Proprietary

Proprietary

共同控制者附录

修订日期：2024年3月12日

就本共同控制者附录 (“JCA”) 而言，签订合同或引用本 JCA 的其他形式的协议（“协议”）的 Merck Sharp & Dohme LLC 实体或关联方应称为“公司”，协议的所有其他方应统称为
“供应商”。公司和供应商各自为“一方”，合称为“双方”。

背景

1. 双方签订本协议，并可能与本协议一起签订一项或多项采购订单或任务订单、项目协议、
   项目计划附录、工作说明书、工作订单或其他服务条款（均称为“工作说明书”），以规范
   其中预计提供的服务（“共同目的”）。

2. 双方希望对协议条款进行补充，以确保与本协议相关的所有个人信息共享均符合数据保护法，并明确双方为此类数据的共同控制者。

双方同意：

1. 共同处理活动。对于与本协议相关的个人信息处理，共享的主题、性质、目的和持续时间、相关数据主体的类别以及个人信息的类别均在协议中标题为“数据处理详细信息”的附件中
   具体说明。

2. 适用范围。x JCA 的条款适用于协议下的每份工作说明书，除非该工作说明书另有规定。

3. 义务。对于与本协议相关的个人信息处理，双方应：

1. 遵守数据保护法及其各自在本 JCA 下的义务，如果一方无法履行这些义务，请立即通知另一方并采取一切合理且适当的必要行动以纠正不合规行为。

2. 仅按照本 JCA 和协议中的规定处理个人信息，除非经另一方书面同意，以及以下情况：

   1. 该方已根据适用数据保护法的要求事先获得数据主体的有效同意；

   2. 在特定的行政、监管或司法程序中，为确立、行使或捍卫法律主张所必需；

   3. 为保护数据主体或其他自然人的切身利益所必需；或者

   4. 适用的法律法规另有要求，在这种情况下，受影响的一方应将该法律要求告知另一方，除非适用的法律法规禁止，并应尽最大努力限制任何要求披露的性质和范围，并且仅披露遵守适用的法律法规所需的最少个人信息。

3. 未经第三方签订书面协议（协议条款对个人信息的保护至少与本 JCA 和协议中规定的义务相同），不得向任何第三方披露或转让个人信息。

4. 除本协议规定或本 JCA 另有授权外，不得出售、共享、保留、使用或披露个人信息。

5. 对其员工、关联方、代理、分包商和其他代表的所有作为或不作为承担全部责任。

6. 实施并维护合理且适当的书面信息安全和隐私计划，其中应包含根据本协议处理的个人信息的性质相应的物理、技术和组织措施，这些措施达到或超过良好的行业规范，并合理地防止个人数据泄露，包括以足以满足本 JCA 要求的方式对所有负责处理个人信息的人员进行培训，
   并视情况而定：

   1. 个人信息的匿名化和加密；

   2. 确保能够持续维持处理系统和服务的保密性、完整性、可用性和可恢复性；

   3. 能够在发生物理或技术事故时及时恢复个人信息的可用性和访问；

   4. 定期测试、评估和评价技术和组织措施有效性以确保处理流程的安全性；以及

   5. 能够在发现事件后 72 小时内确认是否构成个人数据泄露。

7. 如果实际发生或合理怀疑发生个人数据泄露，发现方应立即通知另一方（在任何情况下均应在意识到个人数据泄露后 24 小时内），并与另一方合作确定适当的行动方案。

8. 及时通知另一方，不得无故拖延，在任何情况下均应在 24 小时内通知：

   1. 数据保护主管机构或其他监管机构就与本协议相关的个人信息提出的任何投诉、询问、请求或疑虑；以及

   2. 数据主体就与本协议相关的个人信息提出的任何投诉、询问、请求或疑虑，包括根据数据
      保护法或任何一方的隐私政策行使权利的任何请求，例如访问、纠正、修订、更正、共享、删除或停止处理其个人信息。

9. 遵守另一方为履行数据保护法和本 JCA 规定的各自义务而要求采取的所有合理且适当的
   必要措施。

10. 保留个人信息的时间不得超过实现共同目的所需的时间，除非适用的法律法规另有规定。

11. 根据本 JCA 维护个人信息的准确性和完整性。

12. 根据本协议条款，向因本协议而被收集个人信息的任何数据主体发出通知并征得其同意。

13. 保留所有必要的记录，以证明个人信息仅根据适用的通知、同意、授权和权利以及本
    JCA 所允许的方式进行处理，并使各方遵守数据保护法。

14. 如果任何一方要处理任何国家或地区的数据主体的个人信息，而这些国家或地区对个人信息的跨境传输有限制，双方仅应遵守数据保护法，其中可能包括但不限于签订标准合同条款或旨在保护个人信息传输的类似机制。

