Dell Inc.及其直接和间接子公司（以下简称“戴尔”)与供应商签署了供应商协议，根据此协议，供应商可以处理戴尔数据。本数据保护协议（以下简称“DPA”）用 于管理供应商对戴尔数据的处理，以引用的形式纳入供应商协议。在供应商协议的有效期内或有效期满后的所有时间，如果供应商访问或保留戴尔数据，供应商不仅本身应遵守此D PA，还应促使其代表遵守此DPA。如果DPA与NDA和/或供应商协议之间出现冲突，应以此DPA为准。

数据保护协议

Dell Inc.及其直接和间接子公司（以下简称“戴尔”)与供应商签署了供应商协议，根据此协议，供应商可以处理戴尔数据。本数据保护协议（以下简称“DPA”）用于管理供应商对戴尔数据的处理，以引用的形式纳入供应商协议。在供应商协议的有效期内或有效期满后的所有时间，如果供应商访问或保留戴尔数据，供应商不仅本身应遵守此DPA，还应促使其代表遵守此DPA。如果DPA与NDA和/或供应商协议之间出现冲突，应以此DPA为准。

1. 定义。此处未定义的术语的含义已在供应商协议中阐明。

1.1. “适用法律”是指所有国际、联邦、省、州、县、市、区、局、所、机构、办公室、委员会和其他细分机构或其他任何政府、公共或类似公共机构的任何适用法律、法规、条例、规则、规定、指示、法令和类似政府要求。

1.2. “数据泄露”是指供应商在处理戴尔数据或提供解决方案过程中造成的戴尔数据的任何意外、非法或未经授权的破坏、更改、泄露、误用、丢失、盗用、获取、复制、使用、修改、处置、危害或访问，或任何损害已有的物理、技术或组织保护措施的作为或不作为。

1.3. “戴尔数据”是指由戴尔、戴尔客户、授权机构和/或分包商向供应商提供的所有数据或供应商在提供解决方案时处理的所有相关数据，包括：(a)通过戴尔网络提供给供应商或由其访问的所有非公开信息和数据，或提供给供应商或由其访问以便托管或外包服务的此类数据，(b)严格受限的数据，(c)个人数据和/或(d)用户跟踪数据。

1.4. “指令”是指针对处理个人数据以及此类数据因不时修改或替换而发生自由移动而对个人提供保护的欧盟95/46/EC指令。

1.5. “EEA”是指欧盟成员国加上挪威、冰岛和列支敦士登。

1.6. “严格受限的数据”是指社会保障号码或其他由政府签发的身份号码、医疗或健康信息、帐户安全信息、个人财务账户信息、信用卡/借记卡/礼品卡或其他支付卡信息、帐户密码、个人信贷和收入信息、知识产权、专有业务模式、定价、客户基础架构/系统信息或数据流以及隐私法律（包括指令）定义的敏感个人数据。

1.7. “包括”是指包括但不限于或无损于该词前的任何描述、定义、术语或短语的概括，其相关表述也应据此解释。

1.8. “供应商”是指戴尔根据供应商协议向其购买解决方案的一方及其代表。

1.9. “供应商协议”是指戴尔和供应商之间签署的关于戴尔向供应商购买解决方案的协议，包括“总关系协议(MRA)”。 1.10.“个人数据”是指单独存在或与其他任何信息一起存在的有关已识别或可识别自然人的任何信息或数据，或根据隐私法

律定义被视为个人数据的数据。

1.11.“隐私法律”是指任何法律、法令、指令或规定，包括关于隐私、数据保护、信息安全义务和/或个人数据处理（包括 “指令”）的任何立法和/或监管修订或后续法规。

1.12.“正在处理”、“已处理”或“处理”是指无论出于何种目的或应用何种方法对戴尔数据执行的任意操作或一系列操作，包括访问、接收、收集、记录、整理、调整、更改、检索、咨询、保留、存储、转移、披露（包括通过传输进行披露）、宣传或提供、排列、合并、使用、阻止、擦除和毁坏。

1.13.“代表”是指供应商和/或代表供应商行事或因提供解决方案而获得供应商明确授权的任何员工、高级职员、代理、顾问、审计员、分包商、外包商或其他第三方。本协议中所指的“供应商”包括代表。

1.14.“分包商”是指任何第三人或实体，包括代替或代表供应商、向戴尔提供解决方案或获得供应商对戴尔合同义务的委托或授权的所有分包商。“分包商”不包括供应商的员工。

1.15.“解决方案”是指根据供应商协议提供给戴尔或戴尔客户的任何硬件、软件（包括第三方组件）、软件即服务、服务或托管服务。

1.16.“用户跟踪数据”是指与在线或移动用户有关的数据，包括记录用户信息、互动或行为、用户单击操作、对内容作出的反应或与内容的互动、宣传或其他任何活动，或与行为宣传有关的跟踪活动的相关数据。

2. 机密信息。根据(a)NDA或(b)供应商协议（如果供应商和戴尔未签署NDA）中的定义，所有戴尔数据均为“机密信息”。NDA或供应商协议中的“机密信息”定义的任何排除项不适用于戴尔数据的定义。只要戴尔数据由供应商处理或控制（包括处于归档、备份或业务连续性/灾难恢复系统中时），供应商就应将戴尔数据视为机密信息。

3. 供应商义务

3.1. 处理。戴尔指示并授权供应商根据以下协议出于履行供应商对戴尔的义务的唯一和独有目的处理戴尔数据：(a)供应商协议；(b)戴尔及其代理的书面说明；(c)隐私法律；以及(d)此DPA（以下统称为“适用的协议”）。对于供应商跟踪用户的在线或移动活动，此DPA中规定的与个人数据有关的义务和要求也适用于用户跟踪数据。

3.2. 披露和使用限制。除以下情况外，供应商不得传输或以其他方式披露戴尔数据，也不得允许其代表或任何第三方处理戴尔数据：(a)因提供解决方案而必须知晓；(b)提供解决方案而有必要了解；(c)适用法律允许；或(d)适用法律规定。如果根据适用法律规定供应商传输、披露戴尔数据或允许第三方处理戴尔数据，则供应商应当提前及时将此类规定告知戴尔，并与戴尔合作限制此类传输、披露或处理的程度和范围。

3.3. 退还和销毁。在供应商协议终止或戴尔出具书面要求的情况（以在先发生者为准）下，供应商应当确保其分包商立即停止一切对个人数据的使用并退还给戴尔，或者根据戴尔指示，处置、销毁所有此类个人数据或让其永久无个人特征，在每种情况下均需采取协议中规定的安全措施。如果适用法律不允许供应商销毁戴尔数据，则供应商不得将戴尔数据用于除适用协议规定之外的任何用途，并且始终应遵守适用协议的规定。

3.4. 通知和协助。如果任何人联系供应商提出与解决方案关联的个人数据相关的请求、查询或投诉，则在任何情况下供应商均应当立即(a)在两个日历日内书面通知戴尔此类请求、查询或投诉；并(b)与戴尔开展所有合理的合作，提供所有合理的协助、信息和其拥有、监管或控制的个人数据的访问权限，这对戴尔在隐私法律规定的任何时间范围内立即响应此类请求、查询或投诉十分必要。除非戴尔书面指示，否则供应商不得响应此类请求、查询或投诉。

4. 国际传输。在事先征得戴尔书面同意的情况下，供应商可以将个人数据从EEA国家和地区传输到EEA之外的其他国家和地区，前提是此类传输有必要且与提供解决方案有关，并遵守欧盟标准合同条款（从控制方到处理方），并且供应商遵守此类条款中规定的对于“数据导入者”的所有义务。对于亚太地区的国家和地区，如果供应商将个人数据传输到最初收集此类数据时所在的国家和地区之外，则供应商应当事先征得戴尔的书面同意，适用协议另有规定的除外。

5. 适当的保护措施。供应商应当具有并维护适当的、符合行业标准的物理、组织和技术流程、安全标准、指南、管控措施和规程（以下简称“政策”），以防止出现任何数据泄露（“适当的保护措施”）。供应商应当定期，但在任何情况下不得少于每年一次，对适当保护措施的有效性进行评估、测试和监控，并应当迅速调整和更新其适当的保护措施以保证结果的合理。供应商应当根据要求向戴尔提供适当保护措施的书面说明。供应商应当向戴尔提供相关文档的访问权限，并报告适当保护措施的实施情况、认证、有效性和补救措施。供应商代表、保证并立约承诺供应商及其分包商切实实施和维护以下政策：

5.1. 风险管理。至少每年一次评估组织和管理风险，至少每季度一次评估系统和技术风险。

5.2. 资产管理。(a)识别用于处理戴尔数据的所有设备和介质；(b)为所有设备和介质分配一个或多个保管人；以及(c)要求定期审查资产清单以确保准确无误，并找出缺失的设备和介质。

5.3. 访问控制和身份管理政策。在访问戴尔数据之前，(a)所有的数据和系统访问权限均根据记录的责任和最小权限原则分配给个人；(b)所有用户和管理员帐户均分配给个人且须具有高强度密码、密码轮换、身份验证失败锁和会话超时；(c)发放特权访问帐户需要管理部门批准，并遵守严格的安全标准。

5.4. 意识和培训政策。供应商处理以下事项：(a)信息安全威胁和最佳做法；(b)为保护戴尔数据而制定的信息安全策略、规程和控制措施；以及(c)每个代表在保护戴尔数据方面的作用和职责。

5.5. 问责政策。确保(a)所有的帐户操作都可追溯到使用相应帐户的个人；(b)所有特权帐户操作以及所有影响戴尔数据的帐户操作的操作时间、日期和类型均得到记录；(c)所有已记录的帐户操作均得到主动监控，可轻松检索，以用于分析；以及(d)违反政策的后果已确定、传达并将得到处理。

5.6. 应急规划政策。定义了相关角色和责任，并对如何恰当处理紧急事件提供了明确指导和培训。紧急事件包括：(a)洪水、龙卷风、地震、飓风和冰暴等自然灾害；(b)化学品溢漏、机械或电力故障等意外威胁事故；以及(c)隐私和安全违规、 炸弹威胁、攻击和盗窃等故意行为。

