Microsoft 在线订购协议 - 美国政府云
最后更新日期:2019 年 1 月
本 Microsoft 在线订购协议是您代表的实体与 Microsoft Corporation(以下简称“Microsoft”或“我们”)之间达成的协议,如果您未指定与订购或续签相关的实体,则本协议便为 Microsoft 与您个人(以下简称“您”)之间达成的协议。本协议由下列条款和条件以及在线服务条款、SLA 以及订购或续签的方案详细信息(以下统称为“协议”)组成。本协议自我们确认您的订购之日起或您的订购续签之日起生效(视情况而定)。关键术语的定义见第 12 节。
1. 使用在线服务。
a. 使用权利。 我们授予您访问和使用在线服务,并安装和使用订购附带软件的权利,本协议中提供相关的详细说明。我们保留所有其他权利。
b. 可接受的使用方式。 您必须依照本协议使用产品。您不得对产品进行反向工程、反向编译、反汇编或绕过产品技术限制,尽管有这些限制,但在适用的法律允许的范围内从事上述活动不在此限。对于计量您对在线服务使用情况的任何计费机制,您不得禁用、篡改或以其他方式尝试规避。您不得将产品或其中的任何部分出租、租赁、出借、转售、转让或托管给第三方,除非在本协议或在线服务条款中明确允许。
c. 终端用户。 您应控制最终用户的访问行为,并且您应负责确保他们对产品的使用符合本协议。例如,您应确保最终用户遵守可接受的使用方式政策。
d. 客户数据。 您自行负责所有客户数据的内容。您应保护并维护我们向您提供在线服务所需的所有客户数据权利,以免我们违反任何第三方的权利或导致我们对您或任何第三方的义务。除本协议中明确规定或适用法律要求之外,Microsoft 对客户数据或您对本产品的使用不承担任何义务。
e. 对您的帐户的责任。 您还应负责维护与使用在线服务相关的任何非公开身份验证凭证的保密性。如有任何可能的帐户或身份验证凭据的误用或任何与在线服务有关的安全意外行为,您必须立刻通知我们的客户支持团队。
f. 预览版。 我们可能会提供预览版。我们按“现状”提供“目前可用”且“可能存在各种缺陷”的预览版,预览版不适用 SLA 和本协议中提供的所有有限保证。预览版可能不在客户支持范围内。我们可能会随时更改或停止提供预览版,恕不另行通知。我们也可能不会公开发布预览版。
g. Microsoft Azure 托管服务。 您可以使用 Microsoft Azure 服务提供托管服务解决方案,前提是:(1) 您有能力自行访问、配置和管理 Microsoft Azure 服务;(2) 您对托管服务解决方案中的虚拟 OSE(如有)有管理访问权限;以及 (3) 第三方仅对其应用程序或虚拟 OSE 有管理访问权限。您有责任确保第三方对 Microsoft Azure 服务的使用符合本协议的条款。您在提供托管服务时仍受到在线服务条款中的下列限制的约束:
(i) 您不得转售或再分发 Microsoft Azure 服务,并且
(ii) 您不得允许多个用户直接或间接访问任何以每用户为基础提供的 Microsoft Azure 服务功能。
h. 与在线服务一同使用的其他软件 为了实现对某些在线服务的优化访问和使用,您可能需要按照在线服务条款中的规定安装和使用与在线服务的使用相关的某些软件。我们向您授予软件许可,并不出售该软件。您的软件许可证明为:(1) 本协议;(2) 任何订单回执;(3) 付款证明。您访问任何设备上软件的权利并未授权您在访问该设备的软件或设备中实施 Microsoft 专利或其他 Microsoft 知识产权。
2. 购买服务。
a. 可用订购方案 门户提供了针对可用订购方案的方案详细信息,大致可归类为以下的一种方案或方案组合:
(i) 承诺订购。 您提前承诺将购买特定数量的在线服务以便在期限内使用,并且提前或在期限内于使用前定期支付款项。对于 Microsoft Azure 服务,附加使用或其他使用(例如,超出承诺数量的使用)将被视为消费订购。期限内未使用的承诺数量将于期限到期时到期。
(ii) 消费订购(也称为“即付即用”)。 您根据上一月的实际使用情况付款,无需事先做出承诺。您定期支付所欠款项。
(iii) 受限的服务。 您可以获得在有限期限内免费使用的有限数量的在线服务(例如,免费试用版订购)或作为另一个 Microsoft 服务/产品(如 MSDN)的一部分提供的在线服务。本协议中有关定价、取消费、付款和数据保留的规定可能不适用。
b. 订购。
(i) 订购或续签订购,即表示您同意订购的方案详细信息。除非方案详细信息中另有明确规定,否则在线服务按“目前可用”形式提供。您可在此协议下为您的关联公司提交订单,并授予关联公司管理订购的管理权限。但是,关联公司不能在此协议下提交订单。您还可按第 1.a 小节为第三方分配权利,允许该第三方在您的内部业务中使用在线服务。如果您向关联公司或第三方授予了与软件或您的订购相关的任何权利,则这些关联公司或第三方应受本协议的约束,且在适用法律未明文禁止的情况下,您同意对这些关联公司或第三方的任何与使用产品相关的行为负有连带责任。
(ii) 某些订单可能允许您在订购期间修改订购的在线服务数量。添加到订购的额外数量的在线服务将于订购期满时期满。如果您在订购期间内减少数量,我们会按照下面第 3.b 一节中的说明向您收取减少订购数量的取消费用。
c. 定价和付款。 应付款项必须根据订购的优惠详细信息进行支付。
(i) 对于承诺订购,价格水平取决于您订购的在线服务数量。某些订单可能允许您在期限内修改订购的在线服务数量,而您的价格水平也会进行相应调整,不过,价格水平的更改不具有追溯力。在订购的有效期内,对于订购(来自订购开始生效或续签时门户内发布的订购),在线服务的价格将不会提高,但其价格在方案详细信息中标识为临时的预览版或非 Microsoft 产品除外。所有价格在任何订购续签期之初均可以变更。
(ii) 对于消费订购,定价可能随时变更,但会事先发出通知。
d. 续签。
(i) 续签订购后,本协议将终止,您的订购其后将受订购续签之日门户上规定的条款和条件(以下简称“续签条款”)的约束。如果您不同意任何续签条款,则可拒绝续签您的订购。
(ii) 对于承诺订购,您可以选择在订购期满时自动续签订购或终止订购。自动续签是预选的选项。在订购期内,您可以随时更改您的选择。如果订购期长于一个日历月,我们将在订购期满之前为您提供自动续签通知。
(iii) 对于消费订购,除适用法律禁止外,在您终止订购前,您的订购会自动额外续签一个月。
(iv) 对于受限的服务或试用订购来说,可能不会允许续签。
e. 学术版、政府版和非营利组织版购买资格。 您同意,购买学术版、政府版或非营利组织版需要满足下列网站上列出的相应资格要求。