15. 除为满足更高的行业标准或数据保护法而进行的变更外，双方应保持并始终如一地应用各自在对方最近就与本协议相关的任何尽职调查中向对方披露的隐私和数据安全规范。

16. 各方确认并同意，签订本 JCA 即表明其理解本 JCA 中规定的限制并将遵守这些限制。

3. 定义

   1. “数据保护法”是指任何适用的数据保护、数据安全或隐私法，包括《欧盟通用数据保护条例》及与之相关的任何国家实施立法、《健康保险流通和责任法案》、《加州隐私权法案》以及任何其他国家、州、联邦、省或地区数据保护、数据安全或隐私法。

   2. “个人信息”是指与本协议相关、与已识别或可识别身份的个人相关的任何数据，包括能识别特定个人身份的数据，或能够用于识别、定位、追踪或联系个人的数据。个人信息包括直接可识别身份的信息，例如姓名、身份证号码或唯一职位名称，以及间接可识别身份的信息，例如出生日期、唯一移动或可穿戴设备标识符、可用于识别家庭身份的信息、电话号码、密钥编码数据、在线标识符（例如 IP 地址）或个人活动、行为或偏好，还包括根据数据保护法构成“个人数据”的任何数据。

   3. “处理”是指对个人信息或个人信息集执行任何操作或一组操作，无论是否通过自动化方式，
      例如收集、记录、组织、构建、存储、访问、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式披露、评估、分析、报告、共享、调整或组合、限制、删除或销毁。

   4. “个人数据泄露”是指被传输、存储或以其他方式处理的个人信息的意外或非法销毁、丢失、
      变更、未经授权的披露、使用或访问。

   5. “标准合同条款”是指欧盟委员会于 2021 年 6 月 4 日发布的有关向未经欧盟委员会评估为个人数据提供充分保护的第三国传输个人数据的标准合同条款，条款可能会不时更新。

   6. 如果这些定义限制或缩小了数据保护法中相关定义的范围，则应扩展该定义以符合数据保护法中的定义。

   7. 如果本节未给出定义，则术语应以符合适用的数据保护法的方式进行解释。

4. 解读。

   1. 词语“包括”和“包含”应解释为包括但不限于。

   2. 根据本协议的共同目的，双方可能会处理另一方的一个或多个关联方的个人信息。在这种情况下，任何这些关联方均应被视为个人信息的“控制者”和本 JCA 的第三方受益人，并有权依赖和执行本 JCA 规定的所有权利和保护措施，无论该关联方是否被指定为本协议或本 JCA 的一方。

   3. x JCA 特此纳入本协议，并构成本协议的一部分。

   4. 如果协议条款与本 JCA 之间存在任何冲突，则以本 JCA 条款为准，除非本协议的条款对与协议有关的个人信息的保护性更强，在这种情况下，以保护性更强的协议条款为准。

   5. 如果本 JCA 的条款与标准合同条款之间存在任何冲突，则以标准合同条款为准。

   6. 除本协议明确修订，否则本协议的条款仍具有完全效力。

   7. 如果本 JCA 以英文和其他语言起草，当英文文本与其他语言文本存在差异时，应以英文文本为准。

   8. x JCA 中的章节标题和其他标题仅供参考，不构成本 JCA 的一部分，也不影响本 JCA 的含义或解释。

   9. x JCA 的附件和附录应被视为本 JCA 的组成部分，其程度与本 JCA 中逐字列出的相同。

   10. x JCA 的条款是可分割的。如果任何短语、条款或规定全部或部分无效或不可执行，则此类无效或不可执行性仅影响该短语、条款或规定，x JCA 的其余部分仍具有完全效力。

   11. x JCA 可以签订任意数量的副本，所有副本共同构成一份相同的协议。任何一方均可通过签署此类副本来签订本 JCA。

   12. x JCA 构成双方之间关于本 JCA 主题的完整协议，并（在法律允许的范围内）取代双方之前关于该主题的所有xx或口头或书面协议，但本 JCA 中的任何内容及任何一方均不得试图免除对欺诈性xx的任何责任。

   13. 本协议中的管辖法律和管辖权条款将适用于本 JCA。

5. 更新限制。

1. 当各方续签、修改、在协议下发出新的工作声明或以任何方式修改协议或协议下的任何工作声明时（“触发事件”），位于xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxxxxxx/ 的“Joint Controller Addendum”下的最新文档将取代此JCA的条款，直到下一个触发事件发生，除非在触发事件发生后的30天内提出异议。尽管有上述规定，可能存在需要立即修改本JCA条款的情况，这种修改只能出于6(b)中阐述的理由，并且只能在确保任何新的或修改的条款仅限于为了遵守新的适用数据保护法律、案例法或相关数据保护机构发布的指导而必要的条款之后，以诚信的方式进行。