5.7. 系统维护政策。与以下内容有关：(a)有组织的漏洞管理，包括：定期扫描、渗透测试、风险分析和及时修补；(b)变更 管理，包括：目的说明文件、安全影响分析、测试计划和结果以及所有更改的授权；(c)配置管理，包括安全基准配置；以及(d)进行监控，以检测未经授权的更改并生成警报。

5.8. 系统和通信保护政策。确保戴尔数据的机密性、完整性和可用性，包括(a)用于限制和监控对处理戴尔数据的系统的访问权限的物理控制措施；(b)用于防范恶意软件和恶意行为者的技术和管理控制措施；(c)对通过不受信任的网络和公共网络传输的数据的高强度加密，如果是严格受限数据，则在其存储的所有位置处于静置状态；(d)周期性加密密钥轮换和管理；(e)禁止在非生产环境中处理的严格受限数据和个人数据；(f)定期的安全控制审查和有效性测试；以及(g)关于远程访问和移动设备的强大的技术和管理控制。

5.9. 介质保护政策。确保包含戴尔数据的介质得到安全处理，包括：(a)强力加密所有移动设备和可移动存储介质中的戴尔数据；(b)要求任意时间持有戴尔数据的介质采用安全的清除和销毁方式；以及(c)要求包含未加密戴尔数据的所有介质

（包括纸张）均存放在安全位置。

6. 支付卡信息。在处理与供应商协议相关的任何支付卡信息之前，供应商必须遵守且始终遵守支付卡行业数据安全标准（以下简称“PCI DSS”），并自行承担相关费用。在处理任何支付卡信息之前以及此后每年，供应商必须向戴尔提交一份证明，说明他们的PCI合规性/自我评估问卷调查报告和PCI季度网络扫描申报是最新的，并且他们一直符合PCI标准，另外还要提供任何支持戴尔合理要求的证明的文档。如果供应商在任何时候不遵守PCI DSS，或者无法或不愿提供足够的合规证据，则表明供应商违反供应商协议，戴尔可以立即终止供应商协议，而不承担任何责任。

7. 基础架构安全与连接。如果(a)解决方案包括应用程序、网站、数据或系统托管；(b)需要网络连接以提供解决方案；或(c)解决方案取决于供应商环境的完整性，应适用以下要求：

7.1. 网络访问。在供应商和戴尔之间传输戴尔数据的连接和机制应通过xxX/T批准的安全解决方案来实现。访问时间应限于只在需要访问时访问。供应商应当使用适当的保护措施，以使戴尔网络免遭任何损害、未经授权的访问或其他损害，并保护与解决方案相关的供应商网络和I/T环境。根据要求，供应商应向戴尔提供高级网络图，概述供应商用以支持解

决方案的I/T网络。

7.2. 审核。供应商应当能够应要求提供适用于解决方案的控制审核报告和补救措施，例如SSAE 16或在过去一年内执行的信息安全审核。审核应包括对供应商适用的一般控制和安全流程及规程的评估，以确保符合隐私法律和行业标准。审核费用应由供应商承担，作为供应商持续信息安全计划的一部分，以评估供应商的一般安全控制情况。

7.3. 测试。除了供应商的内部控制计划，供应商还将对其环境进行与此DPA相关的独立渗透测试，频率至少一年一次，并且还将执行安全漏洞扫描，频率至少每季度一次。供应商承诺修复在与风险相对应的或与戴尔达成一致的时间范围内发现的所有漏洞。

8. 解决方案安全性

8.1. 漏洞。供应商应当制定控制措施，以在开发期间和发布后识别解决方案中的任何安全漏洞。供应商应当向戴尔提供以下书面通知：(a)所发现的公开确认的漏洞/零日漏洞在公开确认后的五个工作日内通知戴尔；以及(b)在发现之后的十个工作日内通知戴尔内部已知但未公开的漏洞/零日漏洞利用。供应商承诺修复解决方案中识别的所有漏洞，并承担相应费用，同时在与风险相对应或与戴尔达成一致的时间范围内修复常见漏洞评分系统定义的基本分数高于4的漏洞。供应商使用开源代码不应改变供应商识别和修复此处所述的漏洞的责任。

8.2. 编码实践。供应商同意(a) 使用行业安全编码实践（ 例如，Microsoft的软件开发生命周期、Cigital Software Security Touchpoints、OWASP标准或Sans前25个最危险的编程错误）；(b)解决方案基于行业安全编码实践设计；以及 (c)在整个开发生命周期内处理信息安全问题。解决方案的流程、直接功能和其他必要措施应符合所有PCI标准和隐私法律。

8.3. 安全性评估。供应商应提交所有解决方案的独立安全评估的结果和补救措施，这些解决方案(a)面向客户，包括网站，随客户系统提供或安装在客户系统上；或(b)处理严格受限的数据。在接受此类解决方案之前，评估范围和补救措施必须经由戴尔同意，并使xxxx。

9. 数据泄露。供应商应在意识到实际或合理怀疑的数据泄露后24小时内通知戴尔。在提供此类通知时，xxxxxxxxxxxxxxxxxxxxxxxxx@xxxx.xxx，并抄送供应商在戴尔的主要业务联系人。在促进数据泄露的调查和补救中，供应商应与戴尔充分合作。除非隐私法律严格要求，否则供应商不得在未事先获得戴尔书面同意的情况下将任何数据泄露通知任何第三方，在这种情况下，除非法律禁止，否则供应商将在通知任何此类第三方之前通知戴尔并与其合作，以将披露信息的范围限制到隐私法律所要求的范围。供应商收到的与处理严格受限数据、个人数据或用户跟踪数据有关的任何投诉的详细信息应当及时发送给供应商在戴尔的业务联系人。供应商应当偿还戴尔因应对、补救和/或减轻数据泄露造成的损害或对个别数据主体或监管机构的投诉采取后续行动而造成的损失。供应商应当采取一切必要和适当的纠正措施（包括戴尔和隐私法律指示的措施），补救或减轻任何数据泄露损失。

10. 代表和分包商

10.1. 限制。除非供应商协议明确许可，否则供应商不得(a)转让；(b)披露；(c)分包处理；或(e)允许任何分包商处理戴尔数据。

10.2. 对分包商和代表的要求。供应商应采取一切合理措施，确保有权访问戴尔数据的代表和分包商的可靠性，包括进行适当的背景调查。供应商应当确保代表和分包商在根据隐私法律处理和安全处理戴尔数据方面受过适当培训。如果xxxx供应商将戴尔数据传输给分包商，则分包商应当遵守本DPA第4条“国际传输”的规定，此时供应商是戴尔，分包商是供应商。

10.3. 分包商协议。供应商与获得授权处理戴尔数据的代表和分包商之间的协议（“分包商合同”）应当包括与本DPA基本相同的限制和条件。供应商应当对代表和分包商的所有作为或不作为承担全部责任。供应商应当根据要求向戴尔提供一份分包商合同。

10.4. 分包商审核。供应商应当至少每12个月对处理戴尔数据的每个分包商审核一次，并且在发生数据泄露时应当更频繁地进行审核。如果审核发现分包商存在任何合规性缺陷、违约和/或未履行，供应商应尽一切合理的努力与分包商合作，及时补救。如果根据戴尔的合理判断，无法在合理的时间内实施令人满意的补救措施，则供应商将不得使用分包商向戴尔提供解决方案，在这种情况下，供应商应按照戴尔的指示，及时退还或删除所有戴尔数据。

11. 通话录音。如果供应商处理通话录音，供应商应当制定强有效的控制措施来处理包含严格受限数据或个人数据的通话录音。代表只有在提供解决方案的必要情况下才能访问和处理通话录音，并且应当遵守适用法律。供应商应保留通话录音的所有访问日志记录。在用完录音后，供应商应当在隐私法律和适用的安全标准规定的时间范围内尽快删除包含个人数据的所有通话录音，但在任何情况下均不得迟于90天（在欧洲、中东和非洲地区是21天），除非戴尔的隐私部门另有书面批准。供应商应在隐私法律规定的时间范围内只记录通话量的小样本。除非所有支付卡数据已从录音中删除或在录音时不可读/不可听，否则对于包含支付卡或其他严格受限数据的录音，供应商应以语音流格式（而不是数据文件形式）存储通话录音。

12. 加拿大数据。如果供应商在提供解决方案的过程中处理加拿大境内人员的相关个人数据，则供应商和戴尔同意本协议第12条中的附加义务和要求。供应商不得采取任何行动或出现任何疏漏，导致戴尔违反不时修订或补充的“个人信息保护和电子文档法（加拿大）”以及其他任何用于管理个人数据处理的加拿大联邦或省级立法。供应商应确保所有包含个人数据（为提供解决方案而处理）的数据、数据库或其他记录被逻辑隔离，并与供应商为其自身或第三方处理的任何信息、数据、数据库或其他记录分开。供应商应向戴尔指定和确定负责监督个人数据的具体人员。在与解决方案有关的任何调查、审计或查询中，戴尔可能需要在不提前通知供应商或获得其同意的情况下向相关机构披露供应商的机密信息。在未获得戴尔明确同意和未在

传输时使用合适的安全技术来保护此类信息的情况下，不能从供应商的设施移动、移除或传输任何个人数据。如果某人就其与解决方案相关的个人数据请求、查询或投诉联系供应商，供应商应当立即将此人转交给戴尔处理。

13. DPA补充协议。

13.1. 欧盟标准合同条款。如果供应商在提供解决方案过程中处理欧盟境内人员的相关个人数据，则供应商和戴尔特此同意，供应商应当遵守欧盟标准合同条款，包括其附录1和附录2。

13.2. HIPAA合规性。如果供应商在提供解决方案的过程中访问、保留、接触或知晓Dell Inc.综合福利计划参与者的45

C.F.R § 164.501中定义的“受保护的健康信息”，则供应商和戴尔特此同意，供应商应当遵守HIPPA美国分包商协议和HIPAA业务伙伴协议。

13.3. 权威。供应商表示并向戴尔承诺，供应商（包括代表供应商接受此DPA的所有代表）有权要求供应商遵守欧盟标准合同条款（包括附录1和附录2）、HIPAA分包商协议及业务伙伴协议。

