Proprietary
Proprietary
数据共享附录(供应商数据)
修订日期:2024年3月12日
就本数据共享附录
(“DSA”)
而言,签订合同或引用本
DSA
的其他形式的协议(“协议”)的 Merck Sharp
& Dohme LLC
实体或关联方应称为“公司”,协议的所有其他方应统称为
“供应商”。公司和供应商各自为“一方”,合称为“双方”。
背景
双方签订本协议,并可能与本协议一起签订一项或多项采购订单或任务订单、项目协议、
项目计划附录、工作说明书、工作订单或其他服务条款(均称为“工作说明书”),以规范其中预计提供的服务(“数据共享目的”)。双方希望对协议条款进行补充,以确保所有与协议相关的个人信息共享均遵守数据保护法,
并明确双方各自作为此类数据的独立控制者。
双方同意:
数据共享活动。对于与本协议相关的个人信息处理,共享的主题、性质、目的和持续时间、
相关数据主体的类别以及个人信息的类别均在协议中标题为“数据处理详细信息”的附件中
具体说明。适用范围。x DSA 的条款适用于协议下的每份工作说明书,除非该工作说明书另有规定。
供应商义务。在处理与本协议相关的个人信息时,供应商应:
遵守数据保护法和供应商在本 DSA 下的义务,如果供应商无法履行这些义务,供应商应立即通知公司,并采取公司认为必要的所有合理且适当的措施以纠正不合规行为。
提供所有必要的通知并从数据主体处获得所有必要的同意,以确保公司有权将个人信息用于数据共享目的。
对其员工、关联方、代理、分包商和其他代表的所有作为或不作为承担全部责任。
实施并维护合理且适当的书面信息安全和隐私计划,其中应包含与本协议中共享的个人信息的性质相应的物理、技术和组织措施,这些措施应达到或超过良好的行业惯例(或附录 1 中可能要求的更高标准),并合理防止个人数据泄露,包括以足以满足本 DSA 要求的方式对所有负责处理个人信息的人员进行培训。
遵守公司要求的所有合理且适当的必要措施,以便供应商和公司遵守数据保护法和本
DSA 规定的各自义务。供应商确认并同意,签订本 DSA 即表明其理解本 DSA 中规定的限制并将遵守这些限制。
赔偿。在不限制本协议或其他协议项下公司的任何权利或权益或供应商的义务的情况下,
对于因供应商处理与本协议有关的个人信息而导致供应商个人数据泄露,从而导致受补偿方遭受任何损失、损害、罚款、成本或费用(包括法律费用和支出),供应商应向公司及其关联方以及其各自的管理人员、董事、员工、承包商、临时工、分包商、代理和其他代表
(均称为“受偿方”)进行赔偿。本节项下的任何责任均应遵守本协议中适用的责任限制或免责条款,除非该责任是由于供应商的过失或故意不当行为造成,在这种情况下,任何限制或免责条款均不适用。-
“数据保护法”是指任何适用的数据保护、数据安全或隐私法,包括但不限于(在此类法律适
用的范围内)《欧盟通用数据保护条例》及与之相关的任何国家实施立法、《健康保险流通和责任法案》、《加州隐私权法案》以及任何其他国家、州、联邦、省或地区数据保护、
数据安全或隐私法。“个人信息”是指与本协议相关、与已识别或可识别身份的个人相关的任何数据,包括能识别特定个人身份的数据,或能够用于识别、定位、追踪或联系个人的数据。个人信息包括直接可识别身份的信息,例如姓名、身份证号码或唯一职位名称,以及间接可识别身份的信息,例如出生日期、唯一移动或可穿戴设备标识符、可用于识别家庭身份的信息、电话号码、
密钥编码数据、在线标识符(例如 IP 地址)或个人活动、行为或偏好,还包括根据数据保
护法构成“个人数据”的任何数据。“处理”是指对个人信息或个人信息集执行任何操作或一系列操作,包括但不限于通过自动化
