1. 该计划向符合以下所有条件的参与者开放：
   1. 至少 18 岁；
   2. 英语水平；
   3. (A) 在网络安全行业工作或 (B) 在网络安全领域或网络实体系统、信息安全和/或计算机科学等相关领域学习，目的是从事网络安全工作；以及
   4. 准备在获得课程包后六（6）个月内完成课程包。
2. 如果雇员的雇主准则或规章不允许其参加本计划或接受课程包，则本计划不对其开放。此外，巴尔干地区、白俄罗斯、布隆迪、中非共和国、象牙海岸、古巴、伊朗、伊拉克、黎巴嫩、利比亚、缅甸（前缅甸）、朝鲜、俄罗斯、索马里、苏丹、南苏丹、叙利亚、乌克兰、委内瑞拉、也门和津巴布韦的居民没有资格参加本计划。本计划在这些国家或法律禁止或限制的国家或地区无效。
3. 合作伙伴有责任确保其参与者符合本节的要求。

如果合作伙伴目前或计划与OPSWAT （如客户或渠道合作伙伴）开展业务，则合作伙伴证明其参与该计划不会影响其与OPSWAT 之间关系的客观性，也不会造成实际、潜在或想象中的利益冲突。

在遵守适用法律的前提下，OPSWAT 保留以下权利：(i) 出于任何原因，随时取消、终止、修改或暂停本计划和奖学金条款，且不承担任何责任；(ii) 限制或约束对本计划的参与。

1. 通过本计划授予的所有课程包的总价值最高为 10,000,000 美元，最多可授予 25,000 (25,000) 名学员。 OPSWAT 保留根据可用资源并由OPSWAT 自行决定向低于 10,000,000 美元的课程包和/或少于 25,000 (25,000) 名选定候选人授予课程包的权利。
2. 在遵守奖学金条款的前提下，一旦被合作伙伴选中，每位被选中的参与者都将获得课程包，其中包括九（9）门通过OPSWAT 学院提供的认证课程，课程包在交付给参与者后的六(6)个月内有效。 课程包材料为英文。
3. 合作伙伴不得对任何课程套餐进行替换、转让、转移或现金兑换。如果合作伙伴的参与者因任何原因无法参加或接受课程套餐或课程套餐的任何部分，OPSWAT 将不再对合作伙伴承担任何义务。合作伙伴将课程套餐授予参与者后，OPSWAT 将不会更换任何丢失或被盗的课程套餐。
4. 合作伙伴应自行承担与课程套餐有关的任何地方税、省税、国家税或任何其他适用税以及任何其他成本、支出和费用。
5. 所有成本和费用，包括支持服务，凡未在上述课程包中明确列出的，均由合作伙伴自行承担。

本计划受适用法律和奖学金条款的约束。 合作伙伴应自行负责遵守有关其参与本计划的任何适用法律、规则和条例、合同限制和/或办公室或公司政策（如有）。 合作伙伴参与本计划，即确认其未违反上述任何规定。

合作伙伴承认并同意，OPSWAT 既未就课程包或计划做出任何明示或暗示的、事实上或法律上的担保、陈述或保证，也不以任何方式对此负责或承担责任。特此声明，本计划和课程包 "按原样 "提供。OPSWAT 尤其是，对于任何类型的技术故障或超出OPSWAT合理控制范围的任何其他因素，OPSWAT 概不负责。对于合作伙伴或其参与者的数据或设备因参与本计划或从课程包下载资料或使用课程包而受到的伤害或损坏， 概不负责。

合作伙伴同意，OPSWAT 、其附属机构、转售商、分销商及其各自的所有管理人员、董事、雇员、承包商、代表和代理（"被免责方"）对任何种类或性质的任何伤害、损失或损害（包括对个人的直接、间接、附带、后果性或惩罚性损害，包括但不限于残疾或死亡）的任何索赔、责任或诉讼原因不承担任何责任，合作伙伴对此免责并不承担任何责任。在不限制前述规定的前提下，本网站上的所有内容以及与本程序相关的内容均 "按原样 "提供，不提供任何明示或暗示的保证，包括但不限于适销性、特定用途适用性和非侵权的暗示保证。某些司法管辖区可能不允许限制或排除附带或间接损害赔偿责任或排除默示保证，在这种情况下，此类限制或排除应仅在相关司法管辖区法律允许的范围内适用。