14. xxx公司的权利。本DPA中的任何内容均不赋予其各当事方以外的任何个人或实体任何利益或权利。如果解决方案包括由代表xxxx和间接子公司的供应商人员处理戴尔数据，则每个此类戴尔直接和间接子公司均可作为第三方受益人针对供应商对戴尔数据的处理实施本DPA的条款，就如它是本DPA和/或任何供应商协议的一方一样。

15. 审核。供应商应允许戴尔或其指定人员(a)审核供应商对本DPA的遵从情况；(b)检查由供应商保管或拥有的任何个人数据；以及(c)及时回应戴尔就供应商处理个人数据进行的所有查询。

16. 赔偿。对于由于供应商的以下行为而引起或与其相关的所有索赔、诉讼、要求和法律程序，以及所有债务、损害、损失、判决、授权结算、费用、罚款、处罚和支出（包括合理的律师费用），供应商应为戴尔和戴尔的董事、高管、员工、代表和代理进行辩护、赔偿并使其免受损失：(a)供应商违反本DPA；(b)供应商未能遵守PCI DSS；或(c)供应商违反任何隐私法律。

17. 其他。在DPA、NDA和供应商协议终止或到期后，本DPA规定的供应商义务依然有效。法律通知应以书面形式提供给供应商协议 中规定的通知地址。通过传真、次日达快递或挂号信发送并发送到戴尔通知地址或供应商通知地址（或已正确通知对方的后 续个人和地址）的书面通知，在发送时被视为有效。本DPA所要求、允许或与之相关的供应商和戴尔之间的所有其他书面通信、递送或商业通知在收到时应是有效的。未经戴尔事先书面同意，供应商不得整体或部分让与或转让本DPA，无论是出于自愿还 是通过承包或并购（无论该方是存留实体还是灭失实体）、股票或资产销售、合并、解散、通过政府行为或命令，或是以其 他方式都是如此。未依照本条对本DPA进行的任何转让或转移尝试均不具有法律效力。戴尔可以在未经供应商同意的情况下转 让DPA。除非获得双方授权代表的书面签字同意，且应局限于给定的具体情况，否则任何条款或条件的放弃都是无效的。除非 经双方授权代表以书面形式特别提述本DPA和签名方式声明，否则对本DPA所做的任何修订或修改均不具法律效力。任何其他 作为或不作为均不构成对任何权利的放弃。本DPA构成双方就协议标的达成的完整协议和理解，并取代双方之间所有的先前或 同期的口头和书面讨论和协议。在根据本DPA履行供应商的职责时，应理解并同意供应商始终作为独立承包商行事，并且该供 应商不是戴尔的合作伙伴、合资企业或员工。双方明确约定，无论出于何种目的，供应商均不会被视为戴尔的代理、名义代 理或表见代理或雇员，并且双方同意采取戴尔可能合理要求的任何此类行动，将此类事实告知使用供应商专业服务的公众和 其他人。本协议双方同意执行另一方可能不时要求的任何文件，以根据本DPA、隐私法律或适用法律实施或完成该方的义务。 双方同意采取合理措施不时修订本DPA，以满足戴尔遵守隐私法律和适用法律的要求、解释。本DPA中的任何歧义均将以便于 x戴尔遵守隐私法律和适用法律的含义进行解释。

欧盟标准合同条款

这些条款附加到戴尔和供应商之间的数据保护协议（以下简称“DPA”），并成为该协议的一部分。

在欧盟标准合同条款中，数据导出组织的名称是Dell Products，这是一家根据爱尔兰法律组建的无限公司，注册号为191034，该公司连同所有其他戴尔集团实体（定义见下文）的注册办公地址是70 Sir Xxxx Xxxxxxxx’x Quay, Dublin 2, Ireland。每个此类戴尔实体在由其作为控制方处理的任何个人数据方面，有权作为第三方受益人强制数据导入方执行这些标准合同条款的规定，就像此类戴尔实体与数据导入方自行单独签订了一套标准合同条款一样。

戴尔集团实体是指随时控制、受控于Dell Products或与其共同受控的一方或任何企业实体。“控制”是指就某个公司而言，某人直接或间接确保公司事务按照其意愿或指示执行的权力。“控制”、“受控于”和“共同受控”应当据此解释。

1) 条款1：定义。在本条款中：

a) “个人数据”、“特殊类别数据”、“处理/正在处理”、“控制方”、“处理方”、“数据主体”和“监管机构”的含义与欧洲议会和欧盟理事会1995年10月24日颁布的关于涉及个人数据处理的个人保护以及此类数据自由流动的指令95/46/EC中的含义相同；

b) “数据导出方”是指传输个人数据的控制方；

c) “数据导入方”是指同意从数据导出方处接收个人数据以在传输后代表数据导出方根据其说明和本条款的规定实施处理活动的处理方，而且处理方不受第三方国家和地区的系统制约，可确保提供指令95/46/EC的第 25(1)条中规定的充分保护；

d) “分包处理方”是指数据导入方或数据导入方的其他任何分包处理方雇用的处理方，该处理方同意从数据导入方或从数据导入方的其他任何分包处理方处接收个人数据，以在传输后代表数据导出方根据其说明、本条款的规定以及书面分包合同中的规定实施处理活动；

e) “适用的数据保护法律”是指保护个人基本权利和自由的法律，尤其是在数据导出方所在成员国中适用于数据控制方的有关个人数据处理中保护个人隐私权的法律；

f) “技术和组织安全措施”是指旨在保护个人数据的措施，以防意外或非法破坏或者意外丢失、修改、未经授权的披露或访问（尤其是当处理过程涉及通过网络传输数据时）以及所有其他非法的处理形式。

2) 条款2：传输的详细信息。在作为本条款的重要组成部分附录1中指定了有关传输的详细信息，尤其是特殊类别的个人数据

（如果适用）。

3) 条款3：第三方受益人条款

1. 数据主体可作为第三方受益人强制数据导出方遵守此条款、条款4(b)至(i)、条款5(a)至(e)以及(g)至(j)、条款6(1)和 (2)、条款7、条款8(2)和条款9至12。

2. 在数据导出方确实已不知去向或在法律上已不复存在的情况下，数据主体可强制数据导入方遵守此条款、条款5(a)至(e)和(g)、条款6、条款7、条款8(2)以及条款9到12，除非任何继任实体已根据合同规定或法律实施承担起数据导出方的全部法律义务，从而承担起数据导出方的权利和义务，在这种情况下，数据主体可强制此类实体遵守前述条款。

3. 在数据导出方和数据导入方确实已不知去向或在法律上已不复存在或无偿债能力的情况下，数据主体可强制分包处理方遵守此条款、条款5(a)至(e)和(g)、条款6、条款7、条款8(2)以及条款9到12，除非任何继任实体已根据合同规定或法律实施承担起数据导出方的全部法律义务，从而承担起数据导出方的权利和义务，在这种情况下，数据主体可将强制此类实体遵守前述条款。分包处理方的此类第三方责任仅限于本条款规定的其自己的处理操作。

4. 如果数据主体明确希望且国家法律允许，则双方不反对由团体或其他人来代表数据主体。

4) 条款4：数据导出方的义务。数据导出方同意并保证：

a) 个人数据的处理（包括传输本身）一直以来并将继续根据适用数据保护法律的相关规定执行（如果适用，通知数据导出方所在成员国的相关机构），而且不违反该国法律的相关规定；

b) 在提供个人数据处理服务的整个过程中，它一直以来都是并将自始至终指导数据导入方仅代表数据导出方根据适用的数据保护法律和本条款的规定处理传输的个人数据；

c) 数据导入方将就本条款附录2中规定的技术和组织安全措施提供充分保证；

d) 对适用的数据保护法律的要求进行评估之后，所采取的安全措施在保护个人数据方面是适当的，可防止意外或非法破坏或者意外丢失、修改、未经授权的披露或访问（尤其是当处理过程涉及通过网络传输数据时）以及所有其他非法的处理形式，并且这些措施就现有技术水平和实施成本而言，可确保达到防范数据处理所产生的风险和保护要保护的数据属性所需的适当安全级别。

e) 将确保遵从安全措施；

f) 如果传输中涉及特殊类别的数据，应该已经在传输之前或在传输后尽快通知数据主体，在传输过程中其数据可能传输至无法根据指令95/46/EC中的规定提供充分保护的第三方国家和地区；

g) 如果数据导出方决定继续传输或解除暂停，将依据条款5(b)和条款8(3)，将所有从数据导入方或任何分包处理方收到的通知转发至数据保护监管机构；

h) 应数据主体要求为其提供一份本条款（附录2除外）的副本、安全措施的摘要描述，以及一份有关分包处理服务的任意合同副本（此合同须根据本条款订立，除非本条款或合同包含商业信息，在此情况下，可从合同中移除此类商业信息）；

i) 在进行分包处理时，处理活动应根据条款11由分包处理方执行，且该分包处理方至少应提供与本条款规定的数据导入方同样级别的个人数据保护和数据主体权限保护；以及

j) 确保遵守条款4(a)至(i)。

5) 条款5：数据导入方的义务。数据导入方同意并保证：

a) 仅代表数据导出方根据导出方说明和本条款的规定处理个人数据；如果数据导入方无法遵守说明和条款（无论出于何种原因），则同意立即将此情况通知数据导出方，在这种情况下，数据导出方将有权暂停数据传输和/或终止合同；

b) 没理由认为适用于其的法律会阻止其遵从数据导出方所给出的说明以及履行合同所规定的义务，而且如果此类法律有所更改，而相关更改很可能会对本条款中规定的保证和义务有实质性的不利影响，则它将在知晓此类更改时立即通知数据导出方，在这种情况下，数据导出方将有权暂停数据传输和/或终止合同；

c) 先实施附录2中规定的技术和组织安全措施，再处理传输的个人数据；

d) 就以下事项立即通知数据导出方：

i) 执法机关提出的任何有法律约束力的个人数据披露要求，除非另有禁止规定（例如刑法为保护执法部门调查的机密性而规定的禁止情况）；

ii) 任何意外或未经授权的访问；以及 iii)直接从数据主体收到但未响应的任何请求，除非另经授权可以响应；

e) 立即恰当地处理数据导出方有关处理传输的个人数据的所有查询，并采纳监管机构给出的有关处理传输的数据的建议；

f) 应数据导出方请求，提交其数据处理设施，用以审核本条款所规定的处理活动，且此审核应由数据导出方或由独立成员组成、拥有所需的专业资质（受保密义务约束）并由数据导出方选定且获得监管机构同意（如适用）的检查机构实施；

g) 当数据主体无法从数据导出方获取本条款副本或任何现有的分包处理合同时，需应数据主体要求为其提供上述内容，除非本条款或合同包含商业信息，在此情况下，可移除此类商业信息，在提供的条款副本中，应将附录2排除在外，替换为安全措施的摘要描述；

h) 如果要进行分包处理活动，它将提前通知数据导出方并获得其事先书面同意；

i) 分包处理方提供的处理服务将根据条款11（分包处理）实施；

j) 及时向数据导出方发送任何根据本条款订立的分包处理方协议的副本。

6) 条款6：责任

1. 双方同意因任何一方或分包处理方违反条款3或条款11中规定的义务而遭受损失的所有数据主体都有权获得数据导出方对其所受损失的赔偿。

2. 如果数据导入方或其分包处理方未履行条款3或条款11中规定的义务，而数据主体无法根据第1段向数据导出方提出索赔要求，因为数据导出方确实已不知去向或在法律上已不复存在或无偿债能力，则数据导入方同意数据主体有权将数据导入方当作数据导出方向其发起索赔，除非任何继任实体已根据合同规定或法律实施承担起数据导出方的全部法律义务，在这种情况下，数据主体可对此类实体强制执行其权利。

