除非本订单(“本订单”,也称为“本协议”)根据签发本订单的 DXC Technology Services LLC 或 DXC Technology Services LLC 关联方或子公司
除非本订单(“本订单”,也称为“本协议”)根据签发本订单的 DXC Technology Services LLC 或 DXC Technology Services LLC 关联方或子公司
(“DXC Technology Services 或 DXC”)与身份为供应商的个人或实体(“供应商”)之间签署的采购协议签发,否则本订单和任何附件是 DXC 与供应商之间就本订单所指定的产品(“产品”)和/或服务(“服务”)订立的唯一协议。 所有其他文档,包括供应商建议书、发票、报价或确认函,除非获得 DXC 的书面批准,否则不构成本订单的一部分。 对本订单条款或条件或修改的放弃,对任一方均不构成约束,除非获得各方授权代表的书面签名。如果本订单根据 DXC Technology Services LLC 或 DXC Technology Services LLC 关联方或子公司与供应商之间签署的采购协议签发,任何条款存在冲突时,将以该等采购协议为准。
“关联方”是指直接或间接由一方控制、与一方共同受控制或控制一方的任何 实体,特别包括但不限于子公司、合伙企业、合资公司以及该方拥有经营控制 权或管理控制权的其他实体或经营机构。 在该定义中,控制权是指通过合同或 其他方式对该等实体的管理和政策产生直接或间接影响或促使产生影响的权力,且在任何情况下以及不限于前一句的规定下,拥有其他实体大多数有表决权的 股票、股份、证券或资产。
“DXC 数据”是指提交给供应商或供应商根据本协议访问的与DXC 和/或 DXC客户有关的内容、信息和数据。 DXC 数据可能包括但不限于本协议中更全面定义的以下各项:DXC 敏感信息、保密信息、个人信息和受保护的健康信息 (PHI)。
“DXC 敏感信息”是指 DXC 保密信息、知识财产、PHI、DXC 客户数据和个人信息。
“维护与支持”是指针对供应商必须直接向 DXC 或 DXC 客户提供的产品和服务提供的更新、升级、补丁、修复等以及技术支持。
“软件即服务”或“SaaS”是指软件或其他托管服务基于订阅获得许可、集中托管并可供用户远程访问的许可交付模型。
价格。 如果本订单或签署的采购协议没有指明定价,供应商的定价不得超过供应商对其他处境类似的客户收取的最低价格。 除本订单另有说明外,该等价格已含适用的增值税和其他类似税费(统称“VAT”)、运费和关税。
税费。 DXC 应就供应商根据本协议售予 DXC 的产品和/或服务支付或补偿供应商相应的增值税、GST、PST、销售和使用税或任何类似的交易税,前提是法规规定应该对 DXC 联合或分别征收该等税费。DXC 无须支付或补偿供应商有关法规规定供应商应缴纳的任何税费,包括但不限于对供应商的净收入或总收入、资金、净值、财产征收的税费或对供应商或供应商人员征收的任何就业相关税。
如果供应商提供服务和/或生产、出售或租赁产品的地点与
DXC、DXC 关联方或 DXC 客户使用该等服务和/或产品的国家/地区相同,则开票和付款应由双方在当地的实体完成,
除非双方另有
书面协议。如果法律要求 DXC 或 DXC 关联方
从本订单项下的任何应付金额中扣除或扣留任何部分,
则 DXC 或该等 DXC 关联方应根据法律规定扣除或扣留应扣部分后,支付其余应付金额给供应商。
