ZH policies

PCI SSC 政策

隐私政策
反垄断政策
IPR 政策

隐私政策

最后更新:2023 年 1 月 18 日

您的隐私对我们很重要。我们的目标是为您提供个性化的在线体验,为您提供最相关、最有用的信息、资源和服务。

本隐私政策(以下简称“隐私政策”)旨在阐述 PCI Security Standards Council(以下简称“PCI SSC”、 “我们”或“我们的”)在向您提供网站、 网页、域名、门户、注册机构、移动应用程序、其他活动及在线资源以及相关材料(统称为“网站”)时所遵循的隐私相关条款与条件,包括但不限于用于提供在线会议、活动及其他服务或与我们的在线会议、活动及其他服务相关的资源。

隐私政策除其他事项外,还讨论了如何收集和使用与您使用本网站相关的数据。我们强烈建议您仔细阅读隐私政策。使用本网站,即表示您同意遵守隐私政策的条款(包括其附录,附录已纳入隐私政策)。如果您不接受隐私政策的条款,请停止访问或使用本网站。若您对本网站不满意,请随时通过以下方式联系我们: dataprivacy@pcisecuritystandards.org

网站维护是一个不断发展的过程,我们可能会随时修改本隐私政策的条款,恕不另行通知。在变更后继续使用本网站,即表示您同意在变更生效之日接受修改后的条款。有效的隐私政策将发布在本网站上,您应在每次访问时查看是否有任何变更。

1.本隐私政策涵盖的网站和资源

本隐私政策适用于所有 PCI SSC 网站、 网页、域名、门户网站、注册机构、 移动应用程序和其他在线资源,包括但不限于用于提供我们的在线会议和活动或与我们的在线会议和活动相关的资源。尽管有上述规定,我们可能不时要求特定网页、门户网站或资源的用户同意相应的附加条款和条件(“附加条款”),在解决与本隐私政策存在的明显冲突时,附加条款应在必要范围内优先适用。

2.儿童隐私

我们致力于保护儿童的隐私需求,并鼓励家长和监护人在孩子的网络活动和兴趣方面发挥积极的作用。我们不会故意收集 13 岁以下儿童的信息,也不将本网站作为儿童的目标对象。

3.非 PCI Security Standards Council 网站的链接

本网站可能为方便用户而提供指向第三方网站或移动应用程序的链接。如果您访问这些链接或应用程序,您将离开我们的网站。我们无法控制这些第三方网站和应用程序,也无法保证其政策和做法与本隐私政策一致。例如,其他网站或移动应用程序可能会以不同于本文所述的方式收集或使用您的个人信息。因此,您应谨慎使用其他网站和移动应用程序,并自行承担相关风险。在提交个人信息之前,我们建议您仔细阅读任何网站或移动应用程序的隐私政策。

4.我们收集的信息类型

非个人信息

非个人信息是指与特定个人身份没有直接关联的使用和服务的操作数据。我们可能会收集和分析非个人信息,以评估用户如何使用本网站。

汇总信息

我们可能会收集汇总信息,即您的计算机自动提供给我们的信息,这些信息无法与您作为特定个人联系起来。例如,包括引荐数据(您访问我们网站之前访问过的网站)、浏览的页面以及在我们网站上花费的时间。您可以通过首次访问网站时出现的 Cookie 控制设置来控制我们收集的非必要信息,该设置可通过我们网站每个页面上的可见控件访问。

日志

每当您从网站请求或下载文件时,我们可能会将这些事件和您的 IP 地址的相关数据存储在日志中。我们可能会使用这些信息来分析趋势、管理网站、跟踪用户活动,并收集广泛的人口统计信息,以供汇总使用或用于其他商业目的。

Cookies

我们的网站可能会使用您浏览器的一项功能,在您的计算机上设置“Cookie”。Cookie 是网站计算机存储在您计算机上的小信息包。然后,每当您访问该网站时,网站都可以读取这些 Cookie。我们可能会以多种方式使用 Cookie,例如保存信息,以便您每次访问我们的网站时无需重新输入;提供符合您兴趣的内容;以及跟踪您访问过的页面。这些 Cookie 使我们能够利用收集到的信息定制您的网站体验,让您尽可能获得与您相关且有价值的网站访问体验。

有关 Cookie 及其使用方式的更多信息,请参阅本文件附录 A 中的 Cookie 声明。

个人数据

“个人数据”是指与您的个人身份相关的信息,可能包括您的姓名或其他可用于唯一识别您个人身份的个人信息。一般而言,我们使用个人数据是为了更好地了解您的需求和兴趣,为您提供更优质的服务。我们收集的个人数据的具体用途将在收集该数据时或在收集该数据的页面上进行说明。您通过本网站向我们提供的个人数据类型可能包括姓名、地址、电话号码、电子邮件地址、用户 ID、密码、IP 地址和账单信息。 为了使您能够请求和/或下载信息或材料、订阅邮件列表、参与相应的在线或现场讨论或活动、共同处理文件、提供反馈、向注册机构提交信息、注册或参与计划、会议或活动、申请参与或会员资格,或加入技术委员会、工作组或倡议,可能需要或要求您提供这些信息。我们收集这些信息是为了能够与您联系或向您发送您要求的材料(例如您要求的文件或邮件列表订阅),使您能够参与相应的活动,并使我们或其他人能够识别您的身份(例如在申请注册或参加会议或活动、加入委员会、参与计划或在线讨论、从本网站下载材料并执行相应许可时),以及向您收取您要求的服务或材料的费用。您可以随时选择不向我们提供您的个人数据,但这将限制您参与这些活动或享受这些服务的能力。

个人数据的保存时间不会超过收集目的所需的时间,通常情况下,我们将保存个人数据 3 年,如果您与我们有任何资格或合同关系,则在该资格或关系终止后保存 3 年。 在某些情况下,我们无法事先确定您的个人数据将被保留的期限。尽管如此,在为遵守我们所承担的法律或合同义务、保护您或他人的重要利益,或出于其他适用的合法利益而必须保留、处理和使用您的个人数据时,我们可能会保留、处理和使用您的个人数据。

5.受限网站和门户

您在申请参与或会员资格时提供的信息可能会用于创建相应的参与者或会员档案,或允许参与相应的活动,并可能与其他 PCI SSC 会员或参与者代表及组织共享。此类信息可能会以安全的方式提供给其他参与者或成员,以鼓励和促进合作、在线讨论、研究以及信息的自由交流。PCI SSC 参与者和成员将自动添加到适用的 PCI SSC 邮件列表中。 参与者和会员信息可能会不时与活动组织者和/或为我们的参与者或会员提供额外福利的其他组织共享。当您在 PCI SSC 组织或主办的活动中向我们提供个人信息时, 我们将使用该数据以履行我们对活动组织者及其他相关方的合同义务。在适当的情况下,我们也会在收集信息时明确征得您的同意。

6.会议与活动

您在参与活动或倡议时,或注册活动或倡议时提供的信息,例如我们的社区会议、市民大会、工作组、特别工作组、特别兴趣小组、征求意见活动以及类似活动和倡议(无论是在现场还是在线举行),可能包括姓名、电子邮件地址、公司名称和公司类型。这些信息用于履行我们对活动或倡议组织者或运营商以及与这些活动和倡议相关的其他方的合同义务,包括运营此类活动并促进您的参与,并可能出于此目的以及上述“受限网站和门户”所述的目的,与我们的承包商或其他活动参与者共享。此外,在您向我们提供此类信息时,我们将酌情征求您同意我们为提供信息的目的存储、处理、分发和使用此类数据。就此类活动而言,我们可能还会要求您提供其他信息,例如地址、公司附属机构、公司员工人数和其他公司信息,这些信息可能会用于营销目的,并可能分发给活动赞助商。在收集信息时,我们会征求您对使用此类附加信息的同意。与此类活动相关的所有信息均按照本隐私政策的适用条款进行保留。

7.公司信息

公司信息是指与我们的参与者、成员、其他利益相关方或用户组织的名称和地址相关联的信息,可能包括有关使用情况和服务运营的数据。任何此类组织的主要代表均可要求提供有限的使用报告,以评估其员工参与我们活动的程度。您应了解,您参与技术委员会、工作组、在线讨论和活动等相关信息可能会提供给您公司的主要代表和 PCI SSC 工作人员。

8.我们如何使用您的信息

我们可能会使用汇总的非个人数据来报告网站活动、可用性、性能、有效性或参与情况。它可用于改善网站或未来活动的体验、可用性和内容。

我们可能会使用个人信息来提供支持我们自身活动或参与者、会员、利益相关方及其他用户活动的服务,促进他们与我们的协作,或向您发送电子通讯、公告、调查或其他信息。当访问受限的 PCI SSC 网页、门户网站或活动时,您的个人用户信息可能会被使用或追踪,以支持协作、确保授权访问,并促进参与者或成员之间的沟通。

