美世移动交换™

软件许可协议

重要-请在使用系统前仔细阅读

美世流动性交换中所包含的程序、工具、模块、文件、信息、调查材料和数据的版权、数据库权利和任何其他知识产权均为美世(美国)公司(“美世”)的财产。只有在您接受本许可协议(“许可”)的所有条款和条件时，您才有权访问和使用美世移动交换服务。如果美世的关联公司提供了使用本软件的权限，则该关联公司有权代表美世签署本许可证，在此提及的美世的所有内容都包括提及该关联公司。

当您点击下面的“我接受这些条款”以接受本许可证时，您同意美世移动交换仅供内部使用，仅供公司全名已在订单（下称“订单”）中被美世确认为客户（下称“客户”）的组织参考。通过继续访问MERCER MOBILITY EXCHANGE，您表示并保证您有权代表客户接受本许可证的条款和条件。因此，提及“您”是指提及客户。未经MERCER事先书面同意，不得复制、修改、出售MERCER MOBILITY EXCHANGE及其包含的信息和数据，或将其转换为任何其他媒体，或将其全部或部分转让给除客户及其指定用户（“用户”）以外的任何一方。通过联机访问、PDF或XLS访问此信息，意味着您已接受您的报告和本许可协议的条款，并且您同意支付发票（如果需要支付费用）。

因此，在点击下面的“我接受这些条款”或访问MERCER移动交换之前，您应该仔细阅读本授权。如果您不接受本许可证的条款和条件，您将无法访问mercer移动交换。如果您使用mercer移动兑换服务已经超过三十(30)天，而您还没有使用，我们将不提供退款。

1.许可证

1.1受本授权的条款和条件和收到的充分考虑,美世同意授予您有限,非独占性许可证访问和使用Mercer移动交换个人电脑或者局域网的正常业务的地方你的公司,或通过您提供的安全远程网络访问设施。美世流动交换和其中包含的信息和数据仅供您内部研究和分析之用。除指定用户外，您不得向任何人提供访问美世移动交易所或其中包含的任何信息的权限。美世在任何时候都有权从您那里收到关于这些地点和被提供进入美世流动交换的个人的完整报告。

1.2提供信息

1.2.1。您被要求提供(或代表您提供)的任何信息都应是准确和完整的。你仍然对你的数据的准确性负责。信息质量问题和/或提供此类信息的延迟可能导致计算不准确。

1.2.2。阁下承认并接受调查/问卷所载的所有数字均为抽样调查所得的估计数字，并受统计误差/上下四舍五入的限制。

2.免责声明保证

2.1除非另有明文在本许可证,美世没有保证或陈述关于MERCER移动交换或其任何部分,并放弃所有表达,暗示和任何形式的法定保证您或任何第三方,包括但不限于关于准确性、声明与保证时效性，完整性，适销性，适合任何特定目的，不侵犯第三方权利，和/或免受计算机病毒。您承担关于mercer流动性交换的质量和性能的全部风险。

2.2您接受Mercer Mobility Exchange，即“原样”和“可用”。您承认提供的Mercer移动性交换和其中提供的信息和数据仅用于一般信息并仅使用。特别是，Mercer Mobility Exchange不构成Mercer的任何形式的建议，推荐，表示或安排。Mercer不保证在任何特定情况或任何特定的情况下提供的Mercer Mobility Exchange或其中提供的信息和数据，也不保证Mercer保证Mercer Mobility Exchange网站在所有时间可以访问或者它会免费错误。

2.3美世不对美世流动性交易所中包含或输入的数据或假设的准确性作出任何保证，也不对任何错误或遗漏的后果承担任何责任。对于用户输入到MERCER MOBILITY EXCHANGE中具有接收用户数据功能的任何部分的数据和假设，以及从这些数据或假设中得出的任何陈述或结论，您承担全部责任。

2.4美世对任何加密数据的有效性不承担责任，也不保证加密算法不可破解。美世对所使用的加密技术的可行性、完整性或不可侵犯性不作任何声明或保证，美世也不会对安全服务器正确加密数据的成功或失败承担责任。通过访问mercer移动交换，您将承担加密可能被破译的任何风险。

3.责任限制

3.1除了尊重造成的人身伤害或死亡直接通过美世的过失,美世的极限或其附属公司的责任您或任何第三方对任何和所有索赔有关性能或不履行美世或其附属公司与美世的义务本授权不得,总的来说,超过您支付给美世的在索赔发生当月之前的12个月(或500美元)期间访问和使用美世移动交换(如订单中指定的)的更大费用。

3.2在任何情况下，禁令或其关联公司对任何直接，间接，特殊，偶然或后期损害，损失或费用承担责任，包括但不限于：销售或收入丧失，商誉丧失，商业信息损失，或根据任何与之相关的责任理论或以任何方式与：本许可，访问，使用或解释有关Mercer Mobility Exchange或相关联的网站上的任何信息，无法实现的任何责任理论丢失使用此类信息，或任何故障，错误，省略，中断，缺陷，操作或传输延迟，计算机病毒或线路或系统故障，无论是侵权（包括疏忽或严格责任），合同还是其他方式。本款即使在其赔偿金，损失或开支的可能性也适用于Mercer或其代表。

3.3不限于上述规定，您承认mercer流动性交换及其所包含的假设、信息和数据可能是不完整的或浓缩的，且假设、通过您访问和使用mercer移动交换所获得的信息和数据仅用于一般信息目的，不打算或暗示作为专业建议的替代品。在任何情况下，美世或其关联公司都不会对您或任何第三方根据访问和使用该等信息或数据所获得的结果或结论所作出的任何决定或采取的任何行动负责。

3.4你承认没有防御或任何形式的赔偿是由美世提供如下或其附属公司的任何索赔,要求,行动,费用,损失,损害,费用或责任引起的或基于您或任何第三方使用或无法使用MERCER移动交换。

