私隱政策
最後更新:2026年4月21日 | 生效日期:2026年4月21日
WhiteHat(以下簡稱「我們」或「平台」)承諾保護您的個人資料安全。本私隱政策說明我們如何收集、使用、存儲和保護您的個人資料,以及您根據香港《個人資料(私隱)條例》(第486章)(以下簡稱「PDPO」)所享有的權利。
1. 我們收集的個人資料
1.1 帳戶資訊
當您註冊帳戶時,我們會收集:
- 用戶名、電子郵箱地址、密碼(加密存儲)
- 個人簡介(可選)
如使用 Google 帳號登錄,我們會透過 Google OAuth 收集您的電子郵箱和基本個人資料。
1.2 安全研究員額外資訊
- 真實姓名(用於身份核實及賞金發放)
- 銀行帳戶或支付資訊(用於賞金結算)
1.3 企業用戶額外資訊
- 公司名稱、商業登記資料
- 聯絡人資訊
- 公司網站及資產範圍
1.4 使用資訊
我們會自動收集您使用平台時產生的資料:訪問日誌、IP 地址、瀏覽器類型、操作系統、頁面訪問記錄。
1.5 漏洞報告
您遞交的漏洞報告包含技術細節、截圖、復現步驟、受影響系統資訊等。
1.6 通信記錄
您與平台客服、企業用戶之間的溝通記錄(包括漏洞申訴討論)。
1.7 論壇內容
您在平台論壇發布的帖子、評論及互動記錄。
1.8 TOTP 驗證資料
啟用雙因素認證時,我們會存儲 TOTP 密鑰的加密副本。
2. 個人資料的使用目的
根據 PDPO 資料保障原則第3原則,您的個人資料僅用於收集時所述明的目的或直接相關的目的:
- 服務提供:帳戶管理、漏洞報告處理、賞金協調與發放
- 安全保護:身份驗證、雙因素認證(TOTP)、預防欺詐
- 平台營運:積分系統、商城兌換、論壇管理
- 通訊通知:電郵通知(漏洞狀態更新、系統公告)
- 法律合規:回應法律要求或政府主管部門的合法要求
我們不會將您的個人資料用於收集時未說明的其他目的。
3. 個人資料的共享與披露
3.1 企業用戶
漏洞報告會與相關企業用戶共享,以便他們驗證和修復漏洞。企業只能查看與其項目相關的報告,且必須遵守保密義務。
3.2 第三方服務商
我們可能委託以下第三方服務:
- 雲服務提供商(服務器託管)
- Google(OAuth 登錄服務)
這些服務商僅能訪問履行職責所需的最低限度資料,並受保密約束。
3.3 法律要求
在法律要求、訴訟或政府主管部門調查的情況下,我們可能會披露您的資料。
3.4 業務轉讓
在合併、收購或資產出售等情況下,我們會要求新的資料持有者繼續遵守本私隱政策。
4. 資料安全措施
我們採取以下措施保護您的個人資料:
- SSL/TLS 加密傳輸
- 密碼哈希存儲(不可逆)
- 基於角色的存取控制
- JWT Token 認證機制
- 支援 TOTP 雙因素認證
- 定期數據備份
我們僅在實現本政策所述目的所需的期間內保留您的個人資料。
5. Cookie 政策
5.1 我們使用的 Cookie 類型
| 類型 | 用途 | 必要性 |
|---|
| 必需 Cookie | 維持登入狀態、安全驗證 | 必要 |
| 功能 Cookie | 記住偏好設定(如語言) | 必要 |
| 5.2 Cookie 管理 | | |
| 您可以透過瀏覽器設定管理或刪除 Cookie。禁用必需 Cookie 可能影響平台功能。 | | |
| 目前我們不使用廣告或營銷類 Cookie。 | | |
6. 兒童私隱保護
WhiteHat 平台僅面向年滿 18 歲的成年人。我們不會故意收集未滿 18 歲人士的個人資料。如發現誤收,我們會立即刪除。
7. 跨境資料傳輸
您的個人資料主要存儲在香港的伺服器上。如因技術需要進行跨境傳輸,我們會確保接收方能提供充分的資料保護水平。
8. 您的權利(根據 PDPO)
根據《個人資料(私隱)條例》,您享有以下權利:
8.1 資料查閱要求(DAR)
您有權要求查閱我們持有的關於您的個人資料。
- 提交方式:發送電郵至 [email protected]
- 處理時限:收到要求後 40 天內回覆(符合 PDPO 第18條要求)
- 我們可能要求核實您的身份
8.2 資料更正
您有權要求更正不準確的個人資料。可直接在帳戶設定中修改,或聯繫我們協助。
8.3 帳戶刪除
您可以申請刪除帳戶。刪除後:
- 個人資料將被刪除或匿名化處理
- 法律法規要求保留的資料除外
- 請確保在刪除前處理好待處理的賞金、提現和漏洞報告
8.4 停止直接促銷
根據 PDPO 第34條,您有權要求我們停止使用您的個人資料作直接促銷。
9. 聯繫我們
資料保護查詢