9.信息共享

我们不会出于营销目的向任何第三方出售、出租或租赁任何个人的个人信息或电子邮件地址列表,并采取商业上合理的措施来维护这些信息的安全性。根据法律要求,在未事先通知您并给予您选择退出或选择加入的机会的情况下,我们不会在未来采取上述任何行动。同样,我们不会就收集、使用或披露您的个人信息提供经济奖励。但是,我们保留向任何组织提供此类信息的权利,该组织可能是 PCI SSC 将来合并的对象,或 PCI SSC 为使第三方能够继续执行我们部分或全部使命或活动而向其进行转让的对象。如果我们合理地认为您违反了适用的使用条款,或者我们合理地认为您已发起或参与任何非法活动,我们保留为保护我们的系统或业务而披露个人信息的权利。此外,请注意,在某些情况下,我们可能有义务根据司法或其他政府传票、逮捕令或其他命令披露您的个人信息。

根据我们的公开流程,我们可能会对绝大多数活动进行公开存档。例如,向任何 PCI SSC 主办的邮件列表或讨论论坛发布电子邮件、 提供评论反馈请求, 或注册参加我们的公开会议或其他会议,可能会导致您的个人信息成为相应公开可访问档案的一部分。

如果您是 PCI Security Standards Council 的参与者或成员, 您应该知道您的某些个人信息可能会被其他参与者、成员以及公众查阅。我们的参与者和成员数据库可能会保留您选择提供的姓名、电子邮件地址、公司所属机构以及其他个人地址、身份识别数据和任何先前提供的此类数据。该数据通常可供其他参与者或会员以及公众查看。您的姓名、电子邮件地址以及您可能提供的其他信息也可能被纳入我们各种委员会、工作组、在线活动和讨论以及您参与的类似活动的公开记录中,包括:(i) 这些活动的永久性出席记录和其他记录; (ii) 活动产生的文件(可能永久存档);以及(iii) 邮件列表永久存档中的消息内容(该存档也可能公开)。

请记住,您在本网站公共区域或与公共或广泛参与活动(如论坛(亲自或在线)、留言板、新闻组和其他活动)相关的任何信息(包括个人信息)都可能成为他人可能收集、传播和使用的公开或广泛获取的信息。由于我们无法且不会控制他人的行为,您在决定在论坛或其他类似活动中披露自己或他人的信息时,应谨慎行事。

鉴于 PCI Security Standards Council 的国际范围, 您的个人信息可能被您居住国以外的人员查看,包括那些被您所在国家隐私法律法规认定为无法确保此类信息得到充分保护的国家的人员。如果您不确定本隐私政策是否与当地适用法规相冲突,请不要提交您的信息。

您的个人数据绝不会用于直接营销目的,但我们可能会就您对我们的服务、活动或活动信息提出的请求与您联系进行后续跟进。

如果您不希望 PCI Security Standards Council 收集和使用您的个人信息, 请不要访问或使用我们的网站,申请参与者或会员身份,或参与 PCI SSC 活动。

10.信息获取与准确性

我们致力于确保参与组织、会员组织及其他网站用户的个人信息准确无误。您提交给我们的所有信息均可进行验证、更改和删除(符合法律数据保留要求)。为此,请发送电子邮件至 dataprivacy@pcisecuritystandards.org 提出请求。我们可能会为参与者、会员和/或其他人员提供访问其个人资料的在线权限,使他们能够随时更新或删除信息。为了保护您的隐私和安全,在访问修改个人数据之前,我们可能会采取合理的身份验证措施,例如要求提供用户名和密码。本网站的某些区域可能会通过使用密码或其他个人身份识别信息来限制特定人员的访问;密码提示表明您正在访问受限资源。

11.安全

我们使用各种手段来保护网站用户提供的个人信息,包括在服务器上使用防火墙和其他安全措施。然而,没有任何服务器是 100% 安全的, 当您在本网站或其他地方提交您自己或他人的个人信息或机密信息时,应考虑到这一点。我们收集的大部分个人信息与参与和/或会员级服务(如协作和讨论)相关,因此某些类型的个人信息(如您的姓名、公司所属机构和电子邮件地址)将对其他 PCI Security Standards Council 参与者或会员以及公众可见。 对于您所提供信息的拦截、 更改、使用或滥用,我们不承担任何责任。您个人对个人信息保密负有全部责任。访问本网站或提供个人信息时,请务必谨慎行事。

12.退出

我们可能会不时向您发送电子通讯、公告、调查或其他信息。如果您不希望收到任何或所有这些通讯,您可以按照电子通讯和公告中提供的说明选择退出。

13.加州隐私权

根据 2018 年《加州消费者隐私法案》 (“CCPA”)、 《加州隐私权与执法法案》(“CPRA”)以及其他加州隐私法律,加州居民对符合适用要求的公司收集、使用和共享其个人信息拥有某些权利。例如,如果您是加利福尼亚州居民,您有权要求了解我们收集了哪些关于您的个人信息,并有权访问这些信息。您还有权要求删除您的个人信息,但法律规定的例外情况允许我们保留和使用某些个人信息,即使您提出了删除请求。有关此类权利和法律的更多信息,请参阅本附录 B 中的《加州居民隐私声明》。

14.数据隐私法

根据您所在或居住的州、国家或地区(您的“管辖区域”),除了本隐私政策所述的权利外,您可能还享有《通用数据保护条例》(“GDPR”)或您管辖区域内与个人数据隐私和保护相关的其他法律赋予的某些权利。您在本网站上或通过本网站提供或与我们的活动相关的个人数据,仅在征得您的同意或为履行我们的合同义务的情况下收集,并可能根据该同意传输到您管辖范围之外的 PCI Security Standards Council(或为 PCI Security Standards Council 利益而维护的计算机服务器)。

一般而言,根据 GDPR,如果您居住在欧洲经济区(”EEA”)或英国,您可:

  • 请求访问您的个人数据
  • 要求更正不完整或不正确的个人数据
  • 要求删除您的个人数据
  • 暂停或限制我们对您个人数据的使用,或撤回您的同意;如果该请求未被采纳,则提出异议
  • 要求提供您的个人数据副本
  • 如果您认为您在 GDPR 下的权利未得到尊重,可向监管机构投诉
  • 要求拒绝将您的个人数据用于自动化决策,以对您做出决定,如果该决策对您产生重大影响或产生法律效力

如果您要求获得您的个人数据副本,我们将为您提供副本。第一份副本将免费提供,但额外的副本可能会收取合理的费用。如果您要求删除您的个人数据,PCI Security Standards Council 通常会在可行的情况下尽快删除, 但您删除个人数据的权利受某些例外情况限制,例如,为了遵守法律义务或为了确立、行使或捍卫法律主张。

如果您认为我们对您个人数据的处理违反了适用的数据保护法律,您有权向负责数据保护的监管机构提出投诉。您可以在英国或您惯常居住的欧洲经济区成员国、您的工作地点或涉嫌侵权地点提出投诉。

请注意,我们的服务器位于美国,而欧盟认为该国的数据保护措施不够充分。因此,当您通过网站向我们提供信息时,您是在向位于美国的我们提供信息。您还应注意,如果您位于美国以外的国家/地区(包括但不限于英国或欧洲经济区),您的个人数据可能会被传输到您所在国家/地区之外(包括美国)进行收集、存储、处理和/或使用。例如,当英国或欧洲经济区个人的个人数据被传输到我们位于美国或英国或欧洲经济区以外的其他国家的服务器时,就会发生这种情况。这些国家可能没有与英国、欧洲经济区或您所在国家/地区类似的数据保护法律。如果我们以这种方式将您的信息传输到英国或欧洲经济区以外,我们将采取步骤确保采取适当的安全措施,以确保您的隐私权继续得到本政策所述的保护,包括以下措施:

  • 通过开放公共网络传输至我们网站或门户的数据,均受传输层安全协议(TLS)及强效加密法保护;
  • 我们网站或门户上的静态数据受到全盘加密和强访问控制的保护。此外,上传至我们门户网站的敏感客户文件均采用独立密钥进行单独加密。所有密钥均采用强效加密法,并通过基于角色的访问控制进行保护;
  • 我们至少每季度一次,并在任何重大变更后,对我们的基础设施(包括我们的网站和门户)进行漏洞扫描;
  • 我们每年至少一次,并在任何重大变更后,对我们的基础设施(包括我们的网站和门户)进行穿透测试。

15.联系我们

如果您对本政策或您的个人数据有任何疑问或疑虑,或希望行使上述任何权利,请通过其数据保护计划联系 PCI Security Standards Council:

免费电话号码:
电子邮件:
邮政地址:

1-888-241-3525
dataprivacy@pcisecuritystandards.org
PCI Security Standards Council
401 Edgewater Place
Suite 600
Wakefield, MA USA 01880
致:技术、基础设施与隐私总监

附录 A 和 B 如下。

附录 A

Cookie 声明

本 Cookie 声明旨在告知您我们如何在网站、其他在线资源及上述各项内容(统称”服务”)中使用 “Cookie”或类似技术,以便我们了解您与服务之间的互动方式、提升您的使用体验,并使您能够使用某些相关功能。本声明还提供了第三方如何在运营我们的服务时使用此类技术的信息。

1.关于此 Cookie 声明

当您使用我们的任何服务时,此 Cookie 声明即适用, 并可能由服务特定区域或我们与您互动期间提供的其他 Cookie 声明或条款加以补充。

2.Cookie 的使用

Cookie 是您访问的网站或使用的应用程序放置在您的计算机或设备上的小段数据(文本文件)。Cookies 被广泛用于使网站和应用程序能够运行或更有效地运行, 并帮助它们在您访问期间(使用“会话”cookie)或重复访问时(使用“持续”cookie)记住您的某些信息。

