Microsoft 訂購單條款及條件(以下稱「PO 條款」)
Microsoft 訂購單條款及條件(以下稱「PO 條款」)
1. 接受及效力。以下 PO 條款係由 Microsoft 實體 (以下稱「Microsoft」) 與適用 SOW 所註明之供應商
(以下稱「供應商」) 間所共同簽訂,內容涵蓋:
a. 「雲端服務」:供應商根據本 PO 條款或相關事項提供的服務、網站 (包括託管)、解決方案、平台和產品,包括供應商為提供上述內容所必須的軟體、行動裝置應用程式、設備、技術 和服務。
b. 「交付項目」:供應商(或供應商核准的
次承攬人) 為 Microsoft 開發,作為交付貨物、服務或雲端服務的一部分而提供的所有工作產品,包括與本 PO 條款有關的智慧財產權 (以下稱「IP」)。所有交付項目依著作權法所定義,為Microsoft 之「雇傭著作」。
c. 「貨物」:Microsoft 根據本PO 條款取得授權或購買的軟體及/或實體貨物。
d. 「服務」:Microsoft 根據本 PO 條款購買的專業服務、廣告、顧問服務、支援及維修服務。
e. 「SOW」係指以下任何一種:(1) Microsoft 訂購單;(2) 由雙方授權代表簽署的工作說明或其他訂購表單;或 (3) 由雙方授權代表簽署的書面合約,援引並遵守本PO 條款。
x PO 條款自供應商開始履約或供應商於適用 SOW 簽名之日期起生效,兩者以較早之日期為準。除下列第 2 節之規定外,供應商對本PO 條款之接受已示無異議同意這些條款及條件。
2. 與其他合約之關係。x PO 條款之條款及條件係指由 Microsoft 和供應商間所共同簽訂之完整且具拘束力之合約,惟在下列情況下除外:
a. 若雙方當事人已共同訂立合約,例如 Microsoft 供應商服務合約,其在本 PO 條款生效日期當日有效且適用於透過本PO 條款訂購之貨物、服務或雲端服務,該合約適用於雙方當事人受本PO 條款所規範之關係,則此等合約的條款茲此納入本PO 條款之條款及條件。若本PO條款與此等合約間有牴觸之情形,在牴觸範圍內以此等合約之條款為準。在本PO 條款中, Microsoft 為登入或存取貨物、服務或雲端服務而接受的線上條款或合約,如已安裝的應用程式、內嵌軟體、軟體 (或平台) 即服務,不屬於經「共同訂立」之合約,不會以任何方式取代、補充或增修本PO 條款。
b. 若有多份合約具有類似或矛盾的條款可能適用於本PO 條款,除非條款之執行結果依法律可能不合理、不公正或予以禁止,否則雙方當事人同意將適用對Microsoft 最有利之條款。
c. 除以上本第 2 節xx之規定外,以及第 9 節中所述之變更和第 14 節的終止條款以外,額外或不同的條款(例如線上條款或合約) 將不能取代本PO 條款,但若由雙方當事人共同簽訂書面文件,則不在此限。
3. 貨物或交付項目的包裝、運送方式及退貨。除非本PO 條款中特別規定,否則:
a. 包裝。
(1) 以重量為計價基礎將僅包括淨重。
(2) 供應商將不會針對包裝或預先出貨成本向 Microsoft 進行收費,例如裝盒、裝箱、處理損害、運送費或儲存。
b. 運送方式。
(1) 供應商會在所有包裝容器上註明必要之處理及運送資訊、PO 編號、運送日期、收貨人和發貨人姓名。
(2) 每次運送的貨物或交付項目將隨附條列式發票及包裝清單,以及貨物或交付項目為國內或國際遞送、報關或識別之目的所需的任何其他說明文件。
(3) Microsoft 將僅針對收到的貨物或交付項目數量的付款,不會支付超過最高訂購數量之金額。
(4) 在等待供應商提供運送指示的合理時間內,供應xx量運送的部分將由 Microsoft
或其代理人保管
,其風險和費用將由供應商負責。
(5) Microsoft 將不會支付運送或傳遞成本。
(6) 除非另有協議,否則貨物和交付項目將在訂購單日期之後第 10 天送達:
(1) 若貨物和交付項目之來源地與 Microsoft 指定的交貨地點相同,則以離岸價格 (FOB) 方式運送到Microsoft 指定的交貨地點;或
(2) 若跨邊界將貨物和交付項目運送至 Microsoft 指定的交貨地點,則以完稅後交貨 (DDP,INCOTERMS 2010) 方式運送到Microsoft 指定的交貨地點。
(7) 在 Microsoft 於指定交貨地點最後接受貨物或交付項目之前,供應商將自行承擔貨物或交付項目之全部或部分損失、損害或銷毀的一切風險。Microsoft 對於在接受貨物或交付項目之前,因 Microsoft 之員工之重大過失行為所造成之任何損失,將負起全部責任。
c. 退貨。供應商將自行承擔超量運送之數量的項目或遭拒之項目的退貨運送費用。
4. 發票。
a. 除非另行同意,否則供應商將以訂閱後付款的方式,且僅限接受的貨物、服務和交付項目,每月向Microsoft 出具發票。
b. 供應商將根據 SupplierWeb (xxxxxxxxx.xxx),使用 MS 發票向 Microsoft 出具發票。Microsoft Invoicing 程序為電子發票提交程序。MS 發票 (xxxxx://xxxxxxxx.xxxxxxxxx.xxx) 是以網路為基 礎的應用程式,由Microsoft 提供予其收款人,可供收款人將電子發票直接提交給 Microsoft。 MS 發票工具支援電子發票提交,若有多張發票,可採用逐一或大量上傳的方式提交。若收款人無法透過此程序提交發票, 收款人應該連絡位於 xxxxx://xxx.xxxxxxxxx.xxx/xx- us/procurement/contracting-apsupport.aspx 之Microsoft 應付帳款支援人員 (Accounts Payable Help Desk) 並提供有效的理由,Microsoft 將視同例外狀況而提供替代的發票提交程序。發票 必須包括以下資訊:PO 編號、項目編號、項目描述、數量、單價、總價、包裝清單編號、 運送資訊、收貨方縣市/州別、稅賦,以及 Microsoft 合理要求之任何其他資訊。供應商將 不會基於研究、報告或校正與其發票相關之任何錯誤的成本,而向Microsoft 收費。
c. Microsoft 對任何發票得提出書面聲明或部份付款,表達爭議。Microsoft 將於收到相關發票後之 60 天內,盡商業範圍內合理之努力,就任何爭議性的金額以書面方式通知供應商。無法提供通知或已針對發票付款之情形,均不得視為對任何索賠或權利之拋棄。
5. 付款條件、現金折扣、抵銷和費用。
a. 在 Microsoft 接受貨物、服務或雲端服務並收到正確且無爭議的發票 (以下稱「建立日期」)
之後,Microsoft 將在建立日期後次月 20 日釋出付款。
b. Microsoft 對超過 Microsoft 接受貨物、服務或雲端服務的日期之後 120 日始自供應商收到的任何發票,均無付款義務。
c. 根據此PO 條款,發票付款並不構成接受,且付款之情形應受供應商錯誤、短缺、瑕疵或其他無法符合本PO 條款規定之情況而調整。
d. Microsoft 得從 Microsoft 應支付給供應商或供應商之關係企業之金額中,扣除其積欠
Microsoft 之任何金額。Microsoft 將於扣除之後的合理時間內,提供相關通知予供應商。
e. 除非另行協議,否則供應商對提供貨物、服務或雲端服務及依本PO 條款履行相關事宜時所產生之所有費用,應負起全部之責任。
6. 稅賦。
a. 除非下文另行規定,應由Microsoft 支付予供應商的金額均未含稅。Microsoft 對於供應商應依法支付的任何稅賦,無須承擔任何責任,此等稅賦包括淨利或總收入稅、特許權稅及財產稅。Microsoft 將支付供應商因本 PO 條款而產生、且供應商依法必須向 Microsoft 收取之任何銷售、使用或加值稅。
b. 除非在 SOW 中另有約定,否則 Microsoft 不會參與貨物、服務或雲端服務的進口,且進口稅為供應商之責任。
c. x Microsoft 向供應商提出有效的豁免憑證,供應商將不會收取此等豁免憑證所涵蓋之稅賦。
d. 如果Microsoft 依法必須從支付給供應商之款項中扣繳稅款,則Microsoft 可扣繳該等稅款, 並將該扣繳稅款繳納給適當的稅務機構。Microsoft 應將此等稅賦之正式收據提供予供應商。 Microsoft 應盡合理之努力,於法律允許之範圍內盡量減少任何稅賦。
7. 稽查及接受。
a. 若供應商未遵守本PO 條款之標準和規格,Microsoft 得取消本PO 條款或適用 SOW。
b. 所有貨物和服務應於任何時間和地點受 Microsoft 稽查及測試,包括製造期間及最後接受之前。如果 Microsoft 在供應商的場地進行稽查或測試,則供應商應在不加收額外費用的情況下,為 Microsoft 稽查員的安全及方便提供所有合理的設施和協助。無論在最終稽查及接受之前已進行或未進行稽查或測試,供應商均不得免除為符合本PO 條款之需求而應解決瑕疵或其他錯誤之責任。