3.5某些司法管辖区不允许排除某些损害，因此上述排除可能不适用于您。您可能拥有因国家而异的其他权利。您因在这些司法管辖区适用适用法律而享有的任何权利不受本免责声明的影响。

4.知识产权

4.1您同意并承认，Mercer Mobility Exchange，包括但不限于其数据库中包含的信息、表结构、查询和报告、它们的安排、组织和交互方法、算法和其他数据库工件、网站结构、所有文本和图形材料、所有出现在本网站上的技术信息和其他内容及其修改和改进，以及所有相关的版权和商标，均为美世专有并完全由美世拥有的机密和商业秘密信息。美世保留美世流动性交易所的独家所有权，美世保留其信息和数据以及所有相关知识产权的独家所有权。美世的其他机密和商业秘密信息可能在未来向您泄露。

4.2您同意对美世的所有专有和保密信息进行严格保密。您不得以任何形式修改、出售、转让或以其他方式向非用户的任何个人或实体全部或部分地提供任何专有和保密信息，客户或美世员工需要访问信息以方便您在未经美世事先书面许可的情况下访问和使用美世移动交换。

4.3除适用法律明确允许的情况外，您不得全部或部分创建Mercer Mobility Exchange的衍生作品，或反编译、反向工程、翻译或反汇编。

4.4您不得以电子形式创建或存储Mercer Mobility Exchange中包含的数据或信息的任何共享库、数据仓库、档案、缓存或框架。

4.5本协议中的任何内容均不得被视为通过暗示、禁止反悔或其他方式授予美世或任何第三方使用任何商标、版权或任何其他知识产权的任何许可或任何其他授权。Mercer Mobility Exchange网站上提及的“Mercer”名称和Mercer产品名称是Mercer的商标。所有其他产品和公司名称属于各自所有者。您同意您不会采取与第4.5款不一致的行动。

4.6除本协议要求外，未经美世事先书面同意，您同意不在媒体上使用美世的知识产权，也不在媒体上提及美世或将任何信息归于美世，用于广告或促销目的，或用于通知或影响任何其他方。

4.7您将对您访问、使用或披露美世的任何保密和专有信息负责，并对美世遭受的任何和所有损失进行赔偿，使其免受损害。由于您或您可能向其提供访问美世移动交换的权限的任何其他方违反本许可证中包含的任何或所有义务，美世应承担的损害或责任。

4.8仅在正常业务过程中，您可以(根据下文第4.9段)访问、提取和重新使用您从Mercer Mobility Exchange生成的用于内部研究目的的任何报告，仅限于:(i)制作一份或多份报告的硬拷贝，但不得出售或分发给非用户的任何人;(iii)在偶然、非系统和不经常的基础上提取、转述或总结报告，以便通过衍生作品和/或参考Mercer流动性交换中包含的某些信息进行内部再分配。

4.9如上文所述，用户的访问在任何时候都必须符合以下条件:(i) Mercer Mobility Exchange的非实质性部分或对Mercer Mobility Exchange的引用可用的人，必须知道该等部分或引用不得再分发或再授权;以及(ii)上述部分或对美世流动性交换的引用恰当地归因于美世。

4.10除非本授权明确允许，否则您不得:复制、剪切和粘贴、电子邮件、复制、出版、分发、再分发、广播、传输、修改、改编、编辑、摘要、创建衍生作品、存储、存档、公开展示、出售或以任何商业方式全部或部分利用Mercer Mobility Exchange，或建立衍生数据库或材料。

4.11美世保留随时添加、删除或编辑美世移动交易所内提供的信息内容或更改其形式的权利，无论是否另行通知。

4.12美世保留在本许可证有效期内监控您对美世移动交换的使用情况（在数量、频率或其他方面）的权利。如果您未经授权使用Mercer Mobility Exchange，Mercer保留在不事先通知的情况下阻止您访问Mercer Mobility Exchange的IP地址，从而拒绝您访问Mercer Mobility Exchange和相关服务的权利。

4.13本许可证不构成对美世移动交易所或其任何部分的出售，除非本协议另有明确规定，否则在此不向您授予与美世移动交易所有关的任何明示或暗示的权利或许可证。您承认，在您与美世之间，美世（或其供应商）是全球美世移动交易所的所有者。本协议的任何内容均不得解释为将美世移动交易所的任何知识产权转让给您或客户。

5.技术支持

5.1在许可的整个期限内，美世将向您和客户提供合理的技术支持和培训。在您的事先书面同意下，美世保留向您收取额外费用的权利。技术支持和/或培训水平将由美世全权决定。如果您或客户对如何访问和使用美世移动交换机有任何疑问，美世将在正常营业时间内提供帮助。

5.2您或在必要时，客户将负责获取和维护所有必要的计算机系统，通信线路和设备（“系统”）所需的访问和使用Mercer移动性交换以及与其相关的所有费用。您或在必要时，客户必须承认Mercer移动交换的速度和服务将取决于您自己的系统的质量，与互联网使用的使用。

6.使用互联网

你应该知道，互联网不是一个完全安全的媒体，因此机密性不能完全得到保证。美世将不对您、客户或第三方通过互联网或电子邮件向其发送特权或机密信息所遭受的任何损害或损害负责。Internet的性能可能会波动，并将受到您连接到Internet的带宽的限制。美世对您的计算机环境中的美世移动交换系统的性能不作任何保证或索赔。

7.机密信息

7.1您将对提供给您的访问Mercer Mobility Exchange的任何密码保密，不得与任何第三方共享。

7.2美世将对您在美世移动交换中输入的信息予以保密。尽管有上述规定,特此授予Mercer永久,排他性的,免版税许可复制、修改和使用任何信息和数据由你或你的代表,这样美世可以创建分析趋势数据(以匿名的形式),为了提高美世的建议向客户的质量,包括在美世调查中的使用。美世将不会以允许特定客户或个人被识别的方式披露任何信息。您要求适当地匿名化相关的个人资料。尽管有上述规定，您同意您的名字可能出现在包含此类分析趋势数据的报告的参与组织列表中。

