1） 服务商在履行合同项下服务过程中处理个人信息和/或邓白氏数据应遵守所有适用法律（定义见下文）。

2） 服务商处理个人信息应当遵循合法、正当、必要和诚信原则，应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

3） 服务商处理个人信息应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。

1）服务商同意该等个人信息归邓白氏所有，且服务商对根据合同和/或特定工作说明受托处理的所有个人信息和/或邓白氏数据，均应遵守保密义务。

2）服务商应当严格按照合同和/或特定工作说明约定的处理目的、期限、范围、处理方式、个人信息的种类等处理个人信息和/或邓白氏数据，未经邓白氏事先书面明示同意，服务商不得超出约定的处理目的、处理方式等处理个人信息和/或邓白氏数据。

3）如适用的法律并无禁止规定，则经邓白氏随时要求或合同或特定工作说明不生效、无效、被撤销或者终止时，服务商应依照本要求的规定立刻向邓白氏归还和/或安全地销毁为服务商或服务商的分包商所持有、保管或控制的个人信息和/或邓白氏数据的所有原件及复本。服务商应在邓白氏提出要求后十五（15）日内向邓白氏发送一份确认函，确认其所受托处理的所有个人信息和/或邓白氏数据已根据合同和本要求予以归还或安全销毁。

4）通知和同意：如合同项下服务的履行要求服务商直接向个人收集个人信息：

ii. 服务商应将其提供给每一名个人的有关其个人信息处理的通知及该等个人的相关书面、电子或口头同意进行记录并妥善保存，以供邓白氏随时调取查核。未经邓白氏事先书面同意，服务商不得删除该等记录。在合同届满或终止后，或随时在邓白氏提出书面要求后，服务商应将所有该等记录交付给邓白氏。无论合同因任何原因而终止，本条应在合同终止后继续有效。

vendor_data_privacy_terms.contentList.2.9

1）如为履行合同和/或特定工作说明，服务商需向邓白氏提供其处理的个人信息的，服务商应遵守适用法律，向个人告知邓白氏的名称、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意，适用法律另有规定的除外。在合同届满或终止后，或随时在邓白氏提出书面要求后，服务商应将所有该等记录交付给邓白氏。无论合同因任何原因而终止，本条应在合同终止后继续有效。

2）服务商承诺服务商提供给邓白氏的相关数据不违反适用法律，且相关数据不得涉及国家秘密、核心数据或重要数据，不得侵犯第三方的合法权利（包括但不限于知识产权和/或商业秘密等），并确保相关数据均为服务商严格按照适用法律进行收集包括但不限于有合法充分的授权并确保所有相关授权均可随时（包括合同终止后）供邓白氏核查。服务商应确保其向邓白氏提供该等数据应供邓白氏有权在合同和/或特定工作说明所述目的范围之内进行使用。

1）通知：如有下列事件发生，服务商须在合理可行的范围内尽快通知邓白氏，在任何情况下，须在事件发生后三（3）日内书面通知邓白氏：

i.服务商收到个人信息所涉及的个人或其合法授权代表就服务商履行合同和/或特定工作说明所处理的或受托处理的任何个人信息所提出的投诉；

ii.服务商收到任何政府机关或司法或行政程序与服务商履行合同和/或特定工作说明所处理或受托处理的任何个人信息或邓白氏数据相关的访问要求（“政府要求”），且适用法律并未明文禁止该等访问；或

iii.服务商收到第三方关于其履行合同和/或特定工作说明所处理的或受托处理个人信息和/或邓白氏数据的任何其他要求。

1）服务商对要求的应对：如有下列事件发生，服务商须在合理可行的范围内尽快通知邓白氏，在任何情况下，须在事件发生后三（3）日内书面通知邓白氏：

i.服务商须根据适用的个人信息保护相关的法律法规制定完善的流程响应个人信息主体权利的请求使邓白氏或相关个人具有访问权，对个人信息进行访问、复制、转移、修改和/或更正。