c. 若有任何依本 PO 條款所提供之項目在材質或製造方面有瑕疵或未能符合本 PO 條款之需求,則 Microsoft 得在未要求校正的情況下拒絕該項目、要求於指定期限內校正、以經過調整的 價格接受該項目,或將該項目退貨予供應商並要求全額退款。當 Microsoft 提供通知予供應 商時,供應商將立即替換或校正遭到拒絕或被要求校正的任何項目,並由供應商承擔一切 相關費用。若經 Microsoft 要求之後,供應商無法立即在交貨排程內替換或校正瑕疵項目, 則 Microsoft 得自行決定 (1) 替換或校正此等項目,並向供應商收取因此所衍生之費用;(2) 未經通知而單方面終止本 PO 條款或適用 SOW、將遭拒的項目退還給供應商並由供應商承 擔一切相關費用,且供應商將立即退還 Microsoft 為退貨項目支付的任何金額;或 (3) 要求 適當的降價。
d. 無論先前是否進行過任何稽查或付款,所有商品和服務在交付或履行之後的一段合理時間內,應於 Microsoft 指定之地點進行最終稽查和接受。在本 PO 條款履行期間和 Microsoft 決定的額外期間,所有稽查工作之記錄均應完整並可供Microsoft 使用。
8. 額外雲端服務需求。
a. 服務等級。適用 SOW 所定義的維護時段期間,供應商將排程任何雲端服務升級或維修。供應商將依照xxxxx://xxx.xx/XX_XXX (或任何後續連結) 指定的服務等級和條款提供雲端服務,應視為說明文件(例如:規格) 的一部分,並併入本PO 條款且為其中一部分內容。
b. 商務持續性。供應商將負責訂定、執行、測試和維護有效以全企業為考量的商務持續性計劃 (包括災害復原和危機管理程序),以提供 Microsoft 雲端服務的持續存取及支援。供應商至少應隨時:(1) 備份、保存並維護符合下列情況之複製或備援系統:(i) 位於安全實體位置 (惟用於提供雲端服務之主要系統的位置除外);(ii) 至少每年更新和測試;以及 (iii) 可每日完全復原雲端服務和所有 Microsoft 資料;並 (2) 建立和遵循將備份資料和系統傳輸至供應商之備份位置的程序和頻率間隔。若Microsoft 提出要求,供應商將向Microsoft 提供供應商的
企業商務持續性計劃概觀,並立即且基於誠信原則對 Microsoft 與該計劃相關之詢問提供書面回應,以便Microsoft 檢閱該計劃的適當性。
c. 轉換。 若適用 SOW 終止或屆滿,或若 Microsoft 提出書面要求,供應商將提供:(1) 向 Microsoft (依照 Microsoft 之合理要求) 提供包含所有 Microsoft 資料的備份媒體 (除非雲端服務將此作為自助式功能提供予 Microsoft);以及 (2) Microsoft 合理要求 (費用由 Microsoft 承擔) 之所有協助,以便及時並順暢地從雲端服務進行轉換。
9. 變更。Microsoft 得隨時透過書面聲明(包括透過電子郵件) 通知供應商且無需通知供應商擔保人、次承攬人或受託人的方式,暫止供應商之履行義務、增減訂購數量,或根據 Microsoft 的合理商業需求進行變更 (每項在以下均稱「變更訂單」)。除非雙方當事人共同協議,否則變更訂單不適用於在變更訂單日期之前及時且完整交付之貨物和服務的變更。若任何變更造成供應商之履行成本或所需時間的增加或減少,則應針對價格或交貨排程,或同時針對兩者進行公平的調整,惟 Microsoft 需以書面方式同意進行此等調整。
10. 工具及設備。供應商用來提供貨物和服務而取得之全部工具、設備或資料,其已提供予 Microsoft、已由Microsoft 付款或已向Microsoft 收費者(包括規格、繪圖、工具、印模、模型、固件、圖樣、擱架、電極、衝壓機、插圖、螢幕、磁帶、範本、特殊測試設備、量測計、內容、資料和軟體) 均將維持或成為Microsoft 財產、作為Microsoft 機密資訊處理,且供應商應在Microsoft 要求時,將狀態良好(不計正常磨損) 之工具、設備或資料立即運送至第 3 節中所規定之Microsoft 指定交貨地點,且供應商不會據此向 Microsoft 收費。供應商擔保, 若未經 Microsoft 的事先書面同意,除了為 Microsoft 進行任何工作或生產任何資料或組件之外,上述項目和資訊將不會用於任何其他目的。供應商將為Microsoft 確認與服務一起使用的所有第三方IP 或軟體。
11. 報告。應Microsoft 之要求,供應商將及時向Microsoft 提供根據本PO 條款提供之所有軟體的軟體物料清單(「SBOM」)。每份 SBOM 均將符合美國商務部頒定之最低要求或法律規定的其他要求。
12. 雙方當事人各自之 IP 的擁有權及使用。
a. 各方當事人將擁有並保留對其已存在之IP,以及獨立於本PO 條款之貨物、服務及雲端服務所開發之任何IP 的所有權利,包括任何此類當事人的IP 權限。
b. Microsoft 將擁有全部交付項目 (包括全部 IP 權限)、任何格式的全部媒體、硬體,及供應商在提供服務時所建立的其他實體資料。任何與交付項目相關或將在交付項目中使用之書面或自訂產品或報告的供應商著作,即視為IP。
c. 若任何交付項目不符合雇傭著作的資格,供應商會將交付項目所具備的全部權限、所有權和利益,包括所有IP 權限轉讓予Microsoft。供應商放棄交付項目中的所有著作人格權。
d. 若供應商在任何貨物或服務中使用任何供應商或第三方 IP,供應商將繼續擁有供應商的 IP權限。供應商將依照所有目前和未來的IP 權限,授與Microsoft 一項全球、非獨佔、永久、不可撤銷、免權利金、已完全付費的權限和使用權,使其可依本文第 12 節中關於Microsoft之所有權利益之規定,而使用供應商和第三方的IP。
e. 供應商授與 Microsoft 及其關係企業 (包括 Microsoft 或其任何關係企業聘用以履行服務之員工、承攬人、顧問、外包工作人員及實習生) 全球性、不可撤銷、非獨佔、永久、已付費且免權利金之授權,可使用任何包含軟體或其他IP 且未受共同訂立的個別授權拘束(包括安裝的應用程式) 之貨物。授權允許 Microsoft 在與貨物相關的情況下使用此等軟體及 IP。 Microsoft 可將此授權移轉予Microsoft 關係企業或透過銷售或租賃產生的繼任擁有者。
f. 在履行雲端服務所需的有限範圍內,供應商授與 Microsoft 及其關係企業 (包括 Microsoft 或其任何關係企業聘用以履行服務之員工、承攬人、顧問、外包工作人員及實習生) 及其終端使用者 (若有) 一項全球性、非獨佔、無限通、已付費且免權利金之授權,可於雲端服務期間內存取並使用各 Microsoft 業務目的所需之服務。除非 SOW 中另有明確規定,否則可無限制存取雲端服務。
g. 傳達瑕疵擔保和賠償責任。供應商將所有第三方製造商及授權人對貨物之瑕疵擔保和賠償責任轉讓及傳達給Microsoft。
h. 貨物(非授權軟體) 的所有權將於最後接受時從供應商傳達給Microsoft。
i. Microsoft IP。
(1) 供應商得使用「Microsoft 資料」,其係指由 Microsoft 本身或代表 Microsoft、其任 何關係企業或其各自的終端使用者提供給供應商以履行服務或雲端服務,或由供應 商取得或蒐集與貨物、服務或雲端服務(例如使用方式資料) 相關的任何實體或非實 體資料,包括硬體、軟體、原始程式碼、說明文件、方法、專業知識、流程、技巧、構想、概念、技術、報告和資料。Microsoft 資料包括對前述資料、(i) 個人資料、(ii)商標、(iii) AI 模型輸入和提示內容及產生的輸出內容 (如下定義),以及做為服務或 雲端服務之一部分而輸入至任何供應商資料庫之任何資料的任何修改或其衍生著作。 Microsoft 資料不包括供應商在本 PO 條款範圍外獲得或與本 PO 條款無關的 Microsoft 產品。
(2) Microsoft 授予供應商非獨佔、不可轉授權 (依照本 PO 條款獲得 Microsoft 核准之次 承攬人除外)、可撤銷之使用權,(i) 根據Microsoft 資料的Microsoft IP 權限,僅可於 依照本PO 條款履行服務所需的範圍內複製、使用及散布向其提供的Microsoft 資料,並 (ii) 僅於依照本 PO 條款履行雲端服務所需時使用 Microsoft 資料。供應商不得販 售、分享、授權或以其他方式商業化任何Microsoft 資料。
(3) Microsoft 保留 Microsoft 資料和相關 IP 權限中的所有其他利益。供應商無權轉授權 Microsoft 資料,為履行貨物、服務和雲端服務交貨所需情況下轉授權給核准的次承攬人除外。x Microsoft 資料附有單獨使用權,則該使用權之條款將適用,且若該等條款與本PO 條款衝突,則以該等條款為準。