数据导入方不能依赖分包处理方不履行其义务来逃避自己的责任。

3. 如果分包处理方未履行条款3或条款11中规定的义务，而数据主体无法根据第1段和第2段向数据导出方或数据导入方提出索赔要求，因为数据导出方和数据导入方确实已不知去向或在法律上已不复存在或无偿债能力，则数据分包处理方同意数据主体有权将其当作数据导出方或数据导入方，就其根据本条款所进行的处理操作向其发起索赔，除非任何继任实体已根据合同规定或法律实施承担起数据导出方或数据导入方的全部法律义务，在这种情况下，数据主体可对此类实体强制执行其权利。分包处理方的责任仅限于本条款规定的其自己的处理操作。

7) 条款7：调解与司法管辖

1. 数据导入方同意，如果数据主体对其第三方受益人权利诉诸法律和/或要求根据条款赔偿其损失，则数据导入方将接受数据主体的决定：

a. 将争议提请独立个人或监管机构（如果适用）进行调解；

b. 将争议提交至数据导出方所在的成员国法院。

2. 双方同意数据主体所作的选择不会影响其根据国内或国际法律的其他条款寻求补救的实质性或程序性权利。

8) 条款8：与监管机构合作

1. 如果监管机构要求备案一份此合同的副本，或者如果适用的数据保护法律要求提供此类备份，则数据导出方应同意此类要求。

2. 双方同意监管机构有权对数据导入方及其任何分包处理方进行审核，且此类审核与根据适用的数据保护法律对数据导出方的审核具有相同的范围和限制条件。

3. 如果存在适用于数据导入方或其任何分包处理方且阻止根据第2段对数据导入方或其任何分包处理方执行审核的法律，数据导入方应当立即通知数据导出方。在此类情况下，数据导出方有权采取条款5(b)中预见的措施。

9) 条款9：管辖法。本条款受数据导出方所在成员国的法律管辖。

10) 条款10：合同变更。双方保证不变更或修改本条款。此保证并不妨碍双方在必要时就业务相关问题添加条款，只要不与本条款冲突就可以。

11) 条款11：分包处理

1. 在未获得数据导出方事先书面同意的情况下，数据导入方不得将其根据本条款代表数据导出方执行的任何处理操作分包出去。如果数据导入方在获得数据导出方同意的情况下要分包其在本条款下的义务，必须与分包处理方达成书面协议方可，而且在 这种情况下，分包处理方应承担的义务与数据导入方在本条款下的义务完全相同。如果分包处理方未能根据此类书面协议履 行其数据保护义务，则数据导入方仍需承担对数据导出方的全部责任，根据此类协议履行分包处理方的义务。

2. 数据导入方和分包处理方之间的事先书面合同中还应当包括第三方受益人条款，正如条款3针对以下情况所的规定一样，即，数据主体无法根据条款6第1段向数据导出方或数据导入方提出索赔要求，因为他们确实已不知去向或在法律上已不复存在或无偿债能力，而且没有任何继任实体根据合同规定或法律实施承担起数据导出方或数据导入方的全部法律义务。分包处理方的此类第三方责任仅限于本条款规定的其自己的处理操作。

3. 第1段提及的有关分包处理的数据保护方面的合同规定应受数据导出方所在成员国的法律管辖。

4. 数据导出方应保留一份根据本条款订立的分包处理协议的列表，并由数据导入方依据条款5(j)通知更新（至少每年更新一次）。该列表应当提供给数据导出方的数据保护监管机构。

12) 条款12：个人数据处理服务终止后的义务

1. 双方同意当数据处理服务的提供终止时，数据导入方和分包处理方应当按照数据导出方选择的方式，将所有传输的个人数据及其副本退还给数据导出方，或销毁所有个人数据并向数据导出方证明数据已销毁，除非法律禁止数据导入方退还或销毁所有或部分传输的个人数据。在这种情况下，数据导入方应保证它能保证传输的个人数据的机密性，而且将不再主动处理传输的个人数据。

2. 数据导入方和分包处理方保证应数据导出方和/或监管机构的要求，提交其数据处理设施以对第1段中提及的措施进行审核。

标准合同条款附录1

这些条款附加到戴尔和供应商之间的数据保护协议（以下简称“DPA”），并成为该协议的一部分。本附录隶属于本条款的一部分。成员国可根据本国规程完善或指定本附录中需要包含的任何必要附加信息。

数据导出方。数据导出方的含义已在本条款开头说明，其是IT产品和服务的供应商。数据导出方已经指定数据导入方提供供应商协议中规定的某些产品和/或服务。为促进这些产品和服务的提供，数据导出方要向数据导入方提供对下述个人数据的访问权限。

数据导入方。数据导入方是本条款的签署人，也是产品和/或服务的供应商。数据导入方将是由数据导出方导出至数据导入方的个人数据的接收者，如下所述。

数据主体。传输的个人数据可能涉及以下类别的数据主体：

• 过去、现在和潜在的员工和合作伙伴；

• 过去、现在和潜在的客户；

• 过去、现在和潜在的顾问、咨询师、供应商、承包商、分包商和代理商；

• 投诉者、通信者和询问者；

• 受益人、家长、监护人。

数据类别。传输的数据主体的个人数据可能涉及以下数据类别：

1. 联系详情（可能包括姓名、地址、电子邮件地址、电话和传真联系详情以及相关的当地时区信息）；

2. 工作详情（可能包括公司名称、职务、级别、人口统计信息和位置数据）；

3. IT系统信息（可能包括用户ID和密码、计算机名称、域名、IP地址和软件使用模式的跟踪信息，例如Cookie）；

4. 为提供信息技术咨询、支持和服务而偶然获得的数据主体的电子邮件内容和传输数据（偶然访问可能包括访问电子邮件通信内容以及与电子邮件的发送、路由和送达相关的数据）；

5. 为了数据主体的利益而提供的商品或服务详情；

6. 财务详情（例如，信用、支付和银行详情）。

特殊类别的数据（如果适用）。以下个人数据：显示种族或民族、政治见解、宗教或哲学信仰、工会观点、会员身份或活动、社会保障文件，以及有关健康状况（包括身体或心理健康或状况）和性生活的数据，有关刑事犯罪或指控罪状以及任何有关法庭审理程序的信息，而且应当包括指令95/46/EC第8条定义的特殊类别的数据。

处理操作。传输的个人数据可能受以下处理活动的影响：任何与个人数据相关的操作（无论采用的方式和程序如何），尤其是获取、收集、记录、组织、存储、持有、使用、修正、采用、调整、披露、传播或以其他方式提供、校正、合并、检索、咨询、归档、传输、阻止、擦除或销毁数据，系统的运行和维护、管理和管理报告、财务报告、风险管理、合规、法律和审核功能，而且应包括“正在处理”，它应该和指令中的此术语具有相同的含义。

标准合同条款附录2 数据导入方信息安全概述

这些条款附加到戴尔和供应商之间的数据保护协议（以下简称“DPA”），并成为该协议的一部分。本附录2阐述了数据导入方根据条款4(d)和5(c)实施的技术和组织安全措施。数据导入方应认真对待信息安全，并且在处理和传输个人数据时遵循这种方法。此信息安全概述适用于数据导入方用以保护在数据导入方集团公司间处理和传输的个人数据的公司控制措施。数据导入方的信息安全计划可使员工了解自己的职责。某些客户解决方案可能会在与每位客户达成一致的适用工作说明书中列出备用安全措施。

安全实践。数据导入方已实施企业信息安全实践和标准，旨在保护数据导入方的企业环境并满足以下方面的业务目标要求：(1)信息安全；(2)系统和资产管理；(3)开发；以及(4)监管。这些实践和标准由数据导入方的管理层批准，并且必要时会进行定期审查和更新。数据导入方应维护适当的数据隐私和信息安全计划，包括关于物理和逻辑访问限制、数据分类、访问权限、认证程序、记录保留、数据隐私、信息安全以及个人数据和敏感个人数据在其整个生命周期内的处理的策略和规程。主要策略应至少每年审查一次。

组织安全。数据导入方组织内的个人有责任遵守这些实践和标准。为促进企业遵守这些实践和标准，数据导入方的信息安全（以下简称“IS”）职能部门负责执行以下活动：

1. 安全策略 – IS职能部门助推数据导入方的安全发展方向。IS职能部门的作用是确保遵从安全相关政策、标准和法规，提高认识，并向用户提供培训。此外，IS职能部门还执行风险评估和风险管理活动，并管理合同安全要求。

