Contract
微软采购订单条款和条件(以下简称“采购订单条款”)
1. 接受和效力。本采购订单条款是签发采购订单的微软实体(以下简称“微软”)与适用SOW 中确定的供应商(以下简称“供应商”)之间签订的条款,并涵盖以下内容:
a. “云服务”:供应商根据本采购订单条款提供的或与本采购订单条款有关的服务、网站(包括托管)、解决方案、平台和产品,包括供应商提供前述服务所需的软件、移动应用、设备、技术和服务。
b. “可交付结果”:供应商(或供应商经批准的分包商)为微软开发的作为商品、服务或云服务交付一部分的所有工作产品,包括与本采购订单条款有关的知识产权(以下简称“知识产权”)。可交付结果为提供给微软的“雇佣作品”(定义见版权法)。
c. “商品”:微软根据本采购订单条款许可或购买的软件和/或有形资产。
d. “服务”:微软根据本采购订单条款购买的专业服务、广告、咨询服务以及支持和维护服务。
e. “SOW”是指下列任何内容:(1) 微软采购订单;(2) 双方授权代表签署的工作说明书或其他订单;或(3) 双方授权代表通过参考本采购订单条款而签署或受本采购订单条款限制的书面协议。
本采购订单条款从供应商开始履约或供应商在适用SOW 上签字之日起开始生效,以较早者为准。除非在以下第 2 节中另行规定,否则供应商对本采购订单条款的接受明确限于这些条款和条件,而无相反提议。
2. 与其他协议的关系。本采购订单条款的条款和条件是微软和供应商之间具有约束力的完整协议,以下情况除外:
a. 如果双方相互签署的某个协议(例如供应商服务主协议)在本采购订单条款日期生效并且适用于通过本采购订单条款订购的商品、服务或云服务,并且该协议适用于由本采购订单条款约束的双方关系,则将并入此类协议的条款。如果本采购订单条款与此类协议之间存在冲突,则以此类协议的条款为准。就本采购订单条款而言,微软接受用于登录或访问服务或云服务的在线条款或协议(例如,服务型软件或平台)并非已“相互签署”的协议,并且不会以任何方式取代、补充或修改本采购订单条款中的条款。
b. 若有包含类似或相反规定的多种协议同时适用于本采购订单条款,则双方同意:对微软最有利的条款将适用,除非结果不合理、不适当或为法律所禁止。
c. 除此处第 2 节中所述事项、第 9 节中所述的变更,以及第 14 节中的终止条款之外,附加条款或其他条款(例如在线条款或协议)均不会取代本采购订单条款,除非双方相互签署书面文档。
3. 商品或可交付结果的包装、发货和退还。除非在本采购订单条款中明确规定,否则:
a. 包装。
(1) 基于重量的价格应仅包含商品净重。
(2) 供应商不得向微软收取包装费或装运前费用,例如打包费、装箱费、搬运损坏费用、短驳费或贮存费。
b. 装运。
(1) 供应商应在所有集装箱上标记必要的处理和装运信息、采购订单编号、发货日期,以及收货人和发货人的名称。
(2) 每次发货必须带有分项发票和包装清单,以及进行国内或国际运输及获得法律批准所需的其他所有文档,或者商品或可交付结果的标识。
(3) 微软仅为所收到的不超过最大订购量的数量付款。
(4) 微软或其代理将保管超出的装运量,供应商自行承担在合理时间内等候装运指令所产生的费用和风险。
(5) 不得向微软收取装运或交付费用。
(6) 除非另有规定,否则商品和可交付结果将于采购订单日期之后第 10 天交付:
(i) 如果商品和可交付结果的发货地点与微软指定的交付地点位于同一管辖权地,则应按照FOB 方式发运至微软指定的交付地点;或
(ii) 如果要将商品和可交付结果跨境交付至微软指定交付地点,则应按照DDP
(2010 年国际贸易术语解释通则)方式发运至微软指定交付地点。
(7) 供应商应承担全部或部分商品或可交付结果在指定交付地点接受微软最终验收之前发生丢失、损坏或销毁的一切风险。微软应承担在验收之前由于其员工的重大过失引起的任何损失。
c. 退货。供应商应承担退还超出订购量商品或被拒商品所产生的退回运费。
4. 发票。
a. 如果提供电子发票提交流程,供应商应遵循该流程。MS Invoice (xxxxx://xxxxxxxx.xxxxxxxxx.xxx) 是微软为其收款人提供的一个基于Web 的应用程序,它允许收款人直接向微软提交电子发票。MS Invoice 工具支持逐个提交电子发票,或通过批量上载提交多份发票。如果无法通过此流程提交发票,收款人应通过 xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxxxxxxxx/xxxxxxxxxxx-xxxxxxxxx.xxxx 联系微软应付账款技术支持人员并提供有效的理由,微软会破例提供备选发票提交流程。发票必须包含以下信息:采购订单编号、项目编号、项目说明、数量、单价、合计、装箱单编号、装运信息、收货方所在城市和省/自治区/直辖市、税款,以及微软合理要求的其他任何信息。供应商不得就调查、报告或纠正与发票有关的任何错误而向微软收取任何费用。微软通过使用第三方发票服务提供商向供应商提供电子发票功能。在这些情况下,供应商授权电子发票提供商接收尚未构成原始发票的供应商发票数据,并随后对发票数据进行电子签名,以便以供应商的名义并代表供应商发出电子发票。
b. 微软可以通过发出书面通知或者支付部分款项,就任何发票提出异议。微软将在收到相应发票后六十(60) 天内做出商业上合理的努力,以书面形式通知供应商任何有争议的金额。无论是未能提供通知,还是未支付发票金额,都不构成对任何索赔或权利的放弃。
5. 付款方式、现金折扣、抵销和费用。
a. 在微软验收商品、服务或云服务并收到正确、无争议的账单(以下简称“创建日期”)后,微软将在创建日期后净十(10) 天付款,扣除相当于账单金额 2% 的折扣;或在创建日期后净六十(60) 天付款,没有任何折扣。
b. 如果微软在验收商品、服务或云服务之后 120 天以上才收到供应商开具的相应发票,则微软不承担支付该发票款项的义务。
c. 发票付款并不构成本采购订单条款下的验收,如果出现任何错误、短装、缺陷,或供应商在其他方面未能达到本采购订单条款的要求,则发票还将进行调整。
d. 微软可将供应商或任何关联公司应付给微软的款项与微软应付给对方的款项进行抵销。在抵销后的合理时间内,微软会向供应商提供相应通知。
e. 除非另有约定,否则供应商应承担根据本采购订单条款提供商品、服务或云服务及履约所发生的所有费用。
6. 税款。