(4) 供應商將採取合理的預防措施來保護及確保 Microsoft 資料不受任何損失或損壞、遭竊或遺失。
(5) Microsoft 得隨時基於任何合理商業理由撤銷 Microsoft 資料之使用權。使用權將於本PO 條款或適用 SOW 屆滿或終止(兩者視何者較早) 時自動終止。供應商將依要求或於供應商的使用權終止時立即退還任何Microsoft 資料。
(6) 關於供應商對Microsoft 資料之使用:
(i) 除經 Microsoft 許可之情形外,供應商不得對 Microsoft 資料進行修改、還原工程、反向組譯或解編;
(ii) 供應商將保留Microsoft 資料內所包含的專屬聲明和使用權,且不得更改或遮蓋;
(iii) Microsoft 無義務為Microsoft 資料提供技術支援、維修或更新;
(iv) 所有Microsoft 資料係依「現況」提供,不含瑕疵擔保;以及
(v) 供應商應承擔在由供應商(或次承攬人) 照顧、監護或控制Microsoft 資料期間,該等資料損失、損壞、未經授權而遭他人存取或使用,或遭竊或遺失之風險。
(7) 無 Microsoft 事先明確書面同意,供應商或 AI 模型不得使用任何 Microsoft 資料、IP或機密資訊,以自訂、訓練或直接或間接改善任何人工智慧模型或產品 (含 AI 模型本身)。未能取得該等同意即視為重大違反,且第 19 節訂定之供應商責任限制將不適用於根據本節違反情形之主張。如果 Microsoft 提供該等同意,雙方當事人將先簽訂個別書面合約,提出條款規定自訂、訓練或其他改善將在雙方當事人於此之權利及其結果所產生之責任進行與配置。「AI 模型」係指任何用於與服務相關或納
入貨物、服務或雲端服務中的人工智慧模型 (包括深度學習或機器學習模型)。供應商將遵守所有與AI 模型使用和負責任使用AI 相關的Microsoft 政策和規定。
13. 聲明及瑕疵擔保。供應商聲明並擔保:
a. 其具有完整權限和授權,可簽署、履行本 PO 條款及據以授與其中權利,且履行本 PO 條款不會違反其與任何第三方之間的合約或義務;
b. 服務將以專業方式進行,且達到或超出業界標準;
c. 貨 物 、 服 務 、 雲 端 服 務 和 交 付 項 目 必 須 達 到 本 PO 條 款 的 標 準 和規格,且適合其預期用途;
d. 將提供予 Microsoft 之所有貨物、服務和交付項目沒有 (1) 任何設計、製作及材質瑕疵;(2)支付權利金之任何責任」;以及 (3) 任何技工的先得權,或任何其他強制留置權、擔保權利或妨礙;
e. 依本 PO 條款提供予 Microsoft 的貨物、服務、雲端服務、交付項目和任何供應商或第三方
IP:
(1) 並非全部或部分受除外授權所規範。「除外授權 (Excluded License)」係指任何軟體授權,其要求軟體或其他與該軟體結合及/或併同散布之軟體,就軟體之使用、修改及/或散布時,必須有以下條件:(i) 以原始程式碼形式予以揭露或散布;(ii) 為製作衍生著作之目的而授權;或 (iii) 得免費轉散布;且
(2) 將不受以下授權條款所拘束:要求任何 (i) Microsoft 產品、服務或文件,或授權予 Microsoft 之任何供應商或第三方 IP,或將併入或衍生自此等貨物、服務、雲端服務、交付項目,或供應商或第三方 IP 之文件,或 (ii) 要授權予任何第三人或與其分享之Microsoft 資料或Microsoft IP;
f. 依本 PO 條款提供予 Microsoft 的貨物、服務、雲端服務、交付項目和任何供應商或第三方
IP 將不會:
(1) 在供應商所知的範圍內,侵害任何第三人之專利權、著作權、商標、營業秘密或其他任何第三方的專屬權限;或
(2) 內含會破壞或感染任何貨物、交付項目、產品、服務或任何其他軟體或 Microsoft
的網路或系統之任何病毒或其他惡意程式碼;
g. 供應商將遵循所有相關法律、規則和法令,包括資料保護法 (如附錄 A 所定義)、人工智慧法律和反貪污法律 (即一切反詐騙、賄賂、貪汙、不正確簿冊及記錄、不適當的內部管控及
/或洗錢的相關法律,包括《美國海外貪汙行為法》(U.S. Foreign Corrupt Practices Act)),無論該等法律是地方法、州法、聯邦法或外國法。本PO 條款提供之貨物、服務、雲端服務、零件、元件、裝置、軟體、技術,以及其他資料 (合稱「項目」) 可能受一個或以上之國家/地區的相關貿易法所拘束。供應商將遵守所有適用於項目進出口之法令規定,包括但不限於「美國出口管制規定」(U.S. Export Administration Regulations) 等貿易法令規定或美國和其他政府的其他終端使用者、終端使用和目的地限制,以及由美國外國資產管制處 (Office of Foreign Assets Control) 管理的制裁規定 (下稱「貿易法」)。Microsoft 得立即中止或終止本 PO 條款,前提是 Microsoft 合理得出結論,認為繼續執行導致違反貿易法,或依貿易法有可能受到制裁或處罰。供應商有責任確保移轉或再移轉技術等非實體項目之法務遵循。供應商同意在相關進口、出口或再出口授權中提供 Microsoft 進/出口控制分類及資訊 (包括說明文件),以及關於該項目之所有進口、出口或再出口程序和/或授權所需的必要資訊,且 Microsoft 無需支付額外費用。 如需詳細資訊, 請見 xxxxx://xxx.xxxxxxxxx.xxx/xx- us/exporting。「法律」係指擁有管轄權的任何政府機構 (聯邦、州、地方或國際) 頒訂的所有適用法律、規定、條例、法令、決定、命令、法規、判決、規約、法條、決議及要求;
h. 供應商將遵守所有適用的反腐敗法。依本PO 條款執行時,供應商將提供其員工遵守相關反腐敗法之訓練,並完成任何Microsoft 要求的供應商遵守反腐敗法標準線上訓練。
i. 供應商將就下列情況自行負擔費用: (1) 實施並維持適當的技術和組織操作, 以保護 Microsoft 資料(包括個人資料) 和任何其他Microsoft 機密資訊免於意外或非法銷毀、遺失、更改、未經授權揭露或存取 Microsoft 資料,包括被傳輸、儲存或以其他方式處理的個人資料或任何其他Microsoft 機密資訊;(2) 只要商業和技術上可行,應補救任何供應商發現的資料弱點;且 (3) 將遵守本 PO 條款中的供應商保密、人工智慧、隱私權和資料保護義務,包括第 15、16 節及附錄A。
14. 終止。Microsoft 得於有理由或無理由之情況下終止本PO 條款或適用 SOW。終止於收到書面聲明即有效。若Microsoft 任意終止,其唯一義務僅為支付:
a. 在終止生效日期之前已接受的交付項目或貨物;或
b. 已履行之服務,然Microsoft 仍保留在終止生效日期之後的權益;或
c. 終止生效日期之前已傳遞的雲端服務(或Microsoft 要求之任何終止後轉換)。供應商將(在不影響 Microsoft 可能擁有之任何其他補救的情況下) 按比例向 Microsoft 退還任何未使用的預付費用。
15. 安全性、隱私權、人工智慧和資料保護。供應商將遵循以下事項,並自行負擔成本及費用。
a. 在不限制 Microsoft 於本 PO 條款中稽核權的情況下,供應商將 (1) 如 Microsoft 所要求,參 與 Microsoft 供應商安全性與隱私權保證 (Microsoft Supplier Security and Privacy Assurance, 下稱「SSPA」) 計劃,包括每年 (若額外的 DPR 部分適用,則更為頻繁) 證明供應商針對 Microsoft 目前供應商資料保護需求 (Data Protection Requirements,下稱「DPR」) 所有適用 部分之法規遵循狀態,並 (2) 遵循 Microsoft 目前的 DPR。請參閱供應商安全性與隱私權保 證 (SSPA) (aka.ms) (https://www.microsoft.com/en-us/procurement/supplier-contracting.aspx), 以了解 SSPA 計劃的詳細資料,包括計劃需求和目前的 DPR。
b. 供應商的安全程序必須包括對以下各項的風險評估及控制:(1) 系統存取;(2) 系統及應用程式的開發和維修;(3) 變更管理;(4) 資產分類及控制;(5) 事件回應、人身及環境安全;(6)災害復原/商務持續性;以及 (7) 員工訓練。這些措施應於供應商安全性原則中說明。供應商將向Microsoft 提供該原則,並在Microsoft 要求時,提供服務及雲端服務的適當安全性控制說明,以及其他Microsoft 針對供應商安全措施及原則所合理要求的資訊。