2. 安全工程 – IS职能部门负责管理安全解决方案的测试、设计和实施，以便在整个环境中采用安全控制措施。

3. 安全运营 – IS职能部门负责管理对已实施的安全解决方案的支持，监控和扫描环境与资产，以及管理事件响应。

4. 法证调查 – IS职能部门与安全运营、法务、全球隐私办公室及人力资源部门合作开展调查（ 包括eDiscovery和 eForensics）。

5. 安全咨询和测试 – IS职能部门与软件开发人员合作制定安全最佳实践，咨询应用程序开发和软件项目架构，并进行保证测试。

资产分类和控制。数据导入方的工作是跟踪和管理关键信息及物理、软件和逻辑资产。数据导入方可能跟踪的资产示例包括：

• 信息资产，例如已确定的数据库、灾难恢复计划、业务连续性计划、数据分类、归档信息

• 软件资产，例如已确定的应用程序和系统软件

• 物理资产，例如已确定的服务器、台式机/笔记本电脑、备份/归档磁带、打印机和通信设备。

这些资产根据业务关键程度进行分类，以确定机密性要求。用于处理个人数据的行业原则提供了技术、组织和物理安全措施的框架。这些安全措施可能包括访问管理、加密、日志记录和监控以及数据销毁等控制措施。

员工筛选、培训和安全

1. 筛选/背景调查：在合理可行且适当的情况下，作为雇用/招聘流程的一部分，数据导入方应对员工进行筛选/背景调查（根据当地法律法规，不同国家和地区的情况各不相同），这些员工将有权访问数据导入方的网络、系统或设施。

2. 身份证明：数据导入方应当要求所有员工提供身份证明，以及根据雇用国家和地区或其他数据导入方实体或员工要为其提供服务的客户所要求的其他任何文件。

3. 培训：数据导入方的年度合规性培训计划包括要求员工完成数据保护和信息安全意识课程，并在课程结束时通过评估。安全意识课程还提供针对特定工作职能的材料。

4. 保密性：数据导入方应当确保其员工依法保护和维护其根据标准协议处理的任何个人数据的保密性。物理访问控制和环境安全

1. 物理安全计划：数据导入方应在其物理安全计划中使用多种技术和操作方法，以在合理可行的范围内减轻安全风险。数据导 入方的安全团队与各个站点密切合作，确定已实施适当的措施，从而防止未经授权人员获取对个人数据处理系统的访问权限，并持续监控物理基础架构、业务和已知威胁的任何变化。此外，他们还监控业内其他人所使用的最佳实践措施，仔细选择能 够同时满足商务实践独特性和数据导入方期望的方法。数据导入方通过考虑架构、运营和系统等控制元素来xx其安全方法。

2. 物理访问控制：数据导入方的设施/场所的物理访问控制/安全措施满足以下要求：

(a) 应当根据业务必要性、资产敏感性以及个人的角色和与数据导入方的关系，控制对数据导入方的建筑物、设施和其他物理场所的访问。只有与数据导入方有关的人员才能以与其在组织中的角色和职责相符的方式访问数据导入方的设施和物理资源；

(b) 相关数据导入方设施由访问控制系统提供保护。只有使用激活卡才能进入此类设施；

(c) 由IS职能部门给所有需要访问设施和/或资源的人签发适当且唯一的物理访问凭据（例如分配给一个人的证章或出入证）。签发有唯一物理访问凭据的人员将收到指示，不允许或让其他人使用其唯一凭据（例如没有“尾随”）访问数据导入方 的设施或资源。如果没有有效身份的个人需要(i)访问特定设施和满足(ii)有效的业务需求，可向其发放临时（最多14天）凭据。唯一凭据不可转让，如果个人无法根据要求提供凭据，则可能会被拒绝进入数据导入方的设施或被护送离开相关 场所。在配有工作人员的入口处，个人必须在进入时向安全代表出示带照片的有效身份证件或有效凭据。丢失凭据或其 他身份证件或不记得将其放在何处的个人必须通过配有工作人员的入口进入，并由安全代表签发临时证章；

(d) 定期培训员工，并且提醒他们随时携带自己的凭据，将笔记本电脑、便携式设备和文档存储在安全位置（特别是在出差时），并在离开办公桌时注销或关闭计算机；

(e) 需要访问数据导入方设施的访客必须通过配有工作人员的入口和/或主要设施入口进入。访客必须登记其到达日期和时间、离开大楼的时间，以及他们要拜访的人员的姓名。访客必须出示当前通用的政府签发的身份证件，以验证其身份。为了 防止访问或披露公司专有信息，访客不得在无人陪同的情况下进入受限或受控区域；

(f) 选定的数据导入方设施使用CCTV监控、安保人员和其他适当且法律允许的物理措施；

(g) 在大多数场所提供带锁的碎纸箱，以安全销毁机密信息/个人数据；

(h) 对于数据导入方的主要数据中心，安保人员、UPS和发电机以及变更控制标准均可用；

(i) 对于软件开发和基础架构部署项目，IS职能部门使用风险评估流程和数据分类程序来管理这些活动产生的风险。

变更管理。IT组织通过一个集中式变更管理计划来管理企业基础架构、系统和应用程序的变更，此计划可能包括测试、业务影响分析和管理审批（如果适用）。所有相关的应用程序和系统开发均遵循已批准的变更管理流程。

安全事件和响应计划

1. 安全事件响应计划：数据导入方应维护安全事件响应策略及相关计划和规程，以解决数据导入方在遇到失去对个人数据的控制、个人数据被盗、未经授权披露、未经授权访问或未经授权获取个人数据时将采取的措施。这些措施可能包括事件分析、控制、响应、补救、报告和恢复正常运营。

2. 响应控制：实施控制措施，防止恶意使用资产和防范恶意软件并支持其检测；向数据导入方的IS职能部门或服务台报告潜在 事件，以采取适当的行动。此类控制应包括但不限于：信息安全策略和标准；受限访问；指定的开发和测试环境；在服务器、台式机和笔记本电脑上实施病毒检测；电子邮件附件病毒扫描；系统合规性扫描；入侵防御监控和响应；防火墙规则；关键 事件的记录和警报；基于数据类型的信息处理规程；电子商务应用程序和网络安全；以及系统和应用程序漏洞扫描。根据风 险可以实施其他控制。

数据传输控制和加密。数据导入方在其能够控制的任何个人数据电子传输的范围内，应采取一切合理措施，确保在传输过程中如果没有适当授权，则无法读取、复制、修改或删除此类传输。尤其是，数据导入方应当：

1. 在个人数据传输中实施行业标准加密做法。数据导入方使用的行业标准加密方法包括安全套接字层(SSL)、传输层安全性(TLS)、SSH之类的安全外壳程序，以及/或者Internet协议安全性(IPSec)；

2. 如果技术上可行，则在通过任何公共网络或不由数据导入方拥有和维护的任何网络传输所有个人数据（包括尤其是任何敏感的个人数据或机密信息）时，应对其进行加密。数据导入方的策略应确认，除非未经授权的人员无法访问加密密钥，且指示人员绝不能通过与加密文档相同的信道提供加密密钥，否则加密无效；

3. 对于可以处理敏感个人数据和/或在包含此类信息的网络（包括数据导入方的核心网络）上提供与系统的实时集成的面向互联网的应用程序，可以使用Web应用程序防火墙(WAF)来提供额外的输入检查和攻击缓解层。WAF将被配置为缓解潜在的漏洞，例如注入攻击、缓冲区溢出、Cookie操控和其他常见的攻击方法。

系统访问控制。只有获得授权的用户能够访问数据导入方的系统。基于旨在确保获得适当批准的正式程序授予访问权限，以防止未经授权的人员进行访问。此类程序包括：

1. 准入控制（即防止未经授权的人员使用数据处理系统的措施）：

(a) 基于职责分离和最低特权提供访问权限，以减少滥用、蓄意或其他风险；

(b) 仅当用户使用有效的用户名和密码注册时，才会授予其对IT系统的访问权限；

(c) 数据导入方制定适当的密码策略，要求用户使用高强度密码登录配发的笔记本电脑，禁止共享密码，禁止使 用同时用于非工作功能的密码，并在用户的密码或其他登录凭据丢失、被盗或泄露时为其提供应对措施建议；

(d) 定期进行强制性密码更改；

(e) 自动锁定计算机，只有使用有效的用户名和密码重新注册后，才能重新访问PC；

(f) 数据和用户分类决定了每个系统必须使用的验证类型；

(g) 远程访问和无线计算功能受到限制，并要求用户和系统安全措施以及用户身份验证部署到位。

2. 访问控制（即防止未经授权访问系统的措施）：

(a) 依照个人被分配到的具体工作领域（即工作角色）发出访问授权；

(b) 在工作领域发生变更或员工因任何原因而被解雇时调整访问授权；

(c) 利用适当的附加控制措施授予、删除和审查管理员权限，并且仅在需要时支持相关系统；

(d) 主要设备和系统的事件日志将基于例外情况集中收集和报告，以支持事件响应和取证调查。

数据访问控制。数据导入方采用下述关于访问和使用个人数据的控制措施：

1. 指示人员仅使用实现数据导入方的相关业务目的所需的最小量的个人数据

2. 指示人员不得阅读、复制、修改或删除个人数据，除非为履行其工作职责而需执行这些操作；

3. 第三方使用个人数据要受第三方与数据导入方之间的合同条款和条件的约束，这些条款和条件对第三方使用个人数据施加限制，并将此类使用的范围限制为第三方提供服务所必需的内容；

分离控制。如果法律有规定，数据导入方将确保可以单独处理为不同目的而收集的个人数据。数据导入方还应确保将测试和生产系统分离。

可用性控制。数据导入方通过遵循以下控制措施保护个人数据免遭意外破坏或损失：

1. 个人数据根据客户合同，或者如果没有客户合同，则根据数据导入方的记录管理政策和做法以及法律保留规定进行保留；

2. 纸质个人数据应在安全的处理箱或横切碎纸机中进行处置，使得相关信息不再可破译；

3. 将电子版个人数据交给数据导入方的IT资产管理团队进行妥善处置；

4. 实施适当的技术措施，包括（但不限于）：所有系统均安装防病毒软件；通过防火墙提供网络保护；网络分段；使用内容过滤器/代理；无中断电源；定期生成备份；硬盘镜像（必要时）；消防安全系统；酌情配备水保护系统；应急计划；以及有空调的机房。