合作伙伴和OPSWAT 承认并同意，任何一方均可将本计划（包括与本计划相关的任何提交资料）用于所有媒体的宣传、广告和营销目的。任何一方均可出于上述目的使用另一方的名称、商标和计划详情，但前提是此类使用必须符合各自的商标准则。如果一方认为另一方在广告或营销材料中使用其商标不当或可能损害其商业利益，则可要求另一方停止使用。本协议终止后，双方应立即停止使用对方的所有商标。

OPSWAT 收集的所有个人信息都将用于本计划的管理，并符合OPSWAT 的隐私政策（https://www.opswat.com/legal/privacy-policy，以下简称 "隐私政策"）。 通过参与本计划，合作伙伴承认并同意OPSWAT 将根据隐私政策处理合作伙伴及其参与者的个人数据。 如果适用法律要求OPSWAT 就OPSWAT处理合作伙伴提供给OPSWAT 的参与者个人信息与合作伙伴签订协议，则本附录作为附录 A 的数据处理附录将通过引用纳入本奖学金条款。

1. 每一方均承认，奖学金条款构成双方就本计划达成的完整协议，且不依赖于另一方向其做出的任何口头或书面陈述。OPSWAT 可随时通过更新本网站来更新此处规定的条款。
2. 这些奖学金条款将在所有方面按照美国佛罗里达州的法律进行解释和执行，而不参照其法律选择规则。根据或依照本奖学金条款产生的任何付款纠纷、争议或索赔应尽可能友好解决。在此情况下，双方同意提交位于美国佛罗里达州坦帕市的联邦法院和州法院（如适用）作为专属审判地和专属管辖权。
3. OPSWAT 由于OPSWAT 合理控制范围之外的原因，或由于任何不可抗力事件、技术或设备故障、恐怖行为、劳资纠纷或任何形式的行为/不行为（无论合法或非法）、运输中断、内乱或OPSWAT控制范围之外的任何其他类似或类似原因，而导致无法提供任何课程包或课程包的任何部分， 不对合作伙伴或其参与者承担任何责任。
4. 奖学金条款中的任何内容均不得在双方之间建立或被视为建立合伙、合资或雇主与雇员或委托人与代理人的关系。
5. 未经OPSWAT 的事先书面同意，合作伙伴不得转让奖学金条款下的任何权利。非奖学金条款当事人不享有奖学金条款下或与奖学金条款有关的任何权利。
6. 一方向任何其他方发出的通知将采用书面形式，并在确认送达后按以下方式生效：(i) 如果是发给合作伙伴，则通过参与者提供的电子邮件或实际地址发送；以及 (ii) 如果是发给OPSWAT ，则通过电子邮件发送至Legal@OPSWAT.com或 5411 SkycenterDrive, #900, Tampa, FL 33607, Attn: Legal。通知必须特别注明是根据本奖学金条款发出的通知。电子邮件发送的通知在电子邮件发出时即视为已发出并收到。合作伙伴同意接受邮寄送达。为免生疑问，如果通知通过专人或快递送达，则应在送达时视为送达；如果通过预付邮资的一等邮件送达，则应在两个工作日内视为送达。
7. 任何一方未行使任何权利、权力或补救措施均不构成对该权利、权力或补救措施的放弃。
8. 如果奖学金条款的任何规定（或任何规定的任何部分）被有管辖权的法院或其他机构认定为无效、非法或不可执行，则该规定或部分规定应在所需范围内被视为不构成奖学金条款的一部分，奖学金条款其他规定的有效性和可执行性不受影响。

本数据处理附录（"DPADPA"）对OPSWAT在合作伙伴根据奖学金条款参与计划期间从合作伙伴或代表合作伙伴收到的参与者个人数据（定义见下文）的处理进行规范。

合作伙伴和OPSWAT 在本协议中均被称为 "一方"。各方"，并合称"各方".