(i) 如需购买学术版,请访问 http://go.microsoft.com/?linkid=9862882 了解教育机构(包括行政管理办公室或学校董事会、公共图书馆或公共博物馆)需要满足的要求;
(ii) 如需购买政府版,必须满足 http://go.microsoft.com/?linkid=9862883 中列出的要求;
(iii) 如需购买非营利组织版,请查看 http://www.microsoftvolumelicensing.com/userights/DocumentSearch.aspx?Mode=3&DocumentTypeId=19 上列出的要求。
Microsoft 保留随时验证资格的权利,如果没有达到资格要求,则有权暂停在线服务。
f. 税款。
除非发票中另外说明包含税费,否则价格不含任何税款。您必须支付依据本协议产生的、并且是适用法律允许我们向您收取的任何适用的增值税、商品劳务税、销售税、总收入税、其他交易税费、收费或附加费、任何监管成本回收附加费或类似费用(如有)。您应负责缴纳法律规定必须缴纳的任何适用印花税和所有其他税款(如有),包括由于向您的关联公司分发或提供产品而产生的任何税款。我们将负责支付所有净收入或总收入税款,来代替与收入或利润或我们的财产所有权相关的税款。
如果必须将某项税款从您支付给我们的付款中扣除,则您可从应付给我们的款项中扣除该税款,并将该税款支付给相应的税收机构;但前提是您应及时获取并向我们提交这些预缴税金的正式收据或我们可能合理请求的其他票据,以便我们申请外国税收抵免或退款。您必须保证,预扣的任何税款均为适用法律允许的最低限额。
3. 期限、终止与暂停。
a. 协议期限与终止。 本协议在您的订购到期、终止或续签(以时间较早者为准)之前将一直有效。
b. 终止订购。 您可在订购期内随时终止订购,但在终止生效前,您必须支付所有应付款项和欠款。
(i) 月度订购。 可以随时终止月度订购,而不必支付任何取消费。
(ii) 超过一个月的订购。 如果在自订购生效或续签订购之日起的三十 (30) 天内终止 Microsoft Azure 服务订购,我们不会提供退款,您必须支付该订购前三十 (30) 天的费用,但已终止订购的剩余时间无需付费。如果在订购期内的任何其他时间终止 Microsoft Azure 服务的订购,则必须为订购期限的剩余时间支付费用,我们不会提供退款。
对于所有其他在线服务,如果您在订购期结束前终止订购,则您必须支付一个月的订购费用,对于您已经为其付款的剩余订购期的订购费用的任何部分,您将会收到退款;但前提是对于部分未使用的月份不提供退款。
c. 暂停。 如果出现以下情况,我们可以暂停您对在线服务的使用:(1) 出于防止对客户数据进行未授权访问的合理需要;(2) 您未能在合理时间内按照以下第 5 节的规定回应指控侵权索赔;(3) 您没有依照本协议支付应付款项;或者 (4) 您没有遵守可接受的使用方式政策或违反了本协议的其他条款。如果出现上述一种或多种情况,则:
(i) 如果适用法律未禁止,则对于有限供应物,我们可能会在不通知的情况下暂停您对在线服务的使用或终止您的订购和您的帐户。
(ii) 对于所有其他订购,暂停的适用范围是在线服务的最小必要部分,只有在存在条件或需要时才会实行。我们会在暂停之前发出通知,除非我们合理地相信我们需要立即暂停服务。对于因未付款而暂停服务的情况,我们会在暂停服务之前至少三十 (30) 天发出通知。如果您未能在暂停服务后六十 (60) 天内完全解决导致暂停的原因,如果适用法律未禁止,我们可能会终止您的订购并在不提供任何保留期的情况下删除您的客户数据。如果适用法律未禁止,且您在任何十二 (12) 个月的时间段内对在线服务的使用被暂停两次以上,则我们还将终止您的订购。
4. 保证。
a. 有限保证。
(i) 在线服务。 我们保证在线服务在订购期内满足 SLA 条款。出现违反此保证的情况时,您仅可获得 SLA 中列出的补偿。
(ii) 软件。 我们保证从您首次使用软件之日开始一年之内,软件会真正按照适用的用户文档中所陈述的方式运行。如果软件未能符合此保证,我们可自行选择并作为您的唯一补救措施 (1) 退还为软件支付的价款,或 (2) 维修或更换软件。
b. 有限保证排除。 此有限保证受以下限制的约束:
(i) 任何由于法律规定而不能排除的默示保证、保障或条件在有限保证开始后的一年内有效;
(ii) 此有限保证不涵盖因意外、滥用或以与本协议或我们已发布的文档或指南不一致的方式使用产品或由于超出我们的合理控制范围的事件导致的问题;
(iii) 此有限保证不适用于因不能满足最低系统要求而导致的问题;以及
(iv) 此有限保证不适用于预览版或受限的服务。
c. 免责声明。 除了本保证之外,并且在适用法律未禁止的情况下,我们不做出任何保证,无论是明示、默示、法定或其他类型的保证,包括针对适销性或对于特定用途适用性的保证。除非适用的法律禁止,否则将适用上述免责声明。
5. 索赔辩护。
a. 辩护。
(i) 对于因产品侵犯独立第三方的专利权、版权或商标或非法使用其商业秘密而由该第三方提出的任何索赔,我们将为您提供辩护。
(ii) 在适用法律未禁止的情况下,以及在下文第 (iii) 款不适用于您的情况下,对于由独立第三方提出的任何索赔,如果是因为 (1) 您在使用产品过程中直接或间接提供的任何客户数据、客户解决方案或非 Microsoft 产品或服务侵犯了该第三方的专利权、版权或商标,或非法使用了其商业秘密;或 (2) 您违反了可接受的使用策略,则您应为我们提供辩护。
(iii) 如果您是一个联邦机构,则上文第 (ii) 款不适用。但是,您同意,在使用产品过程中直接或间接使用您提供的任何客户数据、客户解决方案或非 Microsoft 产品或服务并未侵犯任何第三方的专利权、版权或商标,或非法使用任何第三方的商业秘密。此外,您不会违反可接受的使用策略来使用在线服务。
b. 限制。 对于因下列原因导致的索赔或裁决,我们概不承担第 5a 节中的任何义务:(i) 任何客户解决方案、客户数据、非 Microsoft 产品、您对产品所做的修改,或者您提供的服务或材料或在使用过程中提供的材料;(ii) 您将产品与客户数据、非 Microsoft 产品、数据或业务流程组合使用,或者因客户数据、非 Microsoft 产品、数据或业务流程而造成的损害;(iii) 您在未获得我们明确书面同意的情况下使用 Microsoft 商标;或您在我们因第三方索赔而通知您停止使用产品后,仍继续使用该产品;(iv) 您将产品重新分发给任何独立第三方,或为了任何独立第三方的利益使用产品;或 (v) 免费提供的产品
