盐城市公安局互联网监管对象网络安全检测服务合同公告 (招标编号:YCGACG2025-ZB-JC10)

一、内容:

一、合同编号:YCGACG2025-ZB-JC10 二、合同名称:盐城市公安局互联网监 管对象网络安全检测服务合同 三、项目编号(或招标编号、政府采购计划编号、采 购计划备案号等、如有):YCGACG2025-ZB-JC10 四、项目名称:盐城市公安局互联 网监管对象网络安全检测服务 五、合同主体 采购人(甲方):盐城市公安局 地 址:盐城市平安路9号 联系方式:*开通会员可解锁* 供应商(乙方):上海蛮犀科 技有限公司 地址:上海市松江区泗泾镇泗砖路 639号 10 幢 201 室-70 联系方式: *开通会员可解锁* 六、合同主要信息 主要标的信息:盐城市公安局互联网监管对象网 络安全检测服务 规格型号(或服务要求):详见合同 联系方式:*开通会员可解锁*

主要标的数量:1 主要标的单价:20万元 合同金额:20万元 履约期限、地点 等简要信息:1年 采购方式:公开招标 七、合同签订日期:*开通会员可解锁* 八、合 同公告日期:*开通会员可解锁* 九、其他补充事宜:见合同详情

二、监督部门

本招标项目的监督部门为盐城市公安局。

三、联系方式

김	标			人:盐城市公安局
如				址:盐城市平安路9号
联	系			人:江警官
日				话:*开通会员可解锁*
目	子	田区	件:

招 标 代理机 构:江苏捷诚建设项目管理咨询有限公司 排 址:盐城市神州路与新都路交界处紫金大厦506室 联 系 人:吉胜 电 话:*开通会员可解锁* 世 邮 件: 子

招标人或其招标代理机构主要负责人(项目负责 招标人或其招标代理

政府采购合同

项目编号: YCGACG2025-ZB-JC10

项目名称:盐城市公安局互联网监管对象网络安全检测服务

甲方:盐城市公安局 乙方:上海蛮犀科技有限公司

政府采购合同

项目名称:盐城市公安局互联网监管对象网络安全检测服务

项目编号: YCGACG2025-ZB-JC10

甲方:盐城市公安局

乙方:上海蛮犀科技有限公司

甲、乙双方根据盐城市公安局互联网监管对象网络安全检测服务公开招标的 结果,签署本合同。

一、采购标的、合同清单、项目组成员

1、采购内容:对全市约160个 APP、120个小程序开展 6 轮常态化监测,覆 盖主流平台与应用类型。多维度排查程序、数据安全隐患及合规漏洞,经自动化 与人工双重验证后输出专业报告,并支持灵活的数据推送方式。构建监测、整改、 复测闭环流程,同时运用 AI 技术精准挖掘黑灰产线索,全面提升网络安全监管 执法效能。

序号	项目名称	単位	数量	全费用综合单 价(元)	合价(元)	备注
1	APP 应用安全 合规检测	रू	1	60000. 00	60000. 00
2	小程序安全合 规检测	年	1	50000. 00	50000.00
3	风险验证与报 告输出	रू	1	24000.00	24000.00
4	检测结果多渠 道推送	रू	1	10000. 00	10000.00
5	黑灰产深度溯 源分析	年	1	36000.00	36000. 00
6	闭环处置与技 术支撑	年	1	20000.00	20000. 00
合价:*开通会员可解锁*.00元

2、合同清单:

项目组团队名单: 3、

序号	姓名	性別	年齢	在项目组中所 担任职务	职称	学历	备注
1	龙柏林	用	35	项目经理	CTO	本科
2	唐立华	用	31	技术负责人	技术员	专科
3	孙克	男	24	检测员	技术员	专科
4	张永峰	用	32	检测员	技术员	本科
5	李亚龙	男	24	合规技术支持	合规专家	专科