c. 當供應商提供雲端服務時,供應商將僅會使用適用 SOW 所註明之雲端基礎結構供應商 (下稱「CIP」) 提供雲端服務,並將在其變更、新增或執行任何計劃以變更 CIP 前至少 90 天,或在 Microsoft 資料位置的任何變更前至少 30 天通知 Microsoft。若 Microsoft 拒絕該變更,則Microsoft 得立即終止適用 SOW,且無需承擔任何義務。
d. 供應商將遵守附錄A 中的隱私權和資料保護要求。
e. 供應商在知悉任何安全性事件(如下定義) 後,將在不限制供應商根據本PO 條款承擔之義務
(包括 DPR) 的情況下:
(1) 通知 Microsoft,且不得無故延遲安全性事件 (無論如何,時間不得遲於通知供應商發生類似情況的客戶;並且在所有情況下,必須早於供應商進行任何一般公開揭露 (例如:新聞稿)之時);
(2) 調查安全性事件時,立即進行調查或提供所需協助,並向 Microsoft 提供有關安全性事件的詳細資訊,包括安全性事件性質的說明、受影響資料主體的大致數量、安全性事件目前和可預期的影響,以及供應商為解決安全性事件和減輕其影響而採取的措施;以及
(3) 立即採取所有商業上合理的步驟,來減輕安全性事件的影響,或協助 Microsoft 達成此事。
「安全性事件」係指任何:(1) 意外或不法毀損、遺失、更動、未經授權揭露或存取供應商或其次承攬人傳輸、儲存或以其他方式擁有之機密資訊 (含個人資料);或 (2) 資訊安全漏洞
(i) 與供應商處理機密資訊 (含個人資訊) 相關者,或 (ii) 影響 Microsoft 產品、服務、軟體、網路或系統者。「資訊安全漏洞」係指在供應商或其次承攬人安全系統的弱點、瑕疵或錯誤,其合理有可能遭到威脅代理程式以造成相當影響的方式利用。除非是由 Microsoft 的過失或故意行為,或因供應商遵守 Microsoft 的明確書面指示而引起安全性事件,否則供應商應遵守本第 15(e) 節之規定。
供應商必須先獲得 Microsoft 的書面核准,才能通知任何政府實體、個人、媒體或其他協力廠商有關安全性事件的資訊,而該事件可能會影響或合理地影響 Microsoft,包括供應商透過Microsoft 接收或代表Microsoft 處理的任何機密資訊。
f. 人工智慧。如果貨物、服務或雲端服務包含人工智慧技術,則供應商將自費實施和維護適當技術及組織措施,確保該等人工智慧技術遵守所有法律和業界標準,包括與道德或負責任使用人工智慧有關的準則和政策;能夠說明決策及輸出的演算法和邏輯、每個 AI 模型於終端使用者方面可能的結、變更管理以遵守法律和適當業界標準及員工訓練。供應商將向 Microsoft 提供該原則,並在 Microsoft 要求時,提供服務的適當安全性控制說明,以及其他 Microsoft 針對供應商安全措施及原則所合理要求的資訊。
g. 通知。
(1) 供應商必須先獲得 Microsoft 的書面核准,才能通知任何政府實體、個人、媒體或 其他協力廠商有關安全性事件或與供應商使用包括 AI 模型 (下稱「AI 查詢」) 在內 的人工智慧技術相關的資訊,其可能會影響或合理地影響 Microsoft,包括供應商 透過 Microsoft 接收或代表 Microsoft 處理的任何機密資訊。針對向協力廠商揭露的 安全性事件或 AI 查詢,作為給予 Microsoft 通知的一部分,供應商必須揭露協力廠 商的身分識別和通知的副本 (如果提供協力廠商的通知尚未寄出,則供應商將向 Microsoft 提供草稿)。供應商允許 Microsoft 針對該通知進行編輯或更新。Microsoft 釋出與 AI 查詢有關的 AI 模型資訊並未違反本 PO 條款中的 Microsoft 保密條款義務。
(2) 只要有法律義務,供應商仍得通知協力廠商影響個人資料的安全性事件,前提是供應商盡一切努力提前通知 Microsoft,以及如果無法提前通知,仍應儘可能立即通知Microsoft。
16. 供應商管理辦法。供應商將遵守最新供應商管理辦法 https://aka.ms/scoc 和最新 Microsoft 代表所適用之最新反腐敗政策 http://aka.ms/microsoftethics/representatives,以及 Microsoft 在 SOW 中或在期間內確定的任何其他政策(例如:實體或資訊安全或人工智慧政策) 或訓練(並將提供該等訓練)。
17. 協助工具。任何根據本 PO 條款,由供應商或供應商關係企業或代表其開發之裝置、產品、網站、網頁型應用程式、雲端服務、軟體、行動裝置應用程式或內容必須遵守所有法定無障礙協助工具要件。對於透過使用者介面 (User Interface, UI),這包括遵守最新版《無障礙網頁內容指引》(Web Content Accessibility Guidelines , 下 稱 「 WCAG 」 ) A 和 AA 等 級 成 功 準 則 ( 請 見 https://www.w3.org/standards/techs/wcag#w3c_all)、《康復法案》(Rehabilitation Act) 第 508 條款(請見 https://www.section508.gov) 及 歐 洲 標 準 EN 301 549 ( 請 見 https://eur- lex.europa.eu/eli/dir/2016/2102/oj)。建議的文件包括完成 VPAT 2.4 INT:其納入上述三項標準,請見 https://www.itic.org/policy/accessibility/vpat。
18. 無拋棄。Microsoft 之延遲或未履行任何權限或救濟,並不表示對該權限或救濟,或任何其他權限或救濟之拋棄。
19. 破產;責任限制。
a. 任一方當事人破產或倒閉調整、提交倒閉自願申請書或採用轉讓方式以支付債權人債款,均將視為重大違反本 PO 條款。在本 PO 條款中,「破產」係指 (1) 當事人的賠償責任超過其經公正列明之資產,或 (2) 當事人無法在正常營業中按時償還其商業債務。
b. 責任限制。除非屬第 21 節所述之賠償義務、違反本 PO 條款中當事人的保密、安全性、隱 私權、資料保護、人工智慧和公開性義務、與本 PO 條款有關的情況下 IP 侵權、濫用或侵 害權利,或詐欺,任一方當事人均無須就因本 PO 條款所引起之任何可預見或無法預見的 間接性、衍生性、特殊性、懲戒性或懲罰性損害 (包括因資料遺失、收入及/或利潤損失所 導致的損害) 負擔任何賠償責任,無論賠償責任是基於違約、侵權行為、無過失責任、違 反瑕疵擔保責任或基於其他原因,且即使該當事人已事先獲知發生該等損害之可能性亦同。
20. 轉包。未經 Microsoft 事先書面同意,供應商不得將任何貨物、服務或雲端服務之提供轉包給任何第三人。若供應商將任何服務或雲端服務轉包給任何次承攬人,次承攬人的任何動作或未執行的動作,供應商將對 Microsoft 完全負責,並持續受本 PO 條款中的所有義務拘束,且要求每位次承攬人書面同意 Microsoft 為其與供應商間所訂定合約之指定第三人受益人,並要求每位次承攬人書面同意適用於次承攬人履行工作的條款。該條款對Microsoft 的保護不遜於本PO 條款之條款,包括本PO條款的第 15 節和附錄A 的隱私權與資料保護條款。
21. 賠償義務及其他救濟權。
a. 若因下列情況而使 Microsoft 及 Microsoft 關係企業遭他人提出索賠、要求、損失、成本費 用、損害和法律行動:(1) 依本 PO 條款提供予 Microsoft 之貨物、服務或雲端服務致使 Microsoft 實際或被指控侵害任何第三方 IP 或IP 權限或 Microsoft IP 或IP 權限;(2) 任何(若 成立) 可能導致違反第 15 節、附錄 A 或本 PO 條款包含之任何供應商瑕疵擔保責任之索賠;
(3) 供應商或供應商代理人、員工或次承攬人之任何行為、疏忽或未遵守稅賦義務或相關 法律;(4) 供應商或其次承攬人任何違反本 PO 條款規定之保密、安全性或隱私權、資料保 護、人工智慧或公開性義務之行為;(5) 供應商或其次承攬人之過失或故意行為或不行為,造成任何人員之人身傷害 (包括精神傷害) 或死亡,或實體或非實體財產之損失、遺失或損 害;以及 (6) 供應商之員工、關係企業或次承攬人提出之任何索賠,無論其根據基礎為何,供應商將出面為Microsoft 及Microsoft 關係企業辯護並保護Microsoft 使其不致遭受損害, 包括但不限於支付和解、判決以及合理的律師費用。
b. 若本PO 條款中的貨物、服務或雲端服務受禁制或遭受威脅禁制,或可能違反相關法律,則除了 Microsoft 適用的一切其他救濟方式以外, 供應商將以自行負擔費用的方式通知 Microsoft 並立即替換或調整該等貨物、服務和雲端服務,使其未侵權、符合相關法律規範並可用,達到 Microsoft 滿意的程度。若供應商未遵守本文件第 21(b) 節,除根據本文件第 21 節(賠償義務及其他救濟權) 償還之任何金額外,供應商將退還Microsoft 就侵權或不符合規範之貨物、服務和雲端服務支付的所有金額,並就轉換服務和雲端服務向新供應商支付合理費用。
