不限于用户会员名、手机号码、地址等个人资料、行业数据、交易数据、接口数据及其他服务使用数据等。

12

开发者的应用包含获取及分析平台、商家或消费者个人数据,且对平台、商家或消费者造成恶劣影响,损害了平台、商家或用户的合法权益。

6

开发者将其在开放平台开通相关账户信息向任何第三方进行转让、出借、出租或账号被盗等其他原因被第三方使用。

6

开发者将其在开放平台所开通的相关账户信息或获得的用户数据向任何第三方进行不当披露。

6

开发者的应用包含获取及分析商家数据或消费者个人数据等信息和行业情报的功能。

3

未合法或合规地获取用户数据

开发者的应用在需要收集、变更商家或消费者个人数据时,没有事先获得商家或用户的授权同意,或没有明确地告知商家或用户其相关数据收集的目的、范围及使用方式。

6

开发者通过请求、收集、索取或以其他任何方式从任何用户那里获取对其淘宝账户、密码或其他身份验证凭据的访问权,例如:开发者为用户自动登录到淘宝网站提供代理身份验证凭据或提供跟踪功能等。

6

店铺插件类的开发者应用通过外链和或者在iframecookie的方式来追踪用户行为。

6

开发者的应用未从聚石塔服务器发起api的请求。应用标签包含但不限于ERP/进销存软件、服务商后台系统、商家后台系统、客户关系管理、促销管理、订单管理、订单付费、商品管理、在线订购应用、电商财务、全渠道ERP、行业/店铺分析、客户服务、阿里妈妈营销工具、图片/视频工具、分销应用。

6

开发者在没有合法获取数据接口权限的情况下,通过网络爬虫等不当行为获取淘宝平台相关数据信息。

6

开发者利用其他开发者的App key或相关权限获取淘宝平台用户数据。

6

开发者通过名下多个(不同)应用对聚石塔(JST)服务器发起API请求。

1

开发者未按照开放平台接入标准进行获取数据白名单的域名配置。

1

开发者违背了仅获取为应用程序运行及功能实现目的而必要数据的原则,包括但不限于调用开放平台API获取到业务数据后并未进行任何业务操作等情况。

1

未合法或合规地处理用户数据

收到外部举报,且查实服务商存在将服务运营数据(包括但不限于商家/消费者会员名、手机号码、旺旺账号、地址等个人资料或商家信息、交易数据、接口数据及其他服务使用涉及的平台数据、商家数据以及用户个人信息等,下文亦同)进行擅自收集、展示、泄露、出售、提供、使用或授权他人使用的行为;

情节一般:未对商家造成实质影响,扣6分

情节严重:对商家造成实质影响且影响严重,扣12分

收到外部举报,且查实服务商在职或离职员工,滥用或泄露商家/消费者信息。

情节一般:未对商家造成实质影响,扣3分

情节严重:对商家造成实质影响且影响严重,扣6分

开发者通过App key或相关权限获取的淘宝平台用户数据未存储在RDS中,同时涉及到淘宝平台用户数据的业务处理逻辑未部署在聚石塔内的ECS上。

6

当用户退订或停止使用开发者的应用时,开发者没有及时、安全地删除从该用户处获取的全部数据。

6

开发者通过App key或相关权限获取并存储淘宝平台用户个人数据时,未按照官方认可的安全方案对其存储的数据进行安全加密。

3

开发者通过App key或相关权限获取淘宝平台用户个人数据时,未通过开放平台官方产品或奇门官方互通场景与异构系统进行数据交互。

3

开发者在通过App key或相关权限获取淘宝平台数据时,未通过开放平台奇门接口体系将数据输出到聚石塔外。

3

开发者的应用获取订单解密后的用户敏感信息,未按照平台相关安全规范(包括在本地服务器或数据库等形式存储等)处理用户敏感信息。

6

应用安全违规

开发者对外泄露了应用系统的高危端口、管理接口或源码目录等敏感信息。

3

开发者的应用中出现帐号提权、安装后门程序等主动危害系统安全的行为。

3

开发者应用进行版本升级时,未提交审核流程,直接将新版本发布给商家使用。

3

开发者及其开发的应用未达到《淘宝合作伙伴应用安全规范》等规范,对应用、数据、主机、平台配置等方面的安全要求,给用户、商家、其他开发者及淘宝平台造成负面影响。

3

开发者的应用干扰或企图干扰开放平台、其他开发者应用或其任何部分或功能的正常运行。

3

开发者的应用系统存在可造成数据泄露的安全漏洞且未及时进行修复。

3

开发者未按照御城河平台标准对应用内的数据操作进行日志回传。

1

开发者应用的账户体系未按照御城河平台标准进行设定。

1

开发者未及时按照淘宝平台通知的安全能力、安全风险、安全响应等相关要求进行整改。

1

开发者的应用未按平台相关安全要求进行升级改造或相关改造提交审核信息不真实、不完整。包含但不限于应用未按照平台公告内容完成安全相关升级改造,应用安全准入时,未向平台披露单个应用对应大于一套web应用、服务器、数据库等共享数据情况。

