Proprietary

数据处理附录

修订日期：2024年3月12日

就本数据处理附录 (“DPA”) 而言，签订合同或引用本 DPA 的其他形式的协议（“协议”）的 Merck Sharp & Dohme LLC 实体或关联方应称为“公司”，协议的所有其他方应统称为“供应商”。公司和供应商各自为“一方”，合称为“双方”。

背景

双方签订本协议，并可能与本协议一起签订一项或多项采购订单或任务订单、项目协议、
项目计划附录、工作说明书、工作订单或其他服务条款（均称为“工作说明书”），以规范
其中预计提供的服务（“服务”）。
双方希望对协议条款进行补充，以确保与本协议相关的所有个人信息处理均符合数据保护法。

双方同意：

数据处理活动。对于与本协议相关的个人信息处理，处理的主题、性质、目的和持续时间、相关数据主体的类别以及个人信息的类别均在协议中标题为“数据处理详细信息”的附件中
具体说明。
适用范围。本 DPA 的条款适用于协议下的每份工作说明书，除非该工作说明书另有规定。
供应商义务。在代表公司处理与本协议相关的个人信息时，供应商应：

遵守数据保护法和供应商在本 DPA 下的义务，如果供应商无法履行这些义务，供应商应立即通知公司，并采取公司认为必要的所有合理且适当的措施以纠正不合规行为。
仅根据公司书面指示处理个人信息，包括供应商履行本协议和本 DPA 规定的义务，除非适用的法律法规另有要求。在这种情况下，除非适用的法律法规禁止，供应商应在开始处理之前将该法律要求告知公司，并应尽最大努力限制任何要求披露的个人信息的性质和范围，且仅披露遵守适用的法律法规所需的最少个人信息。
仅在履行服务所需的最小范围内处理个人信息，包括禁止将个人信息与其他任何其他数据相结合，除非经公司明确书面许可。
如果供应商认为公司有关处理个人信息的指令违反了数据保护法，应立即通知公司。
确保有权访问个人信息的供应商人员 (i) 需要访问个人信息才能履行服务，(ii) 仅按照本 DPA 允许的方式处理个人信息，以及 (iii) 对个人信息的保护义务至少与本 DPA 和本协议
项下供应商的义务相同。
除非公司事先书面同意，否则不得向任何第三方披露或传输个人信息，或以其他方式聘请任何代理或分包商进行与本协议相关的任何处理（每个此类代理或分包商均称为“分处理者”）。截至本 DPA 签订之日，公司已事先书面同意的分处理者最新名单在本协议标题为“数据处理详细信息”的附件中列出。此外，聘请分处理者时：
1. 披露或传输必须是履行本协议项下服务的合理必要条件。
2. 供应商必须进行合理的尽职调查，以确保分处理者能够提供本 DPA 和本协议所要求的个人信息保护水平，并且
3. 分处理者必须签订书面协议，其中的个人信息保护条款至少与本 DPA 和本协议中规定的义务相同。
不得出售、共享、保留、使用或披露个人信息，提供本协议中规定的服务或本 DPA 另有授权除外。
对其员工、关联方、代理、分包商和其他代表的所有作为或不作为承担全部责任。
实施并维护合理且适当的书面信息安全和隐私计划，其中应包含与协议中处理的个人信息的性质相应的物理、技术和组织措施，这些措施达到或超过良好的行业惯例（或附录 1 中可能要求的更高标准），并合理防止个人数据泄露，包括以足以满足本 DPA 要求的方式对所有负责处理个人信息的人员进行培训，附录 1 中描述的此类措施以及附录 1 中未另行说明的适当措施：
1. 个人信息的匿名化和加密；
2. 确保能够持续维持处理系统和服务的保密性、完整性、可用性和可恢复性；
3. 能够在发生物理或技术事故时及时恢复个人信息的可用性和访问；
4. 定期测试、评估和评价技术和组织措施有效性以确保处理流程的安全性；以及
5. 能够在发现事件后 72 小时内确认是否构成个人数据泄露。
如果在供应商保管或控制范围内或由于供应商的行为或疏忽而导致实际发生或合理怀疑发生个人信息泄露（“供应商个人数据泄露”），供应商应：
1. 立即通知公司，不得无故拖延（在任何情况下均应在获悉供应商个人数据泄露后 72 小时内通知公司）；
2. 进行适当的调查并采取所有补救措施，以公司满意的方式纠正并防止此类供应商个人数据泄露事件再次发生；