付款条款。DXC 同意在收到妥善记录的完整有效发票后九十 (90) 天内向供应商支付无异议的发票金额。任何即时付款折扣将从 DXC 收到金额一致的发票之日起计算。 付款将以美元进行,除非另有说明。付款不构成对产品和/或服务的验收,亦不影响 DXC 的检验权。 DXC 认为产品和/或服务符合其规定的标准时,方予验收(“验收”)。DXC 有权在不事先通知供应商的情况下,从供应商发票、任何信贷、DXC 应得的任何退款或赔偿中抵销或扣除任何部分。 开票。 除适用法律禁止外,供应商应根据 DXC 的请求执行电子开票流程,以提交 DXC 或 DXC 的第三方服务提供商规定的电子发票给 DXC 或该等第三方服务提供商,费用由供应商独自承担。 供应商确认并同意使用该等流程可能会披露 DXC 和供应商之间购买关系的相关信息给服务提供商,前提是该等服务提供商接受 DXC 的约束,对与本条款项下提供的信息实质上类似的供应商信息具有保密义务。如果供应商在收到 DXC 的请求后没有在合理时间(不超过九十 (90) 天)内执行电子开票流程,DXC 可能会扣留任何非电子发票的付款,直到供应商提交电子发票为止。
延期交货。 若预计无法按照 DXC 指定的交付日期(“交付日期”)出货或提供服务,供应商应向 DXC 发出即时通知。
交付部分产品/服务。 若在交付日期前只能交付部分产品和/或服务,供应商应向 DXC 发出即时通知并进行处理,除非 DXC 有其他指示。 由于供应商无法
在交付日期前交货且/或如果供应商的装运方式不符合 DXC 的装运指示,供应商应承担任何增加的装运成本。
不合规交付。 溢装和/或提前交付都可能会被退货,费用由供应商独自承担,或者 DXC 可能会延迟处理提前交付的发票直到交付日期。
贸易管制。DXC 和供应商应遵守美国和其他国家所有适用的出口、进口和贸易 相关的法律和法规。 为此,供应商保证:(i) 在必要时和收到 DXC 的请求时, 将会向 DXC 提供本协议涵盖的商品、软件、技术或服务的相关技术规格,x DXC 有足够的信息来判断该等物品在适用法规项下相应的出口和进口分类;(ii)据供应商所知,供应商不在任何美国政府国际贸易制裁名单上,如果在名单上,供应商将会向DXC 发出即时通知;以及(iii) 供应商同意,在放行、转让或出口 任何受限制产品、软件、技术、技术数据或技术援助给《美国出口管理条例》 第 740 章第 1 条增补条例中列明且供应商门户网站上公布的国家团体 D:1、E:1 和 E:2 时 ( 详 情 访 问 xxxx://xxxxxx0.xxx.xxxxxxxxxx/xxxxxxx_xx/xxxxxxxxx/Xxxxxxxx_Xxxxxx_Xxxxxxxxxxxx. pdf):(i) 供应商将会获得美国政府要求的任何授权;(ii) 如果 DXC 提供任何 该等受限制软件、技术、技术数据或技术援助,供应商将会获取 DXC 的书面 授权;以及 (iii) 供应商同意成为受官方认可的出口商,并对遵守所有适用的出 口法律承担责任,包括美国出口和再出口法律和法规。
更改或取消。 DXC 可以在发货前向供应商发出通知,以更改或取消本订单的任何部分,包括但不限于要求的数量、DXC 设计或规格,无须承担任何费用。如果 DXC 按上述规定更改或取消本订单的任何部分,供应商应向 DXC 提供一份有关发货前调整的书面声明,列明由于该等变更或取消直接导致供应商产生的实际损失,且该等损失不能通过以下方式得到补偿: (i) 在合理时间内销售产品或提供服务给其他方或 (ii) 供应商以商业合理的方式采取其他缓解措施。如果双方不能就调整金额达成一致意见,DXC 可能会终止本订单,无须就受影响的所有产品和/或服务对供应商承担责任。
无流程或设计变更。 在取得 DXC 的事先书面同意前,供应商不会做出影响产品或服务的任何流程或设计变更。
预测。 DXC 提供的任何预测不应构成 DXC 做出任何类型的承诺。
产品停产。 在停止生产任何产品前,供应商至少应提前十二 (12) 个月向 DXC发出书面通知。 该等通知应至少包含 DXC 部件号、替代品、该等产品可接受的最后下单日期。
供应商应维护质量系统,确保本订单列出或以其他方式供应给 DXC 的所有产品和/或服务符合供应商质量系统规定的标准。 在收到请求时,供应商应向 DXC 提供一份供应商质量系统和辅助测试文档的副本。