a. 除下面另行规定的情况外,微软支付给供应商的付款不包含税款。微软不负责供应商应依法缴纳的任何税款,包括净收入或总收入税、特许经营税和财产税。微软应向供应商支付由于本采购订单条款而产生的、法律要求供应商从微软处收取的任何销售税、使用税或增值税。
b. 微软不会参与进口商品、服务或云服务,而且除非在SOW 中另行规定,否则进口税应由供应商支付。
c. 如果微软向供应商提供有效的免税证明,则供应商将不收取此类证明免除的税款。
d. 如果法律要求微软从支付给供应商的款项中预扣税款,则微软可预扣这些税款并将其支付给相应的税收机构。微软应向供应商提供此类税款的正式收据。微软将在法律允许的范围内,尽合理努力尽量减少任何预扣税款。
7. 检查和验收。
a. 如果供应商未遵守本采购订单条款的标准和规范,则微软可以取消本采购订单条款或适用的SOW。
b. 所有商品和服务可能随时随地接受微软的检查和测试,包括在制造期间和最终验收之前的任何时间。如果微软在供应商现场进行检查或测试,则供应商应提供所有合理设施和协 助,以确保微软检查人员的安全和方便,并且不收取任何附加费用。在最终检查和验收之前完成或未完成任何检查或测试,并不能免除供应商对商品缺陷的责任或对未能满足本采购订单条款要求而承担的责任。
c. 如果按本采购订单条款交付的任何项目在原料或工艺上有缺陷或与采购订单条款的要求不符,则微软有权拒绝接收、要求限期纠正、调价后收货或向供应商全额退货。当微软向供应商发出通知时,供应商应立即更换或纠正被拒收或要求纠正的任何项目,费用由供应商自行承担。在微软提出要求后,如果供应商未能按照交付日程及时更换或纠正有缺陷的项目,则微软可以自主选择:(1) 更换或纠正这些项目,并向供应商收取由此产生的费用;(2)不另行通知供应商而默认终止本采购订单条款或适用的SOW,向供应商退还被拒收的项 目,由供应商承担费用,且供应商应立即退还微软为退还的项目支付的所有款项;或者(3)要求适当降价。
d. 无论前期是否进行了检查或付款,所有商品和服务都应在交付或履行后的合理时间内,在微软指定的地点进行最终检查和验收。所有检查工作记录都应完整保存,以供微软在本采购订单条款履行期间以及微软指定的其他此类期限内查询。
8. 附加的云服务要求。
a. 服务级别。供应商将在适用SOW 中定义的维护时段安排任何云服务升级或维护。供应商将依照 xxxxx://xxx.xx/XX_XXX(或任何后续链接)规定的服务级别和条款提供云服务,该服务级别和条款被视为文档(如规格)的一部分,并纳入及成为本采购订单条款的一部分。
b. 业务连续性。供应商将负责制定、实施、测试和维护有效的、企业范围内的业务连续性计划
(包括灾难恢复和危机管理程序),以向微软提供对云服务的持续访问和云服务支持。作为最低限度的要求,供应商必须在任何时候:(1) 备份、存档和维护系统的副本或冗余系统,并确保:(i) 系统位于安全的物理位置(不包括用于提供云服务的主系统的位置);(ii) 至少 每年更新和测试一次系统;及 (iii) 系统能够每天完全恢复云服务和所有微软材料;及 (2) 建立并遵循将备份数据和系统传输到供应商备份位置的程序和频率间隔。应微软的要求,供应商将向微软提供供应商企业业务连续性计划的概述,并依诚信原则,及时对微软有关该计划的询问作出书面答复,以便微软能够审查该计划的充分性。
c. 过渡。 如果适用的 SOW 终止或期满,或微软以书面形式提出要求,供应商将:(1) 向微软提供(根据微软的合理要求)包含所有微软材料的备份介质(除非云服务将此作为自助服务功能提供给微软);及 (2) 向微软提供微软合理要求的所有协助(费用由微软承担),以及
时、顺利地从云服务过渡。
9. 变更。微软可以书面形式(包括通过电子邮件)通知供应商(而无需通知供应商担保人、分包商或受让人)暂停履行,增加或减少订购量,或根据微软的合理业务需求进行更改(即“变更单”)。除非双方达成一致,否则变更单不适用于更改在变更单日期之前已完全及时交付的商品和服务。如果任何变更导致供应商履行订单所需的成本或时间有所增减,则在征得微软书面同意后,可以对价格和/或交付日程进行相应的调整。
10. 工具和设备。供应商获得的用于提供商品和服务并已提供给微软、由微软支付或付费的所有工具、设备或材料,包括规范、图纸、工具、模具、铸型、夹具、样本、铁架、电极、冲床、工艺图、屏幕、磁带、模板、特殊测试设备、量规、内容、数据和软件,均应视为或将成为微软财产,作为微软机密信息处理,并且供应商应根据第 3 节规定立即将其送至微软指定交付地点,且确保其状况良好(允许正常的磨损),而不向微软收取费用。供应商保证在未获得微软事先书面许可的情况下,不将上述物品和信息用于任何与微软无关的工作或用于任何与微软无关的材料或部件的生产。供应商将为微软标明服务所使用的一切第三方知识产权或软件。
11. 报告。应微软的要求,供应商将及时向微软提供根据本采购订单条款提供的所有软件的物料清单
(“SBOM”)。每份SBOM 应满足美国商务部规定的最低要求或法律规定的其他要求。
12. 双方各自知识产权的所有权和使用。
a. 各方拥有并保留对其原有知识产权以及独立于本采购订单条款下的商品、服务和云服务开发的任何知识产权的所有权利,包括该方在其中的任何IP 权利。
b. 微软将拥有所有可交付结果,包括所有IP 权利、任何格式的所有介质、硬件以及供应商在交付服务过程中创建的其他有形材料。任何与可交付结果有关或将用于可交付结果的供应商工作,包括书面产品、定制产品或报告,均被视为知识产权。
c. 如果可交付结果不符合“雇佣作品”(work made for hire) 的条件,则供应商将可交付结果中的及与其相关的所有权利、所有权和权益(包括所有IP 权利)转让给微软。供应商放弃可交付结果中的所有著作人身权。
d. 如果供应商在任何商品或服务中使用了任何供应商或第三方知识产权,则供应商应继续拥有供应商的IP 权利。供应商将在所有当前和未来的IP 权利下,向微软授予非独占性、永久性、不可撤销、免版税、已完全付费的全球范围内的权利和许可,允许微软根据第 12 节中的微软所有权,使用供应商和第三方的知识产权。
e. 供应商授予微软及其关联公司(包括其员工、承包商、顾问、外包工作人员,以及微软或其任何关联公司为执行服务而聘用的实习生)针对包含软件或其他不受单独许可约束的知识产权的任何商品(包括已安装的应用程序)的不可撤销、非独占性、永久性、已完全付费、免版税的全球范围内的许可。该许可允许微软结合商品使用此类软件和知识产权。微软可通过销售或租赁将许可转让给微软关联公司或继任拥有者。