在本 DPA 中，以下术语具有如下含义。本 DPA 中使用但未定义的术语应具有奖学金条款中规定的含义。

"关联方就各方而言，"关联方 "是指控制方、受控方或与控制方处于共同控制之下的实体。

"汇总数据"是指通过删除个人信息或其他信息进行匿名化处理，使数据无法归属于特定个人或合作 伙伴的统计资料、基准、措施和其他信息或数据（通过商业上合理的努力或根据适用法律的 要求）。

"适用法律"指适用的国家、联邦、州和地方法律、法规、指导方针、法院或政府机构命令和规章。

"控制权控制 "是指实际拥有一个实体百分之五十（50%）以上的投票权或股权。

"数据保护法规"指适用于根据奖学金条款处理合作伙伴个人数据的适用法律，包括但不限于欧洲经济区和/或成员国（如 GDPR）、英国和瑞士的法律（在所有情况下，经修订、取代或替换）。

"数据主体"指与合作伙伴个人数据相关的个人。

"欧洲经济区"指欧洲经济区。

"GDPR"指欧盟《通用数据保护条例》（General Data Protection Regulation EU 2016/679）。

"信息安全事件指违反安全规定，导致OPSWAT所拥有、保管或控制的合作伙伴个人数据意外或非法损毁或意外丢失、更改、未经授权披露或访问。"信息安全事件 "不包括不损害合作伙伴个人数据安全的不成功尝试或活动，包括不成功的登录尝试、ping、端口扫描、拒绝服务攻击以及对防火墙或网络系统的其他网络攻击。

"合作伙伴个人数据"指合作伙伴提供给OPSWAT ，或OPSWAT 代表合作伙伴处理的、受数据保护法保护的、与已识别或可识别的自然人有关的信息，在每种情况下，均与奖学金条款中规定的计划有关。

"处理处理 "系指对合作伙伴个人数据进行的任何操作或一系列操作，包括收集、记录、组织、构建、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式提供披露、排列或组合、限制或删除合作伙伴个人数据。处理"、"处理 "和 "处理过的 "等术语将据此解释。

"SCC"指欧盟委员会 2021 年 6 月 4 日关于根据欧洲议会和欧盟理事会条例 (EU) 2016/679 向第三国传输个人数据的标准合同条款的决定 (EU) 2021/914，可随时修订、重述或取代。

"安全措施"指OPSWAT 为保护合作伙伴个人数据而采取的技术和组织措施，详见第 5.1 节（OPSWAT的安全措施）。

"次级处理方 "是指OPSWAT 以外的第三方，由OPSWAT 根据本 DPA 雇用和授权处理与本计划有关的合作伙伴个人数据。

"期限"应具有第 2 节所述含义。

本 DPA 将在奖学金条款生效时生效，并在奖学金条款终止时自动失效。

3.1 处理范围；合作伙伴说明；OPSWAT 遵守合作伙伴说明。

通过签订本 DPA，合作伙伴指示OPSWAT 仅根据数据保护法规处理合作伙伴的个人数据。OPSWAT 仅根据合作伙伴的指示处理合作伙伴的个人数据：(a) 提供本计划；(b) 奖学金条款（包括本 DPA）授权；以及 (c) 合作伙伴提供的其他书面指示中记录的且OPSWAT 书面确认构成本 DPA 目的的指示，除非适用法律另有要求。 附录 1（处理详情）描述了处理的主题和详情。

3.2 合作伙伴的责任。

合作伙伴声明并保证：(a) 合作伙伴已根据数据保护法获得任何必要的授权、同意和许可，以便OPSWAT根据本 DPA 的条款处理合作伙伴的个人数据（包括向OPSWAT 转移或提供访问合作伙伴个人数据的权限）；且 (b) 合作伙伴有关处理合作伙伴个人数据的指示、决定和行动应遵守适用法律，包括数据保护法。如果合作伙伴无法遵守本第 3.2 条（合作伙伴的责任），合作伙伴应及时通知OPSWAT 。

3.3 分析。

OPSWAT 可能会出于各种目的收集、开发、创建、提取、编译、综合、分析、使用、商业化或与第三方共享汇总数据，这些目的包括(i) 维护、改进、营销和推广本计划；(ii) 识别、了解和预测性能和安全问题及其影响因素；(iii) 向客户提供更新、增强功能和个性化体验；以及 (iv) 研究和开发新产品和服务。 为避免疑义，汇总数据不包括合作伙伴个人数据或任何可识别合作伙伴的信息。

在本 DPA 的有效终止日期，或应合作伙伴的书面请求，OPSWAT 应根据适用法律，在合理可行的情况下尽快从OPSWAT的系统中删除、允许合作伙伴访问、更正或归还合作伙伴的个人数据（包括现有副本），除非适用法律要求或允许OPSWAT 保留合作伙伴的个人数据（例如，适用法律可能允许OPSWAT 保留以电子方式存储在数据存档或备份系统中的合作伙伴个人数据副本）。