c. 补救措施。 如果我们合理认为第 5.a.(i) 节所述的索赔可能会妨碍您对产品的使用,我们将尽可能:(i) 为您获取继续使用产品的权利;或 (ii) 对产品进行修改或使用具有对等功能的产品予以替代,并通知您停止使用早期版本的产品。如果以上选项在商业上不是合理可行的,我们可能终止您使用产品的权利,然后返还尚未使用的订购权利的所有预付款。
d. 义务。 各方必须立即将本节中规定的索赔事宜通知另一方。寻求保护的一方必须 (i) 让另一方全权处理索赔的辩护与庭外和解(前提是对于任何联邦机构客户,辩护与庭外和解的处理要遵守《美国法典》第 28 编第 516 条的规定);以及 (ii) 在索赔辩护过程中提供合理帮助。在适用的情况下,提供保护的一方将 (1) 补偿另一方在提供帮助时所产生的合理的现付费用;以及 (2) 支付任何不利终审判决或庭外和解产生的费用。双方在此第 5 节下各自在辩护和支付判决(或另一方同意的庭外和解)方面的权利代替所有普通法或成文法的赔偿权利或类似权利,且双方放弃此类普通法或成文法权利。
e. 尽管有上述规定,并且只针对联邦机构客户,在本节中规定的 Microsoft 权利(以及声称侵权的第三方的权利)仍须受《美国法典》第 28 编第 1498 条规定的约束。§ 1498.
6. 责任限制。
a. 限制。 各方在本协议下针对所有索赔的累积责任限制为直接损害且金额不超过在发生诉讼之前的 12 个月内依据本协议为在线服务支付的金额;前提是,在任何情况下,各方因任何在线服务产生的累积责任均不得超过在订购期间为该在线服务支付的金额。对于免费提供的产品,Microsoft 的责任限制为直接损害且上限为 $5000。
b. 免责条款。 在法律未禁止的情况下,任何一方均不对收入损失或间接的、特殊的、附带性的、后果性的、惩戒或惩罚性的损害或收入损失、业务中断或业务信息丢失而造成的损害承担责任,即使该方已被告知或者可合理预见发生相关损害的可能性也是如此。
c. 限制例外情况。 本节中的责任限制在适用的法律允许的最大范围内适用,但不适用于:(1) 各方根据第 5 节应承担的义务;或 (2) 侵犯另一方知识产权的情形。
d. 联邦机构。 对于身为联邦机构的客户,本节规定不影响您根据任何联邦欺诈法令(包括《虚假申报法案》、《美国法典》第 31 编第 3729-3733 条)追讨本协议引起的或与之相关的欺诈或犯罪的权利。§§ 3729-3733.
7. 政府社区云。
如果您正在购买政府社区云产品/服务,以下附加条款将适用:
a. 社区要求。 您保证,您是社区成员,并同意仅以您作为社区成员的身份并为身为社区成员最终用户的利益使用政府社区云服务。严禁非社区成员实体使用政府社区云服务或向非社区成员提供服务,并且此类使用可能导致本协议和/或您的政府社区云服务许可被终止。您承认,只有社区成员才可以使用政府社区云服务。
(i) 适用于非政府社区云服务的所有条款和条件也适用于其相应的政府社区云服务,但在线服务条款中另有规定的除外。
(ii) 在您的政府社区云服务期限内,您必须维持其社区成员的身份。维持社区成员的身份是此类服务的重要要求。
(iii) 免责声明。政府社区云服务不可与非政府社区云服务运行在同一域中。
b. 政府社区云服务的在线服务条款 对于政府社区云服务,尽管在线服务条款中有任何相反规定:
(i) 政府社区云服务将只在美国境内提供。
(ii) 如在线服务条款所述,其他欧洲条款将不适用。
(iii) 如在线服务条款中所述,对于客户数据所处的位置,在线服务条款中提及的地理区域仅指美国。
c. 控制标准和框架。 尽管在线服务条款中存在数据处理条款章节,但 Azure 政府服务与 Microsoft Azure 核心服务并非受相同的控制标准和框架的约束。合规性信任中心页面描述了 Azure 政府服务遵守的控制标准和框架
8. ITAR 覆盖服务。
本节内容仅适用于您根据订购而购买的 ITAR 覆盖服务(定义如下)。只有当您在在线申请过程的资格验证阶段向微软明确通知您意图管理客户数据中的 ITAR 受控数据时,这些条款才适用。
a. 您的前提条件:
(i) 在把 ITAR 控制数据引入 ITAR 覆盖服务之前,您要负责确保满足 ITAR 制定或要求的前提条件。
(ii) 您承认,您根据订购表而购买的 ITAR 覆盖服务将使最终用户可以选择访问和使用如服务文档和/或门户(而您的管理员将通过门户管理和配置 ITAR 覆盖服务)中所述的各种额外资源、应用程序或服务,并且它们是 (a) 由第三方提供,或 (b) 由 Microsoft 根据其自身的使用条款或隐私政策(为方便起见,合称“加载项”)提供。
(iii) 为了让您的最终用户使用 ITAR 覆盖服务,您须负责审阅在线服务文档、配置 ITAR 覆盖服务以及采用和实施此类政策和实践,并为遵守适用于您但通常不适用于作为 IT 服务提供商的 Microsoft 的 ITAR 或其他法律或法规要求,还要加上您认为合适的任何其他加载项。
(iv) 您承认,将只根据本节条款交付 ITAR 覆盖服务。不支持处理和存储其他服务(包括但不限于加载项)中的 ITAR 控制数据。不限制上述规定的情况下,您选择提供给 Microsoft 技术支持组织的数据(如有),或者由您或代表您提供给 Microsoft 的计费或商业系统的、与购买或订购 ITAR 覆盖服务有关的数据(如有)不受本节条款的限制。您自行全权负责确保不把 ITAR 控制数据列入支持信息或支持案例项目中。
b. 特别条款。
(i) ITAR 覆盖服务。 ITAR 覆盖服务是以标准化方式运行的云服务,具有跨越多个客户的通用功能和流程。作为您使用 ITAR 覆盖服务来存储、处理或传输 ITAR 控制数据准备工作的一部分,您应查看适用的服务文档。您是否遵守 ITAR 将在一定程度上取决于您的服务配置,以及为了让您的最终用户使用 ITAR 覆盖服务而对政策和实践的采用及实施。您自行负责确定遵守 ITAR 所需的适当政策和实践。
c. 人员。 获 Microsoft 授权有权限访问 ITAR 覆盖服务中的客户数据(可能包括 ITAR 控制数据)的 Microsoft 工作人员和承包商仅限于美国人,该术语的定义请见 ITAR。您也可以授权 Microsoft 工作人员和承包商访问其客户数据。您全权负责确保任何此类授权在 ITAR 中是被允许的。