7.3您同意美世为了遵守其法律和监管义务以及为其工作产品辩护，可以在持续保密义务下保留机密信息的副本。

8.个人资料的使用

我们及我们各自关联公司(定义如下)均将遵守因适用于本许可及服务访问和使用的不时有效的数据保护和隐私法律而产生的各自义务。这包括,但不限于,(我)的义务,如果有的话,你或客户的附属公司,以获得所需的同意(s)方面的信息转移到美世的你,客户或任何第三方有关识别或可识别的个人适用的数据保护,(ii)关于美世创建或收集额外个人信息的任何义务，以及(iii)关于使用的任何义务，在必要时，美世披露和转让个人信息，以获取和使用在美世移动交易所的信息，或为美世向您或客户提供任何服务，或在本许可证明确允许的情况下。根据“您的保密信息”一节，美世对由您或代表您提供的与美世移动交换有关的个人信息的任何使用或处理均应仅代表您进行。Mercer办理等个人信息按照你的合理的指令可能不时提供必要或合理的对信息的访问和使用Mercer流动为目的的交换或提供任何服务,不得处理这些个人信息的方式与本授权条款不一致的。美世还确认，它已采取适当的技术和组织措施，以防止未经授权或非法处理个人信息，以及意外丢失、破坏或损害个人信息。如果您根据本协议向美世提供任何来自欧盟或瑞士的个人信息，双方同意遵守附表1的要求。就本许可而言，“关联方”系指就任一方而言，直接或间接控制、由该方控制或与该方共同控制的任何实体。

9进出口限制和关税

Mercer Mobility Exchange不能通过Mercer提供给任何受限制的实体。“受限制实体”系指受资产冻结或根据联合国安全理事会决议或美国或欧盟贸易制裁法指定的任何个人或实体拥有或控制的任何个人、组织或其他实体，或作为其代理人的任何个人或实体，或您或客户所在地或运营地以及可能访问美世移动交易所的其他司法管辖区政府。您和客户均不得向任何人提供在任何国家使用或以美国或欧盟贸易制裁或出口管制法禁止的任何方式使用美世移动交易所的机会或使用美世移动交易所，包括《出口管理法》或美国财政部外国资产管制办公室管理的法律。此外，您和客户应遵守您或客户访问和使用材料或接收任何技术信息或其他材料副本的国家和司法管辖区的任何贸易制裁和进出口管制法律。客户同意赔偿、保护美世，并使美世免受因违反第9条而产生的任何罚款或其他处罚。客户同意赔偿、保护美世，并使美世免受客户使用美世移动交易所的司法管辖区就其使用美世移动交易所征收的任何关税、进口税或出口税的损害。

10.美国政府限制权利

Mercer Mobility Exchange和文档具有受限和有限的权利（如DFAR中所定义）。美国政府的使用、复制或披露受DFAR第252.227-7013节或FAR第52.227-19节（如适用）规定的限制，以及本许可证规定的其他限制。美世移动交易所的承包商/制造商为美世（美国）有限公司，地址：肯塔基州路易斯维尔西市场街400号700室，邮编：40202-3431。

11.无法预料的事件

Mercer和您都无法预测由于超出其合理控制范围的事件导致的许可证下的性能延迟或故障。例如，这包括“天灾”、火灾、洪水、暴动、阻止提供任何服务的新法律、恐怖活动的结果、第三方供应商的故障以及电子和其他电源故障。如果出现这种情况，美世将尽其合理努力继续提供对美世移动交易所或任何相关服务的访问权，但承认您或客户（如适用）可能无法在事件补救期间等待。在这种情况下，任何一方均可通过向另一方发出书面通知立即终止许可证。

12.管辖范围内

12.1每一方在此不可撤销地同意本授权和秩序和任何性质的任何争议或索赔引起的或有关或违反(除了任何性质的任何争议或索赔引起的或有关的违约付款条件的顺序(出发)应当解释,根据美利坚合众国纽约州的法律解释和管辖，不考虑《联合国国际货物销售合同公约》及其任何修正案，该公约的适用明确被排除。涉及本协议和/或命令的任何诉讼的管辖地应为纽约南区的美国联邦法院的专属管辖权。

12.2您承认如果您根据本牌照的义务没有专门执行，则Mercer将无法损害，并且如果您的义务实际或威胁违反法律，则不会有足够的补救措施。因此，您同意Mercer将有权获得任何实际或威胁违规行为或违反您的任何实际或威胁的违规行为或任何用户的禁令或任何适当的法令，而无需表现出实际损害或货币损害不起的必要性充足的补救措施。

12.3本许可的英文版本应优于其他语言的翻译版本。

13.放弃陪审团审判

每党代表自身及其关联公司，以法律允许的最大限度地允许，故意，自愿，故意放弃陪审团在任何行动或其他与本许可所产生的行动或其他法律诉讼中进行审判的权利访问，使用和解释Mercer Mobility Exchange的信息，或由Mercer或其附属公司提供的任何服务。豁免适用于任何行动或法律程序，无论是合同，侵权行为还是其他行动。每一方都同意不包括任何雇员，官员，董事或受托人作为与此类争议有关的任何行动，诉讼或反诉的一方。

14.全部协议

本许可证和订单构成您、客户和美世之间关于其标的物的完整协议，并取代任何和所有先前的口头或书面提议、谅解、陈述和/或协议，以及双方之间与此相关的所有其他通信。发票、采购订单、采购订单确认函以及此类文件或任何类似文件中规定的任何条款和条件仅用于开证方的内部目的。双方明确拒绝任何此类条款和条件。即使接收方承认或接受此类文件，此类文件中包含的任何附加条款也不得视为有效或以任何方式纳入本协议。

