一、政策适用范围

本政策适用于所有秦淮数据集团及海内外所有下属公司及其所有员工（含兼职员工），以期提升数据安全与隐私保护意识，规避不当行为给公司带来的风险或损失。我们鼓励所有的供应商、合作伙伴共同参照本文件要求，共同提升数据安全与隐私保护能力。

二、我们的实践

作为中立第三方超大规模算力基础设施解决方案运营商和超大规模数据中心的先行者，我们专注于信息技术产业生态基础设施规划、投资、设计、建造和运营。在为客户提供数据中心运营服务的过程中，实现集团与客户服务区之间的网络全面隔离，从源头规避与客户数据与信息接触，消除对客户信息安全的不良影响。

我们以技术创新为发展核心驱动力，产品和服务开发集中于算力基础设施全流程能效技术革新，满足客户物理稳定性需求，不会以任何原因在开发环境表现相关的运营管理系统或运营架构的过程中收集、使用、处理客户及用户信息。我们通过“磐石”创新架构打造极致性能，以支持用更高的效率、更低的能耗更有效地支持算力持续增长需求。我们通过“鲲鹏IDC运营管理系统”，打造出标准化、智能化的统一运维管理平台，实现能耗分析和自动参数寻优，提高能源利用效率。我们使用集成电源模块，通过高效UPS（不间断电源）或HVDC（高压直流）供电模式，提高客户用电稳定性。

对于供应商，公司制定了《供应商管理规定》，并与供应商签订《服务协议》和《保密协议》，对供应商服务水平、服务范围、保密责任及合规要求等内容进行规范。当与供应商终止合同后，公司对涉及的供应商数据中心访问权限和系统访问权限进行移除，并收回相关的硬件设备。

1,客户与用户信息

作为算力基础设施解决方案的运营商，我们仅参与数据中心的物理环节的运行维护，我们不接触且不会出于任何目的从客户和第三方收集用户数据，且不会出于任何目的（包含交易或服务目的）向第三方出租、出售或提供个人数据。

公司在身份和访问管理方面，在数据中心设置生产网、鲲鹏网和办公网以支持数据中心业务运营。鲲鹏网用于支持鲲鹏平台的运行以便运营保障中心工程师通过该平台对数据中心关键设备进行集中监控和管理。办公网为公司员工提供外网访问、内部OA系统等支持系统的访问。

数据中心门禁监测网、视频监测网与办公网及鲲鹏网之间进行了物理隔离。同时，数据中心环境监测网、电力监测网与办公网之间进行了物理隔离，与鲲鹏网之间通过防火墙进行了隔离。

下属子公司相关访问控制技术通过SOC2 类型二(System and Organization Controls)标准认证[1]。

2.公司运营环节的数据和信息

我们仅会接触到公司自身运营环节的数据和信息。为充分保护数据安全，我们严格遵守法律法规和监管部门的要求，持续完善自身信息安全管理体系和保障机制，保证企业经营稳定性。

自身运营环节的数据，我们严格参照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》和ISO 27001:2013信息安全管理体系认证等各类信息安全体系认证等规定和要求，确保数据和相关日志留存不少于6个月，并在满足期限后依法删除数据 。在运供应过程中，审查网络拓扑结构、安全策略、网络访问控制、入侵检测和防御系统等内容，及时按照审计整改要求进行策略调整，避免敏感信息发生未经授权的访问，进而强化网络安全性。

对于运营环节，因访客到访园区而涉及的访客个人信息，我们保证访客对其个人数据的使用享有充分的知情权，可以清晰地获悉集团收集个人信息的目的。通过在访客系统添加个人信息使用的说明，提交预约申请的员工需按系统页面显示的相关要求，将个人信息使用说明连同入园安全须知发送给待入园访客。与此同时，访客也有权要求公司对录入的电话、在职企业等个人信息进行访问、更正和删除。 超过预约授权日期后，访客系统会自动执行定时任务，脱敏访客个人信息。脱敏后任何人无法查看访客个人信息，且无法恢复数据。

注：公司除客户访问园区的因园区安全需要收集访客电话、在职单位的必要信息，其他运营环节均不会收集客户和用户信息。

[1] SOC 2 是一项专门针对数据安全和隐私保护服务的高安全性、高保密性、高可用性鉴证标准，是全球公认的、高度权威的、专业的安全性审计报告，能正确、全面且深入地反映被审计企业全域安全的管理情况。