d. 聘用分包商。 如 OST 中所述,Microsoft 可能会雇用分包商来代表 Microsoft 提供服务。在交付 ITAR 覆盖服务过程中使用的任何此类分包商将仅被允许获取客户数据(可能包括 ITAR 控制数据),以交付 Microsoft 委托提供的 ITAR 覆盖服务,而不得将客户数据用于任何其他目的。在 ITAR 覆盖服务中存储和处理客户数据要始终遵守 Microsoft 的安全控制措施,并且如果是分包商工作人员履行与 ITAR 覆盖服务有关的服务,则他们有义务遵守 Microsoft 的政策,包括但不限于您在 ITAR 覆盖服务配置中选择的地理限制和控制措施。Microsoft 负责保证其分包商履行 Microsoft 的义务。
e. 通知。 OST 中定义的安全事件处理流程将适用于 ITAR 覆盖服务。此外,双方同意下列条款:
(i) 您承认,涉及 ITAR 控制数据安全事件的有效调查或缓解可能取决于您控制范围内的信息或服务配置。因此,正确处理 ITAR 控制数据将是 Microsoft 和您的共同义务。如果您知道任何未经授权将 ITAR 控制数据发布给 Microsoft,或使用 ITAR 覆盖服务以外的服务来存储、处理或传输 ITAR 控制数据的行为,您将及时将此类事件通知 Microsoft,并为 Microsoft 调查和报告此类事件提供必要的合理协助和信息。
(ii) 如果在 Microsoft 发出安全事件通知后,您确定 ITAR 控制数据可能遭到未经授权的检查或披露,并且如果您确定根据适用法律法规或您的内部政策需要通知相关部门,那么您要负责将该事件通知相关当局,或通知受影响的个人
(iii) 如果任何一方决定,向贸易控制理事会自愿披露关于在在线服务中处理 ITAR 控制数据的信息是必要的和明智的,那么在提供自愿披露之前,该方将善意地把此类自愿披露通知另一方。双方将真诚合作,准备并报告任何此类自愿披露。
f. 冲突。 如果本节中的任何条款与协议中的任何条款发生冲突,则以本节为准。
9. IRS 1075 覆盖服务。
本节内容仅适用于您根据订购而购买的 IRS 1075 覆盖服务(定义如下)。
a. 您的前提条件:
(i) 在把 FTI 引入 IRS 1075 覆盖服务之前,您要负责确保满足 IRS 出版物 1075 制定或要求的前提条件。
(ii) 您承认,您根据订购而购买的 IRS 1075 覆盖服务将使最终用户可以选择访问和使用如服务文档和/或门户(而您的管理员将通过门户管理和配置 IRS 1075 覆盖服务)中所述的各种额外资源、应用程序或服务,并且它们是 (a) 由第三方提供,或 (b) 由 Microsoft 根据其自身的使用条款或隐私政策(为方便起见,合称“加载项”)提供。
(iii) 为了让您的最终用户使用 IRS 1075 覆盖服务,您须负责审阅在线服务文档、配置服务以及采用和实施此类政策和实践,并且为了让您遵守适用于您但通常不适用于作为 IT 服务提供商的 Microsoft 的 IRS 出版物 1075 或其他法律或法规要求,还要加上您认为合适的任何其他加载项。
(iv) 您承认,仅 IRS 1075 覆盖服务根据此第 9 节的条款交付。第 9 节的条款不支持其他服务。在不限制上述规定的情况下,您选择提供给 Microsoft 技术支持组织的数据(以下简称“支持数据”)(如有),或者由您或代表您提供给 Microsoft 的计费或交易系统的、与购买/订购 IRS 1075 覆盖服务有关的数据(以下简称“计费数据”)(如有)不受此第 9 节条款的约束。您全权负责确保 FTI 不作为支持数据或计费数据而提供。
b. IRS 出版物 1075 特别条款。
IRS 1075 覆盖服务。IRS 1075 覆盖服务是以标准化方式运行的云服务,具有跨越多个客户的通用功能和流程。作为您使用 FTI 服务准备工作的一部分,您应查看适用的服务文档。您是否遵守 IRS 出版物 1075 将在一定程度上取决于您的服务配置,以及为了让您的最终用户使用 IRS 1075 覆盖服务对政策和实践的采用及实施。您自行负责确定遵守 IRS 出版物 1075 所需的适当政策和实践。
(i) 背景调查。无论附件 1 有任何相反规定,所有被授权在 IRS 1075 覆盖服务中对客户数据(可能包括 FTI)进行逻辑访问的经筛选人员将满足与 IRS 出版物 1075 所定义要求相同的背景调查要求。
(ii) 附件 1 包含 IRS 出版物 1075 中规定的技术服务保障协定语言。Microsoft 与您已商定,将按照第 9 节其余部分的规定来满足保障协定语言和 IRS 出版物 1075 中的某些要求。
(iii) 工作人员记录和培训。Microsoft 将维护一份获授权访问 IRS 1075 覆盖服务中客户数据(可能包括 FTI)的工作人员名单,并且将根据书面请求提供给您或 IRS。您将把 Microsoft 工作人员的个人可识别信息 (PII) 视为 Microsoft 的商业秘密或安全敏感信息,并且在适用法律允许的最大范围内,此类信息将免于公开披露,同时,如果需要把此类 Microsoft 工作人员 PII 提供给 IRS,那么您将要求 IRS 以同样方式对待此类工作人员 PII。
(iv) 培训记录。Microsoft 将按照 IRS 出版物 1075 的要求,维护安全及信息披露意识培训记录,并且将根据书面请求向您提供此类记录。
(v) 保密声明。Microsoft 将保持一份签署的保密声明,并将根据请求提供一份副本供检查。
(vi) 云计算环境的要求。IRS 1075 覆盖服务是根据针对适用服务的 FedRAMP 系统安全计划提供的。在适用的 FedRAMP 系统安全计划中可以找到关于 Microsoft 遵守 IRS 出版物 1075 所要求的控制措施的情况,包括但不限于加密和媒体清洁控制措施。
(vii) 聘用分包商。如 OST 中所述,尽管附件 1 有任何相反规定,但 Microsoft 可能会雇用分包商来代表其提供服务。在交付 IRS 1075 覆盖服务过程中雇用的任何此类分包商将仅被允许获取客户数据(可能包括 FTI),以交付 Microsoft 委托提供的服务,而不得将客户数据用于任何其他目的。在 IRS 1075 覆盖服务中存储和处理客户数据须始终遵守 Microsoft 的安全控制措施,如果是分包商工作人员履行与 IRS 1075 覆盖服务有关的服务,则他们有义务遵守 Microsoft 的政策。Microsoft 负责保证其分包商履行 Microsoft 的义务。在遵守上述规定的情况下,Microsoft 可以通过扩充现有员工的方式雇用分包商工作人员,并把 IRS 出版物 1075 中提及的员工理解为包含按照此处规定的方式行事的员工和分包商。您应负责获得 IRS 对雇用所有分包商的批准。