OPSWAT OPSWAT 可随时更新或修改安全措施，前提是此类更新和修改不会严重降低计划的整体安全性。

OPSWAT 仅允许员工、独立承包商、OPSWAT 关联公司和次级处理商访问合作伙伴的个人数据，这些员工、独立承包商、 关联公司和次级处理商在其工作范围内需要访问合作伙伴的个人数据，并且其保密义务不低于OPSWAT在奖学金条款中规定的保密义务。

1. 5.3.1 信息安全事件通知。如果OPSWAT 意识到信息安全事件，OPSWAT 将：(a) 在意识到信息安全事件后，根据第 13 节（通知）的规定，无不当延迟地将信息安全事件通知合作伙伴；并且 (b) 采取合理措施，查明此类信息安全事件的原因，最大限度地减少损害，并防止再次发生。除适用法律要求的范围外，未经合作伙伴事先书面同意，OPSWAT 不得向第三方发出任何明确点名合作伙伴的信息安全事件通知，但经批准的分包商、执法部门、保险理赔机构和OPSWAT的信息安全事件响应服务提供商除外。
2. 5.3.2 通知。合作伙伴应自行负责遵守适用于合作伙伴的事件通知法律，并履行与任何信息安全事件相关的第三方通知义务（例如，GDPR 第 33 和 34 条）。在此情况下，OPSWAT 将向合作伙伴提供合理的协助。
3. 5.3.3OPSWAT 不承认过失。 OPSWAT根据本第 5.3 节（信息安全事件）对信息安全事件的通知或响应不应被解释为OPSWAT 承认对信息安全事件的任何过失或责任。

5.4.1 合作伙伴的安全责任。

合作伙伴同意，在不影响OPSWAT第 5.1 节（OPSWAT的安全措施）和第 5.3 节（信息安全事件）规定的义务的情况下：

1. 合作伙伴全权负责其学员对课程套餐的使用，包括确保学员：(i) 确保学员用于访问课程套餐的账户验证凭据、系统和设备的安全；以及 (ii) 备份其个人数据。
2. OPSWAT 对于合作伙伴选择在OPSWAT及其子处理商的系统之外存储或传输的合作伙伴个人数据（例如，离线或内部存储），合作伙伴不承担任何保护义务。

5.4.2 合作伙伴安全评估。

1. 合作伙伴自行负责审查和评估服务、安全措施以及OPSWAT在本第 5 条（数据安全）下的承诺是否满足合作伙伴的需求，包括合作伙伴在数据保护立法下的任何安全义务。
2. 合作伙伴承认并同意，（考虑到行业标准、实施成本、合作伙伴个人数据处理的性质、范围、背景和目的，以及数据主体面临的风险）附录 2（OPSWAT的安全措施）中所载的由OPSWAT 实施和维护的安全措施提供了与合作伙伴个人数据风险相适应的安全级别。

如果OPSWAT 收到数据主体关于合作伙伴个人数据的任何请求，在适用法律允许的范围内，OPSWAT 将立即通知合作伙伴任何此类请求。合作伙伴将负责回应任何此类请求。

OPSWAT 将（考虑到合作伙伴个人数据处理的性质）向合作伙伴提供必要的合理协助，以便合作伙伴履行数据保护立法规定的义务，回应数据主体的请求。合作伙伴应按照OPSWAT当时的专业服务费率，向OPSWAT 补偿与此类协助相关的任何费用或成本。

OPSWAT 根据下文第 8 条的规定，OPSWAT 、其关联公司或其次级处理商可在任何地方存储和处理合作伙伴个人数据。 对于受欧洲经济区、瑞士和英国数据保护立法管辖的合作伙伴个人数据的国际转移，应适用附录 3 第 1.10 和/或 1.11 节的条款。

合作伙伴授权OPSWAT 聘请其附属公司和其他第三方作为子处理方。 OPSWAT 的子处理程序列表可在https://www.opswat.com/legal/subprocessors上获取，合作伙伴可通过 RSS 订阅该列表的更新。 如果合作伙伴签署了 SCC 或其他类似协议，则合作伙伴签署这些协议即构成合作伙伴事先书面授权OPSWAT 分包处理合作伙伴个人数据（如果 SCC 或其他类似协议要求此类授权）。OPSWAT 应对分包给其子处理方的所有义务及其所有行为和疏忽负责。

