南京云嘉德信息科技有限公司

个人信息和数据保护规则

我方承诺遵守：

(1)    适用于个人信息和数据保护的所有法律、行政法规、国家标准以及其他所适用之行为规范；

(2)    用户以书面形式向我方提供的个人信息和数据保护政策、声明或通知；

一、个人信息和数据保护规则

1.       我方仅根据本规则以及用户的要求获取、使用、处理用户的个人信息和数据。

2.       我方确保将依据用户的要求处理所有与用户相关的个人信息和数据，由我方为实现本次服务或根据用户不时发出的指示进行处理，除非是个人信息保护相关的法律法规另有要求，在此法律法规允许的情况下，我司应在处理数据之前告知用户相应的法律法规要求。

3.       我方承诺不会：

(1)    未经用户书面许可，将对用户个人信息和数据的处理分包给任何第三方进行；

(2)    超出本次服务的范围，为了自身目的或利益获取、处理或使用任何用户个人信息和数据；以及

(3)    具有超出本次服务的范围，超出用户的授权、指示或用户的授权范围而收集、使用和处理用户个人信息和数据的其他情形。

4.       除非法律法规另有规定或在本次服务范围内，未经用户书面同意，我方不得直接或间接以任何形式或任何方式将获取的用户的任何个人信息及数据共享、转让、披露给任何第三方（包括我方的关联方）或者公开。

5.       为保障用户个人信息和数据安全，在数据传输过程中会采取加密等措施，同时我方会积极配合用户，以用户要求的形式接收、存储和使用数据。

6.       对于为完成本次服务而获取、知悉的与用户相关的个人信息和数据，我方会按照相关法律、行政法规、国家标准的要求，并在本次服务和本规则的目的范围内使用、处理该等信息，同时采取去标识化处理等方式予以保护，我方承诺不会利用该等信息对相关用户进行身份识别等超出合法合约范围以及对用户、用户关联方以及用户可能造成任何不利影响的使用和处理。

7.       除非获得用户书面同意且符合相关法律法规、国家标准及用户要求的任何其他合理限制，我方不会将用户的个人信息和数据转移至中华人民共和国（为本规则之目的，不包括香港、澳门、台湾地区）境外。在适用时，我方会根据相关法律法规及用户的要求订立适当的数据跨境转移协议及采取其他与个人信息和数据保护相关的法律法规和国家标准所规定的措施以履行与个人信息和数据相关的跨境转移合规义务。

8.       对在本次服务过程中获悉的用户及其关联方的商业、产品、人员、数据等任何信息和数据我方承担保密义务，防止该等信息被盗窃、泄露以及未经授权的使用等。

9.       我方承诺只有具有合法业务需求的我方授权员工才能访问所获取的与本次服务相关的用户个人信息和数据，此类访问权限以达成本次服务目的，或为履行用户的指示所需必要为限，包括对我方人员级别、人员数量以及所访问的数据类型、量级等方面的限制，我方承诺确保无关人员不得访问任何上述个人信息和数据。我方会实施所有必要的权限限制，确保我方授权员工获悉并遵守用户的所有处理要求和指示，并承诺负有保密义务。我方会执行和维持对我方授权人员的个人信息保护与数据安全的培训，并定期将更新和适用的个人信息保护要求的相关信息传达给我方授权人员。

10.   我方将采取适当的技术和组织措施，根据与个人信息和数据保护相关的法律法规和国家标准的要求保护用户的个人信息和数据免于任何违法违规行为，并采取适当的处理措施以保护上述个人信息和数据的安全。包括但不限于以下方面：

(1)    定期检测主机与业务安全，确保能够及时发现并修复安全漏洞；

(2)    进行数据加密保护，禁止明文存储、传输重要业务数据。重要业务数据包括但不限于用户个人敏感信息、身份鉴别信息以及业务管理数据和业务经营数据、技术配置信息（如有）等不宜向社会公众公开的数据；

(3)    严格控制敏感功能的授权（如导出、批量查询等）和数据库管理员授权；

(4)    建立日志审计机制，具备对业务操作、数据库操作等重要操作的审计能力；

(5)    防范其他可能的个人信息及数据泄密情形。

11.   一旦发生个人信息和数据的安全事件，我方承诺第一时间将事件相关情况以书面形式告知用户。告知内容应包括但不限于：

(1)    涉及用户个人信息的类型、数量、内容、性质等总体情况，事件可能造成的影响；

(2)    已采取或将要采取的处置措施；

(3)    对用户自主防范和降低风险的建议；

(4)    针对用户提供的补救措施。

12.   本次服务的内容、目的以及我方收集、使用、处理、共享、转让相关用户个人信息和数据不会违反法律、行政法规、相关国家标准以及双方的约定，不会损害用户、用户关联方和相关用户的合法权益，亦不会超出相关用户针对本次服务内容，就用户个人信息的收集、使用、处理、共享、转让等事宜已向我方授权同意的范围。

13.   我方承诺不窃取或者以其他非法方式获取个人信息和数据，不非法出售或者非法向他人提供个人信息和数据，不泄露、篡改、毁损所收集的个人信息和数据。

14.   我方承诺不收集与我方业务及本次服务无关的个人信息和数据，并承诺依照法律、行政法规、相关国家标准的规定存储、传输相关个人信息和数据。

二、违约责任及其他

1.       若我方有违反本规则的情形，无论故意与过失，应当立即停止侵害，并在第一时间采取一切必要措施防止相关用户个人信息和数据的扩散或受到进一步侵害，尽最大可能消除不利影响。

2.       若我方违反本规则，用户有权立即终止本次服务。

3.       对因我方违反本规则而引起任何针对用户或用户关联方的权利主张、诉讼、仲裁等，我方应负责应诉，并为用户和用户关联方进行抗辩，或在用户或用户关联方的要求下合作抗辩，以保证用户和用户关联方的利益不受损害。