保证。 供应商保证所有软件、服务和产品将会 (i) 由供应商或其授权分包商制造、加工和组装;(ii) 没有恶意软件、已知的安全漏洞以及设计、材料和工艺缺陷;(iii) 符合相关规范,包括 DXC 通用环境规范以及与退回危险材料相关的任何条例、法律或法规规定的任何要求和认证;(iv) 是全新的,包含优质组件和部件;(v) 免受所有扣留、留置、限制和有关产权或所有权的索赔;(vi) 不侵犯第三方的任何专利、商标、版权或其他知识产权;且 (vii) 所有服务将以专业方式提供。
保证的存续。 除上文第 6.1 (vi) 节中的不侵权规定应无限期存续外,本文规定的所有其他保证应:(i) 在 DXC 检验、交付、验收或付款后继续存续;(ii) 在供应商的正常保证期限或DXC 对产品和/或服务的验收日期后一 (1) 年内有效,以期限较长者为准;以及 (iii) 延伸至 DXC 及其继任者、受让人和客户。
重大故障保证。 供应商保证所有产品在 DXC 验收后三年内没有重大故障。 重大故障是指订单中 2% 或以上的产品在三个月内出现相同故障、缺陷或不合格问题。
DXC 的检验权。 DXC 可随时检验软件、服务或产品及相关的制造工艺。检验可能在供应商的
厂房、工厂或分包商的工厂中执行。 供应商将告知其卖方和分包商有关 DXC 的检验权,同时在必要时保护 DXC 的检验权
不合规。 DXC 可选择退回不符合订单要求的任何产品或服务(分别称为“不合规的产品”和“不合规的服务”),风险和费用由供应商承担。 DXC 可采购类似的产品或服务来代替不合规的产品或服务,同时供应商应就不合规的产品和服务退款,并应要求补偿 DXC 产生的任何额外成本。
重大故障赔偿。 如果出现重大故障,所有成本(包括但不限于由于重大故障引 起的替换产品、部件、升级、材料、人工、运输和库存替换)应由供应商承担,不论 DXC 是发起现场存货召回还是客户存货召回或改造,包括经销商库存和 DXC 安装基地中的产品。 供应商应确保该等产品、部件或升级优先发货,且 承担费用。 DXC 保留根据其认为合适的条款采购类似的产品来代替受影响产 品的权利,同时供应商应立即补偿 DXC 因购买替代产品产生的所有成本、费 用、价格和开支。
继续履约。任何有争议的事项(包括但不限于 DXC 扣留有争议的发票金额)都不会构成违反本协议的行为,也不会成为供应商限制或暂停向 DXC 或任何利用本协议的 DXC 关联方提供交付物、产品和/或服务以及在争议悬而未决或解决期间详细描述的服务的依据。为免生疑问,尽管在争议解决之前扣留了与争议事项有关的款项,供应商仍将继续履行本协议项下的义务。
x产品包含软件、固件或文档,供应商应授予 DXC 非专属、永久、免特许权 使用费的全球许可证,以便 DXC 使用、复制、显示、编写文档的衍生作品, 直接分发该等作品、软件、固件或文档或将其集成到 DXC 产品中,以及将该 等权利转授给第三方。 第三方许可证要求。 供应商应识别所有许可证并向 DXC 交付所有必要材料,以便满足在产品中包含第三方软件的任何许可证要求。供应商应向 DXC 交付有源可用性要求的许可证项下授予的任何软件的源代码
(例如 GNU 通用公共许可证)。 若供应商之前交付的材料中没有源代码,供应商应在 DXC 提出请求后七 (7) 天内交付有源可用性要求的开放源代码许可证项下授予的任何软件的源代码。供应商授予 DXC 在必要时复制和分发材料的权利。
赔偿、保险和保密信息一般赔偿。 对于
直接或间接导致的任何人员伤亡或财产损失造成的任何和所有损失、费用、赔偿、债务、索赔、需求,
无论是依据法律还是衡平法,供应商同意就此产生的所有费用、成本和开支对
DXC 进行保护、提供辩护、进行赔偿并使其免受损害。知识产权赔偿。 对
(i) 供应商的产品或服务,或使用、销售或进口这些产品或服务侵犯任何知识产权而提起诉讼所
造成的任何类型或性质的所有索赔、损失、需求、费用、赔偿金、债务、成本、开支、起诉、