22. 保險。 供應商將維護足夠的保險範圍,以符合本 PO 條款及依法律所產生之義務。倘本 PO 條款或適用 SOW 造成該等保證原則一般涵蓋的風險,供應商的保險必須包括下列範圍 (或以當地貨幣計算的等值限制):
表A1 – 必要承保範圍
承保範圍 | 形式 | 限制 1 |
商業一般責任,包括合約和產品責任 2 | 發生時 | $1,000,000 美元 |
汽車責任 | 發生時 | $1,000,000 美元 |
作為商業方面合理取得的一部份,隱私權與網路安全性責任的保險(包括因資料毀損、駭客入侵或蓄意洩漏、與資料外洩相關的危機管理活動,以及對安全性缺口、違反隱私權的法律索賠所造成的成本費用,與通知成本) | 每次索賠 | $2,000,000 美元 |
勞工補償 | 法定 | 法定 |
雇主之責任 | 發生時 | $500,000 美元 |
專門職業賠償責任/E&O,涵蓋第三人財產權之侵權 (例如,著作權及商標),但前提為此等範圍在商業方面可合理取得 | 每次索賠 3 | $2,000,000 美元 |
備註:
1 除非法律要求另有規定,否則每次索賠或發生事件的所有限額都可以轉換為當地貨幣。
2 針對第 21 節由供應商承擔的合約賠償責任範圍,供應商會在一般商業綜合險原則中,將
Microsoft、其子公司和彼等各自之董事、主管和員工具名為額外的被保險者。
3 設定承保範圍之追溯日,不得晚於本 PO 條款或適用 SOW 或訂單的生效日期。供應商將在本PO 條款終止或屆滿,或適用 SOW 或訂單履約後 12 個月內,維護現行之保單承保範圍,或延長報表週期以涵蓋第一次提出並向保險公司報告之索賠。
若每次事件或意外的可扣除額或保留額超過 $100,000 美元,則供應商必須獲得 Microsoft 事先書面核准。供應商將應要求提供 Microsoft 本 PO 條款所要求的保險範圍證明。若 Microsoft 合理判定供應商的承保範圍低於履行其義務所需的保險範圍,供應商應立即購買額外保險,並以書面方式通知Microsoft。
23. 機密事務之保密。若雙方當事人已簽訂標準 Microsoft 保密合約,則此等合約之條款將適用且茲此併入本PO 條款,且本PO 條款之所有條款及條件以及Microsoft 資料之存在均將視同Microsoft 機密資訊。若雙方當事人尚未簽訂標準 Microsoft 保密合約,則供應商同意在本 PO 條款期間內以及期間之後 5 年內,供應商均必須將任何 Microsoft 機密資訊視為絕對機密保存,並且將不會對其進行使用或揭露予任何第三人 (Microsoft 關係企業除外)。「Microsoft 機密資訊」一詞係指經 Microsoft或關係企業以書面或口頭方式指定為機密,或考量相關揭露情況對理性之人應為機密的任何非公開資訊。無論本 PO 條款中是否有任何規定有所衝突,與本 PO 條款相關,與供應商或供應商關係企業共用的所有個人資料均為Microsoft 機密資訊。若供應商對 Microsoft 機密資訊之構成有任何問題,供應商應諮詢 Microsoft。Microsoft 機密資訊將不包括供應商於 Microsoft 向供應商揭露前,供應商便已獲悉之資訊,也不包括非因供應商錯誤而公開提供之資訊。
本PO 條款或適用 SOW 屆滿或終止時,或經Microsoft 或Microsoft 關係企業要求,供應商將不得無故延遲地:(i) 將所有 Microsoft 機密資訊 (包括其副本) 退回給 Microsoft 或適用的 Microsoft 關係企業,或 (ii) 若 Microsoft 或其關係企業之要求,銷毀 Microsoft 機密資訊 (包括其副本) 並證明資料已銷毀,除非法律明確要求,或雙方另有明確書面同意。對於任何供應商在本 PO 條款或適用 SOW到期或終止後保留的 Microsoft 機密資訊 (例如,因為法律要求供應商保留資訊),供應商將繼續遵守本 PO 條款適用於該機密資訊之所有條款 (包括所有保密條款義務),而該適用條款會在此等屆滿或終止時存續。
24. 獨立開發。Microsoft 可直接或間接取得、授權、開發、製造或散布與本PO 條款中所述貨物、服務或雲端服務相同或相似之技術或服務,本PO 條款中無所限制。Microsoft 得使用、行銷及散布此等相似技術或服務,搭配或取代本 PO 條款中所述技術或服務,包括任何軟體或雲端服務 (整體或部分)。
25. 稽核。在本 PO 條款期間及其後 4 年期間,供應商必須保存通常及適當的記錄及帳冊、與貨物、服務或雲端服務、個人資料處理相關之品質及履行報告,以及法律法規遵循要求的其他記錄 (以下稱
「供應商記錄」)。在此期間,Microsoft 可能會稽核及/或稽查相關記錄和設施,藉此驗證供應商對本PO 條款之遵守情況,包括隱私權、安全性、出口法規遵循、協助工具和稅賦等。Microsoft 或其 指派的獨立顧問或註冊執業會計師 (下稱「稽核員」) 將進行稽核及檢查。Microsoft 將於稽核或稽 查前向供應商提出合理通知 (15 天,除非有緊急事件),並指引稽核員,以避免破壞供應商的作業,包括綜合稽核 (如可行)。供應商同意為 Microsoft 指定的稽核或稽查團隊提供合理使用供應商記錄 和設施之方式。如果稽核員判定 Microsoft 超付款項予供應商,供應商將必須針對任何此等超付款 項補償 Microsoft。若供應商在稽核期間向 Microsoft 超額收取 5% 或以上之費用,其將立即向 Microsoft 退還所有超付款項,並按每月 0.5% 的利率就該等超額付款支付利息。Microsoft 將負擔其 稽核員或稽查團隊之費用。但是,若稽核結果顯示 Microsoft 在此等稽核期間超付供應商 5% 或以 上之款項,供應商將就此等費用補償 Microsoft。本章節中的任何規定均不限制 Microsoft 依本 PO 條款(包含附錄A) 之任何其他章節對供應商進行稽核的權限。
26. 轉讓。未經 Microsoft 事先書面同意,不得轉讓依本 PO 條款所享有之任何權限或義務 (包括本 PO條款中所述收取貨幣之權限)。未取得此等同意所為之轉讓均視為無效。Microsoft 得轉讓本 PO 條款中之權限。
27. 勞資糾紛之聲明。只要實際或潛在的勞資糾紛延遲或造成威脅以致延誤本 PO 條款的即時履行,供應商將立即以書面方式向 Microsoft 通知此等糾紛,並提供所有相關詳細資料。供應商應於每次轉包中納入上述相同條款,且應於收到此等聲明後立即向 Microsoft 發出書面通知。
28. 專利授權。無論本文其他條件為何,若供應商未能依照本 PO 條款之條款履行義務,則為履行本
PO 條款之目的
且於Microsoft 無需支付額外成本的情況下,供應商謹此自動授與 Microsoft 不可撤銷、非專屬、免權利金之權限及授權,以使用、銷售、製造及使之製造與依本 PO 條款提供之交付項目相關之任何及全部產品,使供應商或代表供應商已進行、投入或實行的任何及全部發明及發現具體化。
29. 管轄權及準據法。針對在美國提供予 Microsoft 之貨物、交付項目、服務和雲端服務,本 PO 條款將受華盛頓 州法律管轄 (不受法律衝突原則管制) ,且各方當事人同意以華盛頓州國王郡 (King County) 之州法院或聯邦法院為專屬管轄法院與審判法院。如果 Microsoft 在美國進行任何對雲端服務的存取或使用,則所有雲端服務均視同於美國提供。針對所有其他提供予 Microsoft 之貨物、服務及雲端服務,本PO 條款之準據法、司法管轄權及法庭地將以Microsoft (即供應商以外之本PO 條款簽署方實體) 註冊成立或以其他方式組建時所在的國家/地區為準。在上述法院中,任何一方均不得宣告欠缺對人管轄權,或不便利法庭之抗辯。與本 PO 條款相關之任何法律行動或訴訟,勝訴方將有權請求對方賠償支出,包括合理之律師費。
30. 資訊之公開;商標之使用。供應商不得在未取得 Microsoft 事先書面同意的情況下,發行與供應商和 Microsoft 之關係或與本 PO 條款相關的任何新聞稿或其他出版物。若 Microsoft 授予書面同意,供 應 商 僅 可 遵 守 https://www.microsoft.com/en- us/legal/intellectualproperty/Trademarks/Usage/General.aspx 所載指導方針,在服務、雲端服務及交付項目中使用商標。