相对于美世MOBILITY交流，在任何冲突或不一致之间的这种许可证的提供和您与MERCER之间的任何其他协议的条款的情况下，该许可的适用条文的控制。

15调动/指派

15.1仅允许您(以及允许的用户)访问mercer移动交换机。你可能不出租、租赁、转让、出售、分配、质押、转让或以其他方式处置访问MERCER流动交换,或任何权利或义务在本授权下,在全部或部分,其他政党,包括,没有限制,你的员工没有用户,在一个临时或永久的基础上,未经默瑟公司事先书面同意。任何违反本条规定的转让均属无效，并构成对本授权的重大违反。

15.2美世可向美世的任何附属公司出租、租赁、再许可、出售、转让、质押、转让、收费或以其他方式处置本许可，并将向您提供处置本许可的附属公司的书面通知。

15.3本许可证对各方及其各自的继承人、继承人、执行人、管理人、个人代表和许可受让人具有约束力，并应符合其利益。

16.分包

为了以最有效的方式提供服务，美世可将任何服务的适当部分分包给可信赖的第三方或位于世界任何地方的第三方。尽管本许可第7和8条规定，如果第三方处理个人数据，美世将确保该第三方书面同意仅按照美世的指示行事，并就管理处理的技术和组织安全措施提供适当的保证。美世将采取一切合理措施，确保这些措施得到遵守。如果该第三方位于欧洲经济区以外，美世将采取一切必要措施，确保第三方对任何个人数据的处理，包括将其转移给第三方，符合所有相关的数据保护和隐私法律。

17.其他

17.1可分割性。双方意图在适用法律允许的最大范围内执行本许可证的规定。如果本许可证中规定的条款或任何词语、短语、条款或句子因任何原因被认定为非法或不可执行，则该词语、短语，第条或句子的修改、删除或解释方式应确保其利益的一方获得与本许可证的修改、可执行性相称的最大利益，且本许可证的余额不受影响，余额被解释为可分割和独立的。

17.2修改和弃权。美世保留随时根据需要修改本许可证的权利。对本许可证和订单条款的任何其他修改或放弃，只有以书面形式作出并经双方签字后方可生效。一方未能坚持严格履行本许可证的任何规定，不得解释为该方因任何后续相同或类似性质的违约而放弃其权利。客户或用户提供的预打印、标准或过账条款表格，包括但不限于采购订单、收缩包装协议、点击包装协议、确认书或发票，仅用于行政管理和方便使用，其中规定的任何条款和条件均不具备以下能力：，除非双方明确同意，否则修改或推翻本许可证中包含的条款。

17.3同意披露。您同意美世有权向对其业务有管辖权的监管机构披露与本许可证或您有关的信息。您还同意，尽管本授权中有任何其他规定，美世可以在其内部客户管理、财务和冲突检查数据库中包括您认定为您联系人的人员的身份以及有关本授权条款的信息。

17.4生存。以下规定将在本许可证到期、终止或撤销后继续有效：2至4和12至17。

17.5第三方受益人。本授权、访问和使用在美世移动交换或提供服务上的信息均不打算向任何第三方授予任何权利或利益。

17.6期限和终止。本许可证有效期为十二（12）个月，自您首次访问Mercer Mobility Exchange之日起（“初始期限”）。此后，除非一方在初始期限或任何续约期限到期前至少三十（30）天以书面形式通知另一方其不续约的意图，否则应自动续约十二（12）个月（“续约期限”）。本许可证将在您与美世之间的订单终止时自动终止。如果您在期限（定义见订单）结束前出于方便而终止订单，您可能需要支付订单规定的终止费。如果您未能遵守本许可证的任何条款或条件，美世有权立即终止订单和本许可证，或在三十（30）天内自行决定向您发出书面通知后立即终止订单和本许可证。您同意出于任何原因终止本协议，并将您拥有的与美世移动交易所相关的任何材料以及任何形式的所有副本退还。

17.7营销。任何包含整个或任何部分的营销材料，营销材料，新闻稿等的任何公开陈述，都应仅披露Mercer的先前书面同意;（b）伴随着确认，任何此类数据，信息或数据由Mercer提供。一方可能会在其宣传中使用其他派对的姓名和标志，只要对其姓名或徽标之外的对方的任何引用将须经使用的姓名和徽标的批准。

17.8通知。一方根据许可或订单向另一方发出的任何通知均应以书面形式发出(电子邮件除外)。如送达订单中所列另一方的地址或其后指定的任何其他地址，则生效。通知将在交货后48小时内生效。任何一方都可以根据本第17.8段的规定，通过通知另一方来更改其送达地址。

如果您对本许可证有任何疑问，可以写信给美世（美国）有限公司，地址：美国肯塔基州路易斯维尔西市场街400号700室，邮编：40202-3431。

附表1 -数据处理附录(“DPA”)
本附表仅适用于以下情况：（i）美世公司或其附属公司从欧洲经济区或英国境内的机构提供服务；或（ii）服务涉及美世公司或其附属公司处理与向欧洲经济区或英国境内的数据主体提供商品或服务有关的个人数据，或与监测其在欧洲经济区或英国境内发生的行为有关的个人数据。

1导言
1.1本DPA规定:
（i）在GDPR下有关ercer作为处理器的个人数据处理所需的数据保护术语;
(ii)双方各自担任控制人时的各自义务;和
(iii)规管双方就本许可处理个人数据的所有其他条款;