2. 如果发生以下任何情况，各方立即同意上述地址发布的最新条款，除非在公司通知新条款后的30天内，xxxxxxxxxxxxxxxxxxx_xxxxxxx@xxx.xxxxxxx：
   
   

   1. 适用的数据保护法已以现有JCA的合同条款不足以满足更新后的法律要求的方式更新，
      
      

   2. 适用的数据保护法发生变化，且各方由于法律变化有合理且正当的利益修改这些条款，例如并不限于，去除不再必要的要求，或
      
      

   3. 有新的案例法或由相关数据保护机构发布的指导，其效果与上述(i)或(ii)中描述的法律变化相当。

3. 附录的适用范围。附录 2 所附的标准合同条款和附录 3 的附录仅在适用的数据保护法要求的范围内适用。双方同意遵守此类条款和附录，但这些条款和附录必须符合各司法管辖区适用的数据保护法的要求。

4. 通知。根据本 JCA 发出的通知（单独称为“通知”）均应采用书面形式。根据本 JCA
   发出的通知应按照适用协议的通知条款发出，并将副本通过电子邮件发送给公司 xxx_xxxxxxx_xxxxxx@xxx.xxx，主题行标明“供应商发出的 JCA 通知”，或在发生个人
   数据泄露的情况下标明“紧急：个人数据泄露通知”。

附录 1 – 信息技术安全措施

1. 网络安全 - 供应商应维护网络安全政策、程序和系统，并应按照供应商所在行业最佳实践执行网络安全政策和活动，但至少包括但不限于网络防火墙配置、入侵检测和定期（但在任何情况下均不得少于每年一次）漏洞评估。在任何情况下，适用于公司个人信息的上述规定的严格程度和保护力度均不得低于供应商为保护其自身具有类似或相似性质的数据和系统而应用的规定。

2. 应用程序安全 – 供应商应根据下文第 9 款规定的公认可比行业规范或标准，提供、维护和支持其提供或使用的与本协议项下的服务或产品相关的任何软件和系统，以及后续的更新、升级和错误修复，以便其持续受到保护且不存在漏洞。

3. 数据安全 - 在不限制供应商履行本协议或本 JCA 下保密义务或其他保护公司或其关联方的数据和其他信息（包括但不限于任何个人信息）之义务的情况下，供应商应根据行业最佳实践存储所有个人信息并遵守所有适用的法律法规，同时使用安全措施（包括但不限于加密和防火墙）保护此类个人信息免遭未经授权的披露或使用。此类措施的严格程度不得低于供应商为其自身具有相似性质的数据所采取的措施。如果供应商在第三方异地设施中存储个人信息，则供应商必须遵守本 JCA 中与向第三方披露个人信息或以其他方式将服务或产品分包给第三方相关的条款，并且在不限制遵守上述条款的情况下，仅应使用公司可合理接受的第三方异地存储设施，且第三方设施必须完全符合本附录的所有规定。

4. 数据存储 – 任何及所有个人信息仅会在指定的供应商计算和存储资源上进行存储、处理和维护，任何个人信息在任何时候都不会在任何便携式或笔记本电脑计算设备或任何便携式存储介质上
   处理或传输，除非该设备或存储介质已在供应商指定的备份和恢复流程中使用，并已根据下文第 6 款进行加密。供应商应在其指定备份和恢复过程中存储所有备份个人信息。

5. 数据传输 – 与公司和/或任何第三方进行的任何及所有个人信息电子传输或交换，均应通过安全方式（使用 HTTPS 或 SFTP 或等效方式）进行，并且必须完全根据下文第 6 款的规定进行。

6. 数据加密 – 机构同意，应使用商业支持加密解决方案以加密形式保存存储在任何便携式或笔记本式计算设备或任何便携式存储介质上的任何及所有个人信息，包括所有公司备份数据。部署加密解决方案时，将使用不少于 128 位的密钥进行对称加密，并使用 2048（或更长）
   位密钥长度进行非对称加密。

7. 数据重复使用 – 除提供本协议项下的服务或产品所需或本 JCA 另行允许，供应商不得在其他应用程序、环境或供应商业务部门之间分发、转用或共享任何个人信息。

8. 安全泄露通知 - 如果发生个人数据泄露或违反供应商任何安全义务，则除履行本协议或本 JCA 下的义务外，供应商还应在发现此类事件后的 24 小时内通过电话和电子邮件通知公司，相关电话号码和电子邮件地址如下：