以下概述了我们在服务中使用的第一方和第三方 Cookie 以及我们使用它们的目的。第一方 Cookie 是您访问本网站时,本网站要求您的浏览器存储在您设备上的 Cookie,用于记住您的信息,例如您的语言偏好或登录信息。第三方 Cookie 来自与您正在访问的网站域名不同的域名,用于管理登录信息、管理 Cookie 偏好设置以及我们的广告和营销活动。我们提供控制功能,允许您管理我们网站上的 Cookie 使用情况。

我们将 Cookie 分为以下第 3 节所述的几类。

3.本网站使用的Cookie类别如下:

  • 必要/绝对必要的 Cookie:这些 Cookie 不存储任何个人身份信息。但是,它们对于服务功能是必要的,无法在我们的系统中关闭。这些通常仅在您采取相当于服务请求的操作时设置,例如设置隐私偏好、登录或填写表格。您可以将浏览器设置为阻止或提醒您这些 Cookie,但如果没有这些 Cookie,您要求的部分或全部服务可能无法正常运行。
  • 效能性Cookie:这些是分析和研究 Cookie,可让我们统计访问量并测量流量,从而衡量和改进我们服务的性能。它们还有助于我们了解哪些页面最受欢迎、哪些页面最不受欢迎,并了解浏览者如何浏览网站或应用程序。这有助于我们改进服务运作方式,提升用户体验。通过这些 Cookie 收集的所有信息都将以汇总和匿名形式进行处理。 您可以使用提供的控件禁用这些 Cookie。阻止这些 Cookie 不会影响为您提供的服务。
  • 功能性 Cookie:这些 Cookie 使我们的服务能够提供增强的功能和个性化设置, 例如记住您的选择和帐户偏好,并提供增强的、更个性化的功能。这些 Cookie 可能由我们或我们已添加到我们网页上的第三方提供商设置。您可以禁用这些 Cookie,但如果禁用,您要求的部分或全部服务可能无法正常运行。
  • 定向 Cookie:这些文件或代码可能直接或通过我们的广告合作伙伴、 社交媒体功能、我们的网站、电子邮件或移动应用程序包含在内,用于记录您与我们的互动情况,帮助我们更好地分析和改善为您提供的服务,并将使用这些信息使网站和向您展示的任何广告更符合您的兴趣。您可以禁用这些 Cookie。阻止这些 Cookie 不会影响为您提供的服务, 但可能会限制您看到的定向广告, 或限制我们根据您的需求定制网站体验的能力。

我们目前与服务相关的特定 Cookie 列在本 Cookie 声明的末尾。

4.如何拒绝使用 Cookies

您可在访问 PCI SSC 网站时(www.pcisecuritystandards.org),通过点击首页左下角的 Cookie 控制图标,管理各类 Cookie(除基本/必要必要 Cookie 外)。

您也可以通过浏览器的隐私首选项菜单选择适当的设置,阻止浏览器接受某些 Cookie,要求浏览器在放置新 Cookie 之前征得您的同意,或者完全阻止 Cookie。

5.变更

我们可能会不时更新此 Cookie 声明。任何变更都将发布在此页面上,并注明更新日期。

6.联系

有关我们收集和使用个人信息的更多信息,包括有关您的权利或联系方式的详细信息,请参阅我们的隐私政策。

如果您对本 Cookie 声明有任何疑问或顾虑,请通过我们的数据保护计划联系我们:

免费电话号码:
电子邮件:
邮政地址:

1-888-241-3525
dataprivacy@pcisecuritystandards.org
PCI Security Standards Council
401 Edgewater Place
Suite 600
Wakefield, MA USA 01880
致:技术、基础设施与隐私总监

在适用情况下,您也可以向相关管辖区的数据保护机构提出投诉。

 

COOKIE 列表

必要/绝对必要的 Cookie

www.pcisecuritystandards.org

  • PHPSESSID:会话 Cookie

programs.pcissc.org

  • ASP.NET_SessionId:会话 Cookie
  • pciAdmin:会话 Cookie
  • AWSALB:AWS 负载均衡器 Cookie
  • AWSALBCORS:AWS 负载均衡器 Cookie

功能性 Cookie

www.pcisecuritystandards.org

  • cookiecontrol:跟踪隐私声明的接受/拒绝以及定向 cookie 的使用情况
  • notification_bar:跟踪通知栏的关闭情况

programs.pcissc.org

  • session-timeout-cookie:跟踪会话超时

auth.pcissc.org

  • auth0:用于实施 Auth0 单次登录会话层。
  • auth0_compat:在不支持 sameSite=None 属性的浏览器上用于单点登录的备用 cookie。
  • auth0-mf:用于对给定设备建立信任级别。
  • auth0-mf_compat:在不支持 sameSite=None 属性的浏览器上用于多因素身份验证的备用 cookie。
  • a0_users:sess:用于经典通用登录流程中的 CSRF 保护。
  • a0_users:sess.sig:用于经典通用登录流程中的 CSRF 保护。
  • did:用于攻击防护的设备识别。
  • did_compat:在不支持 sameSite=None 属性的浏览器上进行异常检测的备用 cookie。

定向 Cookie

www.pcisecuritystandards.org

  • _ga = Google Analytics,仅在接受定向 Cookie 时
  • _gid = Google Analytics,仅在接受定向 Cookie 时
  • _parsely_visitor,仅在接受定向 Cookie 时
  • _parsely_session,仅在接受定向 Cookie 时

 

附录 B

加州居民隐私补充条款

本《加州居民隐私补充条款》(以下简称“隐私声明”)是对我们隐私政策中信息的补充,仅适用于居住在加利福尼亚州的访问者和其他人士(以下简称“用户”或“您”)。我们根据《2018 年加州消费者隐私法案》(“CCPA”)、《加州隐私权与执法法案》(“CPRA”)以及其他加州隐私法律采用本声明。这些法律中定义的任何术语在本声明中使用时具有相同的含义。

我们收集的信息

我们收集能够识别、涉及、描述、引用、关联特定个人或设备或合理地直接或间接与特定个人或设备相关联的信息(“个人信息”)。在过去的 12 个月内, 我们从用户处收集了以下类别的个人信息:

类别

示例

收集

A. 标识符。

真实姓名、别名、邮政地址、唯一个人标识符、在线标识符、互联网协议地址、电子邮件地址、帐户名、社会安全号码、驾驶执照号码、护照号码或其他类似标识符。

B. 《加州客户记录法》所列个人信息类别(《加州民法典》第 1798.80(e) 条。

姓名、签名、社会安全号码、身体特征或描述、地址、电话号码、护照号码、驾驶执照或州身份证号码、保险单号码、教育程度、就业情况、就业历史、银行账号、信用卡号码、借记卡号码或任何其他财务信息、医疗信息或健康保险信息。本类别中包含的某些个人信息可能与其他类别重叠。

C. 加利福尼亚州或联邦法律保护的分类特征。

年龄(40 岁以上)、种族、肤色、血统、国籍、公民身份、宗教或信仰、婚姻状况、健康状况、身体或精神残疾、性别(包括性别、性别认同、性别表达、怀孕或分娩及相关健康状况)、性取向、退伍军人或军人身份、基因信息(包括家族基因信息)。

D. 商业信息。

个人财产、购买、获得或考虑购买的产品或服务的记录,或其他购买或消费历史或趋势。

E. 生物识别信息。

用于提取模板或其他标识符或识别信息的遗传、生理、行为和生物特征或活动模式,例如指纹、面部特征和声纹、虹膜或视网膜扫描、击键、步态或其他身体特征,以及睡眠、健康或锻炼数据。

F. 互联网或其他类似网络活动。

浏览历史记录、搜索历史记录、用户与网站、应用程序或广告的交互信息。

G. 地理位置数据。

物理位置或移动。

H. 感官数据。

音频、电子、视觉、热、嗅觉或类似信息。

I. 专业或就业相关信息。

当前或过去的工作经历或绩效评估。

J. 非公开教育信息(根据《家庭教育权利与隐私法》(《美国法典》第 20 编第 1232g 条、《联邦法规》第 34 编第 99 部分))。

教育机构或其代理方保存的与学生直接相关的教育记录,例如成绩、成绩单、班级名单、学生课程表、学生识别码、学生财务信息或学生纪律记录。

K. 从其他个人信息得出的推论。

反映个人偏好、特征、心理趋势、倾向、行为、态度、智力、能力和才能的个人资料。

个人信息不包括:

  • 政府记录中公开可获取的信息。
  • 去识别化或汇总的用户信息。
  • CCPA 和 CPRA 范围之外的信息,例如:
    • 受《1996 年健康保险携带与责任法案》(HIPAA) 和《加州医疗信息保密法案》(CMIA)保护的健康或医疗信息,或临床试验数据;
    • 受特定行业隐私法律保护的个人信息,包括《公平信用报告法》(FRCA)《格雷姆─里奇─比利雷法案》(GLBA)或《加州金融信息隐私法》(FIPA),以及1994年《驾驶员隐私保护法》。

我们从以下来源获取上述类别的个人信息:

  • 直接来自我们的访客、参与者、会员、评估商、实验室及其他参与我们活动、项目或访问我们网站的人员(“利益相关方”)。例如,从向我们提供的与我们为利益相关者提供的计划和其他服务(“服务”)相关的文件中获取。
  • 间接来自我们的代表或其代理人。例如,通过我们的代理商在提供服务过程中从利益相关者处收集的信息。
  • 直接或间接来自我们网站(www.pcisecuritystandards.org)上的活动或事件,或通过我们的其他在线资源。例如,通过我们的网站门户提交的信息、自动收集的网站使用详情或参与在线活动。
  • 因我们的服务而与我们互动的第三方。例如,来自与我们的利益相关者合作以促进我们服务的商业伙伴。

个人信息的用途

我们可能会出于以下一个或多个商业目的(统称为“商业目的”)使用或披露我们收集的个人信息:

  • 为履行或提供信息所涉及的服务。例如,我们将使用合格的安全评估商提供的联系信息(姓名、电话号码、电子邮件和地址)与他们的联系人就相应的计划活动和参与进行沟通。
  • 为您提供您向我们请求的信息、产品或服务。
  • 向您提供电子邮件提醒、活动注册以及您可能感兴趣的有关我们产品或服务、活动或新闻的其他通知。
  • 履行您与我们之间签订的任何合同所产生的义务并行使相关权利,包括计费和收款。
  • 改进我们的网站并向您呈现其内容。
  • 用于测试、研究、分析和服务开发。
  • 在必要或适当的情况下,为保护我们、我们的利益相关者或其他人的权利、财产或安全。
  • 回应执法机构的要求,并遵守适用法律、法院命令或政府法规的要求。
  • 在收集您的个人信息时向您说明,或根据《加州消费者隐私法案》或《加州隐私权法案》另有规定。
  • 评估或实施合并、剥离、重组、改组、解散或其他出售或转让本公司全部或部分资产的行为,无论作为持续经营还是破产、清算或类似程序的一部分,其中本公司持有的个人信息属于被转让的资产。
  • 如隐私政策另有规定。

在未事先通知您的情况下,我们不会收集其他类别的个人信息,也不会将收集到的个人信息用于实质上不同、无关或不相容的目的。

共享个人信息

我们可能会出于商业目的向第三方披露您的个人信息。当我们出于商业目的披露个人信息时,我们会签订一份合同,说明目的,并要求接收方对个人信息保密,且除履行合同外不得将其用于任何其他目的。

在过去的 12 个月内,我们出于商业目的披露了以下类别的个人信息:

类别 A: 标识符。

类别 B: 《加州客户记录法》所列个人信息类别(《加州法典》第2261.5条)民法典》第 1798.80(e) 条。

类别 C: 受加州或联邦法律保护的分类特征。

类别 D: 商业信息。

类别 F: 互联网或其他类似网络活动。

类别 I: 专业或就业相关信息。

类别 J: 非公开教育信息(依据《家庭教育权利与隐私法》(《美国法典》第 20 编第 1232g 条、《联邦法规》第 34 编第 99 部分))。

我们出于一项或多项商业目的向以下类别的第三方(统称“特定第三方”)披露您的个人信息:

  • 我们的关联公司和业务合作伙伴。
  • 服务提供商。
  • 您或您的代理人授权我们向之披露您的个人信息以供我们向您提供产品或服务的第三方。

在过去的 12 个月内, 除出于商业目的与特定第三方共享外, 我们未出售或共享任何个人信息。

您的权利与选择

法律赋予用户(加州居民)对其个人信息特定的权利。本节描述了您的 CCPA 和 CPRA 权利,并解释了如何行使这些权利。

访问特定信息和数据可携权

您有权要求我们向您披露有关我们收集和使用您的个人信息的一些信息。在收到并确认您的可验证用户请求后,我们将向您披露:

  • 我们收集的关于您的个人信息类别。
  • 我们收集的关于您的个人信息的来源类别。
  • 我们收集或销售该个人信息的商业或商业目的。
  • 我们与之共享该个人信息的第三方类别。
  • 我们收集的关于您的具体个人信息(也称为数据可携性请求)。
  • 如果我们出于商业目的出售或披露了您的个人信息,则披露以下信息的两份独立清单:
    • 销售,标明每类接收方购买的个人信息类别;以及
    • 出于商业目的披露,并指明每类接收者所获得的个人信息类别。
  • 在技术可行的情况下,您可以要求以上信息以结构化、常用、机器可读的格式提供给您或您指定的第三方。

删除请求和退出权利

您有权要求我们删除从您那里收集并保留的任何个人信息,但某些例外情况除外。一旦我们收到并确认您的可验证用户请求,我们将从我们的记录中删除(并指示我们的服务提供商删除)您的个人信息,除非适用例外情况。

您还有权要求我们不要出于广告或类似目的与第三方共享、披露、传播、提供或转让您的个人信息。

如果保留信息对于我们或我们的服务提供商而言是必要的,我们可能会拒绝您的请求:

  1. 完成我们收集个人信息所涉及的交易,提供您要求的商品或服务,采取与您持续业务关系范围内合理预期的行动,或履行我们与您的合同。
  2. 检测安全事件,防范恶意、欺骗、欺诈或非法活动,或起诉此类活动的责任人。
  3. 调试产品,以识别和修复影响现有预期功能的错误。
  4. 行使言论自由权,确保其他用户行使言论自由权,或行使法律规定的其他权利。
  5. 遵守《加州电子通讯隐私法》(加州刑法典第 1546条及以下条款)。
  6. 从事符合公众利益的、公开或经同行评审的科学、历史或统计研究,且该研究遵守所有其他适用的道德和隐私法律,如果删除信息可能会使该研究无法实现或严重损害其成果,且您事先提供了知情同意。
  7. 仅允许基于您与我们的关系,合理符合用户期望的内部使用。
  8. 遵守法律义务。
  9. 在您提供信息时所符合的范围内,将该信息用于其他内部和合法用途。


更正信息的权利

您有权要求我们更正关于您的不准确的个人信息,即指出错误信息并提供更正后的信息。

限制使用和披露敏感个人信息的权利

您有权限制“敏感个人信息”的使用和披露(包括 PIN、 社会保障号、驾照号、护照号或州身份证号; 帐户或借记卡/信用卡号码与密码或访问帐户的代码组合、精确地理位置信息、种族背景、宗教信仰或工会会员身份信息、您的电子邮件或短信内容(除非主动发送给我们),以及基因数据)的使用和披露,仅限于我们为您提供所请求产品或服务所必需的情况,且在将此类数据用于其他任何目的前须事先告知您。

自动决策

您有权要求获取我们使用涉及您个人信息的自动决策流程所采用的逻辑相关信息,并要求您不受此类自动决策的影响。

行使您的个人信息权利

要行使上述权利,请按照下面的“联系信息”所述方式联系我们,向我们提交可验证的用户请求。

只有您本人或您授权代表您行事的、在加州州务卿处注册的人士,才能就您的个人信息提出可验证的用户请求。您也可以代表您的未成年子女提出可验证的用户请求。

您在 12 个月内只能提出两次可验证的用户请求以行使访问权或数据可携权。 可验证的用户请求必须:

  • 提供足够的信息,使我们能够合理地验证您是我们收集个人信息的人或其授权代表。
  • 详细描述您的请求,以便我们能够正确理解、评估并回应您的请求。

如果我们无法核实您的身份或提出请求的权限,也无法确认个人信息与您有关,我们将无法回应您的请求或向您提供个人信息。提出可验证的用户请求并不要求您在我们这里创建帐户。我们只会将可验证用户请求中提供的个人信息用于验证请求者的身份或提出请求的权限。

响应时间和格式

我们致力于在收到可验证的用户请求后 45 天内作出回应。如果我们需要更多时间(最多 90 天), 我们将以书面形式通知您原因和延期时间。 如果您在我们这里拥有帐户, 我们将把书面答复发送到该帐户。如果您在我们这里没有帐户,我们将根据您的选择通过邮件或电子方式发送书面答复。我们提供的任何披露信息仅涵盖可验证用户请求收到前 12 个月的期间。 我们提供的答复还将说明我们无法满足请求的原因(如适用)。 对于数据可携性请求,我们将选择一种易于使用的格式来提供您的个人信息,该格式应使您能够将信息从一个实体无障碍地传输到另一个实体。

除非您的可验证用户请求过多、重复或明显没有根据,否则我们不会就处理或响应您的请求收取任何费用。如果我们确定该请求需要收费,在完成您的请求之前,我们将告知您做出该决定的原因,并为您提供费用估算。

除了 CCPA 和 CPRA 之外,加州《反客户信息披露法》(Shine the Light law) 赋予加州居民向公司询问其为第三方直接营销目的而与第三方共享哪些个人信息的权利。除非您要求披露,否则我们不会将您的个人信息披露给第三方,用于向您直接推销其商品或服务。此外,《加州民法典》第 1798.83 条允许加州居民且向我们提供了“个人信息” (该术语在第 1798.83 条中有定义)的客户, 要求提供某些关于将该信息披露给第三方用于直接营销目的的信息。如果您是加利福尼亚州居民,对上述内容有疑问,请按照隐私政策中“联系我们”部分所述的方式与我们联系。

非歧视

我们不会因您行使任何数据权利而歧视您。除非法律允许,否则我们不会因您行使任何这些权利而:

  • 拒绝向您提供商品或服务。
  • 对商品或服务收取不同的价格或费率,包括通过给予折扣或其他优惠,或施加惩罚性措施。
  • 向您提供不同等级或质量的商品或服务。
  • 建议您可能获得不同价格或费率的商品或服务,或不同等级或质量的商品或服务。

隐私声明的变更

我们保留随时自行修改本隐私声明的权利。当我们对本隐私声明进行修改时,我们将通过网站首页公告或发布更新条款的方式通知您。

联系信息

如果您对本隐私声明、我们的隐私政策、我们收集和使用您的个人信息的方式、您对这种使用所享有的选择权和权利有任何疑问或意见,或者希望行使加州法律赋予您的权利,请随时通过以下方式联系我们:

免费电话号码:
电子邮件:
邮政地址:

1-888-241-3525
dataprivacy@pcisecuritystandards.org
PCI Security Standards Council
401 Edgewater Place
Suite 600
Wakefield, MA USA 01880
致:技术、基础设施与隐私总监

PCI SSC 反垄断政策

最后更新:2023 年 1 月 18 日

PCI Security Standards Council(“PCI SSC”)的明确政策要求, 其所有会议、活动和其他形式的参与(“PCI SSC 活动”) 均应严格遵守美国联邦和州的反垄断法律,以及所有适用的外国反垄断和竞争法律(统称为“反垄断法律”)。由于反垄断法复杂且各司法管辖区存在差异,本政策无法对其进行概括,因此请务必咨询您所在公司的专业法律顾问以获得详细指导。

以下规则适用于所有 PCI SSC 活动:

1. 必须为所有 PCI SSC 会议制定议程并记录会议纪要。 这些议程和会议记录必须与任何会议材料一起提交给 PCI SSC。

2. 反垄断声明。在适用的 PCI SSC 活动开始时, 应提交一份关于反垄断法和遵从性的声明。

3. 某些话题在任何 PCI SSC 活动期间或与 PCI SSC 活动相关时均不得讨论,PCI SSC 活动的任何参与者(均称为“活动参与者”)也不得就这些话题与任何其他竞争对手达成协议。特别是,在任何时候都不得与任何竞争对手就以下任何事项达成协议或进行讨论:

  • 当前或未来的定价、定价方法或实施方法,或与定价相关的策略
  • 价格或成本相关信息(例如价格变动、报价、政策、水平、差价、加价、折扣或津贴、运费、信贷或保修政策或其他销售条件)
  • 产量、产能、库存水平
  • 当前或未来的业务计划、战略、创新
  • 员工薪酬福利
  • 当前或未来的销售条件或销量
  • 投资或发展水平、此类水平的变化或相关策略
  • 当前或未来的营销策略
  • 客户和竞争对手的详细信息,如名称、类型、重要性
  • 活动参与者能够生产或销售的产品或服务的数量多寡
  • 活动参与者在任何特定情况下是否提交了投标,或是否将进行投标
  • 任何活动参与者是否将出售任何产品或服务
  • 任何活动参与者是否会与任何第三方打交道
  • 活动参与者提供任何知识产权的条款,但 PCI SSC 知识产权政策允许或要求的情况除外

如果您发现任何可能违反上述规则的活动,请立即通知 PCI SSC 代表。

有关反垄断法的更多信息,请参阅 PCI SSC 反垄断合规指南。

PCI SSC 反垄断合规指南

本指南由 PCI Security Standards Council, LLC(“PCI SSC”)提供, 旨在每年分发给所有参与 PCI SSC 会议、活动和其他形式的 PCI SSC 活动(“活动参与者”)的人员,包括但不限于所有 PCI 参与者,以及 PCI SSC 执行委员会、其他委员会、顾问委员会、工作组、特别兴趣小组和特别工作组的所有参与者。

PCI SSC 的政策要求所有 PCI SSC 会议、活动及其他形式的参与(“PCI SSC 活动”) 均须遵守美国联邦和州反垄断法律以及适用的外国反垄断和竞争法律。尽管反垄断监管机构认可 PCI SSC 等组织的存在对行业和消费者都有益处, 但活动参与者不得从事某些活动,这些活动也不受 PCI SSC 的认可或授权。本指南旨在提高活动参与者对不当行为的认识。

本《反垄断合规指南》(以下简称“指南”)旨在帮助您熟悉美国法律中您应了解的领域,以保持对美国反垄断法的遵从性。然而,本指南仅提供一般性指导;它并非旨在全面或权威地阐述美国反垄断法的所有方面,也不就其他国家的反垄断法提供建议,因为各国反垄断法可能存在显著差异。尽管 PCI SSC 的活动受其活动所在所有国家的反垄断法约束, 但全球范围内对国际反垄断法的审查超出了本指南的范围。因此,本指南不仅应被视为对美国法律的选择性指南,而且对其他国家的反垄断问题而言,也是不可靠且不充分的指南。每个活动参与者必须自行决定如何以及在何处采用和支持全球范围内的 PCI SSC 标准。 这些决定可能会导致不同的风险, 因此, 每个活动参与者都需要考虑不同的预防措施和做法。

出于这些原因,每位活动参与者应就参与 PCI SSC 活动事宜, 向其反垄断法律顾问寻求建议,并在必要或适当的情况下与该顾问进行磋商。本指南未涉及的任何与反垄断合规相关的具体问题,应咨询 PCI SSC 的法律顾问或活动参与者的反垄断法律顾问。活动参与者未咨询反垄断法律顾问的行为可能会对活动参与者和/或 PCI SSC 造成损害。 有关反垄断法对行业协会活动适用性的更多信息,请参阅 ConsortiumInfo.org 网站的“法律、案例与法规”栏目。该行业联盟信息网站由本指南的起草方(我们的法律顾问 Gesmer Updegrove LLP 律师事务)所创建。

I. 反垄断法

从广义上讲,美国反垄断法的基本目标是维护和促进竞争以及自由企业制度。这些美国法律基于这样一个前提:私营企业和自由竞争是分配资源、以最低价格生产商品和确保生产高质量产品的最有效方式。这些美国法律通常要求商人做出独立的商业决策,无需与竞争对手协商或达成协议。PCI SSC 的成功要求坚持自由、公开的竞争作为 PCI SSC 的政策,并且所有活动参与者都应遵守该政策。

PCI SSC 坚持完全遵守反垄断法律,不仅是出于遵守法律的要求,更是基于 PCI SSC 的信念:维护自由、竞争的市场环境对行业和 PCI SSC 的福祉至关重要。

(a) 适用于协会活动的反垄断法

参与行业协会活动的公司和个人主要关注的美国反垄断法规是《休曼反垄断法案》第 1 条和《联邦贸易委员会法》第 5 条。 这些法律规定,所有被视为限制贸易的合同、联合和阴谋均属非法。

从广义上讲,法院将这些法律解释为禁止那些具有不合理限制贸易效果的协议、合同和联合文件。除某些例外情况外,法院在审理反垄断诉讼时,将审查与相关行为有关的所有事实和情况,以确定该合同或联合文件是否通过不合理地限制贸易而违反了法律。

然而,某些活动因其本质而被视为不合理,因此被认为是“本身”非法的,这意味着无论行为者提出任何理由或减轻因素,这些活动都是非法的。公司和个人被最终推定为从事这些活动的目的仅在于限制贸易。属于“本身即构成限制”类别的做法包括:竞争对手之间达成固定价格的协议、抵制竞争对手、供应商或客户的协议、操纵投标的协议、竞争对手之间达成市场划分或限制生产的协议,以及某些捆绑销售行为。捆绑销售是指要求顾客购买额外商品才能购买所需产品或服务的行为。

PCI SSC 及其活动参与者在反垄断法下的活动合法性, 将根据与确定其他团体或公司活动合法性所使用的标准相同的标准来确定。

(b) 违规处罚

美国反垄断法由联邦司法部反垄断司和联邦贸易委员会竞争局在联邦层面负责执行。

违反反垄断法而被定罪,可能会导致 PCI SSC 及其活动参与者被处以高额罚款, 参与违法行为的个人(包括以公司雇员或高管身份行事的个人)被判处监禁,以及法院下令解散 PCI SSC 或严格限制其活动。 过去,一些外国公民曾在美国被判入狱, 而被定罪的犯罪公司则被罚款数亿美元。

此外,个人或公司可根据联邦法律提起损害赔偿诉讼,被认定负有责任的公司可能需要支付原告实际损失的三倍赔偿金,以及原告的所有诉讼费用和律师费。

最后,美国各州的总检察长或受害方可向州法院提起诉讼。

II. 详细讨论

(a) 标准制定活动

1.一般

标准制定在美国被认为具有潜在的“促进竞争”作用。尽管如此,在制定标准时仍需格外谨慎。当标准制定机构的参与者提交或投票表决技术或规范时,一家公司或一组公司可能会采取被认为对其他公司不公平的行为。

在过去的几年里,美国和欧洲的监管机构根据标准制定行为,对私营企业提起了更多诉讼,并采取了执法行动和调查。其中一些案件、行动和调查侧重于个别公司的行为,以及标准制定参与者是否履行了他们或专利先前的所有者对标准制定组织作出的许可义务。

鉴于上述情况,标准制定和其他协作活动必须在严格的法律监督下进行,并且必须仔细审查为管理这些流程而制定的政策和程序,以确保它们不会导致可能引发反垄断风险的情况。这是 PCI SSC 的政策。