诉讼或伤害,供应商同意对 DXC 及其关联方、子公司、受让人、代理人、分包商、经销商和客户(统称“接受赔偿者”)提供辩护、进行赔偿并使他们免受损害。 在不限制上述规定的情况下,供应商应
向 DXC 和/或其接受赔偿者支付因此产生的所有成本、赔偿金和开支(包括合理的律师费),
侵权产品或服务。 如果任何产品或服务的使用被禁止
为 DXC 购买版权以便继续使用或接收侵权产品。 如果不能这样做,供应商应自费(根据接受赔偿者的选择):(i) 使用
具有同等形状、功能和性能的非侵权产品或服务替换侵权产品;或 (ii) 修改侵权产品至不侵权,
而不减损形状、功能或性能;或 (iii) 若不能替换或修改侵权产品,向 DXC 退还购买侵权产品支付的所有金额,
去除 DXC 商标。 对于
被 DXC 拒收、退回或 DXC 没有购买的所有产品,供应商应从中
去除 DXC 的名称以及 DXC 的任何商标、商标名、标志、部件号、符号和装饰性设计,
才能对该等产品进行任何其他销售、使用或处置。保险。 在履行本订单期间,供应商应根据
灾害补偿是通过社会计划(由政府管理和实施的任何强制性保险计划)做出,供应商同意完全遵守
等同 1,000,000 美元的当地货币金额。 在法律允许的范围内,该等政策应包含针对 DXC 的承保人代位权的放弃。 此外,
该等政策涵盖由于使用产品或供应商在本订单项下的不作为导致的人身伤害
(包括死亡)、产品和
每起事故至少 1,000,000 美元保险金。 每份政策应将 DXC、
其高级职员、主管和员工列为附加被保险人。 所有该等政策应规定,该等保险在终止前必须提前至少三十 (30) 天
向 DXC 发出书面通知。 在 DXC 提出要求时,供应商应即时向 DXC 提供该等政策的保险证书。 在任何情况下,
供应商为本订单所投保险所提供的保障或限制,或任何其他保险的缺失或不可获得,
均不构成(以任何方式)限制或减少供应商针对本订单应向 DXC 承担的义务或责任。
保密信息。 “保密信息”包含
DXC 指定为机密的所有信息、本订单的存在和条款与条件,包括但不限于有关产品和/或服务、
一般商业计划、客户、成本、预测和利润的所有信息或数据。 除对于供应商履行本订单为必需外,供应商不得使用或披露
而且供应商应使用与保护其类似信息同等级别的措施(但不低于合理保护措施)来保护保密信息的机密性。
向另一方提供的所有信息(包括但不限于 DXC 数据),该等适用保密协议的条款应通过引用方式并入本协议
公示。 一方不得公示或披露本订单的条款或存在,
也不得使用另一方的客户、另一方、其子公司或关联方的名称、商标或商品名称,
经另一方事先书面同意;ii) 一方为履行本订单规定的义务而有必要这么做;或 iii) 法律另有规定,该等情况下应与另一方协调该等披露
。在根据上述第 (ii) 或 (iii) 款披露之前,一方应提前 10 天向另一方提供书面通知
信息系统的访问权。 DXC 信息系统(若有)的访问权只用于履行本订单项下的服务,且只限于特定的
DXC 和供应商会不定期逐一协商该等访问权。 DXC 可能要求供应商的员工、分包商或代理人签署个人协议,才能访问 DXC 的
这些政策、标准和指南可能会不时修改。 明确禁止使用任何其他 DXC 信息系统
存取供应商授权范围以外其他信息系统的网关的 DXC 信息系统,也适用这项禁令。 供应商同意只
从 DXC 批准访问的特定位置访问信息系统。 对于在 DXC 场所以外的访问,DXC 将指派特定的网络连接来
网站上的《数据网络安全计划》("DNSS") (xxxx://xxxxxx0.xxx.xxxxxxxxxx/xxxxxxx_xx/xxxxxxxxx/Xxxx_Xxxxxxx_xxx_Xxxxxx ty_Schedule-DNSS.pdf) 实施和维护安全措施,以保护 DXC 数据、服务和产品。DNSS 构成本协议的一部分。本协议
或本节“信息安全”中未明确定义的粗体术语具有 DNSS 中规定的含义。