31. 分別性、網址。若任何具有司法管轄權之法院判定本 PO 條款中任一條款為非法、無效或無法執行時,其餘條款仍具有完整之效果及效力。URL (網址) 亦解讀為包括該等網址的網站內連結的後繼、本地化以及資訊或資源。任一方當事人簽訂本 PO 條款均係信賴本 PO 條款所包含或納入之任何內容。本PO 條款應依其字面意義解讀,不假設偏袒任何一方。
32. 存續。依照條款規定,本 PO 條款之條款必須在本 PO 條款終止或屆滿之後履行者,或適用於本 PO條款或適用 SOW 終止或屆滿之後發生的事件者,在本 PO 條款或適用 SOW 終止或屆滿後仍繼續有效。所有賠償義務及賠償程序於本PO 條款及適用 SOW 終止或屆滿後,仍繼續有效。
[本頁剩餘部分特意留白]
附錄A - 資料保護
SECTION 1 範圍、優先次序及條款
(a) 本附件修改和補充了採購訂單條款中的條款和條件,因為它們與供應商處理個人數據和遵守數據保護法有關。SOW(如果有)指定供應商作為控制者或處理者的身份。儘管採購訂單條款中有任何相反的規定,如果本附件與採購訂單條款之間存在衝突,則以本附件為準。本附件將附在採購訂單條款中並納入採購訂單條款。
(b) 本附錄僅適用於供應商接收、儲存或處理與貨物、服務,或雲端服務相關的個人資料或機密資訊的情況。
SECTION 2 定義
(a) 所有本附錄中未定義之以引號註明之名詞,則其定義均與PO 條款中之定義相同。
(b) 以下術語具有CCPA 中給出的定義:「業務」、「業務目的」、“銷售”、“共用”、“服務提供者”、“承包商”和“第三方”。
(c) 「控制者」係指決定個人資料處理用途和方式的實體。「控制者」包括企業、控制者 (定義如GDPR
所述),以及資料保護法中的等效術語,視情況要求。
(d) 「資料匯出者」係指 (1) 在需要國際資料傳輸機制的管轄區域經營公司,或有其他穩定安排,以及
(2) 傳輸個人資料或向資料匯出者提供個人資料的一方。
(e) 「資料匯入者」係指 (1) 位於與資料匯出者所在管轄地不同之管轄區域,以及 (2) 從資料匯出者接收個人資料,或能存取由資料匯出者提供之個人資料的一方。
(f) “個人資料事件”指任何:
(1) 未經法律或本採購訂單條款授權,銷毀、更改、使用、丟失、披露或訪問由供應商或其分包商傳輸、存儲或以其他方式處理的個人數據,或任何其他違反個人數據保護的行為;或
(2) 與供應商處理個人數據相關的安全漏洞。“安全漏洞”是指在供應商或其分包商的安全系統中發現的弱點、缺陷或錯誤,威脅代理有合理的可能性以有影響力的方式利用該漏洞。
(g) 「資料保護法」係指與資料安全性、資料保護及/或隱私權有關的任何適用供應商或Microsoft 的法律,包括歐洲議會和 2016 年 4 月 27 日會議關於自然人保護的法規 (EU) 2016/679,該法規有關於個人資料處理以及該資料的自由移動(「GDPR」)、加州。民法 第 1.81.5 章第 1798.100 節等《加州消費者隱私保護法》(「CCPA」),以及經過修訂、延伸、撤銷和替換或重新制定的任何實施、衍生或相關立法、規定、法規和法規指導。
(h) 「資料主體」係指可識別自然人所有可直接或間接識別出之個人,特別是透過參考身分識別資訊,例如姓名、身分證字號、位置資料、線上識別碼,或是與該自然人之身體、生理、遺傳、心智、經濟、文化或社會認同明確相關之一個或多個因素。
(i) 「去識別化資料」係指無法合理連結至已識別或可識別之個人資訊。
(j) 「EEA」係指歐洲經濟區。
(k) 「個人資料」係指任何與已識別或可識別自然人(「資料主體」) 有關之資料,及根據任何相關資料保護法構成之個人資料或個人資訊的任何其他資料或資訊。可識別自然人係指所有可直接或間接識別出之個人,特別是透過參考身分識別項目,例如姓名、身分證字號、位置資料、線上識別碼,或是與該自然人之身體、生理、遺傳、心智、經濟、文化或社會認同明確相關之一個或多個因素。
(l) 「處理」係指一方對個人資料執行的任何作業或作業設定,包括收集、記錄、組織、儲存、改編或更動、擷取、諮詢、使用、經由傳輸揭露、發放或以其它方式提供使用、聯結或合併、封鎖、清除
或毀損。
(m) 「處理者」係指代表另一個實體處理個人資料的實體。「處理者」包括服務提供者、承包商、處理者(定義如GDPR 中所述),以及資料保護法中的等效術語,視情況要求。
(n) “受保護的健康資訊”或“PHI”是指受健康資訊可移植性和責任法案(HIPAA) 保護的Microsoft 個人數據。
(o) 「擬匿名化資料」係指未使用其他資訊無法歸屬於特定個人的資訊,前提是該資料分開存放並受到適當技術和組織措施約束,確保其未歸屬於該個人。
(p) 「敏感性資料」係指以下類型和類別的資料:(1) 揭露種族或民族、政治觀點、宗教或哲學信仰、移民或公民身分,或工會成員身分的資料;遺傳資料;(2) 生物識別特徵資料;(3) 健康相關資料,包括受《健康保險流通與責任法案》(Health Insurance Portability and Accountability Act) 管轄的受保護健康資訊;(4) 自然人的性生活或者性取向資料;(5) 政府核發的身分識別號碼(例如 SSN、駕照等);(6) 付款卡資訊;(7) 受《金融服務業現代化法案》(Gramm Leach Bliley Act) 管轄的非公開個人資訊;(8) 未加密的識別碼與密碼或其他允許存取資料主體帳戶的存取碼相結合;(9) 個人銀行帳 號;(10) 與兒童有關的資料;以及 (11) 精確的地理位置。
(q) “標準合同條款”是指歐盟標準合同條款,即歐盟委員會 2021 年 6 月 4 日實施決定(EU)
2021/914,從歐洲經濟區到第三國的國際轉移,見 https://ec.europa.eu/info/law/law-topic/data- protection/international-dimension-data-protection/standard-contractual-clauses-scc_en 。
(r) 「輔助處理者」係指由作為處理者的一方聘用的處理者。
SECTION 3 雙方當事人的個人資料處理活動和雙方當事人狀態的描述
(a) 細則 1 描述了雙方當事人處理之目的、處理中涉及的個人資料類型或類別,以及受處理影響的資料主體類別。
(b) 細則 1 列出了當事人在相關資料保護法令下的地位。
(c) 處理的主題和持續時間、處理的性質和目的,以及個人資料的類型和資料主體的類別將在工作說明、Microsoft 訂購單或雙方授權代表簽署的書面協議中更詳細地說明,此為構成PO 條款必要的組成部份;若遇此狀況,則更具體的說明將取代細則 1 進行控制。
SECTION 4 國際資料傳輸
(a) 部分管轄區域要求實體若將個人資料轉移給其他管轄區域的接收者,便需採取額外措施,即便接收者所在管轄區域的法律未以進行傳輸之實體所在的管轄區域等效的方式保護個人資訊,仍確保個人資料會受到特別保護(下稱「國際資料傳輸機制」)。雙方當事人將遵守適用之資料保護法可能要求的任何國際資料傳輸機制,包括標準合約條款。
(b) 如果雙方當事人所依賴的國際資料傳輸機制無效或遭取代,雙方將基於誠信原則相互合作,尋找合適的替代方案。
(c) 若資料主體的個人資料位於需要Microsoft 向供應商傳輸資料,或允許供應商存取的國際資料傳輸機制(例如:EEA、瑞士或英國) 的管轄區域,雙方同意,只要本PO 條款生效,他們亦會執行標準合約條款;而這些條款將以引用方式併入並構成本PO 條款的必要組成部分。雙方當事人均同意,針對需要雙方輸入的標準合約條款的要素,細則 1 和細則 2 包含了與標準合約條款附件相關的資訊。雙方當事人均同意,針對英國、瑞士或細則 1 中指定的其他國家/地區之資料主體的個人資 料,他們會採用對細則 1 中列出之標準合約條款的修改,使標準合約條款適用於當地法律(若適 用)。
SECTION 5 一雙方的相互義務
(a) 合規。雙方將遵守各自在《數據保護法》和隱私聲明中的義務,包括提供與 CCPA 要求的企業相同級別的隱私保護。
(b) 資訊。根據要求,供應商將向Microsoft 提供合理的相關信息,以使Microsoft 能夠履行其義務(如果有)進行數據保護評估或事先諮詢數據保護機構
(c) 通知。 如果供應商確定無法再履行適用的數據保護法規定的義務,則供應商將通知 Microsoft。
(d) 合作。如果供應商收到來自政府、立法、司法、執法或監管機構的任何類型的請求或查詢,或面臨與 Microsoft、其關聯公司或其各自最終使用者或代表供應商向供應商提供的個人數據處理有關的實際或潛在索賠、查詢或投訴,或供應商出於附表 1 中描述的目的獲得或收集的個人數據(統稱為“查詢”),則供應商將立即通知Microsoft,但在任何情況下均不得遲於十(10) 個工作日,除非適用法律禁止此類通知。 供應商應立即向Microsoft 提供與調查相關的資訊,包括與索賠辯護相關的任何資訊,以使Microsoft 能夠回應調查。