ii.服务商应协助邓白氏响应个人信息主体提出的个人信息查阅、复制、转移、更正、补充、删除、注销、撤回同意的请求。

iii.除法律明确要求外，未经邓白氏明确书面授权，服务商无权就其受托处理的个人信息和/或邓白氏数据相关访问要求作出应对，或在服务商根据适用法律有义务作出应对的情况下，服务商应与邓白氏全面合作，做好应对准备。为避免歧义，如该等要求是来自中国境外司法或执法机关的，服务商应遵守中国数据安全法、个人信息保护法相关规定且需事先获取邓白氏书面授权。

iv.对于政府要求，如邓白氏向政府机构提出撤销或限制该等要求时，服务商应对予以全面配合。如服务商有法律义务对中国政府要求作出应对，则服务商只有在与邓白氏商量后方可在遵守法律或司法程序所必需的范围内最低限度地披露其受托处理的个人信息和/或邓白氏数据。

服务商同意，根据合同所受托处理的所有个人信息和/或邓白氏数据，不得转移至中国境外，或以其他方式在中国境外处理。

1）背景调查： 在适用法律允许的情况下，服务商将对其根据合同和/或特定工作说明受托处理个人信息和/或邓白氏数据所涉及的员工进行并完成适当的背景调查。服务商应确保，只有调查结果证明相关员工不存在问题，或所发现的任何问题经服务商审查后被视为是可接受的，该员工方可根据合同处理邓白氏个人信息和/或邓白氏数据。

2）培训： 服务商应向其在履行合同项下服务过程中受托处理个人信息及邓白氏数据所涉之员工提供与本要求服务商的义务相符的适当的隐私、保密及安全培训。

3）在所需最低限度内允许访问： 服务商应仅在履行合同项下服务所必要范围内向其员工提供访问个人信息和/或邓白氏数据的权限。

1）未经邓白氏事先书面批准，服务商不得使用第三方或其他并非其员工之人（“分包商” ）提供合同项下相关服务。

2）如允许分包商，则服务商应 (i) 对分包商的个人信息保护及数据安全的业务流程及操作惯例进行评估；及 (ii) 与每一名分包商签署一份书面合同，其中须包括要求分包商遵守相同的或更高要求的个人信息保护及数据合规规定，且服务商应对其分包商履行合同和/或特定工作说明相关服务承担责任。

1）最低程度的安全保障：服务商同意，服务商已执行并将维护符合所有适用法律规定的适当书面信息安全方案，包括但不限于适当的行政、技术及物理保障措施，防止 (i) 个人信息和/或邓白氏数据的安全性、完整性和/或保密性发生或可能发生威胁或危害；(ii) 个人信息和/或邓白氏数据遭到未经授权的篡改、披露或访问及意外或非法销毁、丢失（包括但不限于在处理个人信息和/或邓白氏数据时涉及通过网络传输的情形）；(iii) 任何其他形式的非法处理；及 (iv)个人信息或安全事件（定义见下文）。

2）服务商同意在该等信息安全方案发生变化时（包括但不限于隐私政策、内部安全政策发生变更等），尤其是该等变化将降低对个人信息的保护及数据安全标准时，服务商应及时通知邓白氏，以便邓白氏对服务商重新开展评估。

1）审计：服务商应向邓白氏授权代表和/或有权对邓白氏进行审计的相关监管机构提供下列审计权利：经合理通知后，对服务商在履行合同和/或特定工作说明书过程中涉及个人信息和/或邓白氏数据的业务流程及操作惯例进行至少每年一次审计，并在每一次发生个人信息或安全事件后进行相关审计。服务商应向邓白氏提供积极协助与不受任何限制的访问权限，应及时应对任何查询与请求，从而全面综合地处理邓白氏可能对服务商的业务流程及操作惯例所存在的任何疑虑。如邓白氏确定服务商所提供协助的质量及所授予的访问权限不符合本要求所载的标准，则服务商应在届时被视为缺乏其继续履行合同所需的个人信息和/或数据安全保护措施，并且邓白氏应有权拒绝支付合同项下的任何到期款项，直至服务商采取邓白氏届时所提出的必要补救措施为止；邓白氏还应有权终止合同。

2）费用：邓白氏应承担任何该等审计的全部费用与开支，除非该等审计发现存在任何极有可能引起个人信息或数据安全事件的重大弱点（“安全问题”），在该情形下，服务商应承担该审计的全部费用和开支。