(viii) Microsoft 将维护一份分包公司名单,当中可能会提供获得授权的工作人员,访问在线服务中的客户数据,并且将在 https://azure.microsoft.com/support/trust-center/ 上或者 Microsoft 标识的后续位置公布针对 Azure 品牌服务的名单。授权任何新分包商访问客户数据前,Microsoft 将至少提前 14 天更新这些网站,并为您提供用于获得该更新通知的机制。
(ix) 安全事件通知。OST 中定义的安全事件处理流程将适用于 IRS 1075 覆盖服务。此外,双方同意下列条款:
1. 您承认,安全事件的有效调查或缓解可能取决于您控制范围内的信息或服务配置。因此,遵守 IRS 出版物 1075 事件响应要求将是 Microsoft 和您之间的共同义务。
2. 如果在 Microsoft 发出安全事件通知后,您确定 FTI 可能已经遭到未经授权的检查或披露,并且如果您确定根据 IRS 出版物 1075、其他适用法律法规或您的内部政策需要通知相关部门,那么您应负责把安全事件通知相关主管官员——美国财政部税务管理监察长和/或安全事件的 IRS,或通知受影响的个人。
c. 您的检查权利。
(i) 由您进行审计。您将 (i) 每季度获得权限,访问由 Microsoft 对现有的安全、隐私和操作控制措施进行定期监控所生成的信息,以使您持续了解这些控制措施的有效性,(ii) 获得一份报告,说明 IRS 1075 覆盖服务遵守 NIST 800-53 或后续控制措施的情况,(iii) 在提出请求的情况下,获得机会与 Microsoft 的标的事项专家沟通,澄清上述报告,以及 (iv) 在提出请求并自费的情况下,获准与参与编写审计报告的 Microsoft 独立第三方审计师进行沟通。无论附录 1 中有何相反规定,您将使用上述信息来满足 IRS 出版物 1075 中的任何检查要求,并且您同意,本节中描述的审计权利是用于完全满足 IRS 或您可能要求的任何审计的独占权利。无论附录 1 中有何相反规定,Microsoft 不会授予 IRS 任何检查权利或可能导致 Microsoft 未根据 FedRAMP、ISO 27001/27018、其他美国政府安全相关操作或其内部安全政策履行其合同义务的 Microsoft 数据中心或其他设施的访问权限。
(ii) 审计材料的保密性。Microsoft 向您提供的审计信息将包含 Microsoft 属于高度机密的专有或商业机密信息。在向机构提供此类信息之前,Microsoft 可能要求合理的书面或其他形式的保证,表明此类信息将按照本协议的规定作为机密信息和/或商业机密信息进行维护,并且机构将确保 Microsoft 的审计信息得到适用法律中规定的最高的保密水平。尽管有上述规定,根据要求并依据适当的保密性保护,您应被允许向 IRS 提供第 9.c(i) 节中所述的 Microsoft 审计信息,以满足 IRS 出版物 1075 中的 IRS 检查要求。
(iii) 此处的第 9.c 节是对 OST 中提供您的合规信息的补充。
10. 刑事司法信息服务 (CJIS)。
本节内容仅适用于您根据订购而购买的 Azure 政府 CJIS 覆盖服务。
a. 您的前提条件:
(i) Microsoft 关于其 CJIS 覆盖服务遵守 FBI 刑事司法信息系统 (“CJIS”) 安全附录(FBI CJIS 政策的附录 H)的表述取决于您是否把相应的州特定 CJIS 修订条款和条件并入到您的订购中。此外,还取决于您是否在您与覆盖实体签订的协定中并入和分解此类条款。
(ii) 请访问 https://www.microsoft.com/TrustCenter/Compliance/CJIS,了解关于 CJIS 覆盖州和 CJIS 覆盖服务的其他信息。请注意,并不是所有州都是 CJIS 覆盖州,并且在不同的 CJIS 覆盖州中可能适用不同的 CJIS 覆盖服务。如需了解更多关于如何通过企业协议来注册 CJIS 覆盖服务的信息,请访问 https://azure.microsoft.com/pricing/enterprise-agreement。就本节而言,如果您不位于 CJIS 覆盖州,那么 Microsoft 此时就无法提供与 CJIS 相关的表述,也不适用任何 CJIS 修订。,
(iii) 您可以通过联系 CJIS 覆盖州的 CSA 获取关于 Microsoft 遵守 FBI CJIS 政策的条款和条件。FBI CJIS 政策中提及的私人承包商(云提供商)安全附录以及 CSA 提供的条款和条件将通过提述方式并入本协议,并且您承认,Microsoft 对 CJI 的支持将按照相关州 CSA 同意和/或签署的条款进行。您还承认,您负责就此及任何其他信息联系相关的州 CSA。您需要并承认将会与相关的州 CSA 直接合作,处理与 CJIS 相关的文档和审计需求。
(iv) 您负责确保 CJIS 安全附录已由 CSA 签署,CSA 已经批准您使用覆盖的服务来存储或处理 CJI,并且在将 CJI 引入覆盖服务之前,FBI、州 CSA 或您所制定或要求的任何其他先决条件均已得到满足。
(v) 您承认,您将保存关于您向其提供 CJIS 州协议或您从州 CSA 获得的其他 CJIS 相关文档的任何覆盖实体的记录,并应根据要求及时向 Microsoft 提供这些记录。
b. 如果本节中的任何条款与协议中的任何条款发生冲突,则以本节为准。
11. 其他
a. 通知。 您必须通过邮寄方式将通知和请求的回执邮件发送至以下地址。
|
Microsoft Corporation Volume Licensing Group One Microsoft Way Redmond, WA 98052 USA 传真:(425) 936-7329 |
Microsoft Corporation Legal and Corporate Affairs Volume Licensing Group One Microsoft Way Redmond, WA 98052 USA 传真:(425) 936-7329 |
您同意接收我们的电子通知,这些通知将以电子邮件形式发送给您在门户中指定的帐户管理员。通知在回执收据上所示的日期生效。如果发送电子邮件,则在发送之时生效。您负责确保您在门户中指定的帐户管理员电子邮件地址是准确并且最新的。我们向此电子邮件地址发送的任何电子邮件通知自发送之时起生效,无论您实际是否收到电子邮件都是如此。
b. 许可转让和分配。 您不得全部或部分分配本协议,或者在没有取得 Microsoft 同意的情况下转让许可。