备注:项目实施期间服从甲方工作安排,处理重大风险线索或黑灰产可疑行 为期间,根据甲方要求提供必要现场服务。项目服务期间,项目负责人、技术负 责人、项目实施人员不得随意更换,如因客观原因需更换的,需提前15个自然 日书面报经甲方同意后方可更换,更换人员需具备同等资质。相关人员服务期间 因各种理由(除病假提供病例等不可抗力)随意更换且资质不满足要求的,扣除 合同金额5万元。

二、合同金额

1、本合同金额为人民币(大写):武拾万元整(¥*开通会员可解锁*.00元)。

2、本合同价款包含所有乙方提供合同约定产品和服务的报酬及乙方提供合 同中产品和服务所支出的必要费用,甲方在上述合同价款之外不再向乙方支付其 他任何费用。

三、技术资料

1、乙方应按招标文件规定的时间向甲方提供有关技术资料。

2、没有甲方事先书面同意,乙方不得将由甲方提供的有关合同或任何合同 条文、规格、计划、图纸、样品或资料提供给与履行本合同无关的任何其他人。 即使向履行本合同有关的人员提供,也应注意保密并限于履行合同的必需范围。

四、知识产权、产权担保

乙方应保证甲方在使用、接受本合同货物和服务或其任何一部分时不受第三 方提出侵犯其专利权、版权、商标权和工业设计权等知识产权的起诉。若出现侵

权及赔偿责任等纠纷,均由乙方自行承担,与甲方无涉,由此给甲方造成损失的, 甲方有权要求乙方承担包括间接损失在内的全部赔偿责任。

五、履约保证金

1、乙方交纳人民币10000元作为本合同的履约保证金。(合同金额的 5%, 甲方对 AA 评级及以上政府采购供应商(需提供信用管理部门备案的第三方信用 报告)免收履约保证金。依据《关于在全省政府采购领域推行电子履约保函(保 除)的通知》,鼓励乙方自愿使用履约保函(保险)代替缴纳履约保证金)

2、合同履行结束后,甲方应及时退还交纳的履约保证金。

3、履约保证金的退还:

3.1 方式:无息退还至乙方缴纳履约保证金的账户。如为保函,在到期时自 行失效。

3.2时间:验收合格且甲方收到发票后30日内。

3.3条件:按合同要求全部履约完成并经甲方验收合格,且甲方收到乙方出 具的发票。

3.4 不予退还情形:

除不可抗力情况外,乙方出现下列情形之一的,其履约保证金,甲方将视情 节决定不予退还或部分不予退还。

(1) 乙方无正当理由拒绝签订合同的,或者在签订合同时向甲方提出附加 条件或者更改合同实质性内容要求的;

(2) 乙方不履行与甲方订立的合同的;

(3) 乙方所供货物或服务不符合招标文件规定要求的;

(4) 乙方采取欺骗、弄虚作假方式投标的或与其它投标人串通投标的:

(5) 乙方将合同内容转包、违法分包的;

(6)乙方故意捏造事实或伪造证明材料,进行虚假恶意投诉或反映的。

3.5 逾期退还的违约责任:甲方逾期无故未退还履约保证金的,按中国人民 银行同期贷款基准利率上浮 20%后的利率支付超期资金占用费,但因乙方自身原 因导致无法及时退还的除外。

六、转包或分包

1、本合同范围的服务,应由乙方直接提供,不得转让他人提供;

2、除非得到甲方的书面同意,乙方不得部分分包给他人供应。

3、如有转让和未经甲方同意的分包行为,甲方有权给予终止合同。

4、乙方应当按照合同规定的内容、时间及要求向甲方提供服务。

5、乙方在服务期中出现批漏或错误负责修改或补充,因乙方原因导致事故 风险损失的,乙方除负责采取补救措施之外,并赔偿甲方的损失。

七、服务期限及进度要求

1、服务期限:1年。

2、进度要求:

2.1 项目服务期为合同签订后 365个自然日,乙方应统筹把握项目进度,按 照合同约定的标准和时间完成工作任务。在合同签订后,3个自然日内完成项目 服务团队组建:10个自然日内完成待检测 APP 安装包和小程序链接的获取;50 个自然目内完成首轮次检测、人工审核验证并出具检测报告。APP、小程序每次 版本更新检测一次,3个月内未更新的,每3个月检测一次。一年内每个应用至 少完成6轮次检测(含版本更新检测、复测),并出具检测报告。

2.2 乙方应严格按照上述服务进度时间节点提交相关报告,未按时提交的, 每逾期 1天扣除合同款 2000元,扣完为止,逾期累计超过 30天的,甲方有权解 除合同,扣除履约保证金,并要求乙方承担合同总价 30%的违约金。因乙方无法 获取到 APP 安装包造成无法检测的,每个应用扣除合同款 1 万元,扣完为止。

八、服务需求

1、APP 应用安全合规检测

1.1 检测范围与频次

APP 检测范围包括但不限于在我市国际联网备案的 APP、第三方资产测绘获 取的 APP 及甲方要求检测的 APP。一年服务期内,完成不少于 160个国际联网备 案 APP 的 6 轮次技术检测,相关 APP 的安装包由乙方自行梳理。在每季度全量检 测的基础上,任一应用在版本号发生变化或甲方推送新增 APP 资产,须在 24 小

时内完成首次技术检测。按照分级预警机制,对发现存在高风险的应用,12小 时内向甲方推送检测报告,对存在中低风险的应用每季度首月20日前统一汇总 推送。

1.2 APP 应用类型

APP 应用包括 Android 系统的 APK 格式、iOS 系统的 IPA 格式和鸿蒙系统的 HAP 格式的应用包文件。

乙方应提供 APP 各操作系统安装包获取技术方法说明及安装包版本更新监 测手段,至少应包含可行的技术路径和主要实现步骤。

1.3 APP 检测指标

1.3.1 安全检测方面

依据《移动互联网应用程序信息服务管理规定》《移动应用软件安全评估方 法》《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》等文 件,主要从源文件安全、数据存储风险、身份认证风险、安全防护能力等方面, 进行静态与动态的安全检测。

(1) Android 系统

Android 系统 APP 安全类检测包括不限于基本信息、源文件安全、数据存储 风险、内部数据交互风险、通信传输风险、身份认证风险、组件风险、HTML5 风 险、安全防护能力、第三方 SDK 风险、服务端数据泄露风险、通用WEB 风险、内 容风险等13大类检测项目。

(2) iOS 系统

iOS 系统 APP 安全类检测包括不限于基本信息、源文件安全、数据存储风险、 通信传输风险、身份认证风险、加密算法和密码安全、iOS 安全开发规范、HTML5 风险、内容风险等9大类检测项目。

(3) HarmonyOS 系统

HarmonyOS 系统 APP 安全类检测包括不限于基本信息、源文件安全、数据存 储风险、通信传输风险、组件风险、身份认证风险、安全防护能力、内容风险等 8 大类检测项目。

б

1.3.2 隐私合规检测方面

依据《信息安全技术移动互联网应用程序(APP)收集个人信息基本要求》 《App 违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全 规范》等文件,主要从隐私政策文本合规性、个人信息收集必要性、权限使用场 景合理性、超范围采集风险、第三方 SDK 合规管控等多个维度,对 APP 的隐私政 策合规方面进行检测。

Android 系统、iOS系统、HarmonyOS系统隐私合规类检测项包括不限于 APP 隐私合规检测需要包含未公开收集使用规则、未明示收集使用个人信息的目的、 方式和范围、未经用户同意收集使用个人信息、违反必要原则,收集与其提供的 服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定提供删除或 更正个人信息功能等6大类检测项目。