通过参与本计划，合作伙伴承认并同意，合作伙伴代表其自身，并在适用的数据保护法规要求的范围内，以其数据控制方关联公司的名义并代表其，在OPSWAT 处理合作伙伴个人数据的范围内（该等数据控制方关联公司有资格作为控制方），签订本 DPA，从而在OPSWAT 和每个数据控制方关联公司之间建立 DPA，并遵守奖学金条款和本 DPA 的规定。合作伙伴同意确保每个数据控制方关联公司同意接受本 DPA 义务的约束。但是，数据控制方关联公司不是也不会成为奖学金条款的一方，而只是本 DPA 的一方。数据控制方关联公司对服务的所有访问和使用都必须遵守奖学金条款，数据控制方关联公司对奖学金条款的任何违反都应被视为合作伙伴的违规行为。合作伙伴应继续负责协调根据本 DPA 与OPSWAT 进行的所有通信，并有权代表其数据控制附属机构进行和接收与本 DPA 有关的任何通信。

如果数据控制方关联公司成为OPSWAT 的 DPA 的一方，其应仅在数据保护立法要求的范围内这样做。除非数据保护立法明确要求数据控制方关联公司直接向OPSWAT 行使本 DPA 规定的权利或寻求补救，否则双方同意(a) 合作伙伴拥有代表数据控制方关联公司行使任何此类权利或寻求任何此类补救的唯一权利；以及 (b) 在数据保护立法未禁止的范围内，合作伙伴应以联合方式为其所有数据控制方关联公司共同行使本 DPA 下的任何此类权利。

OPSWAT 应回答合作伙伴向其提交的任何书面审计问题，但合作伙伴每年行使此项权利的次数不得超过一次。

如果OPSWAT 处理来自附录 3 所列司法管辖区的个人数据，则相应条款将适用于此类处理。

除非适用法律禁止，否则任何一方及其关联公司（包括数据控制关联公司）根据奖学金条款、本 DPA 和 SCC（如果签订）或与奖学金条款、本 DPA 和 SCC 有关的合同、侵权行为或任何其他责任理论而对另一方及其关联公司承担的全部合并责任，将以双方在奖学金条款中商定的责任限制或其他责任上限为限。OPSWAT 对于合作伙伴及其所有数据控制方关联公司因奖学金条款或 DPA 而提出的所有索赔，OPSWAT Affiliates 的总赔偿责任应合计适用于奖学金条款和 DPA 下的所有索赔，不得理解为单独和个别适用于合作伙伴或作为任何此类 DPA 合同方的任何数据控制方关联公司。

除本 DPA 所做的更改外，奖学金条款和/或与服务相关的任何其他协议均保持不变，并具有完全效力。如果奖学金条款与本 DPA 之间存在冲突，则本 DPA 的规定应控制并管辖相关主题事项。 如果本 DPA 与 SCC 之间存在冲突，则 SCC 的规定应控制并管辖 SCC 的主题事项。本 DPA 仅可通过OPSWAT 和合作伙伴签署的书面文件进行修订和/或修改。奖学金条款中未经本 DPA 修订的所有其他条款和条件仍然完全有效。

本 DPA 受与奖学金条款相同的司法管辖区的法律管辖，除非数据保护立法要求本 DPA 受另一司法管辖区的法律管辖。

1.1范围。以下规定仅适用于OPSWAT根据欧洲经济区、瑞士和英国的数据保护法处理合作伙伴个人数据的情况。

1.2定义。

(a) 术语 "控制者"、"处理者 "和 "监管机构 "应具有 GDPR 中赋予的含义。

(b) "英国附录 "是指英国信息专员办公室发布的《SCC 国际数据传输附录》B1.0 版。

1.3处理者和控制者的责任。双方承认并同意

(a) 根据数据保护法，OPSWAT 是合作伙伴个人数据的处理方或次级处理方（如适用）；

(b) 根据数据保护法，合作伙伴是合作伙伴个人数据的控制方或处理方（如适用）；

(c) 合作伙伴应对合作伙伴个人数据的准确性、质量和合法性以及合作伙伴获取合作伙伴个人数据的方式负全部责任；且

(d) 各方在处理合作伙伴个人数据时，应遵守数据保护法规定的适用于其的义务。

1.4第三方控制方的授权。如果合作伙伴是处理方，则合作伙伴向OPSWAT 声明并保证，合作伙伴有关合作伙伴个人数据的指示和行动，包括指定OPSWAT 为处理方，均已获得相关控制方的授权。合作伙伴承认，OPSWAT 不负责收集处理合作伙伴个人数据的同意或授权。