c. 同意支付合作伙伴费用 当您提交订单时,您可能获得机会(视情况而定)指定与您的订购关联的“登记合作伙伴”。一旦直接或授权第三方指定了登记合作伙伴,表示您同意我们向登记合作伙伴支付费用。这些费用为售前支持费用,并且可能包含售后支持费用。费用根据订单而定,并会随着订单规模的增加而增加。无论是否指定登记合作伙伴,我们的在线服务价格都是一样的。
d. 可分割性。 如果本协议的任何部分被认定不可执行,其余内容仍然具备完全效力。
e. 弃权。 未能执行本协议的任何条款不构成弃权。
f. 无代理。 本协议不会建立代理、合伙或合营关系。
g. 无第三方受益人。 本协议不存在第三方受益人。
h. 适用法律和审判地 本协议由美国华盛顿法律管辖,不考虑其法律冲突原则,除非 (i) 如果贵方是美国政府实体,该协议由美国法律管辖;(ii) 如果贵方是美国州或地方政府实体,该协议由州法律管辖。任何强制执行本协议的诉讼都应在华盛顿州提出。选择该管辖权地并不妨碍任何一方就违反知识产权的行为在任何合适的管辖权地寻求禁止令救济。
i. 完整协议。 本协议是双方就本协议主题达成的完整协议,将取代以前或同期的所有通信。如果本协议中提及的文件之间存在冲突,而且这些文件未能明确地解决相关冲突,则各文件条款的优先顺序(降序)如下:(1) Microsoft 在线订购协议,(2) 在线服务条款,(3) 适用的方案详细信息,以及 (4) 本协议中的任何其他文档。
j. 效力存续。 条款中的第 1、2.e、3.b、4、5、6、7 和 8 节将在本协议终止或期满后继续保持有效。
k. 美国出口管辖权地。 产品受美国出口管辖权地的约束。您必须遵守所有适用的法律,包括美国出口管理条例、国际武器贸易条例以及由美国和其他国家(地区)政府颁发的最终用户、最终使用和目的地方面的限制。有关其他信息,请访问 http://www.microsoft.com/exporting/。
l. 不可抗力。 任一方均不对由于超出其合理控制范围的原因(例如火灾、爆炸、断电、地震、洪水、猛烈风暴、罢工、禁运、劳资纠纷、民事或军事机构的行为、战争、恐怖行动(包括网络恐怖行动)、不可抗拒事件、Internet 通信运营商的行为或疏忽、监管或政府机构的行为或疏忽(包括通过法律或法规或影响在线服务交付的其他政府行为))而导致的任何未能履行其义务的情况负责。但本节不适用于您依据本协议应履行的付款义务。
m. 签约的主管机构。 如果您是代表某实体接受这些条款的个体,则您声明您具有代表该实体签订本协议的法定权利。如果您指定一家实体,或者您使用与您相关的(比如雇主)实体提供的电子邮箱地址订购或续签,则该实体将被视为本协议中订购的所有者。
n. 当您是美国联邦机构时适用的附加条款:
(i) 与根据协议获得的任何产品相关的、可能提供的任何拆封许可协定或任何点击协议(或其他类似形式的协议)的任何条款均不适用于代替或者用于修改本协议的任何条款,即使您的用户或授权人员声称已经肯定地接受了此类拆封许可协定或点击条款。为了避免疑义,并且在不限制上述规定的情况下,如果任何此类拆封许可或点击条款(不论此类条款附属于何种产品或服务)与本协议的任何条款或条件之间存在冲突,那么在出现任何此类冲突的情况下,将以本协议的相关条款或条件为准,并取代此类产品的购买。所有对协议和续订的接受都应以书面形式执行。
(ii) 如果以引用方式并入本协议中的任何文件(包括此处和/或文件中包含的和/或提及的和/或并入的产品条款和在线服务条款)包含以下一项条款:(a) 允许自动终止您的许可权利或在线服务;(b) 允许自动续订服务和/或费用;(c) 要求管制法律为联邦法律以外的任何法律;以及/或者 (d) 以任何方式违反适用的联邦法律,则此类条款不适用于联邦政府。如果以引用方式并入本协议中的任何文件(包括此处和/或文件中包含的和/或提及的和/或并入的产品条款和在线服务条款)包含一项赔偿条款,则此类条款不适用于美国赔偿 Microsoft 或任何其他方。
12. 定义。
本协议中所表述的“日”均指日历日。
“可接受的使用方式政策”在在线服务条款中规定。
“关联公司”指由一方所有、一方所属或与一方同属于同一所有权的任何法律实体。在此定义中,“所有权”指控制实体 50% 以上的股份。
“Azure 政府服务”是指 Microsoft 根据这份订购表向您提供的、在 /en-us/global-infrastructure/regions/ 上识别的一项或多项服务或功能,也就是政府社区云服务。
“CJI”是指美国联邦调查局 CJIS 政策中定义的刑事司法信息。
“CJIS 覆盖州”指的是 https://www.microsoft.com/en-us/TrustCenter/Compliance/CJIS/ 上或者微软可能提供的其他网站上显示的州,并且微软已经与相关州就此签订一份 CJIS 州协议。
“CJIS 覆盖服务”是指,对于任何州特定的 CJIS 修正案,在该修正案中列出的、Microsoft CJIS 声明适用的 Microsoft 在线服务。
“CJIS 州协议”是指 Microsoft 与被覆盖州的 CSA(或 CSA 授权的其他实体)之间的一份协议,而根据其中包含的条款和条件,被覆盖州和 Microsoft 将遵守 CJIS 政策的适用要求。每份 CJIS 州协议均符合相应州特定的 CJIS 修正案,并包括 Microsoft CJIS 安全附录认证。为明确起见,CJIS 州协议的标题可以是“CJIS 信息协议”或“CJIS 管理协议”。
“社区”是指包含以下一个或多个组成部分的社区:(1) 政府,(2) 使用符合条件的政府社区云服务向政府或合格的社区成员提供解决方案的客户,或者 (3) 客户和受政府法规约束的客户数据,并且客户确定且 Microsoft 认同,使用政府社区云服务处理这些客户数据是适当的,能够满足客户的法规要求。社区成员资格由 Microsoft 最终确定,可能因政府社区云服务而异。
“合规信任中心页面”是指微软在 https://www.microsoft.com/en-us/TrustCenter/Compliance/default.aspx 上或者微软后来确定的后续网站上发布的、微软信任中心的合规页面。
“消费订购”、“承诺订购”或“受限的服务”指几种不同的订购方案,在第 2 节中予以定义。
“覆盖实体”是指您与之保持契约关系的、处于被覆盖州的任何州/本地实体,并且其对 CJIS 覆盖服务的使用要受 CJIS 政策约束。
对于每个 CJIS 覆盖州而言,“CSA”是指 FBI CJIS 政策所定义该州的 CJIS 系统机构。
“客户数据”在在线服务条款中定义。
“客户解决方案”在在线服务条款中定义。
“国防用品”拥有《美国联邦法规》第 22 编第 120 节中规定的含义。§ 120.