(e) 保密性。供應商將確保被授權處理個人數據的人員已承諾履行不低於採購訂單條款中規定的保密義務,或承擔適當的法定保密義務。
(f) 安全控制。供應商將遵守附表 2,並根據良好的行業慣例和與數據安全相關的數據保護法(包括根據GDPR 第 32 條)採取所有必要的措施。供應商將實施適當的技術和組織措施,以確保與風險相適應的安全級別。
(g) 與PHI 相關的義務。 如果供應商的參與涉及PHI 的處理,則供應商必須與Microsoft 簽訂業務夥伴採購訂單條款和/或其他必需的採購訂單條款。
SECTION 6 供應商作為獨立控制者的義務(如適用)。如果供應商是與供應商履行採購訂單條款相關的收集、交換或以其他方式處理的個人數據的控制者(見附表 1),則:
(a) 供應商承認並同意,供應商對合規性負有獨立責任,並將遵守適用的數據保護法(例如,控制者的義務);
(b) 供應商不會出售個人數據;
(c) 供應商同意負責根據適用的數據保護法(例如,GDPR 第 13 條和第 14 條,如適用)的要求向數據主體發出通知,並根據數據保護法(如GDPR 第三章)的要求回應數據主體行使其權利的請求並確定處理的合法依據(例如, 同意或合法權益);
(d) 供應商同意將假名數據與使此類假名數據可歸因於特定個人所需的任何其他資訊分開,並將對此類假名數據採取適當的技術和組織措施,以確保其不歸屬於特定個人;和
(e) 供應商同意,它將採取合理措施確保去標識化數據不能與特定的消費者或家庭相關聯,公開承諾以去標識化的形式維護去標識化數據,並且不試圖重新識別它,並以合同形式承諾任何子處理者也這樣做
SECTION 7 供應商作為第三方的義務(如適用)。如果供應商根據 CCPA 作為第三方處理與供應商履行採購訂單條款相關的個人數據(參見附表 1),則:
(a) 供應商將僅出於附表 1 中描述的有限和特定商業目的處理個人數據。
(b) 供應商同意,個人數據僅用於合同中規定的有限和特定目的,並且供應商只能將資訊用於這些目的。
(c) 供應商不會出售或共用Microsoft 提供給它的個人數據。
(d) 供應商將允許 Microsoft 採取合理和適當的措施,以確保供應商以符合 CCPA 規定的 Microsoft 義務的方式使用其從 Microsoft 收到的或代表收到的個人數據。
(e) 供應商將允許 Microsoft 在接到通知後採取合理和適當的步驟來停止和補救任何未經授權使用個人數據的行為。
SECTION 8 供應商作為處理者、承包商、輔助處理者或服務提供者的義務
如果供應商以Microsoft 的處理者、承包商或服務提供者的身份處理數據主體的個人數據,則供應商將承擔本第 8 節中規定的義務;為清楚起見,這些義務不適用於作為獨立控制人、企業或第三方的供應商。
(a) 處理範圍
(1) 供應商處理個人數據僅用於(i) 向Microsoft 提供服務(並在適用的情況下用於適用 SOW中指定的業務目的),(ii) 履行採購訂單條款下的義務,以及(iii) 執行Microsoft 的書面說明。除非適用法律要求,否則供應商不會出於任何其他目的處理個人數據,也不會出售或共用其根據PO 條款收集或獲取的個人數據。
(2) 處理採購訂單條款和本附件範圍之外的任何個人數據將需要供應商和Microsoft 之間通過對採購訂單條款進行書面修訂的事先書面採購訂單條款。
(3) 如果供應商認為由於供應商所承擔的法律義務而無法遵循Microsoft 的指示或履行其在採購訂單條款下的義務,則供應商將通知Microsoft,除非法律禁止供應商發出此類通知。
(4) 禁止供應商保留、使用或披露個人數據(1) 用於附表 1 中指定的商業目的以外的任何目的,包括出於執行Microsoft 指令以外的商業目的保留、使用或披露個人數據;(2) 在雙方的直接業務關係之外,除非適用的數據保護法允許,或 (3) 將供應商從或代表 Microsoft接收的個人數據與其從或代表他人接收的個人數據相結合,或從其與數據主體的互動中收集,前提是供應商可以合併個人數據以執行適用數據保護法允許的任何商業目的。供應商證明其理解並將遵守本條第(8)(a)(4)款中規定的禁令。
(5) 供應商將允許Microsoft 在接到通知後採取合理和適當的步驟來停止和補救任何未經授權使用個人數據的行為。
(b) 擬匿名化資料和去識別化資料方面的義務
(1) 供應商同意將假名數據與使此類假名數據可歸因於特定個人所需的任何其他資訊分開,並將對此類假名數據採取適當的技術和組織措施,以確保其不歸屬於特定個人;
(2) 供應商同意,其將(i) 採取合理措施確保去標識化數據不能與特定消費者或家庭相關聯,
(ii) 承諾以去標識化的形式維護去標識化數據,並且不試圖重新識別它,以及(iii) 以合同形式承諾任何子處理者也這樣做。
(c) 數據主體行使權利的請求。如果供應商收到數據主體根據適用的數據保護法對其個人數據行使權利的請求,供應商將立即通知Microsoft。 供應商不會回應此類數據主體,除非確認他們的請求。供應商將根據要求向Microsoft 提供説明,以説明Microsoft 回應數據主體的請求。Microsoft 將通知供應商供應商必須遵守的任何消費者請求,並將提供合規所需的資訊。
(d) 供應商的輔助處理者。未經Microsoft 事先書面授權,供應商不得聘請輔助處理者。除非PO 條款中另有規定,否則供應商將對其輔助處理者的作為或不作為承擔責任,其程度與供應商在直接根據本附錄執行輔助處理者的服務時相同。供應商將要求輔助處理者以書面形式同意不低於本附錄中條款保護力的條款。
(e) 個人資料事件
(1) 在不限制供應商在採購訂單條款(包括 DPR 和本附件)下關於個人數據的義務的情況下,在發現任何個人數據事件時,供應商將:
(i) 將個人數據事件通知Microsoft,不得無故拖延(在任何情況下,不遲於通知供應商的任何類似情況的客戶,並且在所有情況下,在供應商進行任何一般公開披露
(例如,新聞稿)之前);
(ii) 及時調查數據事件或在數據事件調查中執行必要的協助,並向Microsoft 提供有關個人數據事件的詳細資訊,包括個人數據事件的性質、受影響的數據主體的大致數
量、個人數據事件的當前和可預見影響以及供應商為解決個人數據事件和減輕其影響而採取的措施的描述;和
(iii) 立即採取所有商業上合理的步驟,來減輕資料事件的影響,或協助Microsoft 達成此事。
(2) 供應商將遵守本第 8(e) 條,費用由供應商承擔,除非個人數據事件是由於Microsoft 的疏忽或故意行為或供應商遵守Microsoft 的明確書面指示引起的。
(3) 供應商必須先獲得Microsoft 的書面批准,然後才能將影響或合理可能影響供應商從
Microsoft 收到或代表Microsoft 處理的個人數據的數據事件通知任何政府實體、個人、媒體或其他第三方。儘管本附件中有任何相反的規定,如果供應商有法律義務,則可以將影響個人數據的個人數據事件通知第三方,前提是供應商必須:(i) 如果供應商打算向第三方披露個人數據事件,則盡 Microsoft 努力儘快發出事先通知;以及(ii) 如果無法向
Microsoft 發出此類事先通知,則在可以發出通知後立即通知Microsoft。對於向第三方披露個人數據事件,供應商應在向Microsoft 發出通知時披露第三方的身份和通知副本(如果尚未向第三方發送通知,供應商將向Microsoft 提供草稿)。供應商將允許 Microsoft 提供對通知的編輯或更新。
(f) 個人數據的刪除和歸還。在雙方之間的適用工作聲明、雲訂單、採購訂單或其他書面協定到期或終止時,或應Microsoft 或Microsoft 關聯公司的要求,供應商將毫不拖延地:(1) 將所有個人數據
(包括其副本)退還給Microsoft 或適用的Microsoft 關聯公司;或(2) 根據Microsoft 或其關聯公司的要求,銷毀所有Microsoft 個人數據(包括其副本),並證明其銷毀,除非法律另有明確規定或雙方另有明確書面約定。對於供應商在適用的工作說明書、雲訂單、採購訂單或雙方之間的其他書面協定到期或終止后保留的任何Microsoft 個人數據(例如,因為法律要求供應商保留資訊),(A)供應商將繼續遵守適用於該個人數據的採購訂單條款的所有條款, 包括本附件中的所有數據安全和隱私條款以及這些適用條款將在此類到期或終止後繼續有效,並且(B) 供應商必須在可行的範圍內對個人數據(如果有)進行去標識化或匯總。所有個人數據均為Microsoft 機密資訊。
(g) 稽核。在Microsoft 根據PO 條款的現有稽核權利(若有) 不受限制的情況下,供應商將為Microsoft提供所有必要資訊,以證明符合資料保護法,並允許和協助Microsoft 或Microsoft 授權的其他稽核員進行稽核,包括檢查。
細則 1:處理和輔助處理者的說明