3. 及时向公司提供公司认为必要的所有信息，以便公司遵守数据保护法，包括与记录保存和报告有关的信息，以及公司可能合理要求的有关供应商个人数据泄露的所有其他信息；
4. 向其个人信息可能受到影响的所有数据主体发出通知，通知内容应符合数据保护法的要求并令公司满意，或向公司提供所有必要的协助和信息，以便公司能够向其个人信息可能受到影响的所有数据主体发出公司认为适当的通知；
5. 自行承担任何一方因向数据主体发出任何此类通知而产生的成本和费用，无论通知是由供应商还是公司发出；以及
6. 除供应商的律师、顾问、保险公司和供应商为其提供服务的其他受影响的第三方外，供应商不得在通知公司之前向任何第三方提供有关供应商个人数据泄露的任何信息，除非适用的法律法规另有要求。
7. 为避免疑义，本第 3(j) 条规定的义务也适用于由供应商的任何关联方或供应商或其任何关联方的分处理者或其他代理、分包商或代表处理的个人信息。
立即通知公司，不得无故拖延在任何情况下均应在 72 小时内通知：
1. 主管数据保护机构或其他监管机构就供应商根据本协议处理的个人信息提出的任何投诉、询问、请求或疑虑，并协助公司回应这些要求；以及
2. 数据主体就供应商根据本协议处理的个人信息提出的任何投诉、询问、请求或疑虑，包括根据数据保护法或公司或供应商的隐私政策行使权利的任何请求，例如访问（包括请求提供有关其个人信息的任何处理信息）、纠正、修改、更正、共享、删除或停止处理其个人信息。
遵守公司为使供应商和公司遵守数据保护法和本 DPA 规定的各自义务而要求采取的所有合理且适当的必要措施，包括但不限于（如有必要）协助完成数据保护法要求的任何数据保护影响评估或隐私影响评估。
一经公司要求，或者在与处理个人信息相关的协议或工作说明书到期或提前终止时，除非适用的法律法规另有要求，否则应根据公司的选择，立即删除或返还所有处理的个人信息。在这种情况下，供应商可以保留适用的法律法规要求保留的个人信息的副本，直至适用的法律法规要求保留个人信息的期限结束后三十 (30) 天，在此情况下，供应商将继续遵守本 DPA 关于供应商保留的任何个人信息的规定，并仅根据适用的法律法规的要求处理该个人信息。供应商应按照公司合理要求的方式删除或归还个人信息，如果归还个人信息，则应采用公司合理要求的格式归还。
维持其代表公司处理的个人信息的准确性和完整性，并与供应商接收或收集此类个人信息的形式保持一致。
保留所有必要的记录，以证明个人信息仅根据适用的通知、同意、授权和权利以及本 DPA 所允许的方式进行处理，并使公司和供应商遵守数据保护法。
一经公司要求，允许并协助公司或公司授权的其他审计师对供应商遵守本 DPA 的情况以及供应商的隐私和信息安全计划进行审计，并请第三方审计师对供应商的隐私和信息安全计划进行审计。此类审计应遵守本协议中详述的任何合理适用的审计限制和要求，除非此类限制会妨碍数据保护法要求的任何审计、评估或审查。
如果供应商要处理任何国家或地区的数据主体的个人信息，而这些国家或地区对个人信息的跨境传输有限制，供应商仅应遵守数据保护法，其中可能包括但不限于签订标准合同条款或旨在保护个人信息传输的类似机制。
一经公司要求并根据本协议条款，通知由供应商收集或代表供应商收集与本协议相关的个人信息的任何数据主体并并获取其同意。供应商应使用通知和同意的形式，并以公司满意的方式和时间提供并征得任何此类通知和同意，并满足数据保护法的要求。
除为满足更高的行业标准或数据保护法而进行的变更外，供应商应保持并始终如一地应用在公司最近就与本协议有关的隐私和数据安全规范进行尽职调查时向公司披露的供应商隐私和数据安全规范；但供应商不得通过随后披露隐私和数据安全规范来降低这些规范的标准，否则将降低之前披露规范的质量。供应商声明并保证，供应商在任何此类尽职调查中提供的所有答复在做出时均真实、准确和完整，并且供应商的授权代表已完成此类尽职调查。供应商应立即通知公司有关供应商隐私和数据安全规范的所有重大变更。
如果数据保护法有要求，任命一名数据保护官或类似职务，负责保护个人信息，并将该人员的姓名和联系信息告知公司。
供应商确认并同意，签订本 DPA 即表明其理解本 DPA 中规定的限制并将遵守这些限制。