1.5 OPSWAT 为遵守适用法律而进行的处理。如果OPSWAT 必须违背合作伙伴的指示或奖学金条款（包括本 DPA）的授权来处理合作伙伴的个人数据，以遵守适用法律，则OPSWAT 应在处理前告知合作伙伴适用法律，除非适用法律以重要的公共利益为由禁止此类通知。

1.6安全措施。OPSWAT 应（考虑技术水平、实施成本、处理的性质、范围、背景和目的，以及对数据当事人的权利和自由造成的不同可能性和严重程度的风险）实施适当的安全措施，以确保与风险相适应的安全级别，包括附录 2 中详述的安全措施，并视情况而定：

(a) 对合作伙伴个人数据进行化名和加密；

(b) 确保处理系统和服务的持续保密性、完整性、可用性和弹性的能力，包括以下具体措施和做法；

(c) 在发生实体或技术事故时，及时恢复合作伙伴个人数据的可用性和访问权限的能力；以及

(d) 定期测试、评估和评价技术和组织措施有效性的程序，以确保合作伙伴个人数据处理的安全性。

1.7合理的协助。根据适用于OPSWAT作为处理方的角色的适用法律的要求，OPSWAT 将向合作伙伴提供合理的协助，以便合作伙伴履行其根据 GDPR 第 35 条进行数据保护影响评估的义务。在合作伙伴对合作伙伴个人数据的处理导致数据主体的权利和自由面临高风险的情况下，OPSWAT 将在合作伙伴根据 GDPR 第 36 条寻求监管机构的事先咨询时向合作伙伴提供合理的协助。

1.8信息安全事件的细节。根据《数据保护法》第 5.3 节（信息安全事件）发出的通知将

(a) 描述信息安全事件的性质，包括（如有可能）相关数据主体的类别和大致数 量，以及相关个人数据记录的类别和大致数量；

(b) 告知数据保护官员或其他联系人的姓名和联系方式，以便获取更多信息；

(c) 描述信息安全事故可能造成的后果；以及

(d) 说明OPSWAT 已采取或拟采取的处理信息安全事件的措施，包括在适当情况下减 轻事件可能造成的不利影响的措施。

在无法同时提供信息的情况下，可分阶段提供信息，不得无故拖延。

1.9合规审计。

1.9.1 在奖学金条款有效期内，合作伙伴可根据合理的事先书面要求（不少于四十五 (45) 天的事先书面通知），每十二 (12) 个月对OPSWAT履行本 DPA 规定的义务的情况进行一次审核，以满足数据保护立法的要求。合作伙伴必须在OPSWAT 正常营业时间内执行所有审核，且不得不合理地干扰OPSWAT 的业务活动。 在数据保护法规要求的范围内，包括在合作伙伴的监管机构授权的情况下，合作伙伴或合作伙伴的监管机构可频繁进行审核。

1.9.2 如果由第三方进行审计，OPSWAT ，如果OPSWAT的合理意见认为该审计师不具备适当的资格或独立性，或者是OPSWAT 的竞争对手，则可对该审计师提出异议。 OPSWAT 提出的此类反对意见将要求合作伙伴指定另一名审计员或自行进行审计。

1.9.3 若要申请审计，合作伙伴必须在拟议审计日期前至少两 (2) 周向OPSWAT 提交一份详细的拟议审计计划。拟议的审计计划必须说明拟议的审计范围、持续时间和开始日期。OPSWAT 将审查拟议的审计计划，并向合作伙伴提出疑虑或问题（例如，任何可能危及OPSWAT 安全、隐私、雇用或其他相关政策的信息要求）。OPSWAT 将与合作伙伴合作，商定最终的审计计划。 本第 1.9 节（合规性审计）中的任何内容均不得要求OPSWAT 违反保密义务。