x协议和任何工作说明书、本节“信息安全”以及“DNSS”,只出于提供服务、软件或产品的必要目的,处理 DXC 数据和访问信息系统
等适用法律、本协议和任何工作说明书、本节“信息安全”以及“DNSS”处理 DXC 数据或提供服务或产品,供应商应立即向 DXC 发出书面通知。
计划(包括信息安全行业标准防护措施,例如 ISO 27001/2),以预防 DXC 数据安全漏洞和提供安全的服务或产品。
所有通知,无论是安全漏洞、产品安全漏洞还是不合规通知,都应通过
(a) 发送电子邮件至 XXXXX@xxx.xxx 或 (b) 致电 0 (000) 000 0000
(美洲)和/或 x00 0 0000 0000(国际),告知 DXC 安全事件响应与控制中心。供应商应尽商业上
合理的努力,在其知悉安全漏洞后 24 小时内向 DXC 发出通知
DXC 保留在提前 7 天通知供应商的情况下随时审查、检验和复制或摘录(“审查”)
供应商履行本协议项下义务的情况以及遵守本协议的情况(在适用法律允许的范围内,包括但不限于
处理设施、关联方、分包商以及为确认供应商遵守本协议条款所合理需要的数据文件
供应商协商后,应安排该等审查,且该等审查应符合供应商的安全政策
如果 DXC 有合理理由认为供应商没有遵守本协议,供应商应安排其员工、高级职员和主管出席 DXC 或其代表召开的会议
审查结果表明供应商严重违反其在本协议项下的义务,供应商应报销 DXC 的所有审查费用,包括但不限于
DXC 聘请的任何第三方审计员的费用、DXC 内部审计员产生的实际工时费和相关差旅费
一般规定。 供应商应始终遵守适用于其在本订单项下的义务及(若适用)产品制造的所有联邦、州、地方和外国法律、条例和法规。 供应商应向 DXC 提供使 DXC 在使用产品或服务时能够遵守该等法律、条例和法规的所有必要信息,或 DXC 合理要求的以确保遵守该等法律、条例和法规或本订单条款的其他信息。
安全性。 在不限制第 12.1 节的情况下,供应商保证在其开展业务的所有国家/地区内,其经营和装运符合所有适用的安全法律和法规。 在供应商业务适用的范围内,供应商同意实施美国海关总署海关贸易反恐伙伴关系 ("C-TPAT") (xxxx://xxx.xxx.xxx/xxxxxx-xxxxxxxx/xxxxx-xxxxx/xxxxx- security/ctpat-customs-trade-partnership-against-terrorism) 或同等安全指南规定的安全建议。 此外,供应商还应满足或超过 DXC 规定的安全要求。供应商和 DXC 可能会每年执行正式、有记录的安全合规审计,第一次审计在供应商接受本订单后根据 DXC 的请求随时开始。 供应商应就其无法满足 C-TPAT 或同等安全指南的适用建议或DXC 安全要求的任何方面,立即向 DXC 发出书面通知。 在收到供应商无法满足这些要求的通知时,无论是供应商发出还是通过审计或 DXC 检验发现,DXC 可以终止本订单或在限定时间内放弃该项要求,以便供应商变得合规。
美国联邦采购要求。 在不限制第 12.1 节的情况下,考虑到 DXC 作为美国联邦承包商和分包商,根据联邦法规或条例要求插入到合同或子合同中的所有适用采购条例适用于本订单,包括但不限于 FAR 52.219-8(善用小型企业)、FAR 52.219-9(小型企业分包计划)、FAR 52.219-16(违约赔偿金分包计划)、FAR 52.222-26(平等机会)、FAR 52.222-35(特殊残疾退伍军人、越战退伍军人和其他合资格的退伍军人的平等机会)、FAR 52.222-36(残疾工人的平权行动)、FAR 52.222-39(雇员支付工会会费或费用权利的通知)、FAR 52.222-41 ( 1965 年服务合同法案) 和 FAR 52.247-64(根据需要优先选择私有美国国旗商船)。