安全泄露通知电话号码：000-000-0000

Merck 全球运营中心 (“GOC”)（选择“IT 服务中断”选项（此选项当前为 #1.GOC 可以呼叫 Merck 网络个人数据泄露响应团队。）

安全泄露通知电子邮件地址：XXX@Xxxxx.xxx

9. 行业标准 – 就适用于本协议下的服务或产品而言，公认的行业标准包括但不限于以下机构规定并维护的现行标准和基准：

   1. 互联网安全中心 - 请访问 xxxx://xxx.xxxxxxxxxx.xxx

   2. 支付卡行业/数据安全标准 (PCI/DSS) – 请访问 xxxx://xxx.xxxxxxxxxxxxxxxxxxxx.xxx/

   3. 美国国家标准与技术研究院 - 请访问 xxxx://xxxx.xxxx.xxx

   4. 美国联邦信息安全管理法案 (FISMA) - 请访问 xxxx://xxxx.xxxx.xxx

   5. ISO/IEC 27000 系列 - 请访问 xxxx://xxx.xxx00000xxxxxxxx.xxx/

   6. 结构化信息标准促进组织 (OASIS) – 请访问 xxxx://xxx.xxxxx-xxxx.xxx/

   7. 开放式 Web 应用程序安全项目 (OWASP) 的“十大项目” – 请访问 xxxx://xxx.xxxxx.xxx

   8. CWE（通用缺陷列表）– 请访问 xxxx://xxx.xxxxx.xxx 或 CWE/SANS 前 25 种编程错误 - xxxx://xxx.xxxxx.xxx/xxx00/

   9. SANS 协会 - 请访问 xxxx://xxx.xxxx.xxx

   10. 最危险的软件错误 xxxx://xxx.xxxx.xxx/xxx00-xxxxxxxxxxx-xxxxxx/

附录 2

如果公司或供应商以标准合同条款第 1 模块要求的方式导出个人信息，则适用以下条款：

2021 年 6 月 4 日欧盟委员会第 (EU) 2021/914 号实施决定所附标的准合同条款模块 4
（控制者到控制者）正文通过引用并入本文。可选内容如下所述：

1. 省略第 7 条（对接条款）。

2. 关于第 11 条，省略了可选文本。

3. 关于第 17 条，选择选项 1，成员国为荷兰。

4. 关于第 18 条，选择的管辖地为荷兰。

附录 2 的附件 1

A. 当事方名单

参见协议

B. 传输说明

参见本协议附件“数据处理详细信息”。

C. 主管监督机构

法国国家信息与自由委员会 - CNIL
0 Xxxxx xx Xxxxxxxx

TSA 80715

00000 XXXXX XXXXX 07
Tel. x00 0 00 00 00 00
Fax x00 0 00 00 00 00
Website: xxxx://xxx.xxxx.xx/

附录 2 的附件 2 – 技术和组织措施

参见附有这些条款的 JCA 附录 1。此外，数据导入者应确保在适当的情况下对所有个人数据
进行匿名化和加密。此外，当收到政府机构提出的与这些条款所涉及的个人数据相关的请求时，数据导入者及其关联方保证 (i) 美国或其他地方的情报部门或类似机构的访问要求，以及
(ii) 附件 1B 中所述个人数据的任何“披露义务”，将在提取之前由数据导入者及其关联方根据适用法律和法规提出抗辩。

附录 3

其他州、国家、地区和省的法律要求

英国附录：2018 年数据保护法案

本附录 3 特此纳入 2022 年 3 月 21 日生效的《欧盟标准合同条款的国际数据传输附录》
（B1.0 版），并应视为本协议所有各方已全部签订，涵盖本 JCA 下的所有适用的数据传输，包括所有第 2 部分强制性条款。

瑞士附录：FADP

1. 就附录 2 中所述数据传输受 FADP 约束而言，对 GDPR 的引用应理解为对《瑞士联邦数
   据保护法》(“FADP”) 的引用。

2. 在 FADP 规定的期限内，法人实体的个人数据应根据本条款受到与作为数据主体的个人相同的保护。

3. 第 13 条：平行监管

   1. 如果数据传输受 FADP 管辖：联邦数据保护和信息专员 (“FDPIC”) 是主管监督机构；

   2. 如果数据传输受 GDPR 管辖：则第 13(a) 条的标准适用。

4. 第 18(c) 条：选择法院和司法管辖区：惯常居住地在瑞士的数据主体也可以向瑞士法院对数据出口者和/或数据进口者提起法律诉讼。

加拿大附录：魁北克法 25

1. x JCA 要求的与个人数据泄露相关的任何通知，以及本协议要求的任何类似通知， 也应适用于供应商违反或试图违反本 JCA 的任何事件。

2. 如果需要收集与本 JCA 条款相关的同意，供应商还必须在协议结束后三 (3) 年内保留所有同意的证据。