f. 在执行云服务所需的有限范围内,供应商授予微软及其关联公司(包括其员工、承包商、顾问、外包工作人员和微软或其任何关联公司为执行服务而聘用的实习生)及其最终用户
(如有)在云服务期限内为微软的业务目的而访问和使用云服务的非独占、无限制、已完全付费和免版税的全球范围内的权利。除非在SOW 中另有规定,否则对云服务的访问不作限制。
g. 让渡保修和赔偿。供应商将所有第三方制造商和许可方对商品的保修和赔偿转让和让渡给微软。
h. 商品(而非许可软件)的所有权将在最终验收时从供应商让渡给微软。
i. 微软知识产权。
(1) 供应商可能使用的“微软材料”是指由微软、其任何关联公司或其各自的最终用户提供,或代表微软、其任何关联公司或其各自的最终用户提供给供应商以执行服务或云服务的任何有形或无形材料,或由供应商获得或收集的与服务或云服务有关的材料(例如使用数据)(包括硬件、软件、源代码、文档、方法、专业知识、流程、技术、想法、概念、技术、报告和数据)。微软材料可能包括对上述材料、个人资料、商标的任何修改或其衍生作品,以及作为服务或云服务的一部分输入任何供应商数据库的任何数据。微软材料不包括供应商在本采购订单条款之外获得的、与本采购订单条款无关的微软产品。
(2) 微软授予供应商一项非独占、不可分许可(微软根据本采购订单条款批准的分包商除外)、可撤销的许可,允许供应商:(i) 根据微软材料中的微软IP 权利,仅在依照本采购订单条款执行服务所需的情况下复制、使用和分发向其提供的微软材料,以及(ii) 仅在依照本采购订单条款执行云服务所需的情况下使用微软材料。供应商不得出售、许可或以其他方式将任何微软材料商业化。
(3) 微软保留其在微软材料以及相关IP 权利中的所有其他利益。供应商无权分许可微软材料,除非是由于完成商品、服务和云服务的交付所需要而向经批准的分包商分许可。如果微软材料具有独立的许可证,则该许可证的条款将适用,如果这些条款与本采购订单条款相冲突,则以这些许可条款为准。
(4) 供应商应采取合理预防措施,确保安全并防止微软材料丢失、损坏、失窃或消失。
(5) 微软可以随时出于任何合理业务原因撤销对微软材料的许可。在本采购订单条款或适用的SOW 期满或终止时(以较早的时间为准),许可将自动终止。供应商将应要求或在其许可终止时立即归还所有微软材料。
(6) 在供应商使用微软材料方面:
(i) 供应商不得对微软材料进行修改、反向工程、反向编译或反汇编,但微软允许的情况除外;
(ii) 供应商应保留微软材料包含的专有通知和许可,而不得进行修改或遮掩;
(iii) 微软没有义务为微软材料提供技术支持、维护或更新;
(iv) 所有微软材料均按“现状”提供,不提供任何保证;及
(v) 对于由供应商(或分包商)看护、保管或控制的微软材料,供应商应承担其丢失、损坏、未授权访问或使用、失窃或消失的风险。
13. 声明和保证。供应商声明并保证:
a. 供应商拥有签订本采购订单条款、依据本采购订单条款履约及授予权利的完全权利和权限,并且履约行为不会违反其与任何第三方之间的任何协议或义务;
b. 服务将会按照行业标准或更高标准以专业的方式予以执行;
c. 商品、服务、云服务和可交付结果必须符合本采购订单条款中的标准和规格,并适合预期用途;
d. 供应商为微软提供的所有商品、服务和可交付结果不得存在:(1) 设计、工艺和材料方面的任何缺陷;(2) 任何版权责任;及(3) 任何施工留置权或其他法定留置权、担保权益或资产留置权;
e. 根据本采购订单条款提供给微软的商品、服务、云服务、可交付结果和任何供应商或第三方知识产权:
(1) 无论是全部还是部分均未受排除许可的约束。“排除许可”指作为使用、修改和/或分发软件的条件,要求软件或与该软件结合使用和/或与其一起分发的其他软件遵守如下条件的任何软件许可:(i) 以源代码的形式披露或分发;(ii) 获取许可是为了制作衍生作品;或(iii) 可免费再分发;及
(2) 不受有以下规定的许可条款的限制:要求就任何包含或衍生自可交付结果的微软知识产权、产品、服务或向微软授予许可的任何供应商或第三方知识产权或者文档,向任何第三方授予许可或与任何第三方共享;
f. 根据本采购订单条款提供给微软的商品、服务、云服务、可交付结果和任何供应商或第三方知识产权:
(1) 就供应商所知,不会侵犯任何第三方专利、版权、商标、商业秘密或其他专有权利;或
(2) 不会包含会使任何商品、可交付结果、产品、服务或其他任何软件或微软网络或系统降级或受到感染的任何病毒或其他恶意代码;
g. 供应商将遵守当地、州、联邦或外国的所有法律、法规和规定,包括数据保护法(如附录A所定义)和反腐败法(即所有防止欺诈、贿赂、腐败、账簿和记录错误、内部控制不足、洗钱的法律,包括《美国反海外腐败法》)。根据本采购订单条款提供的商品、服务、云服务、部件、组件、设备、软件、技术及其他材料(统称“项目”)须受美国及其他国家/地区的出口管辖权规限。各方应遵守适用于项目进出口的所有法律和法规,包括但不限于贸易法律,例如《美国出口管理条例》、《国际武器贸易条例》,以及由美国海外资产管理办公室管理的经济制裁法规(以下统称“贸易法”)。根据适用的法律,在执行本采购订单 条款的过程中,供应商将不会配备非美国人员担任需要访问技术、技术数据或源代码的角色,除非供应商已书面通知微软其打算配备非美国人员,并且已收到微软关于授权特定国籍的人员从事这些工作的书面确认。供应商将不会采取导致微软违反适用贸易法的任何行为。在获悉与执行本采购订单条款有关的潜在违反贸易法的行为,或潜在违反本小节中的条款的行为后,供应商将尽快通知微软(在任何情况下不迟于供应商获悉此行为后的 14
天)。如果微软以合理方式得出结论,认为供应商的行为会导致其违反美国贸易法或其他适用的贸易法律(包括上述贸易法),或使其面临成为该等贸易法规定的经济制裁对象的风险,则微软可以暂停或终止本采购订单条款或适用的SOW。供应商同意在无需微软支付额外费用的情况下,向微软提供与适用的进口、出口或再出口授权相关的进口/出口控制分类和信息(包括文档),以及对于任何必要进口、出口、再出口程序和/或许可来说乃属必需的所有项目相关信息。有关其他信息,请访问 xxxxx://xxx.xxxxxxxxx.xxx/xx- us/exporting。“法律”是指具有管辖权的任何政府权力机构(联邦、州、本地或国际机构)的所有适用的法律、条例、法令、政令、决定、命令、法规、裁决、准则、成文法则、决议和要求;