2.具体标准制定活动

标准制定组织通常开展各种活动,这些活动具有公认的促进竞争的益处,但必须以适当的方式进行,以避免无意中违反法律。这些活动包括:

  • 专利权利要求的披露与许可承诺的制定:这项常见活动必须在公认且易于遵循的准则范围内进行,例如,该准则禁止就专利许可价格进行谈判,但要求此类许可必须以“合理且非歧视性条款”提供。创建和管理产品与服务认证计划,以证明符合标准:活动参与者不应讨论是否及如何强制执行或激励标准遵从性,也不应讨论是否授予例外情况。在活动参与者独立选择遵守标准的范围内,认证计划必须向所有人开放,并以非歧视的方式进行。
  • 行业协会成员的参与及因故开除参与者的相关规则:参与资格必须以非歧视性方式向所有符合客观标准的人开放,任何与开除或拒绝续会相关的规则必须合理且以非歧视性方式实施。PCI SSC 已同意根据每类活动参与者 (例如创始成员、战略成员、关联成员或 PCI 参与者)的适用客观标准允许参与,并以非歧视的方式实施这些标准。
  • 遵守 IPR 政策下的许可义务: 活动参与者只能根据组织政策规定的参与者义务和/或参与者在开发过程中的披露和声明,就组织批准或采用的技术主张专利侵权。
  • 联合采购:可接受成员或与成员共同开展的联合采购活动,但应事先由法律顾问进行审查。

执行委员会将与法律顾问协商,确保在上述每个领域都遵循适当的指导方针。

(b) 反垄断问题领域

从实际角度来看,活动参与者应注意避免以下主要反垄断问题领域:

1.价格垄断

经验表明,行业协会的参与者可能容易违反《休曼反垄断法案》对价格垄断的禁止规定,因此,政府将重点关注此类实体的活动。如上所述,价格垄断本身就是非法的。

行业协会会议(包括委员会会议)可能会被执法机构视为讨论价格垄断的便利场所。每当竞争对手聚在一起时,他们自然会讨论共同的问题,除非谨慎行事,否则讨论可能会转向价格问题。在行业协会会议前后举行的非正式聚会上,当参与者们聚在一起社交时,这种情况就更为明显。

为避免承担责任风险,活动参与者切勿讨论价格、定价体系、折扣、佣金率、员工薪资信息等事项,PCI SSC 也不应参与活动参与者的定价实践。

无需正式协议即可认定反垄断责任。反垄断案件通常通过间接证据而非直接证据来证明。尽管商业行为可能有完全无辜的解释,但反垄断执法机构、法官或陪审团可能会将与竞争对手接触后行为相似的情况解释为“协议”的间接证据。因此,避免与竞争对手进行任何可能支持非法协议推断的讨论或其他行为至关重要。这意味着活动参与者与竞争对手的关系应始终像各方时刻处于公众视野中开展。

活动参与者还应意识到,反垄断法对价格垄断的禁止范围非常广泛。 《休曼反垄断法案》本身将价格垄断定义为任何为提高、压低、固定、挂钩或稳定“价格”而形成且具有此效果的“联合”。

例如,竞争对手在以下情况下违反该法律:

  • 就购买或销售可执行的价格范围达成一致;
  • 同意收取或支付的价格应符合某种公式;
  • 同意固定或停止提供折扣;
  • 同意增加或限制供应;或
  • 就将支付给雇员的薪酬、福利或佣金率达成一致。

由于价格垄断本身属于违法行为,因此设定价格是否合理不能作为辩护理由。竞争对手固定的是最高价格而不是最低价格,这也不一定构成辩护理由。

虽然到目前为止的讨论主要侧重于所谓的“横向”价格垄断——即销售相同或相似产品的竞争对手之间的协议——但参与“纵向”价格垄断也可能是非法的:即就购买者转售产品的价格达成协议。当产品为转售而销售时,卖方可以向客户建议转售价格,但任何协议(无论正式还是非正式、明示还是暗示)都应事先由法律顾问审查。

基于以上所有原因,活动参与者应假定在 PCI SSC 活动过程中不应提及价格或与价格相关的商业条款,除非讨论的主题、范围和目的事先已获得 PCI SSC 法律顾问的批准,并且即使允许进行讨论,也已实施适当的控制措施。

2.市场分配协议

贸易协会参与者之间就市场或客户进行分配的协议,本身就可能构成违反反垄断法。反垄断法明确禁止竞争对手或协会成员之间达成任何涉及划分或分配地域市场或客户的谅解或协议,或达成按产品类型划分销售额的协议。即使是非正式的协议,例如一方同意不进入另一方的区域,也可能构成违反反垄断法。

3.独家销售与交易

独家销售协议涉及在特定区域和特定时间段内指定一家独家经销商销售供应商的产品,通常附带一项默契,供应商不得在经销商的区域内自行进行单独交付或销售。任命独家经销商通常被认为是合法的,但考虑采取这种做法时应咨询法律顾问。

独家交易是指购买者同意在一定时期内只从一个供应商处购买产品的协议。

如果卖方的独家交易合同涉及大量资金或排挤竞争对手的大部分市场份额,则该合同可能属于非法。然而,如果存在大量不受独占交易协议影响的其他公司的竞争,则独占交易协议被视为非法的可能性较小。再次强调,此类安排必须事先经过法律审查。

4.捆绑安排

捆绑是指卖方拒绝向顾客出售所需的产品或服务(捆绑项目),除非顾客同时同意从卖方购买第二件产品或服务。

如果供应商在捆绑项目的市场中占据支配地位,或者捆绑项目的独特性阻碍了其他销售商生产同等产品,则捆绑安排可能属于非法行为。

5.协同拒绝交易

活动参与者应避免参与“协同”拒绝“交易”的行为,即通常所说的抵制。活动参与者应谨慎行事,避免达成实际上导致竞争对手被排除在市场或竞争活动之外的协议。例如,PCI SSC 的两个或多个活动参与者之间达成不再从特定供应商或分销商处购买 (或向其销售)产品,或不再与特定第三方服务提供商合作的协议,就可能构成此类抵制行为。为避免此风险,活动参与者应避免任何涉及拒绝与特定供应商或客户交易的讨论或联合行为。

PCI SSC 本身作为竞争对手团体, 并基于其工作的性质, 存在陷入可能被质疑为抵制活动的风险。 因此, 律师必须有机会审查任何拟议的参与规则变更以及任何可能对非活动参与者不利的拟议规则。

6.价格歧视

价格歧视是指相同的产品以不同的价格出售给不同的购买者。如果对购买同等级、同质量商品的不同购买者实行价格歧视,且这种歧视大大削弱了竞争,则可能属于违法行为,前提是这些商品是在美国境内销售用于使用、消费或转售的。然而,基于某些因素的价格差异,例如成本差异、数量折扣、及时付款或运费,通常是可以接受的, 并不违反反垄断法。

如果您对上述任何事项有疑问,请联系您公司的反垄断法律顾问;如果您是 PCI SSC 成员,请联系为 PCI SSC 提供法律咨询的 Gesmer Updegrove LLP 律师事务所的 Andrew Updegrove,电子邮件地址为 andrew.updegrove@gesmer.com。

PCI Security Standards Council IPR 政策

最后更新:2023 年 1 月 18 日

1.知识产权一般信息

1.1目的

PCI Security Standards Council LLC(以下简称“理事会”)通过了本知识产权政策(以下简称“政策”),以最大限度地减少成员和第三方在使用或实施任何理事会标准时无意侵犯知识产权的可能性。

1.2适用性

所有成员以及参与或出席任何 工作组或 技术流程会议或倡议的所有第三方均须遵守本政策以及(经理事会批准后)该会议或倡议的任何相关程序规则(以下简称“程序规则”)。在理事会允许任何第三方参与任何工作组或其他理事会技术流程的情况下,该第三方应签订经理事会批准的协议,同意受本政策条款的约束。

2.定义

术语

定义

合规产品

实施标准所有必备要素的产品或服务。为避免疑义,如果标准中包含多个实施特定必备要素的选项,则就合规产品的定义而言,任何此类选项的实施均被视为该必备要素的实施。

标准草案

技术标准或规范及任何支持材料,以及工作组产生的任何其他包含知识产权的工作成果,尚未被理事会正式采纳。除非上下文另有要求,否则对标准草案的任何引用也应被视为适用于标准的修订,直到该修订被理事会正式采纳为止。

实施许可

理事会与实施方之间就某项标准达成的协议,其形式基本参照本知识产权政策附件 A 所示,并可由理事会不时修订。

实施方

希望使用或实施标准 的会员和非会员,对于该 标准, 须 (i) 与理事会签订适当的实施许可协议 , 或 (ii) 在法律上受本知识产权政策条款的约束。

IPR

“知识产权”的缩写。在本政策中,知识产权是指 (i) 在全球任何地方的专利、专利申请、延续申请、分案申请、复审申请、重新颁发申请、部分延续申请以及上述申请的外国等效申请中的权利要求,以及 (ii) 在美国或任何其他国家的版权和版权申请(包括续展); 但不包括商标和商业秘密,此类权利不属于成员或关联方根据本政策承担的义务。