其他要求。 供应商应遵守《第 11246 号行政命令》、《职业康复法案》和
《越战退伍军人重新调整法》的要求。
无障碍环境。 供应商保证所有产品均符合所有联邦、州、地方和外国法律、条例和法规中适用于残疾人员对信息技术的可接触性的要求。 供应商同意 使用经培训且知识丰富的人员辅助残疾人员满足履行本订单项下服务的需 要。
发票认证。 如果 DXC 提出请求,作为付款的先决条件,供应商应按以下方式分别认证每份发票: “我们认证此处列出的合同可交付物已按照《公平劳动标准法案》修订版第 6、7 和 12 节以及其第 14 节项下美国劳动部门颁发的规章和命令的所有适用要求生产。 我们进一步认证任何和所有其他合同可交付物将会按照相同的要求生产。”
社会和环境责任。 供应商保证在供应商所在和供应商的授权分包商开展业务的所有国家/地区中,据供应商所知和所信,供应商和分包商的经营遵守监管劳动和雇佣、员工健康和安全、环境保护和道德实践的所有适用法律
和 法 规 。 供 应 商 应 遵 守 DXC 供 应 商 行 为 守 则 (xxxxx://xxx.xxx.xxxxxxxxxx/xx/xx/000000- csc_responsible_supply_chain_program), 包 括 根 据 其 所 述 建 立 管 理 系 统 。
合规性。 所有产品及其包装应符合 DXC 一般环保规范、DWG 第 A-5951- 1745-1 号 (xxxxx://xxx.xxx.xxxxxxxxxx/xx/xx/000000- csc_responsible_supply_chain_program) 以及任何其他 DXC 产品规范。 供应商应向 DXC 提供任何信息以确认,按本订单供应给 DXC 或在任何制造工艺中使用的产品的部件、组件或其他构成件的材料成分或其包装符合要求。
化学物质。 供应商保证:(i) 根据《有毒物质控制法案》,产品包含的每 种化学物质均位于环境保护署编撰和发布的化学物质库存清单上;(ii) 要 求供应商提供的与产品相关的所有材料安全数据表应在发货前提供给 DXC,而且应完整和准确。
收回。 对于要求在产品使用寿命结束时向用户收回产品的任何国家/地区,供应商应免费收回产品或其包装中包含的任何材料,预付 DXC 的回程运 费。
不可转让。 未经 DXC 事先书面同意,供应商不得委派或转让其权利或义务。 供应商未获得该等同意试图做出的
法律选择。 本订单应根据特拉华州或交付或提供产品或服务所在的省份或国家/地区的国内法律解释
有限责任。 在适用法律允许的范围内,
DXC 及其子公司在任何情况下均不对任何收入损失、利润损失以及偶然性、后果性、特殊性或惩罚性损害负责。
非限制性关系。 DXC 不得独立开发、向其他第三方采购、分发或营销可能与本订单提供的产品或服务具有相同或类似功能的其他产品或服务。
收购。如果供应商被与供应商无关联的另一实体或供应商的任何关联方和/或子公司收购,DXC 有权自行决定在提前十四 (14) 天向供应商发出书面通知后立即终止本协议。如果 DXC 出于这种原因选择终止本协议,则在终止日之前采购的所有产品和服务都将保留(除非供应商由于 DXC 违反本协议的规定而事先或同时终止本协议)并在其相应的期限内受本协议条款和条件的约束。如果 DXC 自行决定不终止本协议,则在本协议的剩余期限内,DXC 在本协议项下的权利和责任不会因该等收购而中断。
对于供应商根据本协议条款、任何计划和/或工作说明书向 DXC、DXC 客户和/或 DXC 或 DXC 客户的终端用户提供的服务、产品、SaaS、软件和/或维护与支持,应适用以下规定:
定义 以下定义适用于本节“数据保护和隐私”:
“数据隐私法”是指保护个人信息的隐私性、机密性或安全性的任何州或国家法律或法规。
“通用数据保护条例”或“GDPR”是指欧洲议会和理事会不时修订的欧盟第 2016/679 号条例。