h. 供应商将遵守适用的反腐败法。在履行本采购订单条款时,供应商将向其员工提供有关反腐败法合规的培训,并完成微软提供的有关反腐败法合规的任何必要培训。供应商不得代表微软为政府官员支付旅游、住宿、礼物、款待或慈善捐赠的费用;及
i. 供应商应自费采取以下行动:(1) 实施并维持适当的技术和组织措施,以保护微软材料(包括个人数据)和任何其他微软机密信息,防止因传输、存储或以其他方式处理的微软材料
(包括个人数据)或任何其他微软机密信息遭到意外或非法破坏、丢失、更改、未经授权披露或访问;(2) 在商业上和技术上可行的情况下尽快修正供应商发现的任何重大漏洞;及
(3) 遵守供应商在本采购订单条款(包括第 15、16 节和附录A)下的保密、隐私和数据保护义务。
14. 终止。微软可以因故或无理由终止本采购订单条款或适用的SOW。在发出书面通知时终止立即生效。为方便起见,如果微软终止本采购订单条款,则其唯一义务是为以下项目支付费用:
a. 在终止生效日期之前接收的可交付结果或商品;或者
b. 已履行的服务,微软在终止生效日期之后保留对其的权益;或者
c. 终止生效日期之前交付的云服务(或微软要求的任何终止后过渡)。供应商将(在不影响微软可能执行的任何其他补救措施的情况下)按比例向微软退还未使用服务的任何预付费用。
15. 隐私和数据保护。供应商将会遵守下列规定,费用自理。
a. 在不限制本采购订单条款所述微软审核权利的情况下,供应商将(1) 按照微软的要求,参加微软供应商安全和隐私保证(“SSPA”)计划,包括每年证明供应商对微软当时现行的供应商数据保护要求(“DPR”)的所有适用部分的合规状态(如果DPR 的其他部分可用,则提高频率),以及(2) 遵守微软当时现行的DPR。请访问 xxxxx://xxx.xxxxxxxxx.xxx/xx- us/procurement/supplier-contracting.aspx,供应商安全和隐私保证(SSPA)(xxx.xx),以获取 SSPA 计划详细信息,包括计划要求和最新的DPR。
b. 供应商的安全程序必须包括以下方面的风险评估和控制措施:(1) 系统访问;(2) 系统和应用程序的开发和维护;(3) 变更管理;(4) 资产分类和控制;(5) 事故响应、实体和环境安
全;(6) 灾后恢复/业务连续性;及(7) 员工培训。这些措施将在供应商安全政策中规定。供应商将应微软要求向其提供该安全政策,以及针对服务和云服务制定的安全控制措施的描述,并提供微软合理请求的有关供应商安全做法和政策的其他信息。
c. 当供应商提供云服务时,供应商将仅使用适用SOW 中确定的云基础设施提供商(以下简称 “CIP”)提供云服务,并将在更改、增加CIP 或实施任何变更计划之前至少 90 天,以及在微软材料的位置发生任何变更之前至少 30 天通知微软。如果微软拒绝该变更,微软可以立即终止适用的SOW,不再承担任何义务。
d. 隐私和数据保护。供应商将遵守附录A 中的隐私和数据保护要求。
16. 供应商行为准则。供应商将遵守最新的《供应商行为准则》(xxxxx://xxx.xx/xxxx)和最新的《微软代表反腐败政策》( xxxx://xxx.xx/xxxxxxxxxxxxxxx/xxxxxxxxxxxxxxx),以及微软在SOW 中或在期限内确定的任何其他政策(例如,物理或信息安全政策)或培训。
17. 可访问性。根据本采购订单条款由或代表供应商或其关联公司开发或提供的任何设备、产品、网 站、基于web 的应用程序、云服务、软件、移动应用程序或内容必须遵从所有法律和微软提供的可访问性要求,包括Web 内容可访问性指南(“WCAG”)最新版本的A 级和 AA 级成功标准(载于 xxxxx://xxx.x0.xxx/xxxxxxxxx/xxxxx/xxxx#x0x_xxx)。WCAG 概述可在 xxxx://xxx.x0.xxx/XXX/xxxxx/xxxx 中查看。
18. 不弃权。微软延迟或未能行使任何权利或获得补偿,不会导致另一方放弃行使该项权利(或其他任何权利)或获得该补偿(或其他任何补偿)。
19. 无力偿债;赔偿责任限制。
a. 本采购订单条款的任何一方无力偿债或宣告破产、申请自愿破产或转让债权人利益,均应视为实质性违反本采购订单条款。就本采购订单条款而言,“无力偿债”是指(1) 任何一方通过正当途径声明其负债超过资产,或(2) 任何一方在常规业务过程中无法及时偿付其商业债务。
b. 责任限制。除第 21 节规定的赔偿义务外,对于违反本采购订单条款所规定的一方保密、隐私、数据保护和公开义务,与本采购订单条款有关的侵权、滥用或盗用IP 权利,或者欺
诈,任何一方均不对另一方因本采购订单条款而产生的任何间接、后果性、特殊性、惩戒性或惩罚性损害(包括但不限于数据丢失、收入和/或利润损失的损害)承担责任,无论是
否可以预见,也无论该责任是基于违约、侵权、严格责任、违反保证或其他原因,即使该方已被告知发生此类损害的可能性也是如此。
20. 分包。未经微软事先书面同意,供应商不得将供应任何商品、服务或云服务的工作分包给任何第三方。如果供应商将任何服务或云服务分包给任何分包商,则供应商将对分包商的任何行为或不行为向微软承担全部责任,遵守本采购订单条款下的所有义务,要求分包商以书面形式同意微软是其与供应商达成的协议的预期第三方受益人,并要求分包商以书面形式同意对微软的保护程度不低于本采购订单条款中适用于分包商所执行工作的条款,包括本采购订单条款第 15 节和附录A 中的隐私和数据保护条款。
21. 赔偿及其他补偿。
a. 对于因以下任何原因引起的所有索赔、要求、损失、成本、损害和诉讼,供应商应为微软及关联公司提供赔偿和辩护,并使其免受损害:(1) 由于根据本采购订单条款提供的商品、服务或云服务而引起的、对任何第三方知识产权或IP 权利或微软知识产权或IP 权利的实际侵权或涉嫌侵权;(2) 任何索赔(如果属实)已构成了对第 15 节、附录A 或此处包含的任何供应商保证的违约;(3) 供应商或其代理、员工或分包商的任何行为或疏忽,或未能遵守税务义务或法律;(4) 违反任何保密或隐私义务;(5) 由于供应商或其分包商的过失、故意行为或疏忽,造成任何身体伤害(包括精神伤害)或死亡,或有形或无形资产的损失、消失或损害;及(6) 供应商员工、关联公司或分包商的任何索赔(无论依据如何),包括但不限于支付庭外和解、判决的金额,以及支付合理的律师费。