数据输入控制。在适当情况下，数据导入方采取措施来检查个人数据是否已输入及由谁输入数据处理系统，以及这些数据是否已被修改或删除。对相关应用程序的访问会被记录下来。

系统开发和维护。检查公开发布的第三方漏洞，了解其在数据导入方环境中的适用情况。根据对数据导入方的业务和客户的风险，提供预先确定的修复时间。此外，根据风险扫描和评估新应用程序、重要应用程序和基础架构的漏洞。在生产之前将代码审查和 扫描程序用于开发环境，以主动根据风险检测代码漏洞。这些流程可主动发现漏洞及确保合规性。

合规性。信息安全、法律、隐私和合规性部门需要找出可能适用于数据导入方的区域性法律法规。这些要求涵盖如下方面：数据导入方及其客户的知识产权、软件许可证、对员工和客户个人信息的保护、数据保护和数据处理规程、跨境数据传输、财务和运营规程、关于技术的导出管制和取证要求。诸如信息安全计划、隐私保护高管委员会、内部和外部审核/评估、内部和外部法律顾问咨询、内部控制评估、内部渗透测试和漏洞评估、合同管理、安全意识、安全咨询、策略例外检查和风险管理等机制共同促进了对这些要求的遵从。

美国HIPAA分包商协议

Dell Inc.及其全球直接和间接子公司（以下简称“戴尔”或“业务伙伴”）与供应商、其母公司及其全球直接和间接子公司（以下简称“分包商”）签订了一项协议，戴尔据此协议从供应商处购买产品，供应商则代表戴尔履行服务（以下简称“供应商协议”）。此HIPAA分包商协议（以下简称“HIPAA协议”）附加到戴尔与分包商之间的数据保护协议（以下简称“DPA”）并成为该协议的一部分。

1. 目的声明。戴尔一直按照约定为其客户提供特定服务。在履行这些约定的过程中，戴尔根据1996年健康保险流通与责任法案

（以下简称“HIPAA”）的隐私和安全规则要求，与其某些客户签订了业务伙伴协议。戴尔现在将与包分商签订本HIPAA协议，将根据供应商协议对全部或部分此类服务的执行分包给分包商。双方确认，分包商在执行戴尔和分包商之间签订的供应商协 议过程中，可能对存放或包含PHI，以及/或者可能接触、创建、接收、维护、传输或获知PHI的设施或系统负责。本HIPAA协 议构成与本HIPAA协议和供应商协议规定的分包商活动有关的HIPAA规则所要求的书面保证。

2. 优先顺序。如果本HIPAA协议的规定与供应商协议的规定相悖，则应以本HIPAA协议的规定为准。本HIPAA协议条款中的任何歧义均将被解决，以让戴尔和戴尔客户遵守HIPAA。本HIPAA协议中的任何内容均不得更改或修改任何禁止分包商保留分包商或代理商来协助为戴尔提供服务的供应商协议条款。

3. 定义。本HIPAA协议中加引号的术语如未具体定义，其含义与在DPA、NDA或适用的供应商协议中阐述的含义相同。

3.1. “违约”的含义在45 C.F.R. § 164.402中有说明。

3.2. “被涵盖实体”的含义在45 C.F.R. § 160.103中有说明。

3.3. “客户”是指根据HIPAA规定属于被涵盖实体的戴尔客户。

3.4. “数据聚合”的含义在45 C.F.R. § 164.501中有说明。

3.5. “指定记录集”的含义在45 C.F.R.第164.501部分中有说明。

3.6. “发现”指其固有含义，此术语的含义在45 C.F.R. § 164.410(a)(2)中有说明。

3.7. “电子PHI”是指45 C.F.R. § 160.103 中定义的“电子受保护健康信息”，由来自或代表戴尔或戴尔客户的分包商根据供应商协议创建、接收、维护或传输。

3.8. “HIPAA违约通知规则”是指未受保护的健康信息泄露时发出的通知，如45 C.F.R.第164部分子部分D中所述。

3.9. “HIPAA隐私规则”是指在HIPAA项下的45 C.F.R.第160部分子部分A和E颁布的标准、要求和规范。

3.10. “HIPAA安全规则”是指在HIPAA项下的45 C.F.R.第164部分子部分C由部长颁布的标准、要求和规范。

3.11. “HIPAA规则”是指HIPAA隐私规则、HIPAA安全规则、违约通知规则，还包括其不时修订的内容。

3.12. “个人”的含义在45 C.F.R. § 160.103中有说明。

3.13. “PHI”是指45 C.F.R. § 164.501中定义的“受保护的健康信息”，由来自或代表戴尔或戴尔客户的分包商根据供应商协议创建、接收、维护或传输。

3.14. “法律规定”的含义在45 C.F.R. § 164.103中有说明。

3.15. “部长”的含义在45 C.F.R. § 160.103中有说明。

3.16. “安全事故”的含义在45 C.F.R. § 164.304中有说明。

3.17. “销售”或“出售”是指分包商对PHI的披露，此时分包商直接或间接从这些PHI的接收方获得报酬或代表该接收方获得报酬，以换取这些PHI，但不包括45 C.F.R. § 164.502(a)(5)(ii)(B)(2)中描述的对PHI的任何披露。

3.18. “未受保护的健康信息”的含义在45 C.F.R. § 164.402中有说明。

4. 分包商的义务。分包商同意：

4.1. 不使用或进一步披露PHI，除非根据供应商协议履行对戴尔的义务要求必须开展此行为、本HIPAA协议明确许可或要求，或法律要求必须开展此行为。对PHI的使用、披露或请求行为应利用有限的数据集（如果可能）或能够实现使用、披露或请求预期目的的最低要求PHI；

4.2. 使用合理和适当的保护措施，除了本HIPAA协议许可的方式之外，防止以任何其他方式使用或披露PHI，还应遵守HIPAA规则中的适用原则和义务；

4.3. 对于以本HIPAA协议未规定的方式使用或披露PHI的任何行为，在发现该使用或披露行为后24小时内，以书面形式向戴尔报告。此外，分包商应在发现任何获取、访问、使用或披露未受保护健康信息后24小时之内，向戴尔书面报告，除非此事件不包括在45 C.F.R. § 164.402(1)中“违约”的定义范围以内。所有此类报告均应包括已经（或业务伙伴有理由认为已经）遭到访问、获取或披露的未受保护健康信息所有者的身份证明（如果已知）、45 C.F.R. § 164.410(c)中规定的所有其他信息，以及戴尔或适当客户合理要求的其他信息。收到此类报告后，戴尔将执行或指示分包商执行风险评估，并根据45 C.F.R. § 164.402(2)定义中规定的要素，确定获取、访问、使用或披露行为是否有损相关未受保护健康信息的安全或隐私。根据此风险评估，如果分包商认为任何获取、访问、使用或披露行为对未受保护健康信息造成损害的概率较低，则应向戴尔提供支持此结论的所有信息；

4.4. 根据164.502(e)(1)(ii)和164.504(e)(2)(ii)(D)，确保任何创建、接收、维护或传输PHI的代理或分包商提供合理保证

（以书面合同为证），保证该代理或分包商将就此信息基本遵守适用于分包商的相同的限制和条件；

4.5. 如果分包商维护指定记录集（如果有），则将其在指定记录集中维护的PHI提供给戴尔，以便戴尔的客户履行其义务，授予个人根据45 C.F.R. § 164.524的规定检查和获得PHI副本的访问权限。如果戴尔或适当客户有特别要求，分包商将：

(a) 电子副本。以电子方式将PHI的副本直接传输给个人指定的人员。

(b) 纸质副本。以纸质形式呈现PHI副本，并将此副本直接提供给个人指定的人员。

4.6. 如果分包商维护指定记录集（如果有），则将其在指定记录集中维护的PHI提供给戴尔，以便戴尔的客户履行其义务，根据45 CFR 164.526的规定更改PHI；

4.7. 向戴尔提供有关分包商披露PHI的信息，根据45 C.F.R.第164.528节提供会计服务，以便戴尔的客户可满足相关要求，根据45 CFR 164.528的规定向个人就披露提供会计服务；

4.8. 向部长提供与其履行本HIPAA协议规定的义务以及分包商使用和披露PHI相关的内部惯例、书籍和记录，以确定戴尔或戴尔的客户遵守HIPAA规则，并根据请求向戴尔或戴尔的客户提供所有相关材料；

4.9. 根据45 C.F.R. § 164.502(a)(4)(i)，在部长要求时披露PHI，如HIPAA第160部分子部分C所述；

4.10. 如果可行，在本HIPAA协议因任何原因终止时返回分包商仍以任何形式维护的所有PHI，或应戴尔的决定进行销毁，并且不保留相关信息的副本，如果无法返回或销毁，分包商应(i)向戴尔提供无法返回或销毁的通知，(ii)将本 HIPAA协议的保护范围延伸至PHI，以及(iii)针对导致PHI无法返回或销毁的目的限制继续使用和进一步披露。如果戴尔决定销毁此类PHI，向戴尔书面证明已进行销毁；

4.11. 关于电子PHI，则：

(a) 实施管理性、物理性和技术性保护措施，根据安全规则的要求，合理适当地保护电子PHI的机密性、完整性和可用性，包括45 C.F.R. §§ 164.308、164.310、164.312、164.314和45 C.F.R. § 164.316中所述的针对电子PHI适用的管理性、物理性和技术性保护措施，以防止违反本HIPAA协议使用或披露电子PHI的行为；但是，分包商应根据 DPA第3(f)部分的规定对传输中和静止的电子PHI进行加密，除非(A)根据由分包商执行和记录的风险评估，按照适用的HIPAA条款，分包商(1)认为该加密不合理、不适当，(B)向戴尔提供了相关材料的副本；以及(C)戴尔向分包商提供了任何无需进行该加密的书面许可。

(b) 根据45 C.F.R. §§ 164.504(e)(2)(ii)(D)、164.308(b)(2)和(3)以及164.314(a)(2)(iii)的规定，确保创建、接收、维护或传输电子PHI的所有代理（包括分包商）同意，并以书面合同为证，实施合理适当的保护措施，按照第3(j)部分条款(i)的规定保护电子PHI；并