2定义
2.1本DPA中使用但未定义的大写术语应具有许可证中规定的含义。
2.2以下术语在本DPA中使用时具有以下含义:
关联方就一方而言，是指（直接或间接）控制该方、受该方控制或与该方受共同控制的实体，其中控制是指通过拥有表决权证券、合同或其他方式指导或促使另一实体管理政策的权力。
控权人指单独或与他人共同决定个人数据处理目的和方法的自然人或法人。
数据输入商是指在标准合同条款中确定的相关实体。
数据出口商是指将个人数据从欧洲经济区转移到数据进口商的相关实体。
数据保护法是指GDPR和欧盟，欧洲经济区及其成员国以及适用于当事人的缔约方根据许可处理个人资料的联合王国的所有其他强制性法律法规。
数据主体是指与个人数据相关的个人。
数据主体请求是指数据主体请求访问、更正、修改、转移或删除符合该人在数据保护法下权利的个人数据。
EEA是指欧洲经济区，就根据第12条使用标准而言，指瑞士。
GDPR指经不时修订的欧洲议会和理事会2016年4月27日法规(EU) 2016/679(一般数据保护法规)。
个人数据是指由客户或代表客户向美世提供的与已识别或可识别自然人相关的任何信息，作为服务的一部分；可识别自然人是指可直接或间接识别的自然人，特别是通过参考识别号或与该自然人的身体、生理、心理、经济、文化或社会身份相关的一个或多个因素。
个人数据泄露意味着违反了安全的安全，导致意外或非法销毁，丢失，更改，未经授权披露或访问，个人数据，传输，存储或以其他方式处理。
处理，处理或过程是指由任何一方作为个人数据的一部分或与服务的一部分执行的任何操作或一组操作，无论是由自动手段，如集合，录制，组织，结构化，通过传输，传播或以其他方式提供，对准或组合，阻塞，擦除或破坏，通过传输，分配或改变，检索，咨询，使用，披露，泄露，擦除，擦除或破坏。
处理器具有GDPR中给出的含义。
监管机构是指根据《资料保护法》就个人资料处理拥有权力的任何监管机构。
服务意味着在Mercer和客户之间的参与信中详述的服务和/或产品。
标准具有第12.2(b)条规定的含义。
标准合同条款是指欧盟委员会2010年2月5日关于将个人数据转移到第三国处理机构的标准合同条款的决定所附的协议。
子处理方是指美世公司或其附属公司雇佣的分包商，该分包商将处理个人数据，作为美世公司作为处理方履行服务的一部分。
劳动力产品指以下美世产品：（1）美世薪酬和政策调查和指南，（2）全球数据采集计划和（3）美世公司。

3与许可证的关系
3.1如果许可条款与本DPA条款发生冲突，则以本DPA条款为准。
如果本DPA与标准合同条款有冲突，则以标准合同条款为准。

4个人数据处理
4.1双方的作用
(a)双方承认并同意(在适用范围内):
(i)客户和美世分别担任与提供劳动力产品有关的个人数据处理的控制人;
(ii)美世在为以下业务和运营目的处理个人数据时担任控权人:(一)在建立、维护客户关系和提供服务过程中进行欺诈、反洗钱、制裁等检查和查处欺诈、反洗钱、制裁行为;(二)需要履行法律和监管义务的;(3)如第13.1条所述用于数据分析;
（iii）除第4.1（a）（i）和（ii）条规定的情况外，美世作为个人数据的处理者；和
(iv)如果在许可期间，作为对新出现的指南或立法的回应，美世认为其在许可项下进行的任何处理的分类应发生变化:(i)从Controller改为Processor;或(ii)从处理方到财务总监，美世应向客户提供有关变更的书面通知，双方同意，本DPA下有关新状态的条款自收到该通知之日起适用于所有处理。
(b)客户已聘请美世提供许可协议中详细规定的某些服务。
4.2客户对个人数据的处理 - 一般义务
（a） 关于双方的处理，客户应：
(i)遵守《数据保护法》，并确保其向美世发出的任何指示均遵守《数据保护法》;和
（ii）对个人数据的准确性，质量和合法性以及客户获得个人资料的方法，对其进行个人资料，并在数据保护法下制定法律依据的方法唯一责任。
（b） 客户保证：
(i)向美世披露的个人资料仅限于美世履行服务所需的情况;和
（ii）此类个人数据在提供给美世时是准确和最新的。
(c)客户应:
(i)以符合资料保障法律的方式收集个人资料，包括提供数据保护法规定的所有通知并获得所有同意，以便美世合法、公平地处理与服务提供有关的个人数据，以及本DPA和本许可其余部分的其他规定;和
（ii）在意识到个人数据不准确或过时时通知美世。
4.3美世对个人数据的处理——一般义务
（a）Mercer处理个人数据作为控制器，Mercer只能处理个人数据：
(i)在提供劳动力产品合理需要的范围内，并符合适用法律的要求;和
（ii）许可证（包括本DPA）中另有规定。
（b） 如果美世作为处理者处理个人数据，则应遵守适用于美世作为处理者的数据保护法律，且仅根据客户指示或法律要求处理个人数据。客户指示美世处理个人数据以执行服务，如DPA和许可证剩余部分所述。
（c） 本DPA和许可证是客户就个人数据处理向美世提供的完整和最终指示。除非双方另有书面协议，否则美世不受附加或替代指示的约束。
(d) Without prejudice to Client’s obligations under clause 4.2(a)(i), Mercer shall inform Client if, in its reasonable opinion, an instruction issued by Client infringes Data Protection Laws and shall, without liability, be entitled to stop Processing Personal Data in accordance with such infringing instruction. The parties acknowledge and agree that a failure or delay by Mercer to identify that an instruction infringes Data Protection Laws shall not cause Mercer to be in breach of this License nor relieve Client from its liability under this License.
4.4遵守《数据保护法》
尊重客户的个人资料和Mercer每个充当控制器,客户机和Mercer应符合各自的义务控制器根据数据保护法律(除了在某种程度上,这个分区分配责任符合特定要求的数据保护法律规定一方)。
4.5目的;个人资料及资料当事人的类别
美世处理个人数据的目的是根据许可履行服务。本DPA的附件1(数据处理细节附录)进一步说明了美世在本DPA下作为处理者时处理的个人数据类型和数据主体类别。
4.6披露限制
未经客户事先同意，美世不得向任何第三方披露个人资料，法律规定或本许可证许可的除外。在不限制前述一般性的情况下，美世可向第10条所述的处理商和子处理商(包括以该等身份行事的美世关联公司)披露个人数据。
4.7保密
Mercer应确保其从事个人数据处理的人员被告知个人数据的机密性质，并受到约束密度义务的影响。