投资组合子公司

任何实体,其股份、资产或所有权权益被关联方收购并持有,且(i)该实体未与关联方的母公司合并进行报告、税务和会计处理,或(ii)该等股份、资产或所有权权益被持有一定期限,以便在合理基础上进行出售或处置, 且在持有期间, 该实体的控股公司除为在转售或处置时获得合理投资回报所必需或要求的情况外,不常规管理或运营该实体。

管理委员会

根据理事会有限责任公司协议设立的同名委员会,或理事会执行委员会不时授权的其他或后续委员会,负责审议根据本政策提交管理委员会审议的事项。

成员

理事会有限责任公司协议的成员。

必要的侵权

合规产品中实施任何标准的必备要素或其他要素所造成的侵权,且在不导致此类侵权的情况下,没有商业上和技术上合理的替代方法来实施该标准要素。为避免疑义,如果标准中包含多个实施特定要素的选项,则任何选项造成的侵权均被视为必要侵权。

必要权利要求

根据专利、专利申请、延续申请、分案申请、复审、重新颁发和部分延续申请以及上述申请在世界各地现在或将来产生的外国等效申请所提出的权利要求,如果因在合规产品中实施标准而构成必要侵权,则应受到限制。必要权利要求不包括:(a) 涵盖引用实施或实施例的权利要求;(b) 仅因制造或使用标准的任何实施所必需的任何使能技术而构成侵权的权利要求,但未在标准中明确规定; 以及 (c) 仅因符合非理事会或其代表制定的规范、要求或标准的任何实施(但仅通过引用方式纳入标准)而构成侵权的权利要求。

不主张承诺

根据本政策,技术参与者或其关联方作为授予方不可撤销地承诺并同意,现在或将来不会在任何地方根据标准对以下对象行使第 3.1(ii) 节中规定的任何必要权利:(a) 理事会对任何标准或其任何版本的任何使用、实施 或因遵守该标准或其任何版本而导致的必要侵权行为;或(b)针对任何符合标准产品的部分实施该标准或其任何版本的实施方,前提是该符合标准产品由同时签署并遵守不主张承诺或实施许可的个人或实体开发。

其他元素

除必备要素之外的标准草案或标准中的任何元素。

其他工作成果

任何在合理预期范围内,按预期用途使用不会导致专利侵权的材料。

拥有

对于任何必要权利主张,“拥有”和“所有者”一词包括:(i) 对任何必要权利主张的所有权利、所有权和利益的所有权,以及 (ii) 由相关技术参与者或关联方控制但未拥有的必要权利主张, 前提是相关技术参与者或关联方有权对该必要权利主张进行免版税的再许可。

关联方

除投资组合子公司外,任何直接或间接受控于、共同控制或控制主体方的实体。为此目的,“控制”是指实益所有权或行使该实体超过 50% 投票权的权利。 任何技术参与方或潜在技术参与方, 若认为本定义的适用在其特殊情况下将导致不公平,可通过理事会不时为此目的提供的表格,申请有限且基于具体事实的豁免。

必备要素

任何未被标识为“可选”或“仅供参考”的草案标准或标准的元素。

标准

理事会正式通过的标准草案。除非上下文另有要求,否则任何提及标准的采用也应被视为同样适用于标准修正的采用。

技术参与者

在理事会酌情允许的情况下加入理事会的任何工作组或技术流程,且在加入后 60 天内未退出该工作组的任何成员以及任何其他个人或实体。

工作组

理事会为技术目的而设立的委员会、工作组、特别兴趣小组、特别工作组或其他小组、分组或倡议(包括但不限于对标准或标准草案征求意见的请求)。

3.必要声明

3.1适用性与不主张承诺

为了减少采用标准的可能性,该标准在未经许可的情况下,如实施将侵犯任何成员或第三方的必要权利要求,每个技术参与者,代表其自身及其每个关联方,特此 (i) 不可撤销地承诺并同意本政策的规则、条款和条件,该政策由程序规则加以补充,(ii) 就其及关联方在理事会已通过或正在通过的所有标准中对应的专利权利要求作出不主张承诺,(a)若为成员,则在成为成员之前或期间,或成为成员之后(以该等专利权利要求在其成员期间制定的任何版本标准草案中属于必要权利要求,且在该标准草案被采纳为标准时仍属必要权利要求为限),以及 (b)若为非成员:在该方作为技术参与者期间由工作组制定且经理事会采纳的任何标准草案,前提是该等专利权利要求在该方作为技术参与者期间制定的任何版本标准草案中均属必要权利要求,且在该标准草案被采纳为标准时仍属必要权利要求为限;以及(iii)同意 履行该不主张承诺项下的所有义务。

如果任何技术参与者违反本第 3.1 节规定的义务, 联盟没有义务进行干预,但适用的实施方有权作为第三方受益人,根据本第 3.1 节要求保护,并对该行为提出完全抗辩。

3.2关联方承诺

各技术参与方在此进一步同意:

(a) 若在标准通过并公布后, 某技术参与方的关联方(该关联方不受该技术参与方“控制”,具体定义见下文关联方定义)对任何实施方、技术参与方或理事会提起侵权诉讼并主张必要权利要求,则该技术参与方应要求该关联方授予不主张权利许可。

(b) 如果该技术参与者无法从其关联方获得上述条款所规定的、 针对所有实施方的不主张承诺,理事会可酌情:

  1. 将相关标准退回管理委员会进行进一步审议;
  2. 撤销理事会授予该技术参与方及其关联方的所有许可权利;和/或
  3. 允许所有其他技术参与方及其各自关联方撤销其根据本协议就该技术参与方及其关联方作出的不主张承诺。

无论关联方是否参与或曾参与理事会任何工作组或其他技术流程,理事会均可采取上述补救措施。

技术参与者和/或任何关联方授予理事会或通过理事会授予的、和/或根据本政策授予的、和/或以其他方式授予的所有先前权利和/或不主张承诺,尽管理事会根据这些条款撤销了权利,但仍应保持完全效力。

(c) 如果必要权利主张在侵权诉讼中提出后, 必要权利主张的所有者不再是技术参与者的关联方,且技术参与者未从必要权利主张的提出中获益,则技术参与者根据第 (i) 款对关联方承担的义务予以免除。 尽管有上述规定,如果理事会在必要权利主张的所有者不再是技术参与者的关联方之日前已采取第 (ii) 款规定的任何行动, 则理事会无义务撤销任何此类先前行动或恢复任何可能已被撤销的权利。

3.3文档表述

3.3.1标准草案的表述

所有需征求意见的标准草案均应包含以下引言:

“本文件接收方应随意见一并提交其知悉的任何相关第三方知识产权通知,说明该知识产权可能因实施本文件所述标准或规范而受到侵犯,并提供支持性文件。”

3.3.2未识别必要权利要求时的表述 所有标准均应包含以下引言性表述:

“本文档及其内容(统称为“标准”)不作任何担保,特别是明确不作任何不侵权担保。使用本标准的风险完全由实施方自行承担,对于因使用本标准而直接或间接造成的任何性质的损害,理事会、其任何成员或其关联方均不对任何实施方或第三方承担任何责任。此外,使用本标准须遵守理事会当时有效的实施许可协议条款和条件。

3.3.3必要权利要求或其他知识产权被识别时的表述

(a) 当确定针对标准草案或已发布标准的必要权利要求或其他知识产权 (受相应的不主张承诺约束),应在引言部分包含实质上如下所述的通知:

“理事会特此提醒,据称遵守本标准或规范(以下简称”标准”)可能涉及使用[子条款]中所述[主题事项]相关的专利或其他知识产权(统称”IPR”)。理事会对该权利要求的准确性、证据、有效性、可执行性或该知识产权的范围不持任何立场。

“该知识产权的持有人已不可撤销地承诺并同意,不会寻求强制执行其拥有的任何知识产权,有权向理事会及那些希望实施本标准并作出互惠承诺的成员和非成员授予可能因本标准任何实施行为而受到侵犯的再许可权在实施标准中声称受已确定知识产权约束的部分之前,每个实施方应独自负责评估该知识产权对其各自实施的影响。理事会不对任何特定实施是否侵犯已识别的知识产权作出任何陈述或保证。知识产权和提出此类主张的知识产权持有人如下:

[权利人名称][地址]
[IPR 标识]

“还请注意,本标准的某些要素可能涉及除上述之外的知识产权。理事会不负责识别任何或所有此类知识产权。

本标准不作任何形式的担保,特别是明确不作任何不侵权担保。使用本标准的风险完全由实施方自行承担,对于因使用本标准而直接或间接造成的任何性质的损害,理事会、其任何成员或其关联方均不对任何实施方或第三方承担任何责任。此外,使用本标准须遵守理事会当时有效的实施许可协议条款和条件。

(b) 若任何知识产权所有者主张实施标准草案或标准将构成侵权, 且该所有者拒绝根据本政策条款授予不主张承诺,则上述通知的第二段应酌情替换或补充为以下内容:

“该知识产权持有人拒绝理事会要求其同意作出不主张专利权利的契约以实施该标准或规范。信息可从以下来源获得:

[权利人名称][地址]”

3.4专利检索;披露义务

(a) 在任何情况下,理事会或任何 技术参与者 均无义务就任何实施草案标准或标准可能侵犯的任何必要权利要求进行任何专利检索。

(b) 在遵守上述 (a) 款的前提下, 技术参与者如发现其认为当前版本标准草案的实施可能侵犯其知识产权(该标准草案由该技术参与者所属工作组制定,且不包括该技术参与者拥有的知识产权),应向工作组主席披露相关主张。