方式,例如收集、记录、组织、构建、存储、访问、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供、评估、分析、报告、共享、调整或组合、限制、删除或销毁。“个人数据泄露”是指被传输、存储或以其他方式处理的个人信息的意外或非法销毁、丢失、
变更、未经授权的披露或访问。“标准合同条款”是指欧盟委员会于 2021 年 6 月 4 日发布的有关向未经欧盟委员会评估为个人数据提供充分保护的第三国传输个人数据的标准合同条款,条款可能会不时更新。
如果这些定义限制或缩小了数据保护法中相关定义的范围,则应扩展该定义以符合数据保护法中的定义。
如果本节未给出定义,则术语应以符合所有适用的数据保护法的方式进行解释。
解读。
x DSA 中使用但未定义的术语应具有本协议其他条款中规定的含义。
词语“包括”和“包含”应解释为包括但不限于。
就本协议下的数据共享目的而言,供应商可能会处理公司一个或多个关联方的个人信息。
在这种情况下,公司的任何关联方均应被视为个人信息的“控制者”和本 DSA 的第三方受益人,并有权依赖和执行本 DSA 赋予公司的所有权利和保护措施,无论该关联方是否被指定为本协议或本 DSA 的一方。x DSA 特此纳入本协议,并构成本协议的一部分。
如果协议条款与本 DSA 之间存在任何冲突,则以本 DSA 条款为准,除非协议条款对与协议相关的个人信息的保护性更强,在这种情况下,以保护性更强的协议条款为准。
如果本 DSA 的条款与标准合同条款之间存在任何冲突,则以标准合同条款为准。
除本协议明确修订,否则本协议的条款仍具有完全效力。
如果本 DSA 以英文和其他语言起草,当英文文本与其他语言文本存在差异时,应以英文文本为准。
x DSA 的附件和附录应被视为本 DSA 的组成部分,其程度与本 DSA 中逐字列出的相同。
x DSA 的条款是可分割的。如果任何短语、条款或规定全部或部分无效或不可执行,则此类无效性或不可执行性仅影响此类短语、条款或规定,x DSA 的其他部分仍具有完全效力。
x DSA 管辖与数据共享目的相关的任何个人信息的处理,并对适用于数据共享目的的协议条款进行补充,除非公司和供应商已签订适用于某些数据共享目的的另一份 DSA。
x DSA 可以签订任意数量的副本,所有副本共同构成一份相同的协议。任何一方均可通过签署此类副本来签订本 DSA。
x DSA 构成双方就本 DSA 主题达成的完整协议,并(在法律允许的范围内)取代双方此前就该主题达成的所有xx或口头或书面协议,但本 DSA 中的任何内容以及双方均不得试图免除欺诈性xx的任何责任。
本协议中的管辖法律和管辖权条款将适用于本 DSA。
更新限制。
当各方续签、修改、在协议下发出新的工作声明或以任何方式修改协议或协议下的任何工作声明时(“触发事件”),位于xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxxxxx/ 的“Data Sharing Addendum (Supplier Data)”下的最新文档将取代此DSA的条款,直到下一个触发事件发生,除非在触发事件发生后的30天内提出异议。尽管有上述规定,可能存在需要立即修改本DSA条款的情况,这种修改只能出于7(b)中阐述的理由,并且只能在确保任何新的或修改的条款仅限于为了遵守新的适用数据保护法律、案例法或相关数据保护机构发布的指导而必要的条款之后,以诚信的方式进行。
如果发生以下任何情况,各方立即同意上述地址发布的最新条款,除非在公司通知新条款后的30天内,xxxxxxxxxxxxxxxxxxx_xxxxxxx@xxx.xxxxxxx:
适用的数据保护法已以现有DSA的合同条款不足以满足更新后的法律要求的方式更新,
适用的数据保护法发生变化,且各方由于法律变化有合理且正当的利益修改这些条款,例如并不限于,去除不再必要的要求,或
有新的案例法或由相关数据保护机构发布的指导,其效果与上述(i)或(ii)中描述的法律变化相当。