五数据主体权利；其他投诉及要求
5.1资料当事人的要求
如果美世收到数据主体请求（无论是作为处理器还是控制器）：
(a)美世应在法律允许的范围内，在收到数据主体请求后立即通知客户。后收到数据请求,美世可能接触的相关数据受收到数据请求和通知数据主题,它被称为数据请求客户端,但美世必不响应任何数据对象请求没有客户的书面说明;
(b)客户应按照《数据保护法》处理数据主体请求;和
(c)美世应提供客户合理要求的商业上合理的协助，以帮助客户履行其在数据保护法下的义务，以回应数据主体的请求。客户应负责Mercer提供此类援助所产生的任何合理成本。
5.2其他投诉和要求
（a） 美世应在法律允许的范围内，在收到任何投诉或请求（第6条所述的监管机构的数据主体请求或查询除外）后，立即通知客户：（a）客户在数据保护法律下的义务；或（b）个人资料。
（b）除非双方另有商定，否则客户应根据数据保护法处理相关请求或投诉。
（c）Mercer应提供这种商业上合理的协助，因为客户可以合理地要求与此类投诉或请求有关。客户应负责Mercer提供此类援助所产生的任何合理成本。

与监管机构的合作和索赔行为
除非法律或监管机构禁止，否则美世应将监管机构收到的所有与个人数据处理有关的查询通知客户。
6.2除非监管机构书面要求直接与美世或各方(采取合理行动并考虑到要求的标的物)进行接触，否则客户应同意美世自行处理监管机构的要求，客户应:
（a） 负责与监管机构就个人数据处理相关的所有通信或通信；和
(b)在法律允许的范围内，将此类通信或通信通知美世。

7安全
7.1美世应采取附件2(安全措施)所述的技术和组织措施，以保护涉及个人数据处理的美世系统的机密性、完整性、可用性和弹性。
7.2客户已根据其在数据保护法下的义务评估了适合处理的安全级别，并同意附件2（安全措施）中规定的安全措施与该评估一致。
7.3客户应采取适当的技术和组织措施保护个人数据的安全，包括确保个人数据安全地传输给美世。

8安全违规管理和通知
8.1美世应：
（a）及时通知客户在意识到个人数据泄露的发生后，并提供以下信息的客户：
(i)对个人资料泄露的性质的描述，如可能，包括有关资料当事人的类别及大约数目;
（ii）可获得更多信息的美世联系人的姓名和联系方式；和
（iii）为解决个人数据泄露而采取或拟采取的措施的说明，包括在适当情况下缓解其可能不利影响的措施。
8.2客户在得知发生涉及美世或美世系统或设施、人员、处理器或子处理器的个人数据泄露事件后，应立即通知美世。
8.3双方同意就与个人数据泄露有关的任何相关公开声明和任何要求通知受影响的数据当事人和/或相关监管机构的内容进行真诚协调，但本第8.3条的任何规定均不得阻止任何一方遵守其在《数据保护法》项下的义务。

9客户数据的返回和删除
9.1服从条款13许可以任何理由终止,或书面请求从客户端在任何时候,美世将停止处理任何个人数据,和(在客户的方向)返回客户端或删除(按照美世的文档保留和删除策略),任何个人数据在美世的占有或控制,除非法律要求或为辩护任何实际的或可能的法律要求。
9.2客户承认并同意，对于因美世遵守客户根据第9.1条提出的删除或返还个人数据的请求而导致的或与之相关的客户无法履行服务而产生的任何损失，美世不承担任何责任。

10个Mercer处理器和子处理器
10.1处理人和子处理人的任命
客户承认并同意:(a)美世可就服务的提供聘用加工商(当美世担任财务总监时)和子加工商(当美世担任处理器时);以及(b)该等加工者和子加工者可包括美世关联公司。
10.2 Sub-processing协议
Mercer应确保其与任何子处理器的合同强加于子处理器义务，相当于Mercer在此DPA下受到义务的义务。
当前子处理器列表和新子处理器通知
应在以下地址提供自生效日期起的子处理器列表：https://www.uk.mercer.com//data-protection.html 在生效日期或之前。在该位置，美世还应向客户提供订阅机制，以便接收关于美世使用未包含在该列表中的任何新子处理器（“新子处理器”）处理个人数据的通知。新的子处理者的通知应在该新的子处理者被授权处理与提供服务有关的个人数据之前发出。
10.4新子处理器的反对权
如果有合理理由相信新子处理器将无法遵守本DPA或许可条款，客户可反对美世使用新子处理器。如果客户反对美世使用新的子处理器，客户应在收到有关该子处理器的通知后十(10)天内立即书面通知美世。客户如未在该期限内提出书面异议，即构成对使用新子处理器的批准。客户承认，由于无法使用特定的新子处理器，可能导致服务的延迟履行、服务的无法履行或费用的增加。美世将以书面形式通知客户任何因美世无法使用客户反对的新子处理器而导致的服务或费用变更。客户可以签署一份书面许可修正案以实现上述变更，也可以根据协议终止条款行使终止协议的权利。这种终止不构成违反许可证的终止。如果客户不合理地反对子处理器，或不同意对许可的书面修改，实施因无法使用问题子处理器而导致的费用或服务变更，美世有权终止许可。
10.5子处理器的责任
美世应对其子处理器在履行本DPA项下义务时的行为、疏漏或违约负责，或将其视为美世自己的行为、疏漏或违约。