(c) 在发现任何影响电子PHI的安全事故时向戴尔报告；

4.12. 不销售PHI；

4.13. 尽可能减轻分包商已知的因违反本HIPAA协议使用或披露PHI所造成的所有不利影响；

4.14. 不执行数据聚合活动，或对PHI进行去标识化，除非戴尔以书面形式进行明确要求；

4.15. 针对为补救和/或缓解未受保护健康信息违规或分包商无法履行本HIPAA协议、DPA、NDA或供应商协议规定的义务或分包商违反本HIPAA协议使用或披露PHI导致的安全事故造成的损失而产生的成本（包括提供通知和信用监控服务），以及戴尔跟进个人或与上文相关的监管机构的投诉所付出的成本向戴尔提供补偿；以及

4.16. 遵守与使用或披露PHI相关的任何同意、授权或许可的所有(i)修改、限制条件、缺陷或撤销或其他失效；以及 (ii)戴尔或适用客户制定的协议或适用客户隐私惯例中的限制，此类惯例(A)限制PHI的使用或披露，如45 C.F.R. § 164.522(a)或45 C.F.R. § 164.520所述，或(B)要求就PHI进行秘密沟通，如45 C.F.R. § 164.522(b)所述，在条款 (i)或(ii)下的各个情况下，力求本HIPAA协议中指定的任何相关修改、缺陷、撤销、终止、限制、秘密沟通义务或限制影响分包商已允许或要求的使用和披露PHI（以下统称为“限制”），前提是戴尔或适用客户在限制中通知分包商必须遵守。

5. 期限与终止。对于每个供应商协议，本HIPAA协议的条款应与该供应商协议的条款保持一致。戴尔获悉分包商对本HIPAA协议的重大违约行为，或分包商获悉该违约行为（应立即告知戴尔）后，戴尔可能会自行决定向分包商提供纠正此违约行为或在发出相关通知后三十(30)个工作日内终止违约行为的机会。如果分包商无法纠正此违约行为或在戴尔允许的时间段内终止违约行为，或者戴尔决定不提供此机会，则戴尔有权立即终止本HIPAA协议以及关于此违约行为以书面通知形式向分包商发出的协议。如果戴尔无法决定终止此类协议，分包商特此确认戴尔有权向部长报告此违约行为。

6. 分包商。分包商确认，根据HIPAA（例如45 C.F.R. §§ 160.102[b]、160.300、164.104[b]、164.302和164.500[c]）的规定，HIPAA隐私规则、HIPAA安全规则和HIPAA违约通知规则的标准和要求适用于分包商。

7. 赔偿。对于由分包商违反本HIPAA 协议中的声明、职责和义务或分包商违反HIPAA规则的作为或疏忽引起或与之相关的任何及所有赔偿、诉讼、要求、法律诉讼、所有债务、损害、损失、判决、授权和解、费用、罚款、处罚和开支（包括合理的律师费用），分包商应向戴尔及戴尔的董事、主管、员工、代表和代理作出赔偿、使其免于承担任何责任并提供辩护。

业务伙伴协议

Dell Inc.及其全球直接或间接附属机构组成了Dell Inc.综合福利计划（以下简称“计划”）的计划赞助商（以下简称“计划赞助商”），已根据协议（以下简称“供应商协议”）联合供应商向此计划提供一些专业知识、咨询或其他服务（以下简称“服务”）。此业务伙伴协议（以下简称“BAA协议”）附加到戴尔与分包商之间的数据保护协议（以下简称“DPA”）并成为该协议的一部分。

1. 目的声明。由于供应商可能会在执行服务时访问、保留、接触或了解有关计划参与者的机密的健康信息，各方同意遵守联邦和州法律法规，保护信息的机密性，包括但不限于《健康保险携带和责任法案（1996年）》（以下简称“HIPAA”）、《医疗信息技术促进经济和临床健康法案》（以下简称“HITECH法案”）以及颁布的相关法规（以下简称“HIPAA法规”）保护的信息，包括不时修改的(a)部长颁布的标准、要求和规格，如45 C.F.R.第164部分子部分A和E（以下简称“隐私规则”）所述； (b)2003年2月20日发布的安全标准（联邦公报8334及之后部分）（45 C.F.R.第160、162和164部分）（以下简称“HIPAA安全规则”）；以及(c)HITECH法案的副标题D中规定的违规行为通知标准、要求和规格以及部长制定的实施法规（45 C.F.R.第 164部分子部分D），是最后的综合规则的一部分（以下简称“综合规则”）（以下统称为“违约通知规则”）；以及(d)部长制定的实施标准、要求和规格（45 C.F.R.第160部分子部分C、D和E（以下简称“实施规则”）。

2. 定义。本BAA协议中加引号的术语如未具体定义，其含义与在DPA、NDA、适用的供应商协议或HIPAA法规中阐述的含义相同。

2.1. “违约”是指以隐私规则不允许的方式获取、访问、使用或披露PHI，损害了PHI的安全性和隐私性，定义及例外情况见45 C.F.R. § 164.402的规定检查和获得PHI副本的访问权限。

2.2. “发现”是指发现违约行为，其定义与HITECH法案或其他适用法律中保持一致，包括45 C.F.R. § 164.410(a)(2)。

2.3. “电子PHI”即HIPAA安全规则中定义的“电子受保护健康信息”，由计划或计划代表创建、接收、维护或传输。

2.4. “HIPAA安全规则”是指45 C.F.R.第160、162和164部分中所述的安全标准，可能会不定期进行更改。

2.5. “HITECH法案”是指2009年2月17日颁布的《医疗信息技术促进经济和临床健康法案》中的隐私条款（见13400及以下部分），和实施法规，包括但不限于，2009年8月24日发布的“未受保护健康信息的违约通知”法规（74联邦公报42740及之后部分），并会不定期进行更改。

2.6. “个人”与45 C.F.R. § 160.103中术语“个人”的定义一致，包括按照45 C.F.R. § 164.502 (g)中的规定，符合个人代表条件的人。

2.7. “法律”是指所有适用的联邦和州法规以及所有相关法规。

2.8. “PHI”与45 C.F.R. § 160.103中术语“受保护健康信息”的定义相同，仅限于由计划或计划代表的供应商创建、接收、维护或传输的信息。

2.9. “部长”是指美国卫生及公共服务部部长或其指定人员。

2.10. “分包商”是指供应商向其分配功能、活动或服务的个人或实体，而非供应商的员工。

3. 保密性。供应商认可PHI的敏感性和机密性，并同意(a)只能按照此BAA协议的要求或得到许可并遵守法律或按照法律规定使用或披露此类PHI，包括执行本协议附件B中所列的服务时固有的使用和披露行为；并且(b)供应商应使用合理的保护措施，以确保在传输、处理、存储和使用PHI时维护PHI的机密性，并且遵守法律（包括HIPAA法规）的规定。

4. 供应商的职责

4.1. 记录。供应商应维护与本BAA协议相关的所有交易的准确记录。供应商确认并同意遵守HIPAA法规和其他所有法律规定的业务伙伴义务。

4.2. 会计服务。计划确认隐私规则为其规定的被涵盖实体义务，根据45 C.F.R.164.528的规定向个人就披露提供会计服务；依照本BAA协议并仅限于PHI，供应商同意(i)按照隐私规则和HITECH法案的规定进行记录并根据要求向计划提供会计服务要求的所有PHI披露内容，(ii)接受并处理个人的会计服务请求，(iii)向个人提供会计服务，以及(iv)在需要时暂停提供会计服务。供应商维护必要信息以提供会计服务的期限为自披露日期开始为期六(6)年，除非HITECH法案和HIPAA法规另有规定。

4.3. 披露。除了本BAA协议的规定外，供应商同意在发现任何使用或披露其已知或应知信息的行为后的合理时间内向计划报告。在适用情况下，供应商应遵守本BAA协议第5部分中有关泄露未受保护PHI的披露要求。

4.4. 分包商。供应商应确保所有代理（包括代表供应商创建、接收、维护或传输PHI的所有分包商）以书面形式同意，在使用或披露PHI方面遵守与本BAA协议一致的限制、条件和要求，且不得以任何违反隐私规则或任何其他适用法律规定的方式使用或披露PHI，除非本BAA协议另有规定。供应商还同意确保所有代理（包括供应商向其提供EPHI的分包商）同意，按照本BAA协议第4(t)部分的规定，实施合理适当的保护措施以保护信息。如果供应商发现，根据45 C.F.R. § 164.504(e)(1)(iii)和综合规则，其分包商的行为或做法模式实际上会违反分包商在其供应商协议下的义务，供应商必须采取合理措施以纠正或停止违约行为（如果适用），如果此措施不成功，则终止与分包商的协议（如果可行）。

4.5. 限制。供应商同意遵守HITECH法案和所有相关法规或指南的规定，将对PHI的所有请求、使用和披露行为尽可能限制为有限的数据集或能够实现请求、使用或披露的目的的最低要求PHI（如有需要）。各方确认对短语“最低要求”的解释遵守隐私规则、HITECH法案和部长颁布的所有指南。

4.6. 修正。计划确认隐私规则为其规定的被涵盖实体义务，修正45 C.F.R.164.526所述的个人PHI。依照本BAA协议并针对受保护健康信息，供应商同意遵守45 C.F.R. § 164.526，包括但不限于，允许或拒绝修正请求，以及对受保护健康信息进行修正（如有需要）。

4.7. 子部分E合规性。供应商履行计划在45 C.F.R.第164部分子部分E下的一项或多项义务，并在履行相关义务时遵守子部分 E中适用于计划的要求。

4.8. 惯例和记录。供应商同意向计划和部长提供有关使用和披露受保护健康信息的内部惯例、书籍和记录，包括由供应商代表计划发送、创建或接收的受保护健康信息政策和规程，仅作确定是否已遵守HIPAA法规之用。

4.9. 保密性。供应商和计划同意本BAA协议中的所有机密性条款不因在本BAA协议终止而失效。

4.10. 数据聚合。供应商可以提供与计划的医疗保健运营有关的数据聚合服务。

4.11. PHI的使用。本BAA协议允许供应商利用PHI满足其正常的管理和行政需要或履行其法律责任（如果有）。如果应法律要求或供应商获得了信息披露对象的合理保证，即仅根据法律规定秘密持有、使用或进一步披露PHI，或仅用于既定披露目的，供应商还可披露PHI以满足其正常的管理和行政需要或履行其法律责任。供应商还可以进一步要求信息披露对象通知其违反机密性或相关信息HIPAA法规的行为。在这种情况下，供应商在意识到出现违反信息机密性或隐私权规则的情形时，向计划发出通知。