赔偿。在不限制本协议或其他协议项下公司的任何权利或权益或供应商的义务的情况下，
对于因供应商处理与本协议有关的个人信息而导致供应商个人数据泄露，从而导致受补偿方遭受任何损失、损害、罚款、成本或费用（包括法律费用和支出），供应商应向公司及其关联方以及其各自的管理人员、董事、员工、承包商、临时工、分包商、代理和其他代表
（均称为“受偿方”）进行赔偿。本节项下的任何责任均应遵守本协议中适用的责任限制或免
责条款，除非该责任是由于供应商的过失或故意不当行为造成，在这种情况下，任何限制或免责条款均不适用。
定义
1. “数据保护法”是指任何适用的数据保护、数据安全或隐私法，包括《欧盟通用数据保护条例》及与之相关的任何国家实施立法、《健康保险流通和责任法案》、《加州隐私权法案》以及任何其他国家、州、联邦、省或地区数据保护、数据安全或隐私法。
2. “个人信息”是指与本协议相关、与已识别或可识别身份的个人相关的任何数据，包括能识别特定个人身份的数据，或能够用于识别、定位、追踪或联系个人的数据。个人信息包括直接可识别身份的信息，例如姓名、身份证号码或唯一职位名称，以及间接可识别身份的信息，例如出生日期、唯一移动或可穿戴设备标识符、可用于识别家庭身份的信息、电话号码、密钥编码数据、在线标识符（例如 IP 地址）或个人活动、行为或偏好，还包括根据数据保护法构成“个人数据”的任何数据。
3. “处理”是指对个人信息或个人信息集进行任何操作或一组操作，无论是否通过自动化方式，
  例如收集、记录、组织、构建、存储、访问、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式披露、评估、分析、报告、共享、调整或组合、限制、删除或销毁。
4. “个人数据泄露”是指被传输、存储或以其他方式处理的个人信息的意外或非法销毁、丢失、
  变更、未经授权的披露、使用或访问。
5. “标准合同条款”是指欧盟委员会于 2021 年 6 月 4 日发布的有关向未经欧盟委员会评估为个人数据提供充分保护的第三国传输个人数据的标准合同条款，条款可能会不时更新。
6. 如果这些定义限制或缩小了数据保护法中相关定义的范围，则应扩展该定义以符合数据保护法中的定义。
7. 如果本节未给出定义，则术语应以符合所有适用的数据保护法的方式进行解释。
解读。
1. 本 DPA 中使用但未定义的术语应具有本协议其他条款中规定的含义。
2. 词语“包括”和“包含”应解释为包括但不限于。
3. 就本协议项下的服务而言，供应商可能会处理公司一个或多个关联方的个人信息。在这种情况下，公司的任何关联方均应被视为个人信息的“控制者”和本 DPA 的第三方受益人，并有权依赖和执行本 DPA 赋予公司的所有权利和保护措施，无论该关联方是否被指定为本协议或本 DPA 的缔约方。
4. 本 DPA 特此纳入本协议，并构成本协议的一部分。
5. 如果协议条款与本 DPA 之间存在任何冲突，则以本 DPA 条款为准，除非本协议的条款对与协议有关的个人信息的保护性更强，在这种情况下，以保护性更强的协议条款为准。
6. 如果本 DPA 的条款与标准合同条款之间存在任何冲突，则以标准合同条款为准。
7. 除本协议明确修订，否则本协议的条款仍具有完全效力。
8. 如果本 DPA 以英文和其他语言起草，当英文文本与其他语言文本存在差异时，应以英文文本为准。
9. 本 DPA 中的章节标题和其他标题仅供参考，不构成本 DPA 的一部分，也不影响本 DPA 的含义或解释。
10. 本 DPA 的附件和附录应被视为本 DPA 的组成部分，其程度与本 DPA 中逐字列出的相同。
11. 本 DPA 的条款是可分割的。如果任何短语、条款或规定全部或部分无效或不可执行，则此类无效性或不可执行性仅影响此类短语、条款或规定，本 DPA 的其他部分仍具有完全效力。
12. 本 DPA 管辖与服务相关的任何个人信息的处理，并对适用于服务的协议条款进行补充，除非公司和供应商已签订适用于某些服务的另一份 DPA。
13. 本 DPA 可以签订任意数量的副本，所有副本共同构成一份相同的协议。任何一方均可通过签署此类副本来签订本 DPA。
14. 本 DPA 构成双方之间关于本 DPA 主题的完整协议，并（在法律允许的范围内）取代双方之前关于该主题的所有陈述或口头或书面协议，但本 DPA 中的任何内容及任何一方均不得试图免除对欺诈性陈述的任何责任。
15. 本协议中的管辖法律和管辖权条款将适用于本 DPA。