11审计及信息和援助请求
11.1客户可根据以下要求审计美世公司是否遵守本DPA项下的义务：
（a） 如果适用于客户的数据保护法律要求，客户可每年进行一次或更频繁的审计；
(b)客户可委托第三方代为审核，但需经客户与美世双方同意，并在审核前签署美世可接受的保密协议;
（c） 根据美世的政策，审计必须在正常工作时间进行，不得无理干扰美世的业务活动；
（d）客户必须向Mercer提供任何与任何审计无关的审计报告，除非法律禁止。客户可以仅使用审计报告，仅用于满足数据保护法律和/或确认遵守该DPA的要求的审计要求。审计报告应在许可下构成各方的机密信息;
（e）要求审核，客户必须在拟议的审计日之前至少六（6）周提交一份详细的审计计划。审计计划必须描述审计的拟议范围，持续时间和开始日期。Mercer将审查审计计划并告知客户的任何疑虑或问题（例如，任何可能损害Mercer的机密性义务或其安全，隐私，就业或其他相关政策的信息请求）。Mercer将与客户合作，同意最终审计计划;
（f） 第11.1条中的任何规定均不得要求美世违反对其任何客户或员工承担的任何保密义务；
(g)如果要求的审核范围已在SSAE 16/ISAE 3402 Type 2、ISO、NIST或类似的审核报告中提出，且由有资质的第三方审核员在客户提出审核要求后的十二(12)个月内完成，美世确认所审核的控制没有已知重大变更，客户同意接受这些调查结果，以代替要求对报告所涵盖的控制进行审计;和
(h)所有审计均由客户自行承担。任何要求美世审计协助的请求，如果需要使用与提供服务所需的资源不同或额外的资源，将被视为额外服务，可能会收取合理的额外费用。美世保留在提供此类审计协助前要求客户支付此类费用的书面协议的权利。
11.2各方将分别负责评估根据《GDPR》第35和36条或就其使用或提供服务进行的任何数据保护影响评估的需要和完成情况，包括与监管机构进行的任何咨询。
11.3客户端请求的,美世,应当在客户的成本,为客户提供这种援助和信息可能是为了让客户遵守任何合理要求的义务进行数据保护影响评估或咨询监管机构依照文章35和36 GDPR,分别。
11.4美世的要求,客户应在美世(Mercer)的成本,为美世提供这种援助和信息可能是美世为了遵守任何合理要求的义务进行数据保护影响评估或咨询监管机构依照文章35和36 GDPR,分别。

12欧洲经济区以外的转移
12.1根据本第12条的其余条款，客户同意将个人数据转让给位于欧洲经济区以外国家的美世、美世关联公司或美世及美世关联公司各自的子处理器。
12.2数据传输机制，其中Mercer充当处理器
(a)如果美世作为个人数据的处理人，将个人数据从欧洲经济区直接或通过转移转移至欧洲经济区以外、欧洲委员会不承认为个人数据提供充分保护的国家的接收者(“第三国接收者”)，该等转移应在相关当局或法院认可的为个人数据提供充分保护的框架下进行，包括但不限于标准合同条款、具有约束力的公司规则或欧盟-美国隐私保护框架(各称为“数据转移机制”)。
（b） 美世是Marsh&McLennan Companys，Inc.“MMC”的附属公司，“MMC集团”是指MMC的企业集团。MMC已采用处理器标准形式的处理器约束性公司规则，该规则应在生效日期当日或之前提供给https://www.uk.mercer.com//data-protection.html （“标准”）为将个人数据从某些MMC集团附属公司传输至某些非EEA MMC集团附属公司提供充分的保障。
(c)美世保证:
（i） 它是2017年6月20日MMC英国集团有限公司与MMC集团附属公司签订的关于标准的集团内协议的一方，并受该协议的约束，该协议在同一协议中列出并不时修订（“集团内协议”）；
（ii）《集团内部协议》第1.1条规定美世有义务遵守本标准关于从任何EEA MMC集团成员向任何非EEA MMC集团成员（定义见本标准）传输的任何个人数据的所有规定；
(iii)符合本标准的所有规定;
(iv)如果客户在欧洲经济区内设立，标准已由客户所在欧洲经济区区域内具有管辖权的数据保护机构正式批准(“主管DPA”);和
（v） 如果主管DPA撤销其对本标准的批准，其将立即通知客户。
（d） 客户承诺应要求向数据主体提供标准和本DPA的副本，除非DPA包含任何敏感和机密商业信息，在这种情况下，客户将删除此类信息。
(e)如果美世选择根据第12.2(a)条适用标准合同条款:
（i）如果Mercer要求，客户应签署标准合同条款的副本，并采取适用法律要求的进一步行动，以确保标准合同条款具有法律程度有效;
（ii）应构成每个数据出口商与数据进口商之间的单独协议;
（iii）如果在标准合同条款下的处理随后可以在替代数据传输机制（包括相关数据导入者成为集团内协议的缔约方）下进行，因此标准的合同条款应自动终止于此此类替代数据传输机制对此类处理产生效果的日期，客户应当将这些文件或致癌执行，因为Mercer可以合理地要求证据终止;
（iv）双方同意根据相关欧盟委员会决定或数据保护法律的要求修改标准合同条款；
(v)双方同意，根据本DPA第10.1条，已根据标准合同条款第5(h)条要求给予子处理器的聘用事先书面同意;
(vi) the parties agree that upon Data Exporter’s request, Data Importer will provide the copies of the Sub-processor agreements that must be sent by the Data Importer to the Data Exporter pursuant to Clause 5(j) of the Standard Contractual Clauses, and that Data Importer may remove or redact all commercial information or clauses unrelated to the Standard Contractual Clauses or their equivalent beforehand; and
（vii）双方同意，本DPA第11条应满足根据第5（f）条适用于数据进口商以及根据第11条和第12（2）条适用于任何子处理器的标准合同条款的审计要求。
12.3 Mercer担任控制器时的转移
如果美世担任控制人并将个人数据传输到欧洲经济区以外的国家或欧盟委员会认可的为个人数据提供充分保护的国家，美世将确保此类传输由数据传输机制覆盖。