b. 除微软可获得的所有其他补偿之外,如果使用本采购订单条款下的商品、服务或云服务被禁止,禁制令受到威胁或可能违反适用法律,供应商应告知微软,并立即自费更换或修改此类商品、服务和云服务,使之不侵权、符合适用法律及可供微软满意地使用。如果供应商未遵守第 21(b) 节的规定,则除了根据本第 21 节(赔偿及其他补偿)获得任何赔偿金额外,供应商将退还微软支付的侵权或不合规商品、服务和云服务的金额,并支付将服务和云服务转移到新供应商的合理费用。
22. 保险。 供应商应维护足够的保险范围,以满足本采购订单条款和法律规定的义务。供应商的保险必须包含以下范围(或本地货币的同等额度),以使本采购订单条款或适用SOW 产生的风险通常包含在这些保险单的覆盖范围内:
表 A1– 所需的保险范围
涵盖范围 | 表格 | 限额 1 |
商业一般责任险,包括合同和产品责任 2 | 事件 | $1,000,000 美元 |
机动车责任险 | 事件 | $1,000,000 美元 |
隐私和网络安全责任险(若合理且商业可用)(包括因数据销毁、黑客攻击或故意违规、与数据违规有关的危机管理活动产生的费用,以及对安全违规、侵犯隐私和通知成本的法定求偿) | 每次索赔 | $2,000,000 美元 |
工伤险 | 法定 | 法定 |
雇主责任险 | 事件 | $500,000 美元 |
职业责任险/错误和疏忽险,如合理且商业可用,则涵盖第三方专有权利侵犯(如版权和商标) | 每次索赔 3 | $2,000,000 美元 |
注释:
1 除非法律要求另有规定,否则每次索赔或事件的所有限额均可转换为当地货币。
2 就供应商在第 21 节下应承担的契约责任而言,供应商应将微软、微软子公司以及它们各自的董事、高管人员和员工指定为商业综合责任险保单中的附加受益人。
3 追溯日不晚于本采购订单条款或适用SOW 或订单的生效日期。供应商应维护有效保单范围或延长报告期,涵盖在本采购订单条款终止或期满或适用的 SOW 或订单履行之后 12 个月内首次进行并向保险公司报告的索赔。
供应商必须事先获得微软对于一次事故保险额超过$100,000 美元的任何免赔额或自留额的书面许可。供应商将应要求向微软提供本采购订单条款要求的保险范围证明。如果微软合理地确定供应商的保险范围低于履行其义务所需的保险范围,供应商将立即购买额外保险,并书面通知微软。
23. 机密事宜的保密。如果双方已签订标准的《微软保密协议》,则此类协议的条款将适用并且应纳入本采购订单条款,而且本采购订单条款的所有条款和条件以及微软材料应被视为微软机密信 息。如果双方尚未签订标准的《微软保密协议》,则供应商同意在本采购订单条款有效期以及此
后五(5) 年内将严格保密,而且不会使用或对任何第三方(微软关联公司除外)披露任何微软机密信息。“微软机密信息”是指微软或关联公司以书面或口头形式指定为机密内容的或者在披露的情形下应向合理人士指明其应被视为机密内容的所有非公开信息。尽管本采购订单条款已有任何相反规定,但就本采购订单条款与供应商或供应商关联公司共享的所有个人数据均属于微软机密信
息。如供应商对于微软机密信息的构成有任何问题,应向微软咨询。微软机密信息不包括在微软披露给供应商之前供应商就已经知道的信息,或者非因供应商的过失而成为可公开获取的信息。
24. 独立开发。本采购订单条款中的任何规定均不限制微软直接或间接获取、许可、开发、制造或分发与本采购订单条款所考虑的商品、服务或云服务相同或相似的技术或服务的能力。除本采购订单条款所考虑的技术或服务之外或作为其替代品,微软可使用、营销和分发此类类似技术或服 务,包括(全部或部分)任何软件或云服务。
25. 审计。在本采购订单条款有效期以及此后四(4) 年内,供应商应保留与商品、服务或云服务和个人数据处理相关的所有常规和适当的记录、账簿及质量报告和履行报告,以及法律合规性所需的其他记录(以下简称“供应商记录”)。在此期间,微软可能审计和/或检查适用的记录和设施,以核实供应商是否遵守本采购订单条款,包括隐私、安全性、出口合规性、可访问性和税务。微软或其指定的独立顾问或注册会计师(“审计员”)将进行审计和检查。微软将在审计或检查前为供应商提供合理通知(提前 15 天,紧急情况除外),并将指示审计员避免影响供应商的运营(包括在可行时进行合并审计)。供应商同意让微软指定的审计或检查组合理访问供应商记录和设施。
如果审计人员确定微软向供应商超额付款,则供应商应向微软偿还此类超额付款。如果供应商在审计期间向微软多收取了 5% 或更多的费用,其将立即向微软退还所有超额付款,并支付该等超额付款每月 0.5% 的付款利息。微软应承担其审计人员或检查小组的费用。但是,如果审计发现在此类审计期间,供应商多向微软收取了 5% 或以上的费用,则供应商应向微软退还多收取的费用。本节中的任何规定都不限制微软根据本采购订单条款(包括附录A)的任何其他章节对供应商进行审计的权利。
26. 转让。未经微软的事先书面同意,不得转让本采购订单条款下的任何权利或义务(包括接收应付金额的权利)。未经同意擅自进行的任何转让均无效。微软可以转让其在本采购订单条款下的权利。
27. 劳动争议通知。只要实际发生或可能发生的劳动争议导致或可能导致本采购订单条款无法按时履 行,则供应商应立即以书面形式通知微软此类争议并提供所有相关细节。供应商应在本采购订单条款中可能允许的每个分包合同中包括与上述规定相同的条款,并在收到此类通知时,以书面形式通知微软。
28. 专利许可。尽管存在上述条件,但只要供应商未履行本采购订单条款的条款,则作为本采购订单条款的一部分,供应商应在不增加微软成本的情况下,在此自动授予微软一项不可撤销的、非独占性的、免版税的权利和许可,允许其使用、销售、生产及安排生产任何和所有符合下列条件的产品:这些产品体现由供应商(或代表供应商)创造、构想或实际应用的任何或所有与本采购订单条款下的可交付结果相关的发明及发现。
29. 管辖权地和管辖法律。对于在美国向微软提供的商品、可交付结果、服务和云服务,本采购订单条款受xxx州法律管辖(不考虑法律冲突原则),各方同意xxx州金县的州法院和联邦法院拥有专属管辖权并且是审判地。如果微软对云服务的任何访问或使用发生在美国,则所有云服务被视为在美国提供。对于向微软提供的所有其他商品、服务和云服务,微软(即除供应商以外的本采购订单条款的签约实体)成立或以其他方式组建所在国家/地区的法律、管辖权和地点均适用于本采购订单条款。任何一方均不会声称缺乏个人管辖权或不便在这些法院提起诉讼。如果针对本采购订单条款提起任何诉讼或上诉,胜诉方有权获得补偿,包括合理的律师费。