附录的适用范围。附录 2 所附的标准合同条款和附录 3 的附录仅在适用的数据保护法要求的范围内适用。双方同意遵守此类条款和附录,但这些条款和附录必须符合各司法管辖区适用的数据保护法的要求。
通知。根据本 DSA 发出的通知(单独称为“通知”)均应采用书面形式。根据本 DSA 发出的通知应按照适用协议的通知条款发出,并将副本通过电子邮件发送给公司 xxx_xxxxxxx_xxxxxx@xxx.xxx,主题行标明“供应商发出的 DSA 通知”,或在发生个人数据泄露的情况下标明“紧急”:个人数据泄露通知”。
附录 1 – 信息技术安全措施
网络安全 - 供应商应维护网络安全政策、程序和系统,并应按照供应商所在行业最佳实践执行网络安全政策和活动,但至少包括但不限于网络防火墙配置、入侵检测和定期(但在任何情况下均不得少于每年一次)漏洞评估。在任何情况下,适用于公司个人信息的上述规定的严格程度和保护力度均不得低于供应商为保护其自身具有类似或相似性质的数据和系统而应用的规定。
应用程序安全 – 供应商应根据下文第 9 款规定的公认可比行业规范或标准,提供、维护和支持其提供或使用的与本协议项下的服务或产品相关的任何软件和系统,以及后续的更新、
升级和错误修复,以便其持续受到保护且不存在漏洞。数据安全 - 在不限制供应商履行本协议或本 DSA 下保密义务或其他保护公司或其关联方的数据和其他信息(包括但不限于任何个人信息)之义务的情况下,供应商应根据行业最佳实践存储所有个人信息并遵守所有适用的法律法规,同时使用安全措施(包括但不限于加密和防火墙)保护此类个人信息免遭未经授权的披露或使用。此类措施的严格程度不得低于供应商为其自身具有相似性质的数据所采取的措施。如果供应商在第三方异地设施中存储个人信息,则供应商必须遵守本 DSA 中与向第三方披露个人信息或以其他方式将服务或产品分包给第三方相关的条款,并且在不限制遵守上述条款的情况下,仅应使用公司可合理接受的第三方异地存储设施,且第三方设施必须完全符合本附录的所有规定。
数据存储 – 任何及所有个人信息仅会在指定的供应商计算和存储资源上进行存储、处理和维护,任何个人信息在任何时候都不会在任何便携式或笔记本电脑计算设备或任何便携式存储介质上
处理或传输,除非该设备或存储介质已在供应商指定的备份和恢复流程中使用,并已根据下文第 6 款进行加密。供应商应在其指定备份和恢复过程中存储所有备份个人信息。数据传输 – 与公司和/或任何第三方进行的任何及所有个人信息电子传输或交换,均应通过安全方式(使用 HTTPS 或 SFTP 或等效方式)进行,并且必须完全根据下文第 6 款的规定进行。
数据加密 – 机构同意,应使用商业支持加密解决方案以加密形式保存存储在任何便携式或笔记本式计算设备或任何便携式存储介质上的任何及所有个人信息,包括所有公司备份数据。部署加密解决方案时,将使用不少于 128 位的密钥进行对称加密,并使用 2048(或更长)
位密钥长度进行非对称加密。数据重复使用 – 除提供本协议项下的服务或产品所需或本 DSA 另行允许,供应商不得在其他应用程序、环境或供应商业务部门之间分发、转用或共享任何个人信息。
安全违规通知 - 如果发生个人数据泄露或违反供应商任何安全义务,则除履行本协议或本 DSA 下的义务外,供应商还应在发现此类事件后的 24 小时内通过电话和电子邮件通知公司,相关电话号码和电子邮件地址如下:
安全泄露通知电话号码:000-000-0000
Merck 全球运营中心 (“GOC”)(选择“IT 服务中断”选项(此选项当前为 #1.GOC 可以呼叫 Merck 网络个人数据泄露响应团队。)
安全泄露通知电子邮件地址:XXX@Xxxxx.xxx
行业标准 – 就适用于本协议下的服务或产品而言,公认的行业标准包括但不限于以下机构规定并维护的现行标准和基准:
互联网安全中心 - 请访问 xxxx://xxx.xxxxxxxxxx.xxx
支付卡行业/数据安全标准 (PCI/DSS) – 请访问 xxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/
美国国家标准与技术研究院 - 请访问 xxxx://xxxx.xxxx.xxx
美国联邦信息安全管理法案 (FISMA) - 请访问 xxxx://xxxx.xxxx.xxx
ISO/IEC 27000 系列 - 请访问 xxxx://xxx.xxx00000xxxxxxxx.xxx/
结构化信息标准促进组织 (OASIS) – 请访问 xxxx://xxx.xxxxx-xxxx.xxx/
开放式 Web 应用程序安全项目 (OWASP) 的“十大项目” – 请访问 xxxx://xxx.xxxxx.xxx
CWE(通用缺陷列表)– 请访问 xxxx://xxx.xxxxx.xxx 或 CWE/SANS 前 25 种编程错误 - xxxx://xxx.xxxxx.xxx/xxx00/
SANS 协会 - 请访问 xxxx://xxx.xxxx.xxx
附录 2
如果供应商以标准合同条款第 1 模块要求的方式出口个人信息,则适用以下条款:
2021
年
6
月
4
日欧盟委员会第
(EU)
2021/914 号实施决定所附标的准合同条款模块
4
(控制者到控制者)正文通过引用并入本文。可选内容如下所述:
省略第 7 条(对接条款)。
关于第 11 条,省略了可选文本。
关于第 17 条,选择选项 1,成员国为荷兰。
关于第 18 条,选择的管辖地为荷兰。
附录 2 的附件 1
参见协议
B. 传输说明
参见本协议附件“数据处理详细信息”。
C. 主管监督机构
法国国家信息与自由委员会
-
CNIL
0
Xxxxx xx Xxxxxxxx
TSA 80715
00000
XXXXX XXXXX 07
Tel.
x00 0 00 00 00 00
Fax
x00 0 00 00 00 00
Website: xxxx://xxx.xxxx.xx/
附录 2 的附件 2 – 技术和组织措施
参见附有这些条款的
DSA 附录
1。此外,数据导入者应确保在适当的情况下对所有个人数据
进行匿名化和加密。此外,当收到政府机构提出的与这些条款所涉及的个人数据相关的请求时,数据导入者及其关联方保证
(i)
美国或其他地方的情报部门或类似机构的访问要求,以及
(ii) 附件
1B
中所述个人数据的任何“披露义务”,将在提取之前由数据导入者及其关联方根据适用的法律法规和法规提出抗辩。
其他州、国家、地区和省的法律要求
英国附录:2018 年数据保护法案
本附录 3
通过引用纳入 2022
年 3
月 21
日生效的《欧盟标准合同条款的国际数据传输附录》
(B1.0
版),并应视为本协议所有各方已全部签署,涵盖本
DSA 下的所有适用的数据传输,
包括所有第
2 部分强制性条款。
瑞士附录:FADP
就附录 2 中所述数据传输受 FADP 约束而言,对 GDPR 的引用应理解为对《瑞士联邦数据保护法》(“FADP”) 的引用。
在 FADP 规定的期限内,法人实体的个人数据应根据本条款受到与作为数据主体的个人相同的保护。
第 13 条:平行监管
如果数据传输受 FADP 管辖:联邦数据保护和信息专员 (“FDPIC”) 是主管监督机构;
如果数据传输受 GDPR 管辖:则第 13(a) 条的标准适用。
第 18(c) 条:选择法院和司法管辖区:惯常居住地在瑞士的数据主体也可以向瑞士法院对数据出口者和/或数据进口者提起法律诉讼。
加拿大附录:魁北克法 25
如果需要收集与本 DSA 条款相关的同意,供应商还必须在协议结束后三 (3) 年内保留所有同意的证据。