中国个人信息保护及数据安全合规项目
--（《网络安全法》（CSL）合规项目、《数据安全法》（DSL）合规项目及《个人信息保护法》（PIPL）合规项目

• 中国于2016年颁布了《网络安全法》（2017年6月1日生效），并于2021年相继颁布了《数据安全法》（2021年9月1日生效）和《个人信息保护法》（2021年11月1日生效）。《网络安全法》系为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定。《数据安全法》旨在规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益。《个人信息保护法》则根据《宪法》制定，旨在保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。


• 为确保符合《网络安全法》、《数据安全法》和《个人信息保护法》的规定，我们先后启动并实施了《网络安全法》（CSL）、《数据安全法》（DSL）及《个人信息保护法》（PIPL）合规项目。为此，我们成立了数据安全合规委员会，全面领导中国的数据安全合规工作。


• 此外，我们在中国境内运营的企业征信机构已按照网络安全等级保护制度的要求，对用于存储和处理在国内收集的企业信用信息的中国企业征信系统进行等保测评，并获得了等保三级备案。


• 另外，我们采取数据源合规审查、数据供应商和服务商尽职调查、隐私影响评估（PIA）、数据安全自评估、数据分级分类管理等措施，确保在中国收集和使用个人信息和企业信息符合合法、正当、必要原则，并确保数据安全。


• 我们通过线上和线下相结合的培训模式，对员工进行全方位的个人信息保护、网络安全和数据安全合规培训。

我们的合规项目包含以下关键要素：

隐私影响评估（PIA）和数据安全自评估、政策和流程、培训：

• 我们利用“隐私影响评估”和数据安全自评估来帮助评估与个人信息及数据安全有关的新产品、新项目、新用途、新业务等对保障个人信息及数据安全的影响。我们已完成了许多评估，这些评估帮助我们确保对数据进行的相关处理都符合适用的法规要求。


• 我们实施许多内部政策和流程，并监督这些内部政策和流程的执行情况，以确保在进行数据收集、存储、使用、加工、传输、提供、公开、删除等行为时，遵循标准的个人信息保护及数据安全规范要求。此外，我们在对个人信息进行处理活动时，遵循我们数据合规相关政策的规定告知个人信息主体（包括产品用户、网站访客等）我们对其个人信息的处理（也可称为“隐私政策”）。此外，我们的隐私政策还告知个人信息主体他们所拥有的权利，包括但不限于信息查阅复制权、改正权、如何不再接收营销活动通知或如何撤回其个人信息处理的同意等。如欲获取与“隐私政策”有关的更多信息，请参阅以下“适用于我们各市场的隐私政策”。


• 为提高员工对隐私和个人信息保护及数据安全合规问题的理解和意识，促使员工遵守适用的隐私和个人信息保护法律及数据安全相关法律要求，我们为员工提供完善的隐私和个人信息保护培训及数据安全培训课程，包括每年的全球隐私培训和新入职员工培训、数据处理培训以及政策和流程指引。

跟进新法规和即将出台的法规：

• 我们密切关注法律法规的变化，以确保我们的业务遵守适用的个人信息保护及数据安全相关的法律规定。我们还与合作伙伴和供应商密切合作，以检查和监督他们的合规情况。

个人信息主体权利，监督和审计

• 随着越来越多隐私和个人信息保护相关法律、法规及规范的出台，越来越多的个人对企业收集到的其个人信息有了清晰的认知，并了解企业如何处理这些数据。我们根据适用的法律法规进行个人信息主体权利的管理。请参阅我们的“隐私政策”，了解个人对于我们收集的个人信息享有的权利。


• 我们利用内部和外部审计资源来审计我们的合规项目、政策和流程。

欲了解更多我们在中国实行的数据安全和个人信息保护措施，请参阅我们中国隐私政策。

信息安全

• 在处理客户数据时，我们会遵守 https://www.dnb.com/about-us/company/our-security.html 上公布的安全原则、标准和控制规范。
  我们遵守有关数据泄露和信息安全的法定要求。我们要求第三方供应商和分包处理者遵守与我们同等的安全标准和个人信息安全事件响应程序，并做到不低于法规要求的标准。

过去几年里，不仅中国出台了《网络安全法》、《数据安全法》、《个人信息保护法》等相关的法律、法规及规范性文件，欧盟的个人信息保护法律有了重大修订，美国一些州（如加利福尼亚州）也陆续出台了隐私相关的法律、法规，并且美国联邦政府和州政府也提出了一系列其他隐私法提案。此外，世界上越来越多的国家最近都已颁布或提出制定隐私和个人信息保护相关法律、法规。

以下是我们全球关联公司如何遵守适用的国际、国家和地方个人信息保护和隐私法律、法规要求