“国防服务”拥有《美国联邦法规》第 22 编第 120 节中规定的含义。§ 120.
“最终用户”是指您允许其访问在线服务中托管的客户数据或通过其他方式使用在线服务的任何人,或者客户解决方案的任何用户。关于 ITAR 覆盖服务,最终用户是指访问 ITAR 覆盖服务的个人。关于 IRS 1075 覆盖服务,最终用户是指访问 IRS 1075 覆盖服务的个人。“联邦机构”是指美国政府的办公署、办事处、机构、部门或其他实体。
“FTI”的定义见 IRS 出版物 1075。
“政府”是指以政府身份行事的联邦机构、省/自治区/直辖市/当地实体或部落实体。
“政府社区云服务”是指在 Microsoft 多租户数据中心内提供的 Microsoft 在线服务,仅供社区使用且仅用于社区,并且依照美国国家标准与技术研究所 (NIST) 特别出版物 800-145 提供。属于政府社区云服务的 Microsoft 在线服务在使用权利和产品条款中被指定为此类服务。
“IRS 1075 覆盖服务”是指在 /zh-cn/support/trust-center/compliance/irs1075/ 上或后续网站上被列入 IRS 1075 范围的 Azure 政府服务。在没有限制的情况下,IRS 1075 覆盖服务不包括任何其他单独品牌的在线服务。
“IRS 出版物 1075”是指自 2016 年 9 月 30 日起生效的美国国税局 (IRS) 第 1075 号出版物,包括国税局在订购有效期内发布的更新(如有)。
“ITAR”是指《国际武器贸易条例》,参见《美国联邦法规》第 22 编第 120 - 130 节。§§ 120 - 130.
“ITAR 控制数据”是指由 ITAR 作为国防用品或国防服务进行管理的客户数据。
“ITAR 覆盖服务”仅与本协议有关,是指在 https://www.microsoft.com/en-us/TrustCenter/Compliance/itar 上或其后续网站上被列入 ITAR 范围的 Azure 政府服务。
“托管服务解决方案”指您向第三方提供的托管 IT 服务,包含对 Microsoft Azure 服务的管理和支持。
“Microsoft Azure 服务”是指 /zh-cn/products/ 上列出的一个或多个微软服务和功能,但指定为单独许可的除外。
“非 Microsoft 产品”在在线服务条款中定义。
“方案详细信息”指适用于订购方案的定价和相关条款,如门户中所发布。
“在线服务”是指客户按照本协议订购的 Microsoft 托管的在线服务,包括政府社区云服务、Dynamics CRM 在线服务、Office 365 服务、Microsoft Azure 服务或 Microsoft Intune 在线服务。
“在线服务条款”或“OST”是指适用于您使用 https://go.microsoft.com/?linkid=9840733 上提供的产品的条款。除本协议中的条款之外,在线服务条款还包括约束您对产品的使用的条款。
“预览版”指 Microsoft 提供的在线服务或软件的预览版、测试版或其他预发行版本或功能,用于获取客户反馈。
“门户”是指可以在https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31、/zh-cn/pricing/ 或我们指定的替代网站上找到的在线服务的相应网站。
“产品”是指任何在线服务(包括任何软件)。
“产品条款”是指提供有关通过批量许可提供的 Microsoft 产品信息的文档。产品条款文档发布在批量许可站点 https://www.microsoftvolumelicensing.com 上,并且会不时更新。
“SLA”是指我们在交付和/或履行在线服务方面所做的承诺,公布在 10 上或我们指定的替代网站上。
“软件”是指作为您的订购的一部分提供给您在设备上安装的 Microsoft 软件,或与在线服务一起使用以实现某些功能的软件。
“订购”是指注册使用门户上规定期限的在线服务。您可购买多个可能单独进行管理和受独立 Microsoft 在线订购协议的条款约束的订购。
“州/当地实体”是指 (1) 美国某个州或当地政府的任何机构,或者 (2) 按照客户所在州的法律建立且位于客户所在州的管辖权地和地理边界内的任何美国县、自治区、自治政体、市、自治市、镇、乡、特别行政区或其他类似的政府机构。
“技术数据”拥有《美国联邦法规》第 22 编第 120 节中规定的含义。§ 120.