“个人信息”是指与 DXC、DXC 客户、员工(包括DXC 客户的员工或客户)或供应商从 DXC 或代表 DXC 获取其任何数据隐私法中定义的个人信息(该等个人信息与供应商本协议或任何工作说明书项下义务的履行情况有关)的任何其他个人有关的个人身份信息。
“处理”、“正在处理”或“已处理”是指相关数据隐私法中的定义,或在没有定义的情况下,是指通过自动化方式或其他方式对个人信息执行的任何操作或一系列操作(包括但不限于访问、收集、记录、组织、保留、
存储、改编或变更、传输、检索、咨询、使用、披露、公示、排列、组合、限制、消除或销毁个人信息)。
数据隐私保护的适用性。当且仅当与本协议(包括任何工作说明书)项下义务的履行情况有关的个人信息由供应商进行处理时,本节“数据保护和隐私”的条款方可适用。为免生疑问,“信息安全”一节中所载的数据安全规定应适用,无论个人信息是根据本协议还是任何工作说明书进行处理。从 DXC 或代表 DXC 获得的或与本协议项下义务的履行情况有关的所有个人信息应根据本节“数据保护和隐私”、“信息安全”一节以及本协议项下与个人信息有关的任何其他条款进行处理和保护。
遵守数据隐私法。供应商同意根据本协议以及所有适用数据隐私法的其他规定(只要适用于供应商),仅代表 DXC 以及为了其利益对供应商有权访问的与本协议(包括任何工作说明书)项下义务的履行情况有关的任何个人信息进行处理。供应商同意,未经 DXC 明确书面批准,除履行本协议(包括任何工作说明书)规定的服务外,它不会出于其他任何目的处理任何个人信息。而且,在适用于供应商的范围内,供应商同意遵守与个人信息的收集、存储、使用、转移、安全性或处理有关的任何适用数据隐私法的任何规定。
个人信息转移。供应商向 DXC 保证,本协议(包括任何工作说明书)项 下代表 DXC 提供给供应商或由供应商获得的个人信息不得进行跨国转移,除非法律授权或本协议或适用工作说明书规定允许跨国转移。供应商同意,只有在遵守适用数据隐私法的情况下,方可进行任何该等转移。如果本节 “数据保护和隐私”与本协议的其他条款存在冲突,以本节的规定为准。
针对个人信息的保障措施。供应商同意制定、实施、维护和使用 DXC 认 为合适的行政、技术和物理保障措施,以确保为 DXC 处理或创建的或从 DXC 或代表 DXC 获得的与本协议项下或本协议涉及的服务、功能或交易 有关的个人信息的安全性、完整性和机密性,防止故意或无意未经允许或 违规使用或披露该等个人信息,以及防止未经授权访问或意外或非法销毁、丢失或更改该等个人信息。该等保障措施应符合所有适用法律标准(包括 法律规定的任何加密要求),并符合或超过行业认可的安全标准,例如 ISO 27001/27002。供应商同意记录并更新这些保障措施,并根据要求向 DXC 提供相关文档。供应商应确保只有需要协助供应商履行其在本协议项 下的义务的供应商员工或代表方能访问个人信息。
与第三方联系。如果供应商收到第三方(包括个人)要求访问供应商拥有的任何个人信息的请求,供应商应立即将该等请求转发一份给 DXC,并配合 DXC 对任何该等请求进行回复。经 DXC 要求,供应商应将其拥有的个人信息提供给 DXC 或 DXC 书面指定的任何第三方,并根据 DXC 的书面指示更新其拥有的个人信息。如果任何政府或主管部门要求供应商披露或允许访问个人信息,除非法律禁止,供应商应立即将该等要求通知 DXC,且未事先给 DXC 机会咨询该等政府或部门以便防止该等披露或访问时,不得披露或允许访问该等个人信息。除非法律另有要求,供应商只有在与 DXC 协商后才能自行决定回应任何该等政府或执法机构的要求。如果收到第三方有关个人信息处理的任何投诉,供应商应立即通知 DXC,且供应商不得作出任何认可或采取任何可能不利于任何该等投诉的抗辩或解决的措施。供应商应向 DXC 提供解决任何该等投诉可能需要的该等合理帮助。分包商访问个人信息。