4.12. 报告。供应商可以按照隐私规则的规定，使用PHI报告向相关联邦和州机构报告违法行为。

4.13. 访问。计划确认隐私规则为其规定的被涵盖实体义务，根据45 C.F.R.164.524向个人提供访问个人PHI的权限，依照本BAA协议并针对受保护健康信息，供应商同意允许或拒绝访问请求，根据45 C.F.R. § 164.524的规定提供拒绝访问的评论，并向个人提供访问权限。如果供应商使用或维护有关个人的PHI的电子健康记录，则供应商应根据要求在 HITECH法案和据此制定的所有指南规定的日期向个人或直接向个人指定的第三方提供PHI的电子副本。

4.14. 降低损害。供应商同意尽量降低由于供应商或其分包商违反本BAA协议或适用法律，使用或披露PHI而对供应商造成的已知有害影响。

4.15. 计划可用性。供应商同意，在收到请求后的三(3)个工作日内，向计划或向计划赞助商（应计划的请求）提供与 计划相关的PHI，以运行健康计划功能（如45 C.F.R. § 164.504(f)所述），前提是披露符合并遵守供应商协议的条款。

4.16. 授权。对于供应商代表计划创建、接收、维护或传输的PHI，供应商将负责向个人获取所有必要授权以使用或披露个人的受保护健康信息，如45 C.F.R. § 164.506或164.508所述；但前提是，计划赞助商必须先取得适用的联邦或州法律法规要求的所有许可和授权，才能从供应商处获得私人健康信息。供应商确认在未取得必要授权的情况下进行披露是违反本BAA协议的行为，必须根据本BAA协议的4(c)部分向计划报告。

4.17. 限制请求。对于供应商创建、接收、维护或传输的PHI，供应商应负责接收个人对限制的请求，如45 C.F.R. § 164.522所述，并拒绝或同意遵守所有请求。如果供应商同意限制，供应商将按照该限制要求使用和披露PHI。未能按照商定的限制采取措施是违反本BAA协议的行为，必须根据本BAA协议的4(c)部分向计划报告。如果直接向计划提出限制请求，计划将根据此子部分的规定向供应商提交该请求以便处理。

4.18. 秘密沟通。对于供应商代表计划创建、接收、维护或传输的PHI，供应商应负责按照请求从个人接收秘密沟通内容并采取相应行动，如45 C.F.R. § 164.522所述。如果供应商同意接受秘密沟通的请求，供应商应始终遵从此请求。未能按照已接受的请求采取措施构成违反本BAA协议的行为，必须根据本BAA协议的4(c)部分向计划报告。如果直接向计划提出秘密沟通的请求，计划应通过客户服务将个人转介给供应商。

4.19. 去标识化。供应商可能对部分和所有PHI进行去标识化，前提是供应商应按照HIPAA的规定对信息进行去标识化。已去标识化的信息不再是受保护健康信息，供应商或附属实体可能会使用此类信息创建比较数据库、统计分析或其他研 究。

4.20. 保护措施。不限于本BAA协议的其他条款，供应商同意(i)按照HIPAA安全规则的规定，实施管理性、物理性和技术性保护措施，合理适当地保护其代表计划创建、维护或传输的电子PHI的机密性、完整性和可用性；以及(ii)确保接收电子PHI的所有分包商以书面形式同意，实施合理适当的保护措施保护相关信息。供应商应根据计划不定期发出的请求向计划提供有关这些保护措施的所有信息。

4.21. 安全事故。供应商同意及时向计划报告其发现的所有安全事故。

5. 供应商对未受保护的PHI承担的责任

5.1. 确保PHI的安全。除非在相关情况下不可行，否则业务伙伴同意以合理且适当的方式实施HITECH法案、部长或其他法律指定的技术和方法，以使未经授权的人员无法使用、读取或破译供应商代表计划创建、接收、维护或传输的PHI，从而确保PHI的安全。此外，除非在相关情况下不可行，否则供应商应确保任何代理（包括但不限于供应商向其提供计划的 PHI的分包商或供应商）以合理且适当的方式实施HITECH法案、部长或其他法律指定的技术和方法，从而使未经授权的人员无法使用、读取或破译计划的PHI。

5.2. 违约通知。对于任何未受保护的PHI，供应商应在供应商、供应商的任何分包商发现任何违约情况（如综合规则中定义）后的二十四(24)小时内向计划报告。

(a) 报告必须包括（或者在信息可用时持续补充）：(i)识别其未受保护的PHI已经或被认为已经泄露的所有个人；(ii)泄露情况的简短描述，包括泄露类型（例如盗窃、丢失、处置不当、遭黑客攻击）、泄露位置（例如笔记本电脑、台式机、纸质文件）、泄露是如何发生的、发生泄露情况的日期，以及发现泄露情况的日期；(iii)涉及的未受保护的PHI类型的描述（例如社会保障号码、诊断、EOB等），包括介质类型，如果计划未要求，则不包括泄露的PHI本身；(iv)对泄露前制定的保护措施的描述（例如防火墙，数据包过滤、安全浏览器会话、高强度身份验证）；(v)应对泄露所采取的措施的描述（例如其他保护措施、迁移、处罚、策略和规程）；(vi)计划合理要求的所有其他信息，以使计划能够根据泄露通知规则执行和记录风险评估；以及(vii)为向个人、部长和/或媒体提供通知而合理必需的所有其他信息。

(b) 计划可以自行选择委托供应商负责确定（并向计划提供证据）任何此类事件不是违约事件，包括根据违约通知规则 执行风险评估，以确定是否已发生低概率违约的要求。如果计划将这种义务委托给供应商，则供应商不得无故拖延，并且在任何情况下均应在发现违约情况后三十(30)个日历日内，向计划提供有关违约情况的书面通知以及评估是否 存在可能发生低概率违约的风险评估副本。

(c) 计划可以自行选择委托供应商负责提供其根据违约通知规则要求提供的任何通知，包括向个人、部长和/或媒体提供的通知。在发出此类通知之前，供应商应提供一份通知信函模板，交由计划审批。所有通知应遵从违约通知规则确立的条款，并在违约通知规则设定的时间范围内发送。如果计划将这些义务委托给供应商，并且出现违约情况，则供应商不得无故拖延，并且在任何情况下均应在发现违约情况后六十(60)个日历日内，向计划提供证据，证明已发送所有必要通知（包括任何媒体或部长通知）。

(d) 供应商应负责支付因发生违约或潜在违约情况产生的所有合理费用，包括但不限于计划或供应商（如果适用）根据违约通知规则确定必须发送的任何通知的相关费用，不管是供应商还是计划发送通知都是如此。

6. 计划的责任。计划同意修订计划文档以纳入具体规定，从而限制对PHI的使用或披露，并确保根据隐私规则为此类使用或披露提供充分的程序保障和会计机制。

7. 期限与终止。

7.1. 期限。本BAA协议的期限将持续到供应商协议终止或根据本BAA协议另行终止。

7.2. 法律实施终止和修正。如果根据当前法律，HIPAA业务伙伴协议不再适用或需要，在本BAA协议将立即终止。如果根据计划的律师的建议，计划合理地确定本BAA协议的条款可能会被解释为违反或不遵守任何适用法律，则双方应本着善意原则协商修订本BAA协议，以遵守此类法律。如果双方不能合理地同意此修订，则本BAA协议和供应商协议（如果有一个）应终止。

7.3. 按计划终止。如果计划向供应商提供三十(30)天时间让其与计划一起解决违约问题或结束违约后，仍合理地确定供应商违反了本BAA协议、HIPAA法规或其他任何适用法律的重要条款，则计划可以终止本BAA协议；但是，如果“计划自行决定终止本BAA协议”不可行，供应商特此确认计划有权立即终止本BAA协议和供应商协议（如果有），并向部长报告违约情况，尽管本BAA协议有其他任何相反规定。

7.4. 解决违约问题的权利。如果供应商违反本BAA协议或隐私规则的任何规定，并且未能在三十(30)天内解决违约问题，则计划将保留解决此类违约问题的权利。供应商将协助计划执行任何此类措施。解决违约问题并不限制计划立即终止本 BAA协议和供应商协议（如果有）的权利。

7.5. 禁令救济。供应商确认并同意，本BAA协议和HIPAA法规的条款必定具有特殊性、独特性和非凡性，而且由于违约而导致的损失不能合理且充分地通过金钱损失来补偿，因为这种违约将导致计划遭受无法挽回的损害。因此，如果供应商未能遵守供应商协议、HIPAA法规或其他适用法律的条款，除非本协议另有规定，否则计划或其任何继任者或受让者将有权享受禁令救济或其他特别救济，并且此类禁令救济或其他特别救济累积到，但不限于计划、其继任者或受让者可以享受的其他任何救济方法，此类救济无需提交保证金。

7.6. 终止效力。在本BAA协议终止或到期时，供应商应退还或销毁其代表计划创建、接收、维护或传输的且其以任何形式维护的PHI，并且不得保留此类信息的副本，除非这种行为是可行的，并且不受其他适用法律禁止。此规定适用于代表供应商和/或计划拥有PHI的所有供应商的分包商或代理。如果计划确定退还或销毁此类信息不可行或不被允许，则供应商同意在其维护此类PHI期间继续遵守本BAA协议关于使用、存储和披露此类PHI的所有条款。

7.7. 一般允许用途和披露。除非本BAA协议另有限制，否则供应商可以使用或披露PHI，以为计划或代表计划执行供应商协议中规定的职能、活动或服务，但前提是如果由计划本身执行，此类使用或披露不违反HIPAA法规或其他法律规定。

8. 赔偿。对于由于赔偿方在使用、披露或存储PHI过程中的疏忽或和故意的不当行为及/或违反本BAA协议而引起的所有索赔、损害、损失、判决、成本和费用（包括律师费），赔偿方应为另一方进行赔偿、辩护并使其免受损失。