3）补救：如经审计发现安全问题，或服务商以其他方式发现或知悉安全问题，则服务商应立刻书面通知邓白氏，并在十（10）个工作日内，对安全问题作出补救，或向邓白氏提供为其所认可的安全问题补救方案。

1）通知与磋商：如发生个人信息或安全事件，服务商应在相关情形所允许的最短时间内（在任何情况下，不超过服务商发现该事故后的二十四（24）小时内） 书面通知邓白氏，该通知也应同步发送至security@dnb.com及PrivacyOfficerCH@dnb.com。 该通知应以合理的详尽程度概述服务商在通知之时所知的事故，对邓白氏的影响，受到该个人信息或安全事件影响的个人信息或邓白氏数据的类型及数量， 涉及的系统，服务商个人信息保护负责人或对接人的联系方式和服务商已采取的或拟采取的更正措施。

2）补救：在任何个人信息或安全事件发生后，邓白氏和服务商应在可行前提下尽快秉承善意进行协商， 确定根据适用法律规定或在相关情形下在其他方面可能必需、合理或适当地采取的与个人信息或安全事件性质相当的补救措施 （（“补救措施”）。无论双方是否就补救措施协商一致，服务商应自担费用实施适用法律所规定的补救措施，否则即视为重大违约。

3）合作：服务商应随时告知邓白氏任何监管或政府机关对任何邓白氏个人信息或数据安全事件的调查， 并合理地就邓白氏或任何监管或政府机关对任何个邓白氏人信息或数据安全事件的调查与邓白氏合作。未经邓白氏事先书面批准， 服务商不得就该等个人信息或数据安全事件发出公告， 或通知受到影响的个人，除非适用的法律有此规定；在该情形下，服务商应在适用法律并未禁止的范围内合理提前通知邓白氏。

除合同所规定的任何其他赔偿条款外，对于任何第三方（包括但不限于任何监管或政府机关）就任何就其履行合同和/或特定工作说明中个人信息或数据处理事宜所提起的行动、权利主张或指控所引起的或与之相关的任何及所有行动、法律程序、责任、损失、索赔、损害、处罚、罚款、和解、费用或开支（包括但不限于补救措施的费用及合理的律师费等），服务商应赔偿邓白氏，并为之抗辩，使之免受其害。

无论合同和/或特定工作说明是否终止，只要服务商保留邓白氏数据或合同项下的个人信息，服务商应遵守本要求所列的访问要求，遵守个人信息保护及数据安全标准、个人信息及安全审计及个人信息或安全事件中的相关规定。

1）“邓白氏数据”指任何邓白氏提供给服务商或邓白氏在服务商履行服务过程中使服务商接触到的数据包 括但不限于邓白氏对商业实体在全球收集和编写的包括但不限于商业信息，法律或财务数据，与业务相关的个人信息，D-U-N-S®编号， 邓白氏用来提供服务和在某些情况下提供给其客户的该商业实体的评级和邓白氏委托服务商处理的邓白氏客户的数据。

2）“适用法律” 指适用于服务商在履行合同项下服务过程中所处理的个人信息和/或邓白氏数据相关事宜的法律及其配套法律法规和国家标准，包括但不限于个人信息保护法、数据安全法、网络安全法和其他适用的相关法律（“适用法律”）

3）“个人信息” 指以电子或者其他方式记录的，与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息，例如姓名、联系地址、电子邮箱、医疗记录、血型、指纹、基因、婚姻状况、银行账号、年龄、性别、身份证号码、电话号码、驾驶证号码、肖像照片等。

4）“处理”指数据的收集、存储、使用、加工、传输、提供、公开、删除等。

5）“个人信息或安全事件” 指发生企图或实际未经授权和/或非法访问或处理邓白氏个人信息或邓白氏数据，或干预信息系统运行的情形，导致危及或据合理预期将危及个人信息及邓白氏数据的安全、保密性、完整性或可用性，包括但不限于因服务商自身或任何分包商的内部使用或处理个人信息而引起或导致的事故，或适用个人信息、数据安全或网络安全相关的法律可能界定为此类事故的任何其他事故。

6）“中国” 是指中华人民共和国大陆（内地），为本要求之目的，不包括香港特别行政区、澳门特别行政区和台湾地区。