将本协议或任何工作说明书项下的个人信息披露给任何分包商或代理人时,供应商同意要求该等分包商或代理人提供以书面合同证明的合理保证,保证其遵守与该等个人信息相关的本协议或任何工作说明书项下适用于供应商的相同或本质类似的保密、隐私和安全义务。供应商应向 DXC 书面确认,已订立该等合同,作为 DXC 同意使用与任何工作说明书有关的分包商的条件。经 DXC 要求,供应商应向 DXC 提供一份分包合同或相关条款的摘要。供应商应确保,任何分包商或代理人未遵守供应商在本协议或任何工作说明书项下的义务,将成为立即与该等分包商或代理人解约的依据。如果在本协议或任何工作说明书期限内,DXC 自行决定任何供应商的分包商或代理人无法遵守供应商在本协议或任何工作说明书项下的义务,且供应商无法在该等不遵守通知规定的时间内进行补救,则 DXC 可全部或部分终止本协议(与该等分包商或代理人提供服务所遵循的任何工作说明书有关)。
欧洲经济区 ("EEA") 适用性。 如果不时修订的《通用数据保护条例》(欧
盟第 2016/679 号条例)适用于供应商,则供应商应遵守本协议所述公示于 DXC 供 应 商 门 户 网 站 上 的 GDPR 补 充 文 件 (xxxx://xxxxxx0.xxx.xxxxxxxxxx/xxxxxxx_xx/xxxxxxxxx/Xxxxxxx-Xxxx-Xxxxxxxxxx- Regulation-GDPR.pdf)。x GDPR 补充文件规定了适用于本协议项下供应商代表 DXC 处理个人信息的条款和条件。x GDPR 补充文件构成本协议不可分割的一部分。
如果本 GDPR 补充文件的条款与本协议、数据保护法或标准合同条款之间存在冲突,应适用以下优先顺序:
1) 数据保护法,包括标准合同条款
2) x GDPR 补充文件及其附录
3) 本 协 议 。
如果 DXC 向供应商披露“受保护的健康信息”或“PHI”(在根据 1996
年《健康保险携带和责任法案》("HIPAA") 发布的 HIPAA 隐私和安全法规
(美国联邦法规第 45 章第 160-164 部分)中给出的定义),或者供应商访问、维护、使用或披露与本协议项下服务或职能的履行情况有关的 PHI
(如有),供应商:(a) 不得使用或进一步披露 PHI,除非本协议另有规定或允许或法律另有规定;(b) 应使用合适的保障措施防止使用或披露 PHI,除非本协议另有规定,包括实施 HIPAA 安全法规有关电子PHI 的要求;(c)应向 DXC 报告本协议未规定而供应商知晓的 PHI 的使用或披露情况,包括美国联邦法规第 45 章第 164.410 节规定的受保护健康信息的遭窃;(d) 应根据美国联邦法规第 45 章第 164.502(e)(1)(ii) 节,确保创建、接收、维护或传输供应商代表 DXC 创建、接收、维护或传输的 PHI 的供应商的任何分包商或代理人同意适用于供应商的与该等 PHI 有关的相同限制和条件;
(e) 应根据美国联邦法规第 45 章第 164.524 节在(如有由供应商维护的)指定记录集中提供 PHI;(f) 应提供修订所需的 PHI,并根据美国联邦法规第 45 章第 164.526 节将 PHI 的修订内容纳入指定记录集;(g) 应提供根据美国联邦法规第 45 章第 164.528 节就披露提供会计服务所需的PHI;(h) 应向卫生与公众服务部长提供供应商的内部做法、与从 DXC 收到的或由供应商代表 DXC 创建或接收的 PHI 的使用或披露有关的适用文档和记录,以确定 DXC 遵守 HIPAA 隐私和安全法规;(i) 如果将执行 DXC 作为隐私法规项下涵盖实体履行的 DXC 或 DXC 代表的任何义务,供应商应遵守适用于履行该等义务的隐私法规要求;(j) 在本协议终止时,应返还或销毁从 DXC 接收的或代表 DXC 创建或接收的其仍以任何形式保有且不保留任何副本的 PHI;如果该等返还或销毁不可行,应对该等信息采用与对本协议相同的保护措施,并将该等信息的进一步使用和披露限制于使信息的返还或销毁不可行的目的。