更新限制。
1. 当各方续签、修改、在协议下发出新的工作声明或以任何方式修改协议或协议下的任何工作声明时（“触发事件”），位于https://www.msdprivacy.com/privacyterms/ 的“Data Processing Addendum”下的最新文档将取代此DPA的条款，直到下一个触发事件发生，除非在触发事件发生后的30天内提出异议。尽管有上述规定，可能存在需要立即修改本DPA条款的情况，这种修改只能出于7(b)中阐述的理由，并且只能在确保任何新的或修改的条款仅限于为了遵守新的适用数据保护法律、案例法或相关数据保护机构发布的指导而必要的条款之后，以诚信的方式进行。

如果发生以下任何情况，各方立即同意上述地址发布的最新条款，除非在公司通知新条款后的30天内，所有请求接收通知的实体在privacy_updates@msd.com提出异议：
1. 适用的数据保护法已以现有DPA的合同条款不足以满足更新后的法律要求的方式更新，
2. 适用的数据保护法发生变化，且各方由于法律变化有合理且正当的利益修改这些条款，例如并不限于，去除不再必要的要求，或
3. 有新的案例法或由相关数据保护机构发布的指导，其效果与上述(i)或(ii)中描述的法律变化相当。

附录的适用范围。附录 2 所附的标准合同条款和附录 3 中的附录仅在适用的数据保护法要求的范围内适用。双方同意遵守此类条款和附录，但这些条款和附录必须符合各司法管辖区适用的数据保护法的要求。
通知。根据本 DPA 发出的通知（单独称为“通知”）均应采用书面形式。根据本 DPA 发出的通知应按照适用协议的通知条款发出，并将副本通过电子邮件发送给公司 msd_privacy_office@msd.com，主题行标明“供应商发出的 DPA 通知”，或在发生个人数据泄露的情况下标明“紧急”：个人数据泄露通知”。