2、小程序安全合规检测

2.1 检测范围与频次

小程序检测范围包括但不限于在我市国际联网备案的小程序、第三方资产测 绘获取的小程序及甲方要求检测的小程序。一年服务期内,完成不少于120个国 际联网备案小程序的6轮次技术检测,相关小程序链接由乙方自行梳理。在每季 度全量检测的基础上,任一小程序在版本发生变化或甲方推送新增小程序资产, 须在 24 小时内完成首次技术检测。按照分级预警机制,对发现存在中高风险的 小程序,12小时内向甲方推送检测报告,对存在低风险的小程序每季度首月20 日前统一汇总推送。

2.2 小程序类型

包括微信小程序、支付宝小程序、抖音小程序、百度智能小程序、快应用等 主流移动应用小程序。

2.3 小程序检测指标

2.3.1 安全检测方面

依据《信息安全技术移动智能终端个人信息保护技术要求》、《信息安全技术 移动智能终端应用软件安全技术要求和测试评价方法》、《信息安全技术网络安全

等级保护基本要求第3部分:移动互联安全扩展要求》,主要从基本信息、通讯 传输风险、数据泄露风险、通用WEB风险、代码安全、系统安全漏洞等6大类, 对小程序进行动态安全分析。

2.3.2 隐私合规检测方面

依据《App 违法违规收集使用个人信息行为认定方法》,主要从未公开收集 使用规则、未明示收集使用个人信息的目的、方式和范围、未经用户同意收集使 用个人信息、违反必要原则,收集与其提供的服务无关的个人信息、未经同意向 他人提供个人信息、未按法律规定提供删除或更正个人信息功能等 6 大类检测项 目。

3、风险验证与报告输出

乙方应在自动化工具扫描的基础上,结合人工深度验证,按照甲方的要求输 出安全及合规报告,确保报告全面准确。报告应包括但不限于以下内容;应用基 本信息,检测总体情况概述,安全检测详细情况,合规检测详细情况等。具体如 下:

(1) 应用基本信息

APP 应用基本信息主要包含软件包的基本信息,包括应用的名称、来源应用 商店、版本号、包名、文件大小、检测时间、SDK 版本以及安全哈希值和证书信 息等,小程序基本信息部分主要包含小程序的基本信息,包括检测时间、权限检 测、开放端口检测等。

(2) 检测总体情况概述

主要包含安全评分、风险等级划分、评测项目数、存在问题项目数、评测项 风险总览等。

(3) 安全检测详细情况

主要包含检测目的、风险等级、威胁描述、检测结果、问题描述、出现次数、 检测详情、相关截图、解决方案、违反的具体法律法规等。

(4) 合规检测详细情况

主要包含检测规则名称、检测依据、检测结果、问题描述、相关截图、整改

建议、违反的具体法律法规等。

4、检测结果多渠道推送

为保证报告的安全性和及时性,针对不同场景,检测结果能够以不同的方式 讲行推送,具体向括:

4.1 离线文件传输

针对常态化检测的结果报告,汇总加密后离线提交;离线提交内容主要为经 人工验证后的检测报告。

4.2 文档实时推送

支持通过文档的形式将周期性结果实时传输至盐城市公安局公共上网场所 分级分类管控平台,方便公安网安部门及时掌握数据动态。

5、黑灰产深度溯源分析

围绕本地移动应用开展包括但不限于以下方面的深度关联分析,并输出专题 报告。

(1) 分析研判本地 APP 应用推广引流或传播涉赌、涉诈、涉黄、涉公民信 息泄露等违法违规内容线索。

(2)分析研判僵尸软件、马甲包及 SDK 违规收集使用个人信息等问题隐患。

(3) 综合分析各 APP 集成的 SDK 名称、版本、调用权限等情况,形成详细 的本地高频应用 SDK 分析汇总报告,清晰呈现各 APP 的 SDK 集成清单与潜在涉及 收集敏感信息的风险关联。

(4)对重大风险线索或黑灰产可疑行为,根据甲方执法需求,通过沙箱环 境复现攻击链、逆向分析恶意工具还原攻击手法,构建 IP 画像,为黑灰产案件 侦办提供精准的技术支撑与线索依据。