1.9.4 审核费用由合作伙伴承担。对于OPSWAT 或其次级处理商根据本第 1.9 节（合规性审计）进行的任何审计所花费的时间，合作伙伴应按OPSWAT当时的专业服务费率向OPSWAT 进行补偿。合作伙伴应支付由合作伙伴指定的任何审计师执行任何此类审计所收取的所有费用。

1.9.5 双方同意，本第 1.9 条（合规性审核）应满足OPSWAT根据《标准合同》第 5(f)条适用于数据进口商的审核要求以及第 11 条和第 12(2)条适用于任何子处理商的审核要求所承担的义务。

1.10将数据传输至欧洲经济区或瑞士境外。如果合作伙伴个人数据的存储和/或处理涉及将合作伙伴个人数据传输到欧洲经济区或瑞士以外的地方，且数据保护法规适用于此类合作伙伴个人数据的传输，则应适用附录 4，OPSWAT 将根据其中提及的控制方对处理方 SCC 进行此类传输，除非传输到欧盟委员会已做出充分性决定的国家。

1.11 向英国境外转移数据。如果合作伙伴个人数据的存储和/或处理涉及将合作伙伴个人数据传输到英国境外，且数据保护法规适用于此类合作伙伴个人数据的传输，则附录 5 将适用，OPSWAT 将根据其中提及的 SCC 进行此类传输，除非传输到英国适当性法规所涵盖的国家。

1.12子处理程序协议。OPSWAT 可在回应合作伙伴根据 SCC 第 9(c)条索取子处理程序协议副本的要求之前，编辑其与子处理程序协议中的所有机密业务或法律条款。

1.13反对子处理方变更的机会。如果在 DPA 有效期内聘用了新的次级处理商，OPSWAT 将在新的次级处理商处理任何合作伙伴个人数据之前至少十五 (15) 天，通过更新其位于https://www.opswat.com/legal/subprocessors 的次级处理商列表，以书面形式通知合作伙伴。 合作伙伴可在OPSWAT的通知日期后五（5）个工作日内向OPSWAT 发送书面通知，对新的子处理程序提出异议。如果合作伙伴对新的分处理器提出异议，合作伙伴和OPSWAT 将真诚合作，找到双方都能接受的解决方案来解决该异议。如果双方无法在合理期限内达成双方均可接受的解决方案，合作伙伴可向OPSWAT 发送书面通知，终止参与本计划，作为其唯一的补救措施。

1.14处理记录。合作伙伴承认，根据 GDPR 的要求，OPSWAT ：(a) 根据 GDPR 第 30 (2) 条收集并保存某些信息的记录，包括OPSWAT 所代表的每个处理方和/或控制方的名称和联系详情，以及（如适用）该处理方或控制方的当地代表和数据保护官的名称和联系详情；以及 (b) 根据 GDPR 第 30 (4) 条向监管机构提供此类信息。如果 GDPR 适用于合作伙伴个人数据的处理，合作伙伴将应要求向OPSWAT 提供此类信息，并将确保所提供的所有信息保持准确和最新。

2.1范围。以下条款仅适用于OPSWAT根据 2018 年《加州消费者隐私法案》（Cal. Civil Code §1798.100 et seq.经《加州隐私权法案》修订的《加州民法典》§1798.100 及其后条款，以及可能不时进一步修订的相关法规（统称 "CCPA"）。

2.2定义。 销售"、"分享 "和 "服务提供商 "与 CCPA 中定义的含义相同。

2.3服务提供商。OPSWAT 是合作伙伴的服务提供商。OPSWAT 只应出于提供本计划的目的处理合作伙伴的个人数据。除非奖学金条款或 CCPA 另有规定：

(a)OPSWAT 不得出于商业目的或奖学金条款规定的目的之外的任何目的，进一步收集、保留、使用或披露合作伙伴的个人资料；

(b)OPSWAT 不得在双方直接业务关系之外保留、使用或披露合作伙伴个人资料；以及

(c)OPSWAT 不得将从合作伙伴或代表合作伙伴收到的合作伙伴个人数据与其他人的个人数据或从其与合作伙伴的互动中收集的个人数据合并，但根据奖学金条款提供服务所必需的情况除外。