附录 1 – 信息技术安全措施

网络安全 – 供应商应维护网络安全政策、程序和系统，并应按照供应商所在行业最佳实践执行网络安全政策和活动，其中至少应包括但不限于以下内容：网络防火墙配置、入侵检测和定期（但在任何情况下均不得少于每年一次）漏洞评估。在任何情况下，适用于公司个人信息的上述规定的严格程度和保护力度均不得低于供应商为保护其自身具有类似或相似性质的数据和系统而应用的规定。
应用程序安全 – 供应商应根据下文第 9 款规定的公认可比行业规范或标准，提供、维护和
支持其提供或使用的与本协议项下的服务或产品相关的任何软件和系统，以及后续的更新、升级和错误修复，以便其持续受到保护且不存在漏洞。
数据安全 – 在不限制供应商履行本协议或本 DPA 下保密义务或其他保护公司或其关联方的数据和其他信息（包括但不限于任何个人信息）之义务的情况下，供应商应根据行业最佳实践存储所有个人信息并遵守所有适用的法律法规，同时使用安全措施（包括但不限于加密和防火墙）保护此类个人信息免遭未经授权的披露或使用。此类措施的严格程度不得低于供应商为其自身具有相似性质的数据所采取的措施。如果供应商在第三方异地设施中存储个人信息，则供应商必须遵守本 DPA 中与向第三方披露个人信息或以其他方式将服务或产品分包给第三方相关的条款，并且在不限制遵守上述条款的情况下，仅应使用公司可合理接受的第三方异地存储设施，且第三方设施必须完全符合本附录的所有规定。
数据存储 – 任何及所有个人信息仅会在指定的供应商计算和存储资源上进行存储、处理和维护，任何个人信息在任何时候都不会在任何便携式或笔记本电脑计算设备或任何便携式存储介质上处理或传输，除非该设备或存储介质已在供应商指定的备份和恢复流程中使用，并已根据下文第 6 款进行加密。供应商应在其指定备份和恢复过程中存储所有备份个人信息。
数据传输 – 与公司和/或任何第三方进行的任何及所有个人信息电子传输或交换，均应通过安全方式（使用 HTTPS 或 SFTP 或等效方式）进行，并且必须完全根据下文第 6 款的规定进行。
数据加密 – 机构同意，应使用商业支持加密解决方案以加密形式保存存储在任何便携式或笔记本式计算设备或任何便携式存储介质上的任何及所有个人信息，包括所有公司备份数据。部署加密解决方案时，将使用不少于 128 位的密钥进行对称加密，并使用 2048（或更长）
位密钥长度进行非对称加密。
数据重复使用 – 除提供本协议项下的服务或产品所需或本 DPA 另行允许，供应商不得在其他应用程序、环境或供应商业务部门之间分发、转用或共享任何个人信息。
安全泄露通知 – 如果发生个人数据泄露或违反供应商任何安全义务，则除履行本协议或本 DPA 下的义务外，供应商还应在发现此类事件后的 72 小时内通过电话和电子邮件通知公司，相关电话号码和电子邮件地址如下：

安全泄露通知电话号码：704-345-6700

Merck 全球运营中心 (“GOC”)（选择“IT 服务中断”选项（此选项当前为 #1.GOC 可以呼叫 Merck 网络个人数据泄露响应团队。）

安全泄露通知电子邮件地址：GOC@Merck.com

行业标准 – 就适用于本协议下的服务或产品而言，公认的行业标准包括但不限于以下机构规定并维护的现行标准和基准：
1. 互联网安全中心 - 请访问 http://www.cisecurity.org
2. 支付卡行业/数据安全标准 (PCI/DSS) – 请访问 http://www.pcisecuritystandards.org/
3. 美国国家标准与技术研究院 - 请访问 http://csrc.nist.gov
4. 美国联邦信息安全管理法案 (FISMA) - 请访问 http://csrc.nist.gov
5. ISO/IEC 27000 系列 - 请访问 http://www.iso27001security.com/
6. 结构化信息标准促进组织 (OASIS) – 请访问 http://www.oasis-open.org/
7. 开放式 Web 应用程序安全项目 (OWASP) 的“十大项目” – 请访问 http://www.owasp.org
8. CWE（通用缺陷列表）– 请访问 http://cwe.mitre.org 或 CWE/SANS 前 25 种编程错误 - http://cwe.mitre.org/top25/
9. SANS 协会 - 请访问 http://www.sans.org
10. 最危险的软件错误 http://www.sans.org/top25-programming-errors/