30. 公开性;商标使用。未经微软事先书面许可,对于供应商与微软的关系或本采购订单条款,供应商不得发布与之相关的新闻稿或其他形式的宣传。如果获得书面批准,供应商仅能根据下述指南 (xxxxx://xxx.xxxxxxxxx.xxx/xx-xx/xxxxx/xxxxxxxxxxxxxxxxxxxx/Xxxxxxxxxx/Xxxxx/Xxxxxxx.xxxx) 使用服务、云服务和可交付结果的商标。
31. 可分割性,URL。如果具有司法管辖权的法院裁定本采购订单条款的任何条款为非法、无效或不能执行,其余条款仍然具备完全效力。URL 也指 URL 的网站内链接的后续URL、本地化内容及信息或资源。双方均不得因信任本采购订单条款未包含或纳入的任何内容而签订本采购订单条款。本采购订单条款将依照其明确含义进行解释,不存在偏袒任何一方的假定。
32. 效力存续。本采购订单条款中本身要求在本采购订单条款或适用的 SOW 终止或期满后继续履行的条款,或适用于在本采购订单条款或适用的SOW 终止或期满后可能发生的事件的条款,在本采购订单条款和适用的SOW 终止或期满后将继续有效。所有赔偿义务以及赔偿规程在本采购订单条款和适用的SOW 终止或期满后将继续有效。
附录A – 数据保护
章1节 范围、优先顺序和条款
(a) 本附录修订和补充了采购订单条款中与供应商处理个人数据和机密信息相关的条款和条件,并且此类条款和条件符合《数据保护法》。尽管采购订单条款中存在任何相反规定,如果本附录与采购订单条款之间存在冲突,应以本附录为准。本附录附属于采购订单条款,并且将纳入采购订单条款之中。
(b) 本附录仅适用于供应商接收、存储或处理与商品、服务或云服务相关的个人数据或机密信息。章2节 定义
(a) 本附录中使用的术语如未专门定义,则与采购订单条款中的含义相同。
(b) 以下术语具有CCPA 中赋予它们的定义:“业务”、“销售”、“服务提供商”及“第三方”。
(c) “控制者”是指确定处理个人数据的目的和方式的实体。“控制者”包括企业控制者(此术语已在 GDPR 中定义)及数据保护法律中的同等术语(视情况而定)。
(d) “数据导出者”是指 (1) 在需要国际数据传输机制的司法管辖区有公司业务或其他稳定安排,及(2) 向数据导入者传输个人数据或提供个人数据的一方。
(e) “数据导入者”是指 (1) 位于与数据导出者的司法管辖区不同的司法管辖区,及(2) 从数据导出者接收个人数据或能够访问数据导出者提供的个人数据的一方。
(f) “数据保护法”是指与数据安全、数据保护和/或隐私相关的所有适用的法律,包括 2016 年 4 月 27 日欧洲议会和理事会条例(EU) 2016/679(该条例涉及保护自然人的个人数据处理和自由转移
(“GDPR”),和《加利福尼亚州 民 法典》第 1.81.5 篇第 1798.100 条及后续条款 (《加利福尼亚州消费者隐私法》)(“CCPA”),以及正在实施、衍生或相关法例、规则、法规和监管指导,包括其修
订、扩展、废止和替代或重新制定。
(g) “数据主体”是指已确定身份或可确定身份的自然人。
(h) “EEA”是指欧洲经济区。
(i) “个人数据”是指直接或间接识别、涉及、描述、能够合理与之关联或可合理与数据主体联系的信息。“个人数据”包括个人信息和个人数据(此术语已在GDPR 中定义)(视情况而定)。
(j) “处理”是指一方对个人数据进行的任何操作或一组操作,包括收集、记录、组织、存储、改编或更改、检索、咨询、使用、通过传输、传播或其他可用方式披露、调整或组合、限制、擦除或销毁。
(k) “处理者”是指代表另一实体处理个人数据的实体。“处理者”包括服务提供商处理者(此术语已在 GDPR 中定义)及数据保护法律中的同等术语(视情况而定)。
(l) “安全事故”是指任何:
(1) 因传输、存储或以其他方式由供应商或其分包商处理的机密信息(包括个人数据)遭到意外或非法破坏、丢失、更改、未经授权的披露或访问的事件;或
(2) 与供应商处理机密信息(包括个人数据)有关的安全漏洞。
(m) “敏感数据”是指以下类型和类别的数据:(1) 揭示种族或民族、政治观点、宗教或哲学信仰或工会成员资格的数据;遗传数据;(2) 生物特征数据;(3) 有关健康的数据,包括受《健康保险可携性和责任法案》管辖的受保护健康信息;(4) 有关自然人的性生活或性取向的数据;(5) 政府身份号码(如 SSN、驾驶证);(6) 支付卡信息;(7) 受《金融服务法现代化法案》管辖的非公开个人信息;(8) 与密码或其他访问代码相结合后可访问数据主体账户的未加密标识符;及(9) 精确地理位置。
(n) “标准合同条款”是指欧盟关于从欧洲经济区向第三国进行国际传输的标准合同条款,即 2021 年 6
月 4 日的委员会实施决定(EU) 2021/914,可在xxxxx://xx.xxxxxx.xx/xxxx/xxx/xxx-xxxxx/xxxx-
protection/international-dimension-data-protection/standard-contractual-clauses-scc_en 查阅。
(o) “子处理者”是指作为处理者的一方所聘用的处理者。章3节 各方个人数据处理活动及各方身份的说明
(a) 附录 1 说明各方处理的目的、处理中涉及的个人数据类型或类别,以及受处理影响的数据主体类别。
(b) 附录 1 载列各方在相关数据保护法下的身份。
(c) 工作说明、微软采购订单或经各方授权代表签署的书面协议(其将构成完整的采购订单条款)可能对处理的主题和期限、处理的性质和目的、个人数据类型以及数据主体类别进行具体说明;在此情况下,更具体的说明将优先于附录 1。
章4节 国际数据传输
(a) 部分司法管辖区要求,如果接收方所在司法管辖区的法律并未以与传输实体所在司法管辖区同等的方式保护个人数据,则传输个人数据的实体应采取额外措施,以确保个人数据得到特别保护(“国际数据传输机制”)。各方将遵守适用的数据保护法可能要求的任何国际数据传输机制,包括标准合同条款。
(b) 如果各方所依赖的国际数据传输机制失效或被取代,各方将真诚合作,寻找合适的替代方案。
(c) 对于位于要求国际数据传输机制的司法管辖区(例如,欧洲经济区、瑞士或英国)的数据主体的个人数据,如果微软将其传输给供应商或允许供应商访问,则各方同意,在该等采购订单条款生效 后,各方亦将签署标准合同条款,该等条款将通过引述纳入本采购订单条款并构成其重要组成部 分。各方同意,就标准合同条款中需要各方提供意见的内容而言,附录 1 和 2 载有与标准合同条款附件相关的信息。各方同意,对于英国、瑞士或附录 1 中指定的其他国家的数据主体的个人数据,将采用附录 1 中所列对标准合同条款的修改,以使标准合同条款适应当地法律(如适用)。