13分析
13.1客户同意,期间和之后的许可证,美世可能使用任何信息收集和使用的服务,加上从其他客户信息,进行数据分析,包括创建的见解,报告和其他分析改善美世的质量和市场的建议,万博手机网页app版的产品和服务。这种分析的输出不会识别特定的客户或个人。

14终止和一般
14.1本DPA和标准合同条款将在美世停止处理个人数据时终止，除非双方另有书面约定。
14.2赔偿责任
双方同意，根据本DPA和标准合同条款，双方之间的所有责任将受到责任限制和排除以及许可证其他条款的约束，除非此类限制和责任排除不适用于任何一方根据标准合同条款第三方受益人条款对数据主体承担的责任，前提是数据保护法禁止限制此类权利。
14.3第三方权利的排除
在符合第12.2条的情况下，根据标准合同条款，数据主体被授予第三方权利。排除所有其他第三方权利。
14.4适用法律
在适用数据保护法所要求的范围内（例如，与标准合同条款的理事法有关），该DPA应由适用管辖权法管辖。在所有其他案件中，该DPA应由许可证规定的司法管辖区的法律管辖。

附件1
数据处理细节附录

控制器
为其自身业务目的处理个人数据的客户及客户关联公司。

处理器
处理器是Mercer。

数据对象
处理的个人数据可能涉及以下类别的数据主题：

-客户的现任、前任和潜在雇员、代理人、董事、高级人员、自雇承包商及其配偶和家属;
-客户退休金计划的现任、前任及潜在成员及其受益人。
类别的数据
经处理的个人资料可能涉及下列类别的资料:
资料当事人的姓名、出生日期、性别、地址、电邮地址、电话号码、雇主姓名、雇员身分证、受雇及可享退休金的服务状况及期间、离职日期、受雇职级、雇员表现、职务头衔、薪金及薪酬安排、现行和历史养老金安排的性质和细节、养老金金额、养老金供款、雇员福利详情、保险覆盖、婚姻状况、受益人详情、银行详情、国民保险号码/国民身份证号码/社会保险号码、承保状况、商务旅行信息、教育背景、护照号码、驾驶执照号码、委托书详情、心理测试结果、家属/受益人人数和/或健康状况。
特殊类别的数据（如适用）
处理的个人数据可能涉及以下特殊类别的数据：
数据主体的性取向、工会成员、政治派别、健康状况和/或医疗记录/详细信息的详细信息。
处理操作
处理后的个人数据将接受以下基本处理活动：
作为处理者，美世将根据其业务范围，处理个人数据以履行服务，遵守其法定和监管义务，维护账户和记录。除其他事项外，这将涉及美世根据许可证从客户（或代表客户）处收到的个人数据的收集、存储、分析和披露。

附件二
安全措施

为了履行其在本DPA第7条项下的义务，美世应实施以下措施:
1）组织管理和专用工作人员负责Mercer信息安全计划的开发，实施和维护。
2)审计和风险评估程序，用于定期审查和评估美世组织的风险，监控并保持对美世政策和程序的遵守，并向内部高级管理层报告其信息安全和合规情况。
3)数据保安管制，至少包括但不限于数据的逻辑分离、受限制(例如基于角色)的查阅和监控，以及使用商业上可用的和行业标准的个人数据加密技术，即:
a） 通过公共网络（即互联网）传输或无线传输时；或
b） 静止或存储在便携式或可移动介质（即笔记本电脑、CD/DVD、USB驱动器、备份磁带）上。
4)逻辑访问控制，设计用于管理基于权限级别和工作职能的数据和系统功能的电子访问，(例如，在需要知道和最低权限的基础上授予访问权，对所有用户使用唯一的id和密码，当雇佣终止或工作职能发生变化时，应及时进行定期审查和撤销/更改访问权限)。
5） 密码控制旨在管理和控制密码强度、有效期和使用，包括禁止用户共享密码，并要求分配给员工的美世密码：（i）长度至少为八（8）个字符，（ii）不得以可读格式存储在美世的计算机系统上；（iii）必须每九十（90）天更换一次；必须定义复杂性；（v） 必须具有历史阈值，以防止重复使用最近的密码；以及（vi）首次使用后必须更改新发布的密码。
系统审核或事件记录和相关监控程序，主动记录用户访问和系统活动，以便进行例行审查。
7)数据中心、服务器室设施和其他包含个人数据的区域的物理和环境安全，旨在:(i)保护信息资产不受未经授权的物理访问，(ii)管理、监控和记录进出美世设施的人员的移动情况，以及(iii)防范热、火和水损害等环境危害。
根据规定的内部和采用的行业标准，为技术和信息系统的配置、监视和维护提供的操作程序和控制;包括对系统和媒体的安全处置，使其中包含的所有信息或数据在最终处置或从美世手中释放之前无法解密或恢复。
变更管理程序和跟踪机制，用于测试、批准和监控美世技术和信息资产的所有变更。
10） 事件/问题管理程序旨在允许美世调查、响应、缓解和通知与美世技术和信息资产相关的事件。
11)网络安全控制，提供使用企业防火墙和分层DMZ架构，入侵检测系统和其他流量和事件关联程序，旨在保护系统免受入侵，并限制任何成功攻击的范围。
12） 漏洞评估、补丁管理和威胁保护技术以及计划的监控程序，旨在识别、评估、缓解和防范已识别的安全威胁、病毒和其他恶意代码。
13)旨在从可预见的紧急情况或灾难中维持服务和/或恢复的业务弹性/连续性和灾后恢复程序。
美世保留随时修改本附件2中规定的安全措施的权利，无需另行通知，只要此类修改不会显著降低或削弱美世在向客户提供服务过程中所处理的个人数据的保护。