處理活動 | 雙方當事人狀態 | 可能被處理的個人資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 可能被處理的敏感資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 適用的SCC 模組 |
供應商會處理個人資料以提供貨物、服 務,或雲端服務。 | Microsoft是控制者。 供應商是處理者。 | • 位置資料 • IP 位址 • 裝置喜好設定和個人化 • 網站服務使用情況、網頁點選追蹤 • 社群媒體資料、社交圖關係 • 來自連線裝置(例如健身監測器) 的活動資料 • 聯絡人資料,例如姓名、地址、電話號 碼、電子郵件地址、出生日期、家屬和緊急聯絡人 • 詐欺和風險評估、背景調查 • 保險、養老金、福利詳細資訊 • 應徵者履歷表、面試筆記/回饋意見 • 中繼資料和遙測 • 付款方式資料 • 信用卡號及有效日期 • 銀行認證資訊 • 銀行帳號 • 信用請求——信用額度 • 稅務文件和識別碼 • 投資資料 • 公司卡 • 支出資料 • Azure 租用戶、M365租用戶 | • 兒童相關資料 • 遺傳資料 • 生物識別特徵資料 • 健康情況資料 • 種族或民族 • 政治觀點 • 宗教或哲學信仰 • 工會會員 • 自然人的性生活或性取向 • 移民身分(簽證、工作許可等) • 政府核發的識別碼(護照、駕照、簽證、社會安全號碼、國民身分證號碼) | 模組 2 模組 3 (如果Microsoft是另一個控制者的處理者) |
處理活動 | 雙方當事人狀態 | 可能被處理的個人資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 可能被處理的敏感資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 適用的SCC 模組 |
• Xbox Live、OneDrive 消費者 • 客戶發起的支援票證 • 帳單資料 • 電子商務資料 • 活動報名 • 培訓 • 全域唯一識別碼 (GUID) • 護照使用者識別碼或唯一識別碼 (PUID) • 雜湊的終端使用者識別碼資訊 (EUII) -工作階段識別碼 • 裝置識別碼 • 診斷資料 • 記錄資料 | ||||
雙方當事人處理其員工的個人資料,例如管理和提供貨物、服務,或雲端服務;管理發票;管理本PO條款並解決與之相關的任何爭議;回應和 /或提出一般查詢;遵守各自的監管義 務;以及建立和管理 Web 式帳戶。 | Microsoft是控制者。 供應商是處理者。 | • 員工姓名、職稱和其他聯絡資訊 • 員工識別碼 • 與Microsoft 員工的點選、按下或與供應商硬體和軟體的其他互動相關之裝置和/或活動資料 | 無 | 模組 2 模組 3 (如果Microsoft是另一個控制者的處理者) |
供應商作為控制者/協力廠商收集或接收個人資料。 | Microsoft是控制者。 供應商為控制者/協力廠商。 | • 位置資料 • IP 位址 • 裝置喜好設定和個人化 • 網站服務使用情況、網頁點選追蹤 • 社群媒體資料、社交圖關係 | • 兒童相關資料 • 遺傳資料 • 生物識別特徵資料 • 健康情況資料 • 種族或民族 • 政治觀點 • 宗教或哲學信仰 • 工會會員 | 模組 1 |
處理活動 | 雙方當事人狀態 | 可能被處理的個人資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 可能被處理的敏感資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 適用的SCC 模組 |
• 來自連線裝置(例如健身監測器) 的活動資料 • 聯絡人資料,例如姓名、地址、電話號 碼、電子郵件地址、出生日期、家屬和緊急聯絡人 • 詐欺和風險評估、背景調查 • 保險、養老金、福利詳細資訊 • 應徵者履歷表、面試筆記/回饋意見 • 中繼資料和遙測 • 付款方式資料 • 信用卡號及有效日期 • 銀行認證資訊 • 銀行帳號 • 信用請求——信用額度 • 稅務文件和識別碼 • 投資資料 • 公司卡 • 支出資料 • Azure 租用戶、M365租用戶 • Xbox Live、OneDrive 消費者 • 客戶發起的支援票證 - • 帳單資料 o 電子商務資料 • 活動報名 • 培訓 • 全域唯一識別碼 (GUID) | • 自然人的性生活或性取向 • 移民身分(簽證、工作許可等) • 政府核發的識別碼(護照、駕照、簽證、社會安全號碼、國民身分證號碼) |
處理活動 | 雙方當事人狀態 | 可能被處理的個人資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 可能被處理的敏感資料類別 所列之類別僅為描述形式,並不一定代表雙方當事人正在處理列出的每個資料類別。 | 適用的SCC 模組 |
• 護照使用者識別碼或唯一識別碼 (PUID) • 雜湊的終端使用者識別碼資訊 (EUII)-工作階段識別碼 • 裝置識別碼 • 診斷資料 • 記錄資料 |
輔助處理者
供應商在擔任處理者時,使用雙方當事人授權代表簽署的工作說明書或書面協議中列出的輔助處理者。國際傳輸資訊
傳輸頻率
所有個人資料均連續。
保留期限
作為控制者,雙方當事人只要有商業目的或在相關法律允許的最長使用時間內,就會保留個人資料。
作為處理者,供應商會在PO 條款期限內保留其從Microsoft 收集或接收的個人資料,並遵守其在本附錄中的義務。
針對標準合約條款的目的:
• 條款 7:當事人不採用選擇性對接條款。
• 條款 9,模組 2(a) (若適用):雙方當事人選擇選項 1。時間範圍為 30 天。
• 條款 9,模組 3(a) (若適用):雙方當事人選擇選項 1。時間範圍為 30 天。
• 條款 11(a):當事人不選擇獨立爭端解決方案。
• 第 17 條:雙方選擇選項 1。雙方同意管轄管轄權為愛爾蘭共和國。
• 第 18 條:雙方同意法院是愛爾蘭都柏林的高等法院。
• 決議I(A):資料匯出者為「資料匯出者」(定義如上所述),資料匯入者為「資料匯入者」(定義如上所述)。
• 決議I(B):雙方當事人同意細則 1 就傳輸提供說明。
• 決議I(C):主管監督機構是愛爾蘭資料保護委員會。
• 決議II:雙方當事人同意細則 2 描述了適用於傳輸的技術和組織措施。
針對將標準合約條款本地化的目的:
• 瑞士
o 雙方當事人均對所有資料傳輸採用GDPR 標準。
o 條款 13 和決議I(C):條款 13 和決議I(C) 中的主管機構是聯邦資料保護和資訊專員,同時也是上述EEA 成員國當局。
o 第 17 條:雙方同意管轄管轄權為愛爾蘭共和國。
o 第 18 條:雙方同意法院是愛爾蘭都柏林的高等法院。雙方同意解釋標準合同條款,以便瑞士的數據主體能夠根據第 18(c) 條起訴其在瑞士的權利。
o 雙方當事人同意解釋標準合約條款,方便「資料主體」納入有關瑞士法人實體的資訊,直到修訂後的《聯邦資料保護法》生效。
• 英國
o “英國 SCC 附錄”是指英國資訊專員辦公室根據 2018 年數據保護法第 119A(1) 條發佈的歐盟委員會標準合同條款的國際數據傳輸附錄,經資訊專員辦公室不時修改,可在 https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data- protection-regulation-gdpr/international-data-transfer-agreement-and-guidance/ 上查閱。
o 對於來自英國且未受到適當決定或例外情形約束之傳輸,雙方當事人在此同意以引用方式併入UK SCC 增補合約,且簽署此 DPA 即表示簽訂並同意受UK SCC 增補合約之強制條款約束。
o 雙方當事人同意下列資訊與UK SCC 增補合約表 1 至 4 相關,且任一方無意藉由變更表格之格式和內容減少適當保護措施 (Appropriate Safeguards,如 UK SCC 增補合約定義)。
▪ 表 1:雙方當事人的詳細資料、主要聯絡人、資料主體聯絡人,以及簽名位於 DPA
簽署區塊。
▪ 表 2:選定的 SCC、模組和選訂的條款於細則 1 說明。
▪ 表 3:雙方當事人清單、傳輸說明,以及次處理者清單於細則 1 說明。確保資料安全性的技術和組織措施於細則 2 說明。
▪ 表 4:核准的增補合約變更時,任一方當事人均不得終止UK SCC 增補合約。
o 標準合約條款之條款 17:雙方當事人同意管轄區域為英國。
o 標準合約條款之條款 18:雙方當事人同意法院為英格蘭和威爾斯的法院。雙方當事人同意,資料主體可以在英國任何國家/地區的法院對任何一方提起法律訴訟。
細則 2:技術及組織安全措施
供應商將按照PO 條款第 15(a) 節中的約定,遵守Microsoft 的 DPR。
[本頁剩餘部分特意留白]