2.4不得出售或共享。OPSWAT 不得出售或共享合作伙伴的个人数据。

2.5遵守 CCPA。OPSWAT 应遵守 CCPA 的所有适用条款，包括就根据本奖学金条款处理的合作伙伴个人数据提供 CCPA 所要求的同等水平的隐私保护。

2.6CCPA 审计。

2.6.1 在奖学金条款有效期内，合作伙伴可根据合理的事先书面请求（不少于四十五 (45) 天的事先书面通知），每十二 (12) 个月对OPSWAT履行本 DPA 规定的义务的情况进行一次审核。合作伙伴必须在OPSWAT 正常营业时间内执行所有审核，且不得不合理地干扰OPSWAT 的业务活动。 在 CCPA 要求的范围内，包括在加利福尼亚州隐私保护机构规定的情况下，合作伙伴可经常进行审核。

2.6.2 如果由第三方进行审计，OPSWAT ，如果OPSWAT的合理意见认为该审计师不具备适当的资格或独立性，或者是OPSWAT 的竞争对手，则可对该审计师提出异议。 OPSWAT 提出的此类反对意见将要求合作伙伴指定另一名审计员或自行进行审计。

2.6.3 若要申请审计，合作伙伴必须在拟议审计日期前至少两 (2) 周向OPSWAT 提交一份详细的拟议审计计划。建议的审计计划必须描述建议的审计范围、持续时间和开始日期。OPSWAT 将审查建议的审计计划，并向合作伙伴提出疑虑或问题（例如，任何可能危及OPSWAT 安全、隐私、雇佣或其他相关政策的信息请求）。OPSWAT 将与合作伙伴合作，就最终审计计划达成一致。 本第 2.6 节（CCPA 审计）中的任何内容均不得要求OPSWAT 违反保密义务。

2.6.4 审计费用由合作伙伴承担。对于OPSWAT 或其次级处理商根据本第 2.6 节（CCPA 审计）进行的任何审计所花费的时间，合作伙伴应按照OPSWAT当时的专业服务费率向OPSWAT 进行补偿。合作伙伴应支付由合作伙伴指定的任何审计师为执行任何此类审计而收取的所有费用。

2.6.5 双方同意，本第 2.6 条（CCPA 审核）应满足OPSWAT在 CCPA 下的义务，即为合作伙伴提供采取合理适当措施的权利，以确保OPSWAT在本奖学金条款下对合作伙伴个人数据的处理符合OPSWAT在 CCPA 下的义务。

2.7通知。如果OPSWAT 确定其无法继续履行 CCPA 规定的义务，则OPSWAT 应通知合作伙伴。 一旦OPSWAT根据本第 2.7 条发出通知，合作伙伴可通过书面通知OPSWAT 终止参与本计划。

2.8对未经授权使用个人数据的补救。 应合作伙伴的书面要求，OPSWAT 应停止处理合作伙伴的个人数据，并根据 DPA 第 4 条（数据的删除或归还）删除或归还合作伙伴的个人数据。OPSWAT 应向合作伙伴提供一份证明，证明OPSWAT已遵守合作伙伴的书面要求。 双方同意，本第 2.8 条应满足OPSWAT的义务，使合作伙伴有权采取合理适当的措施，停止和补救OPSWAT对合作伙伴个人数据的未经授权的使用。

2.9合理安全。双方同意，第 5 节（数据安全）应满足OPSWAT在 CCPA 规定的数据安全方面的义务。

2.10CCPA 数据主体请求。 双方同意，DPA 第 6 条（数据主体权利）应满足OPSWAT在 CCPA 数据主体请求方面的义务。

2.11子处理程序。 双方同意，DPA 第 8 节（子处理程序）应满足OPSWAT在 CCPA 下与子处理程序有关的义务。

A. 缔约方名单

数据输出方： 合作伙伴

角色（控制器/处理器）： 控制器

数据导入者： OPSWAT

角色（控制器/处理器）： 处理器

B. 转让说明

数据主体类别：见 DPA 附录 1

转移的个人数据类别：见《个人数据保护法》附录 1

敏感/特殊类别数据：无

传输频率：根据提供服务的需要连续传输

数据传输的性质或处理方式及目的：见 DPA 附录 1

保留个人资料的期限：见《个人信息保护法》附录 1

C. 主管监督机构

数据出口方所在的欧盟成员国。如果数据输出国不在欧盟，则应为爱尔兰。

技术和组织措施，包括确保数据安全的技术组织措施

参见 DPA 附录 2。 对于向次级处理者的转移，OPSWAT 应确保这些次级处理者在实质上遵守 DPA 附录 2 中列出的安全措施。