《开放平台&聚石塔安全违规行为及处罚规范》变更公示通知
发布于: 2019-05-06 15:02:43
尊敬的开发者:
为营造规范、有序、安全的平台环境,提升开发者的应用稳定性,平台对《开放平台&聚石塔安全违规行为及处罚规范》相关内容进行调整。
本次规则调整于2019年5月5日公示通知,将于2019年5月12日正式生效。
具体调整内容如下:
|
1、安全违规的处理原则 |
|
|
调整前 |
调整后 |
|
2) 开发者违规扣分一年(时间周期为每年四月一日零时至次年三月三十一日二十四时)内累计扣分满12分清退。每年的三月三十一日二十四时清零; |
2) 开发者违规扣分一年(时间周期为每年一月一日零时至当年十二月三十一日二十四时)内累计扣分满12分清退。每年的年十二月三十一日二十四时清零; |
|
2、安全违规行为及处理 |
|
|
调整前 |
调整后 |
|
1) 如果同一开发者在同一天之内存在多次安全违规行为时,对其安全处罚将需执行如下原则: a) 该开发者在同一天之内,对其处罚的累计扣分大于等于8分时,开放平台将进行应用下线处理; |
1) 如果同一开发者在同一天之内存在多次安全违规行为时,对其安全处罚将需执行如下原则: a) 该开发者在同一天之内,对其处罚的累计扣分大于等于9分时,开放平台将进行应用下线处理; |
|
无 |
2)调用优惠是指,开放平台合作框架协议中的技术服务费优惠。 |
|
无 |
3)已冻结但未罚没的违规保证金,在开发者退出开放平台时,若近365天无安全违规行为,则可申请解冻退回。 |
|
2、安全违规行为及处理 |
||||||
|
违规类型 |
原违规内容 |
新违规内容 |
原扣分 |
新扣分 |
原处理类型 |
新处理类型 |
|
恶意违规且情节严重 |
服务商将服务运营数据进行擅自保存、展示、聚合(比如聚合多个卖家店铺数据等)、泄露、使用或授权他人使用,服务运营数据包括但不限于用户会员名、手机号码、地址等个人资料、行业数据、交易数据、接口数据及其他服务使用数据等。 |
开发者将服务运营数据进行擅自保存、展示、聚合(比如聚合多个商家店铺数据等)、泄露、使用或授权他人使用,服务运营数据包括但不限于用户会员名、手机号码、地址等个人资料、行业数据、交易数据、接口数据及其他服务使用数据等。 |
12 |
12 |
服务市场:服务商清退; |
1、服务商清退 |
|
导致资损 |
服务商及其服务/应用违规情节严重,造成用户重大损失(超过50万元(含)),或导致大量用户(超过300人(含))受到影响。 |
开发者及其服务/应用违规情节严重,造成消费者、商家或阿里巴巴重大损失,或造成恶劣影响。 |
12 |
12 |
服务市场:服务商清退; |
1、服务商清退 |
|
服务商及其服务/应用的违规情节严重,造成商家或阿里巴巴重大损失(超过50万元(含)),或导致大量商家(超过300家(含))的业务受到直接影响。 |
开发者及其服务/应用的违规,造成消费者、商家或阿里巴巴重大损失,或导致大量用户、商家受到直接影响。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
|
恶意地利用平台缺陷 |
服务商隐瞒其所发现的淘宝平台缺陷且恶意利用。 |
开发者隐瞒其所发现的淘宝平台缺陷且恶意利用。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
非法的数据用途 |
无 |
开发者的应用包含获取及分析平台、商家或消费者个人数据,且对平台、商家或消费者造成恶劣影响,损害了平台、商家或用户的合法权益。 |
无 |
6 |
无 |
1、服务冻结,暂停应用授权30天 |
|
服务商的应用包含获取及分析某个单店铺隐私数据和用户的身份证等信息和行业情报的功能。 |
开发者的应用包含获取及分析商家数据或消费者个人数据等信息和行业情报的功能。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
服务商违背了仅获取为应用程序运行及功能实现目的而必要数据的原则,包括但不限于调用开放平台API获取到业务数据后并未进行任何业务操作等情况。 |
开发者违背了仅获取为应用程序运行及功能实现目的而必要数据的原则,包括但不限于调用开放平台API获取到业务数据后并未进行任何业务操作等情况。 |
1 |
1 |
服务市场:服务新签冻结; |
1、新签冻结15天 |
|
|
未合法或合规地获取用户数据 |