6、闭环处置与技术支撑

在处置环节,协助甲方对下发整改问题进行材料完善,主要包含问题描述、 问题截图、整改修复建议等内容。同时,对不具备技术自查和修复能力的单位进 行跟进指导,确保修复整改措施落实到位。

为确保处置工作的有效性,在甲方收到整改反馈后,对所通报应用问题进行

全面复测,确保问题完成整改。

按照季度、半年、全年提供《全市移动互联网应用程序安全合规监测报告》, 内容包括但不限于检测情况概述、应用检测详情、已通报整改复测情况,一年服 务期内不少于4篇。按照甲方要求提供全市移动应用涉黑灰产领域的分析报告, 一年服务期内不少于6篇。

九、合同款支付

合同签订后甲方向乙方支付合同金额的30%作为预付款;首轮检测完成并协 助复测后支付至合同总价 50%;一年服务期满,协助整改、复测完成后一次性付 清(无息)。

十、税费

本合同执行中相关的一切税费均由乙方负担。

十一、保密安全要求

1、保密安全要求

乙方在信息化建设过程中,应配合甲方,落实如下安全保密要求。

(1) 明确合作事项的安全保密责任人;

(2)对参与人员提出与合作事项有关的安全保密要求;

(3) 及时清除离职、离岗或者不再参与公安信息化建设的员工持有的甲方 文档资料、数据等内容;

(4)对本单位参与公安信息化建设安全保密责任落实情况进行年度评估, 并向甲方提交评估报告;

(5)在得知提供的产品、服务存在安全漏洞或者危害信息系统安全的潜在 风险时,须第一时间报告甲方,并及时启动应急预案,提出解决方案;

(6) 乙方及其工作人员严禁未经批准翻阅、复印、拍摄甲方内部文件,或 者将甲方内部文件带离指定办公场所或者区域;

(7)其他应当遵守的安全保密要求。

2、数据安全要求

乙方及其工作人员在信息化建设过程中不得从事下列危害甲方数据安全的 行为。

(1) 违规下载、留存、使用公安内部数据;

(2) 算改、毁损、泄露、出售公安内部数据;

(3) 向境外机构和人员提供公安重要数据;

(4)在互联网上存储、处理、传输公安内部数据和应用系统源代码;

(5) 使用未经过脱敏的公安敏感数据在互联网上进行开发;

(6)将公安数据用于商业用途:

(7)其他危害数据安全的行为。

3、网络应用安全要求

乙方及其工作人员不得从事下列危害甲方网络和应用安全的行为。

(1) 违规将公安网络与任何外部网络连接;

(2)擅自扫描、探测、入侵公安网络及应用系统;

(3) 设置应用系统后门、木马、病毒等恶意程序;

(4) 擅自将参与单位及参与人员的终端、移动存储介质、无线设备等与公 安网络连接:

(5) 擅自建立跨网、跨域数据传输或者运维通道;

(6) 拆除、破坏公安监管设施或者卸载监管程序;

(7) 擅自对公安应用源文件、应用源代码进行反编译、加密、解密;

(8) 擅自公开与合作事项相关的技术实现方法或者业务模型等重要信息,

(9)其他危害公安网络和应用安全的行为。

十二、质量保证及售后服务

1、乙方应按招标文件规定和响应文件承诺的性能、技术要求、质量标准向 甲方提供产品或服务。

2、乙方提供的产品或服务在运维服务期内因其本身出现质量问题,根据实 际情况,经双方协商,可按以下办法处理:

(1)更换:由乙方承担所发生的全部费用。

(2) 合同终止处理:合同终止,并退还甲方支付的合同款,同时应承担由 此产生的所有费用,甲方不承担发生任何费用。

3、如在使用过程中发生质量问题,乙方在接到甲方通知后在 12 小时内排除 故障。

4、在维保期内,乙方应对产品或服务出现的质量及安全问题负责处理解决 并承担一切费用。

十三、验收

1、甲方对乙方提交的产品或服务依据招标文件上的项目需求要求、乙方响 应文件及国家有关质量标准进行验收。

2、乙方交货前应对产品或服务作出全面检查和对验收文件进行整理,并列 出清单,作为甲方验收和使用的技术条件依据,检验的结果应随服务一起提交甲 方。

3、甲方对乙方提供的产品或服务在使用前,乙方需负责培训甲方的使用操 作人员,并协助甲方一起试用,直到符合技术要求,甲方才做最终验收。

4、对技术复杂的产品或服务,甲方可请国家认可的专业检测机构参与初步 验收及最终验收(验收费用由乙方承担),并由其出具质量检测报告。

5、验收时乙方必须在现场,验收完毕后作出验收结果报告:验收费用由乙 方承担。

十四、合同内容的交付

1、乙方应保证合同标的安全运达甲方指定地点。

2、使用说明书、质量检验证明书一并提交甲方。

3、乙方在合同标的交付甲方 48小时前通知甲方准备接收。

4、合同标的在交付甲方前发生的风险均由乙方负责。

5、合同标的在规定的交付期限内由乙方送达甲方指定的地点视为交付,乙 方同时需通知甲方已送达。

十五、违约责任

1、甲方无正当理由拒收的,甲方向乙方偿付拒收合同价总值的百分之五违

约金。

2、乙方应严格按照上述服务进度时间节点提交相关报告,未按时提交的, 每逾期1天扣除合同款2000元,扣完为止,逾期累计超过30天的,甲方有权解 除合同,扣除履约保证金,并要求乙方承担合同总价30%的违约金。因乙方无法 获取到APP安装包造成无法检测的,每个应用扣除合同款1万元,扣完为止。

3、乙方所交的产品或服务不符合项目需求要求、乙方响应文件承诺及国家 有关质量标准的,甲方有权拒收,乙方愿意更换但逾期交付的,按乙方逾期交付 处理。乙方拒绝更换的,甲方可单方面解除合同,并由乙方赔偿由此造成的甲方 全部损失。

4、若乙方违反本合同第十一项"保密安全要求"中的任一条款内容,情节 轻微或者尚未造成严重后果的,由其采取补救措施或支付违约金;造成严重后果 或者拒不整改、整改后仍不符合安全管理要求的,甲方有权提前解除合同;违反 法律法规的,依法追究乙方法律责任,甲方可提请将乙方及工作人员列入政府采 购严重违法失信行为记录名单、市场监督管理严重失信名单;构成犯罪的,依法 追究乙方刑事责任。

5、若乙方工作人员违反本合同第十一项"保密安全要求"中的任一条款内 容,由甲乙双方给予批评教育、责令整改:情节较重的,由乙方更换人员,并对 其作出处理;违反法律法规的,依法追究其法律责任;构成犯罪的,依法追究其 刑事责任;鉴于部分违约行为造成的后果较长时间才能显现,或者损失数额难以 一次性确认的,甲方可保留进一步追偿的权利。

十六、不可抗力事件处理

1、在合同有效期内,任何一方因不可抗力事件导致不能履行合同,则合同 履行期延长,其延长期与不可抗力影响期相同。

2、不可抗力事件发生后,应立即通知对方,并寄送有关权威机构出具的证 明。

3、不可抗力事件延续120天以上,双方应通过友好协商,确定是否继续履 行合同。

十七、诉讼

双方在执行合同中所发生的一切争议,应通过协商解决。如协商不成,可向 合同签订地法院起诉,合同签订地在此约定为盐城市。

十八、合同生效及其它

1、合同经双方法定代表人或授权委托代表人签字并加盖单位公章后生效。

2、本合同未尽事宜,遵照《中华人民共和国民法典》有关条文执行。

3、本合同一式6份,具有同等法律效力,甲乙双方各执3份。

签订日期: 2026年 | 月23日