“期限”是指订购的持续时间(如三十 (30) 天或十二 (12) 个月)。
“部落实体”是指联邦政府认可的部落实体,以印第安部落身份执行部落政府职能,且有资格从美国内政部获得资金和服务。
对于任何许可计划而言,“使用权利”是指在批量许可站点上为该许可计划发布的每种产品和版本的使用权利或服务条款。“使用权利”将取代产品随附的任何最终用户许可协议的条款(屏幕上显示的或以其他方式提供的)。Microsoft 在产品条款中发布了软件的使用权利。“在线服务条款”中发布了在线服务的使用权利。
附件 1
美国国税局
联邦税务信息
保障附录
履行其根据订购交付 IRS 1075 覆盖服务的义务时,Microsoft 同意遵守 IRS 出版物 1075 附件 7(技术服务的保障协定语言)中包含的要求,如下所示。就本附件 1 而言,“承包商”是指 Microsoft,“机构”是指您,“协定”是指订购,并包括本协议第 9 条中的条款,“附件”是指 IRS 出版物 1075 附件,“章节”是指 IRS 出版物 1075 章节。
I. 履约
履行本协定时,承包商同意遵守并负责让其雇员遵守下列要求:
(1) 所有工作都将在承包商或承包商的责任员工的监督下进行。
(2) 承包商和有权限访问 FTI 或使用 FTI 的承包商员工必须满足 IRS 出版物 1075 中定义的背景调查要求。
(3) 提供的任何退货或退货信息应只用于执行本协定的条款。此类材料中包含的信息将被视为机密,并且除了在履行本附录过程中必要时之外,不得以任何方式透露或告知任何人。禁止向承包商高级职员或员工以外的任何人披露。
(4) 所有退货和退货信息将在收到时进行记帐,并在处理之前、期间和之后妥善存储。此外,所有相关输出都将按照源头材料的要求得到相同级别的保护。
(5) 承包商保证,工作完成时,履行本协定期间处理的数据将完全从其计算机设施的所有数据存储组件中清除,并且承包商不会保留任何输出。如果不可能立即清除所有数据存储组件,则承包商保证,任何存储组件中剩余的 IRS 数据将得到保护,以防止未经授权的披露。
(6) 处理 IRS 数据过程中可能产生的任何损坏物品或任何中间硬拷贝打印输出,都将交给机构或其指定人员。如果无法做到这一点,承包商将负责销毁损坏物或任何中间硬拷贝打印输出,并向机构或其指定人员提供一份声明,其中载明销毁日期、销毁材料的描述以及使用的方法。
(7) 所有接收、处理、存储或传输 FTI 的计算机系统均必须满足 IRS 出版物 1075 中规定的要求。为了满足功能和保证需求,管理、操作和技术控制必须配备环境安全功能。所有安全功能均必须可用并激活,以防止未经授权使用和访问联邦税务信息。
(8) 未经 IRS 事先书面批准,根据本协定提供的任何涉及联邦税务信息的工作均不得被分包。
(9) 承包商将维护一份获得访问授权的员工名单。该名单将提供给您,并应要求提供给 IRS 审查办公室。
(10) 如果承包商未能提供上述保障措施,机构将有权取消协定。
II. 刑事/民事制裁
(1) 获得或可能获得退货或退货信息披露的任何人的每名高级职员或员工将获得该人士的书面通知,表明披露给此类高级职员或员工的退货或退货信息只能用于此处授权的目的和范围,并且为了此处未授权的目的或范围而进一步披露任何此类退货或退货信息将构成重罪,被定罪后可能被判处多达 $5000 的罚金或者长达 5 年的监禁,或者两者兼有,并且要承担起诉费用。此类人士还要通知每名高级职员和员工,对退货或退货信息进行任何此类未经授权的进一步披露还可能导致高级职员或员工被判处民事损害赔偿,对于每次未经授权的披露,金额不低于 $1000。IRC 7213 和 7431 以及 26 CFR 301.6103(n)-1 中规定了这些处罚。
(2) 获得或可能获得退货或退货信息披露的任何人的每名高级职员或员工将获得该人士的书面通知,表明以任何格式提供的任何退货或退货信息只能用于执行本协定的条款。此类材料中包含的信息应被视为机密,并且除了在履行协定过程中必要外,不得以任何方式透露或告知任何人。在没有正式知情需求的情况下让任何人进行检查或披露给任何人构成刑事轻罪的,定罪后可能被判处多达 $1000 的罚金或长达 1 年的监禁,或者两者兼有,并且要承担起诉费用。此类人士还应通知每名高级职员和员工,对退货或退货信息进行任何此类未经授权的检查或披露还可能导致高级职员或员工 [联邦雇员(美国)] 被判处民事损害赔偿,金额等于此类被告被认定为每次未经授权的检查或披露行为负责承担的总金额,或者原告由于此类未经授权的检查或披露而承受的实际损害的总金额$1000(以更高者为准),并且如果是由于重大过失而导致故意检查或披露的,还应加上惩罚性赔偿,外加诉讼费用。IRC 第 7213A 和 7431 节以及 26 CFR 301.6103(n)-1 中规定了这些处罚。
(3) 此外,承包商有义务通知其高级职员和员工,因不当披露而面临的 1974 年《隐私法案》、《美国法典》第 5 编第 552a 条施加的处罚。特别是《美国法典》第 5 编第 552a(i)(1) 条(该条款由于《美国法典》第 5 编第 552a(m)(1) 条而适用于承包商)规定,承包商的任何高级职员或员工如果由于其雇佣关系或正式职位而拥有或者有权限访问包含个人可识别信息的机构记录,并在明确知晓《隐私法案》或根据该法案制定的条例禁止披露此类信息的情况下,故意以任何方式向没有资格获得此类材料的任何人或机构进行披露,那么此类高级职员或员工将被判轻罪,并且处以不超过 $5000 的罚金。
(4) 授予承包商权限访问 FTI 必须事先证明每个人都理解机构关于保护 IRS 信息的安全政策和程序。承包商必须通过年度重新认证来维持其访问 FTI 的授权。初始认证和重新认证必须记录在案并放在机构的档案中供审查。作为认证的一部分,并且在认证后至少每年一次,告知承包商 IRC 7431、7213 和 7213A 的规定(参见附件 4:对未经授权披露的制裁,以及附件 5:对未经授权披露的民事损害赔偿)。在初始认证之前和之后每年提供的培训还必须包括关于报告未经授权披露和数据泄露的事件响应政策及程序。(参见第 10 节)对于初始认证和年度认证,承包商必须用手写或电子签名方式签署一份保密声明,以证明其对安全要求的理解。
III. 检查
在提前 24 小时通知的情况下,IRS 和机构有权派遣检查人员前往承包商的办公室和工厂,检查根据本合同与 FTI 进行任何合作的设施和运营状况,确保符合 IRS 出版物 1075 中规定的要求。IRS 的检查权利须包括使用手动和/或自动扫描工具对访问、存储、处理或传输 FTI 的信息技术 (IT) 资产进行合规性和漏洞评估。在这种检查的基础上,如果发现承包商不符合协定保障措施,则可能需要采取纠正措施。