服务商的应用在需要收集用户个人数据时,没有事先获得用户的授权同意,或没有明确地告知用户其相关数据收集的目的、范围及使用方式。 |
开发者的应用在需要收集、变更商家或消费者个人数据时,没有事先获得商家或用户的授权同意,或没有明确地告知商家或用户其相关数据收集的目的、范围及使用方式。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
服务商通过请求、收集、索取或以其他任何方式从任何用户那里获取对其淘宝账户、密码或其他身份验证凭据的访问权,例如:服务商为用户自动登录到淘宝网站提供代理身份验证凭据或提供“跟踪”功能等。 |
开发者通过请求、收集、索取或以其他任何方式从任何用户那里获取对其淘宝账户、密码或其他身份验证凭据的访问权,例如:开发者为用户自动登录到淘宝网站提供代理身份验证凭据或提供“跟踪”功能等。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
|
店铺插件类的服务商应用通过外链和或者在iframe种cookie的方式来追踪用户行为。 |
店铺插件类的开发者应用通过外链和或者在iframe种cookie的方式来追踪用户行为。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
|
服务商的应用未从聚石塔服务器发起api的请求。应用标签包含但不仅限于ERP/进销存软件、服务商后台系统、商家后台系统、客户关系管理、促销管理、订单管理、订单付费、商品管理、仓储管理系统、在线订购应用、协同办公、快递运输应用、电商财务、全渠道ERP、行业/店铺分析、客户服务、阿里妈妈营销工具、商品MDM、图片/视频工具、阿里旅行-国际机票、阿里旅行-国内机票、淘点点、分销应用。 |
开发者的应用未从聚石塔服务器发起api的请求。应用标签包含但不仅限于ERP/进销存软件、开发者后台系统、商家后台系统、客户关系管理、促销管理、订单管理、订单付费、商品管理、仓储管理系统、在线订购应用、协同办公、快递运输应用、电商财务、全渠道ERP、行业/店铺分析、客户服务、阿里妈妈营销工具、商品MDM、图片/视频工具、阿里旅行-国际机票、阿里旅行-国内机票、淘点点、分销应用。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
|
服务商利用其他服务商的App key或相关权限获取淘宝平台用户数据。 |
开发者利用其他开发者的App key或相关权限获取淘宝平台用户数据。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
|
无 |
开发者未按照开放平台接入标准进行获取数据白名单的域名配置。 |
无 |
1 |
无 |
1、新签冻结15天 |
|
|
未合法或合规地储存和处理用户数据 |
服务商通过App key或相关权限获取淘宝平台用户的数据未存储在RDS中,同时涉及到淘宝平台用户数据的业务处理逻辑未部署在聚石塔内的ECS上。 |
开发者通过App key或相关权限获取的淘宝平台用户数据未存储在RDS中,同时涉及到淘宝平台用户数据的业务处理逻辑未部署在聚石塔内的ECS上。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
服务商通过App key或相关权限获取并存储淘宝平台用户的隐私数据时,未按照官方认可的安全方案对其存储的用户隐私数据进行安全加密。 |
开发者通过App key或相关权限获取并存储淘宝平台用户个人数据时,未按照官方认可的安全方案对其存储的数据进行安全加密。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
未合法或合规地转移用户数据 |
服务商在通过App key或相关权限获取淘宝平台用户的隐私数据时,未通过奇门官方场景或聚石塔通信服务等官方产品的接口与塔外系统进行数据交互。 |
开发者在通过App key或相关权限获取淘宝平台消费者个人数据时,未通过奇门官方场景或聚石塔通信服务等官方产品的接口与塔外系统进行数据交互。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
服务商在通过App key或相关权限获取淘宝平台用户的非隐私数据时,未通过开放平台奇门接口与塔外系统进行交互,擅自通过其他方式将聚石塔内数据输出到聚石塔外。 |