章5节 一般数据保护
(a) 合规性。各方将遵守各自在《数据保护法》下的义务以及其隐私声明。
(b) 供应商作为控制者的义务(如适用)。如果供应商是就供应商履行采购订单条款(见附录 1)而收集、交换或以其他方式处理的个人数据的控制者,则:
(1) 供应商确认并同意,供应商应独立承担合规责任,并将遵守《数据保护法》(例如,控制者的义务);
(2) 供应商不得出售个人数据;及
(3) 供应商同意负责按照数据保护法(例如,GDPR 第 13 和 14 条,如适用)的要求向数据主体发出通知;按照数据保护法(例如GDPR 第三章)的要求,回应数据主体行使其权利的要求以及确定处理的合法依据(例如,同意或合法权益)。
(c) 合作
(1) 第三方请求。如果供应商收到来自政府、立法、司法、执法或监管机构(例如,联邦贸易委员会、美国各州检察总长或欧洲数据保护机构)的任何类型的要求或查询,或面临与各方处理个人数据有关的实际或潜在索赔、查询或投诉(统称“查询”),供应商将立即通知微软,不得出现不当延误,除非适用法律禁止此类通知。供应商将及时向微软提供与查询相关的信息,包括与索赔辩护相关的任何信息,以使微软能够对查询做出回应。
(2) 数据保护法的其他要求。一旦收到请求,供应商将向微软提供相关信息,以履行微软进行数据保护影响评估或与数据保护机构事先协商的义务(如有)。
章6节 数据安全和保密性
(a) 保密性。供应商将确保授权处理个人数据的人员承诺履行保护性程度不低于采购订单条款规定的保密义务,或承诺履行相应的法定保密义务。
(b) 安全控制。供应商将遵守附录 2 并采取行业良好实践以及《数据保护法》(包括根据 GDPR 第 32
条)规定的与数据安全相关的所有措施。
章7节 供应商作为处理者、子处理者或服务提供商的义务
(a) 如果供应商以微软处理者或服务提供商的身份处理数据主体的个人数据,则其将承担第 7 条规定的义务;为明确起见,这些义务不适用于作为控制者、企业或第三方的供应商。
(b) 处理范围
(1) 供应商将仅为向微软提供商品、服务或云服务、履行采购订单条款规定的义务及执行微软已成文的指示而处理个人数据。除非适用法律要求,否则供应商将不得为任何其他目的处理个人数据,亦不得出售个人数据。
(2) 在采购订单条款范围之外处理任何个人数据,需要供应商和微软通过对采购订单条款进行书面修订的方式事先达成书面协议。
(3) 如果供应商认为由于供应商所承担的法律义务而无法遵循微软的指示或履行其在采购订单条款下的义务,供应商将通知微软,除非法律禁止供应商作出此类通知。
(c) 数据主体要求行使权利。如果供应商收到数据主体根据适用的数据保护法对其个人数据行使权利的请求,供应商将立即通知微软。微软将负责响应此类请求。除确认数据主体的请求外,供应商将不对其做出回应。供应商将应要求向微软提供商业上合理的协助,以帮助微软回应数据主体的请求。
(d) 供应商的子处理者。供应商不得在未经微软事先书面授权的情况下聘用子处理者。供应商将对其子处理者的行为或疏忽负责,犹如供应商根据本附录直接执行子处理者的服务,除非采购订单条款中另有规定。供应商将要求子处理者以书面形式同意保护程度不低于数据保护补充协议条款的条款。
(e) 安全事故
(1) 在不限制供应商根据采购订单条款(包括DPR 和本附录中有关个人数据的部分)履行义务的情况下,一旦发现任何安全事故,供应商将:
(i) 向微软通报安全事故,不得出现不当延误(在任何情况下不得迟于供应商通知任何处于类似情况的供应商客户,并且,在任何情况下,必须在供应商进行任何公众披露之前(例如,发布新闻稿));
(ii) 立即进行调查,或在调查安全事故时提供必要的帮助,并向微软提供有关安全事故的详细信息,包括安全事故的性质说明、受影响数据主体的大致数量、安全事故的当前和可预见影响,以及供应商为解决安全事故和减轻其影响而采取的措施;及
(iii) 立即采取所有商业上合理的步骤来减轻安全事故的影响,或协助微软进行这方面的工作。
(2) 除非由于微软的过失或故意行为或供应商遵循微软的明确书面指示而引发安全事故,否则供应商应遵守第 7(e) 条的规定。
(3) 供应商在向任何政府实体、个人、媒体或其他第三方通知影响或可能影响供应商从微软接收或代表微软处理的机密信息的安全事故之前,必须获得微软的书面批准。无论本附录中有何相反规定,供应商可以为履行法律义务将影响个人数据的安全事故通知第三方,但供应商必须:(i) 尽一切努力尽快向微软发出事先通知(如供应商打算向第三方披露安全事 故);以及 (ii) 如果无法向微软发出此类事先通知,则一旦有可能发出通知,应立即通知微软。对于任何向第三方披露安全事故的情况,供应商应在向微软发出的通知中披露第三方的身份并提供通知的副本(如果尚未向第三方发出通知,供应商应向微软提供一份草案)。供应商应允许微软编辑或更新通知。
(f) 删除和归还机密信息。在适用的工作说明、云订单、采购订单或双方之间的其他书面协议期满或终止时,或应微软或微软关联公司的要求,供应商将会在毫无不当延误的情况下:(1) 将所有微软机密信息(包括该等机密信息的副本)退回予微软或相应的微软关联公司,或(2) 应微软或其关联公司的要求,销毁所有微软机密信息(包括该等机密信息的副本),而且在上述各情况下,若法律作出其他明确规定或者双方以书面形式另行明确协定,则属例外。对于供应商在适用的工作说明、云订单、采购订单或双方其他书面协议期满或终止后保留的任何微软机密信息(例如,因为法律要求供应商保留该等信息),供应商将会继续遵守本附录中的数据安全和隐私条文,而且供应商必须在实际可行的范围内对个人数据(如有)进行去识别化处理或合并。所有个人数据均为机密信息。
(g) 审计。供应商将为微软提供所有必要信息,以证明已履行《数据保护法》,并允许微软或受微软委托的其他审计师进行审计(包括检查)并积极配合审计工作,而不会限制微软在采购订单条款下的任何现有审计权利(如有)。
[此页剩余部分特意留空]
附表 1:处理和子处理者说明
处理活动 | 各方身份 | 可能处理的个人数据类别 所列类别为描述性,不一定表示各方在处理所列的各类数据。 | 可能处理的敏感数据类别 所列类别为描述性,不一定表示各方在处理所列的各类数据。 | 适用的SCC 模块 |