3

未按平台安全相关规范在规定时限内完成安全相关改造升级或风险整改。

1

内容安全违规

开发者在淘宝开放平台开发的应用功能或通过接口发布的内容包含涉黄、涉政等违反国家法律法规的信息。

6


四、处理标准

1.安全违规的处理标准

扣分值

处罚动作

处罚范围

优惠政策

保证金

1分

新签冻结7天

单个应用

3分

新签冻结15天

同类目应用

API调用折扣优惠上限15%

罚没历史冻结违规保证金,按开发者名下最高梯队应用缴纳保证金:

a)第一梯队缴纳违规保证金50万

b)第二梯队缴纳违规保证金20万

c)第三梯队缴纳违规保证金5万

6分

IT类应用新签冻结30天

非IT类应用服务冻结30天

同类目应用

取消API调用折扣优惠

罚没历史冻结违规保证金,按开发者名下最高梯队应用缴纳保证金:

a)第一梯队缴纳违规保证金100万

b)第二梯队缴纳违规保证金50万

c)第三梯队缴纳违规保证金10万

12分

有权对服务商或开发者清退

违规保证金罚没


1)如果同一开发者在同一天之内存在多次安全违规行为时,对其安全处罚按最高扣分标准执行。

2)优惠政策是指开放平台合作框架协议中的技术服务费优惠。

3)已冻结但未罚没的违规保证金,在开发者退出开放平台时,若近365天无安全违规行为,则可申请解冻退回。

4)开发者应用梯队查询方式:登录御城河(https://eco.alibaba.com/ )-应用概览-体检报告-应用信息查询。

2.安全违规的处理原则

1) 如果同一开发者在同一天之内存在多次安全违规行为时,对其安全处罚将需执行如下原则: a) 该开发者在同一天之内,对其处罚的累计扣分大于等于9分时,开放平台将进行应用下线处理;b)如果同一开发者在不同时间存在多次安全违规时,对其安全处罚的处理周期将以所处罚的最晚期限为准。

2) 调用优惠是指,开放平台合作框架协议中的技术服务费优惠。

3) 已冻结但未罚没的违规保证金,在开发者退出开放平台时,若近365天无安全违规行为,则可申请解冻退回。

4) 开发者及其发布的服务或应用一旦违规,淘宝将依据其违规程度给予不同类型的处理,同时暂停该开发者所有线上运营推广资源,并对开发者给予扣分及公示警告的处理。开发者的违规还可能影响到其已获淘拍档称号的继续展现及淘拍档的评选;

5) 开发者违规扣分一年(时间周期为每年一月一日零时至当年十二月三十一日二十四时)内单次扣分或累计扣分满12分且拒不积极配合风险整改动作,平台有权执行清退并罚没历史违规保证金。每年的十二月三十一日二十四时清零;

6) 因违规被处理的开发者及应用,当其全部违规行为已被纠正且处理期满后,方可恢复正常状态;

7) 所有违规在要求的整改时限内未及时整改,则视为同一违规内容再次违规,对该应用按照相关规定再次处理,且对应级别违规次数增加一次;

8) 与服务市场的安全违规处罚为联动处罚机制,无论触犯开放平台、聚石塔或服务市场中任一规则,都将依据相关处罚标准对开发者同时执行启动处罚机制;

9) 违规行为的认定与处理,应基于违规举证或淘宝认定的事实依规执行。但淘宝有权依据实际违规严重情况加重或减轻处理力度,处理措施包括但不限于:警告、暂停应用授权、暂停新用户授权、API限流、API模糊化、应用下线、开发者清退。

五、反馈相关及其他

1.开放平台处理后,不免除用户根据《淘宝规则》、服务市场规则及其他相关规则应承担的违规责任。

2.本规范未作定义的词语或术语,如在《淘宝合作伙伴开发协议》、《开放平台基础规范》、《淘宝规则》或其他规则、协议中已有定义的,适用其定义;如在《淘宝合作伙伴开发协议》、《开放平台基础规范》、《淘宝规则》或其他规则、协议中也未进行定义的,按照该词语或术语的通常含义理解。

3.开放平台有权变更本规范并通过法定程序通知开发者(通知方式包括但不限于:以网站公告、站内信、旺旺弹出消息、客户端推送消息或向开发者预留于开放平台的联系方式发出电子邮件、短信、函件等方式)。若开发者不同意相关变更,应立即停止使用开放平台相关服务。

4.如发现不符合平台规范的违规或违法行为,开发者可通过渠道:ISV_ds_fankui@service.alibaba.com向平台进行反馈,平台将对反馈内容的真实性进行核实,并对反馈者的信息保密处理。

——阿里巴巴 · 开放平台

FAQ

关于此文档暂时还没有FAQ
返回
顶部