开发者在通过App key或相关权限获取淘宝平台商家数据时,未通过开放平台奇门接口与塔外系统进行交互,擅自通过其他方式将聚石塔内数据输出到聚石塔外。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
服务商的应用通过其他应用的聚石塔(JST)服务器发起API请求。 |
开发者的应用通过其他应用的聚石塔(JST)服务器发起API请求。 |
1 |
1 |
服务市场:服务新签冻结; |
1、新签冻结15天 |
|
|
未合法或合规地共享平台的敏感数据 |
服务商将其在开放平台开通相关账户信息向任何第三方进行转让、出租或出借。 |
开发者将其在开放平台开通相关账户信息向任何第三方进行转让、出借、出租或账号被盗等其他原因被第三方使用。 |
12 |
6 |
服务市场:服务商清退; |
1、服务冻结,暂停应用授权30天 |
|
服务商将其在开放平台所开通的相关账户数据向任何第三方进行不当披露。 |
开发者将其在开放平台所开通的相关账户信息或获得的用户数据向任何第三方进行不当披露。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
|
未合法或合规地删除数据 |
当用户退订或停止使用服务商的应用时,服务商没有及时、安全地删除从该用户处获取的全部数据。 |
当用户退订或停止使用开发者的应用时,开发者没有及时、安全地删除从该用户处获取的全部数据。 |
5 |
6 |
服务市场:服务冻结; |
1、服务冻结,暂停应用授权30天 |
|
应用的安全违规 |
无 |
开发者在没有合法获取数据接口权限的情况下,通过网络爬虫等不当行为获取淘宝平台相关数据信息。 |
|
3 |
无 |
1、服务冻结30天 |
|
服务商对外泄露了应用系统的高危端口、管理接口或源码目录等敏感信息。 |
开发者对外泄露了应用系统的高危端口、管理接口或源码目录等敏感信息。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
服务商的应用中出现帐号提权、安装后门程序等主动危害系统安全的行为。 |
开发者的应用中出现帐号提权、安装后门程序等主动危害系统安全的行为。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
服务商应用进行版本升级时,未提交审核流程,直接将新版本发布给商家使用。 |
开发者应用进行版本升级时,未提交审核流程,直接将新版本发布给商家使用。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
服务商及其开发的应用未达到《聚石塔安全技术要求规范》对应用、数据、主机、平台配置方面的安全要求,在收到淘宝相关通告后未在指定时间内修复。 |
开发者及其开发的应用未达到《淘宝合作伙伴应用安全规范》对应用、数据、主机、平台配置方面的安全要求,给用户、商家、其他开发者及淘宝平台造成负面影响,或在收到淘宝平台书面通告后未在指定时间内修复。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
服务商违反《第三方服务安全开发规范》,在收到淘宝相关通告后未在指定时间内修复,给用户、其他服务商以及淘宝造成影响。 |
3 |
服务市场:服务冻结; |
||||
|
服务商的应用干扰或企图干扰开放平台、其他服务商应用或其任何部分或功能的正常运行。 |
开发者的应用干扰或企图干扰开放平台、其他开发者应用或其任何部分或功能的正常运行。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
|
|
无 |
开发者的应用系统存在可造成数据泄露的安全漏洞且未及时进行修复。 |
无 |
3 |
无 |
1、服务冻结30天 |
|
|
无 |
开发者未按照御城河平台标准对应用内的数据操作进行日志回传。 |
无 |
1 |
无 |
1、新签冻结15天 |
|
|
无 |
开发者应用的账户体系未按照御城河平台标准进行设定。 |
无 |
1 |
无 |
1、新签冻结15天 |
|
|
规避安全监督 |
服务商屏蔽淘宝IP,规避淘宝日常服务排查。 |
开发者屏蔽淘宝平台IP,规避淘宝日常服务排查。 |
3 |
3 |
服务市场:服务冻结; |
1、服务冻结30天 |
特此通知,敬请知悉,感谢您对开放平台的支持与关注!
--阿里巴巴.开放平台
2019年5月5日