供应商处理个人数据以提供商品、服务或云服务。 | 微软是控制者。 供应商是处理者。 | • 位置数据 • IP 地址 • 设备偏好和个性化 • 网站的服务使用、网页点击跟踪 • 社交媒体数据、社交图谱关系 • 连接设备的活动数据,如健康监测 • 联系人数据,如姓 名、地址、电话号 码、电子邮件地址、出生日期、家属和紧急联系人 • 欺诈和风险评估、背景调查 • 保险、养老金、福利详细信息 • 候选人简历、面试记录/反馈 • 元数据和遥测 • 付款方式数据 • 信用卡号码和到期日 • 银行路由信息 • 银行账户号码 • 信贷申请-信贷额度 • 税务文件和标识符 • 投资数据 • 公司卡 • 开支数据 • Azure 租户、M365 租户 • Xbox Live、OneDrive 消费者 • 客户提出的支持请求单 | • 与儿童有关的数据 • 遗传数据 • 生物特征数据 • 健康数据 • 种族或民族 • 政治观点 • 宗教或哲学信仰 • 工会成员资格 • 自然人的性生活或性取向 • 移民身份(签证、工作授权等) • 政府身份证件(护 照、驾驶证、签证、社会保险号码、国民身份号码) | 模块 2 模块 3,如果微软为另一控制者的处理者 |
处理活动 | 各方身份 | 可能处理的个人数据类别 所列类别为描述性,不一定表示各方在处理所列的各类数据。 | 可能处理的敏感数据类别 所列类别为描述性,不一定表示各方在处理所列的各类数据。 | 适用的SCC 模块 |
• 开票数据 • 电子商务数据 • 活动报名 • 培训 • 全局唯一标识符 (GUID) • 护照用户ID 或唯一标识符(PUID) • xx最终用户标识符信息(EUII) -会话 ID • 设备ID • 诊断数据 • 日志数据 | ||||
各方处理其员工的个人数据,以便(例 如)管理和提供商 品、服务或云服务;管理发票;管理采购订单条款并解决与之相关的任何争议;回应和/或提出一般查询;遵守各自的监管义务;以及创建和管理基于网络的账户。 | 微软是控制者。 供应商是处理者。 | • 员工姓名、职务及其他联系信息 • 员工ID • 与微软员工的点击、按压或与供应商硬件和软件的其他互动有关的设备和/或活动数据 | 无 | 模块 2 模块 3,如果微软为另一控制者的处理者 |
供应商作为控制者收集或接收个人数据。 | 微软是控制者。 供应商是控制者。 | • 位置数据 • IP 地址 • 设备偏好和个性化 • 网站的服务使用、网页点击跟踪 • 社交媒体数据、社交图谱关系 • 连接设备的活动数据,如健康监测 • 联系人数据,如姓 名、地址、电话号 码、电子邮件地址、出生日期、家属和紧急联系人 | • 与儿童有关的数据 • 遗传数据 • 生物特征数据 • 健康数据 • 种族或民族 • 政治观点 • 宗教或哲学信仰 • 工会成员资格 • 自然人的性生活或性取向 • 移民身份(签证、工作授权等) • 政府身份证件(护 | 模块 1 |
处理活动 | 各方身份 | 可能处理的个人数据类别 所列类别为描述性,不一定表示各方在处理所列的各类数据。 | 可能处理的敏感数据类别 所列类别为描述性,不一定表示各方在处理所列的各类数据。 | 适用的SCC 模块 |
• 欺诈和风险评估、背景调查 • 保险、养老金、福利详细信息 • 候选人简历、面试记录/反馈 • 元数据和遥测 • 付款方式数据 • 信用卡号码和到期日 • 银行路由信息 • 银行账户号码 • 信贷申请-信贷额度 • 税务文件和标识符 • 投资数据 • 公司卡 • 开支数据 • Azure 租户、M365 租户 • Xbox Live、OneDrive 消费者 • 客户提出的支持请求单- • 开票数据 o 电子商务数据 • 活动报名 • 培训 • 全局唯一标识符 (GUID) • 护照用户ID 或唯一标识符(PUID) • xx最终用户标识符信息(EUII)-会话ID • 设备ID • 诊断数据 • 日志数据 | 照、驾驶证、签证、社会保险号码、国民身份号码) |
子处理者
供应商在作为处理者时,使用工作说明或由各方授权代表签署的书面协议中所列的子处理者。
国际传输信息
传输频率
所有个人数据连续传输。
保留期
作为控制者,各方在有商业目的的情况下或在适用法律允许的最长期限内,保留个人数据。
作为处理者,供应商遵守本附录中的义务,在采购订单条款有效期内保留其从微软收集或接收的个人数据。
就标准合同条款的目的而言:
• 条款 7:各方不采用可选对接条款。
• 条款 9,模块 2(a),如适用:各方选择选项 1。期限为三十(30) 天。
• 条款 9,模块 3(a),如适用:各方选择选项 1。期限为三十(30) 天。
• 条款 11(a):各方不选择独立争议解决方式。
• 条款 17:各方选择选项 1。各方同意以爱尔兰为司法管辖区。
• 条款 18:各方同意以爱尔兰为审判地。
• 附件一(A):数据导出者为数据导出者(定义见上文),数据导入者为数据导入者(定义见上文)。
• 附件一(B):各方同意,附录 1 对传输作出说明。
• 附件一(C):主管监督机关是爱尔兰数据保护委员会。
• 附件二:各方同意,附录 2 对适用于传输的技术和组织措施作出说明。
就标准合同条款本地化而言:
• 瑞士
o 各方对所有数据传输采用GDPR 标准。
o 条款 13 和附件一(C):条款 13 和附件一(C) 中的主管机关是联邦数据保护和信息专员,同时也是上述欧洲经济区成员国当局。
o 条款 17:各方同意以爱尔兰为司法管辖区。
o 条款 18:各方同意以爱尔兰为审判地。各方同意对标准合同条款进行解释,以便瑞士的数据主体能够根据条款 18(c) 在瑞士为其权利提起诉讼。
o 各方同意对标准合同条款进行解释,以便“数据主体”包括有关瑞士法律实体的信息,直到修订后的《联邦数据保护法》开始实施。
• 英国
o 各方同意,标准合同条款被视为在必要范围内进行修订,以便适用于从英国向第三国的传输并根据英国《一般数据保护条例》(“英国GDPR”)第 46 条规定提供适当的保护措施。这些修订包括将提及GDPR 之处改为提及英国GDPR,将对提及欧盟成员国之处改为提及英国。
o 条款 17:各方同意以英国为司法管辖区。
o 条款 18:各方同意以英格兰和xxx的法院为审判地。各方同意,数据主体可在英国任何地区的法院对任何一方提起法律诉讼。
附录 2:技术和组织安全措施
供应商将遵守采购订单条款第 15(a) 条约定的微软DPR 要求。