附录 2

如果公司以标准合同条款第 2 模块要求的方式出口个人信息，则适用以下条款：

2021 年 6 月 4 日欧盟委员会第 (EU) 2021/914 号实施决定所附标的准合同条款模块 2（控制者到
处理者）正文通过引用并入本文。可选内容如下所述：

省略第 7 条（对接条款）。
关于第 9 条，选项 1：选择特定事先授权。
关于第 11 条，省略了可选文本。
关于第 17 条，选择选项 1，成员国为荷兰。
关于第 18 条，选择的管辖地为荷兰。

如果供应商以标准合同条款第 4 模块要求的方式出口个人信息，则适用以下条款：

2021 年 6 月 4 日欧盟委员会第 (EU) 2021/914 号实施决定所附标的准合同条款模块 4（处理者到
控制者）正文通过引用并入本文。可选内容如下所述：

省略第 7 条（对接条款）。
关于第 17 条，选择选项 1，成员国为荷兰。
关于第 18 条，选择的管辖地为荷兰。

附录 2 的附件 1

A. 当事方名单

参见协议

B. 传输说明

参见本协议附件“数据处理详细信息”。

C. 主管监督机构

法国国家信息与自由委员会 - CNIL
3 Place de Fontenoy

TSA 80715

75334 PARIS CEDEX 07
Tel. +33 1 53 73 22 22
Fax +33 1 53 73 22 00
Website: http://www.cnil.fr/

附录 2 的附件 2 – 技术和组织措施

参见附有这些条款的 DPA 附录 1。此外，数据导入者应确保在适当的情况下对所有个人数据
进行匿名化和加密。此外，当收到政府机构提出的与这些条款所涉及的个人数据相关的请求时，数据导入者及其关联方保证 (i) 美国或其他地方的情报部门或类似机构的访问要求，以及 (ii) 附件 1B 中所述个人数据的任何“披露义务”，将在提取之前由数据导入者及其关联方根据适用法律和法规提出抗辩。

附录 2 的附件 3 – 分处理者列表

参见本协议附件“数据处理详细信息”。

附录 3

其他州、国家、地区和省的法律要求

英国附录：2018 年数据保护法案

本附录 3 通过引用纳入 2022 年 3 月 21 日生效的《欧盟标准合同条款的国际数据传输附录》（B1.0 版），并应视为本协议所有各方已全部签订，涵盖本 DPA 下的所有适用的数据传输，包括所有第 2 部分强制性条款。

瑞士附录：FADP

就附录 2 中所述数据传输受 FADP 约束而言，对 GDPR 的引用应理解为对《瑞士联邦数据保护法》(“FADP”) 的引用。
在 FADP 规定的期限内，法人实体的个人数据应根据本条款受到与作为数据主体的个人相同的保护。
第 13 条：平行监管
1. 如果数据传输受 FADP 管辖：联邦数据保护和信息专员 (“FDPIC”) 是主管监督机构；
2. 如果数据传输受 GDPR 管辖：则第 13(a) 条的标准适用。
第 18(c) 条：选择法院和司法管辖区：惯常居住地在瑞士的数据主体也可以向瑞士法院对数据出口者和/或数据进口者提起法律诉讼。

加拿大附录：魁北克法 25

本 DPA 中确保供应商仅根据公司书面说明处理个人信息的任何条款，均应解释为禁止任何试图匿名、汇总或以其他方式修改个人信息的行为，以使个人信息不再构成或包含与已识别身份或可识别身份的数据主体相关的信息，向公司提供服务所需的或公司明确书面授权的情况除外。
本 DPA 所要求的与个人数据泄露相关的任何通知，以及本协议要求的任何类似通知，
也应适用于供应商违反或试图违反本 DPA 的任何事件。
如果需要收集与本 DPA 条款相关的同意，供应商还必须在协议结束后三 (3) 年内保留所有同意的证据。

Document Metadata

Table of Contents

Proprietary

Document Metadata