3.5发布后披露的专利权利要求

如果一项必要权利要求在标准被采纳和公布后首先由第三方披露,该权利要求的所有者将被要求以上文第 3.2 节所述的方式就该必要权利要求作出不主张承诺。 如果拒绝此类要求,则应将相关标准提交管理委员会进行进一步审议。

3.6必要专利权利的转让

(a) 每位技术参与方同意, 其不会且未曾为规避该技术参与方在本知识产权政策项下的义务而转让包含必要权利要求的专利或专利申请。

(b) 受本政策约束的任何一方均不得转让具有必要权利要求的专利或专利申请, 除非该专利或专利申请的继承人以书面形式同意:(i) 受直接或间接转让方先前根据本政策就该专利或专利申请所作承诺的约束; 且 (ii) 若其后续转让该专利或申请,须在相关转让文件中纳入本第 3.6 节规定的义务。

4.版权所有

4.1标准中的版权

所有标准和其他工作成果的版权均归理事会所有。

4.2版权材料的贡献

每个向理事会提供受版权保护材料的技术参与者应保留其原创作品的版权归属权,同时代表自己及其关联方授予理事会 非独占性、 不可撤销、 全球性、永久性、 可再许可的免版税、全额支付的许可,依据贡献者及其关联方对其贡献内容的版权,复制、分发、出版、展示、表演,并在该原创作品的基础上创作衍生作品,用于开发标准草案、标准或理事会自己版权下的其他工作成果,审查和研究这些标准草案、标准或其他工作成果,并将这些标准用于制造、已制造、使用、复制、营销、进口、要约出售、销售和以其他方式分发合规产品。理事会可自由地将此类版权再许可给标准实施方,以充分实施标准。

5.商业秘密

任何技术参与者在参与任何工作组的过程中,均不得透露商业秘密信息。理事会对任何技术参与方的商业秘密披露概不负责,无论情况如何。除非另有书面约定,披露此类信息的技术参与者 的身份可纳入标准草案或标准中,并自由分发或公布。

6.商标

6.1理事会商标

理事会创建的商标,无论是否注册,均属理事会财产。理事会商标的使用除适用法律外还应遵守理事会不时制定和批准的政策、程序和准则。

6.2非理事会商标

理事会对第三方商标(无论是否注册)的使用应遵循该商标所有者制定和批准的政策、程序和准则,适用法律,或理事会与该第三方之间签定的适用单独协议中的规定。

7.承诺的不可撤销性和约束性

根据本政策作出的所有承诺均不可撤销,但必要权利主张的所有者可撤销就特定实施方授予的不主张承诺,前提是该实施方就同一标准的实施或使用,向该所有者主张必要权利要求(且未事先就该必要权利要求作出不主张承诺)

8.义务的存续

(a) 任何不主张承诺以及技术参与者根据本政策承担的其他义务,在技术参与者因任何原因终止成为成员或(对于非成员)终止参与相关工作组或理事会技术流程后,仍将继续有效。但是,任何技术参与者在停止成为会员或(对于非会员而言)停止参与相关工作组或理事会技术流程后,均无需承担本政策规定的新不主张承诺或其他义务。

(b) 理事会有权将其在本政策下的所有权利, 以及强制执行技术参与者在本政策下承担的所有义务的权利,转让给理事会任务的任何继承者。

(c) 所有作为本政策项下权利和义务的指定第三方受益人的个人和实体, 均有权继续执行该权利和义务,无论理事会是否终止、解散或清盘。


 

附件 A
PCI SECURITY STANDARDS COUNCIL, LLC
许可协议

本许可协议(以下简称“协议”)是您与 PCI Security Standards Council, LLC 之间的法律协议,该理事会营业地点位于 401 Edgewater Place, Suite 600, Wakefield, MA 01880(以下简称“许可方”),该机构为标准、规格或其他文件的版权所有者;可通过点击下方“接受”按钮访问标准、规范或其他文件(每项均为”标准”)。在本协议中,“您”和“被许可方”是指根据本协议获得许可的公司、实体或个人。

点击下面的“接受”按钮,即表示您同意受本协议的约束,并成为本协议的一方。若您为法人实体,且由个人代表您签署本协议,则当该个人点击“接受”按钮时,您即受本协议约束。当该个人点击“接受”按钮时,也构成该个人声明其有权代表您作为本协议的一方。如果您不同意本协议的所有条款,请点击本协议末尾的“不接受”按钮。

I.     阅读和复制许可。 如果您的使用特定标准仅限于研究目的, 则只有本第一节和第三节的规定适用于您以及您对该标准的使用。许可方特此授予您免费下载、复制(仅限于内部用途)并与您的员工共享该标准的权利,但仅限于学习目的。本许可授予不包括再许可或修改标准的权利。

II.    实施许可。如果您希望实施任何标准,则以下条款也将适用于您:

1.定义:

“合规产品”是指实施标准所有必备要素的产品或服务。 为避免疑义,当标准中包含多个实施特定必备要素的选项时,实施任何此类选项均视为实现该必备要素,此定义适用。

“最终用户”是指从被许可方处购买合规产品或获得合规产品许可的最终购买方或被许可方,包括公司、实体或个人。

“政策”是指许可方网站上提供的、当前最新版本的许可方知识产权政策。

“实施方”指任何希望使用或实施该标准的个人或实体,且就该标准而言,该实施方(i)已签署本协议或单独的非主张承诺,或(ii)依法有义务遵守政策条款。

“必要侵权”是指在合规产品中,对标准中的任何必备要素或其他要素的实施所造成的侵权,且在不导致此类侵权的情况下,没有商业上和技术上合理的替代方法来实施该标准要素。为避免疑义,若标准中包含多个实施特定要素的选项,则任一选项造成的侵权均视为必要侵权。

“必要权利要求”是指在世界任何地区(无论现在或将来)的专利、专利申请、延续申请、分案申请、复审申请、重新颁发申请及部分继续申请(以及上述各项的外国等效申请)项下的权利要求,而这些权利要求会因在合规产品中实施该标准而构成必要侵权。必要权利要求不包括:(i) 涵盖引用实施或实施例的权利要求;(ii) 仅因制造或使用标准的任何实施所必需的任何使能技术而构成侵权的权利要求,但未在标准中明确规定;以及 (iii) 仅因符合非许可方或其代表制定的规范、要求或标准的任何实施(但仅通过引用方式纳入标准)而构成侵权的权利要求。

“不主张承诺”是指承诺方不可撤销地承诺并同意,现在或将来在任何时候、任何地方,均不会就其根据标准拥有的必要权利要求对以下对象寻求强制执行:(i) 理事会,因遵守该标准或其任何版本而导致的任何使用、实施或必要侵权;或 (ii) 该标准或其任何版本的实施方,针对 任何合规产品中执行该标准任何版本的部分, 前提是该合规产品由个人或实体开发,且该个人或实体已与许可方就该标准签订并遵守实质上符合本协议形式(经许可方不时修订)的相应不主张承诺或协议。为避免疑义且在不限制前述规定的前提下,如果该标准将来被修订,实施方拥有的、在该标准下属于必要权利要求且在修订后的标准下仍然属于必要权利要求的任何专利权利要求,仍应受实施方的不主张承诺 的约束。

就任何必要权利要求而言,“拥有”包括:(i) 对任何必要权利要求的所有权利、 所有权和利益的所有权,以及 (ii) 被许可方控制但未拥有的必要权利要求, 但前提是被许可方有权在免版税的基础上对该等必要权利要求进行再许可。

“必备要素”指标准中任何未被标识为“可选”的元素。

2.许可授予。许可方在此免费授予被许可方及其最终用户利用标准来制造、已制造、使用、复制、营销、进口、销售、正在销售及以其他方式分销合规产品的权利,前提是许可方继续以类似条款普遍提供标准的新许可,并在非独占和全球的基础上,根据许可方的版权和许可方在标准中的版权许可权,且所有情况均须遵守本协议规定的条件并受第三方(可能包括许可方成员及其他主体)的任何相关专利及其他知识产权的约束。

3.不主张专利权的契约。被许可方承认,根据该政策,所有实施方均可享受标准开发者和此类实施方作出的“不主张专利权”的承诺所带来的好处。考虑到此类权益,并作为实施任何标准的前提条件,被许可方特此作出以下不主张权利的承诺:

被许可方不可撤销地承诺并同意,其不会寻求在任何时候、任何地点对以下对象强制执行其根据该标准提出的任何必要权利主张:(a) 许可方因遵守该标准而对该权利主张的任何使用、实施或必要侵权;或 (b) 任何 该标准的实施方,就任何合规产品中实施该标准的部分而言,前提是该合规产品是由已与许可方签订并遵守不主张承诺的个人或实体开发。除本协议中明确声明不予主张的权利外,被许可方不得被视为通过默示、禁止反言或其他方式获得、放弃或取得任何其他权利;但须明确,本协议任何条款均不得限制或被解释为以任何方式限制被许可方根据本政策单独产生的任何义务或承诺。

III.    适用于所有被许可方的条款。以下条款适用于所有被许可方
(特此援引第二部分中的定义):

1.限制

1.1不得再许可。被许可方不得将 任何标准 或其在本协议下的任何权利进行再许可, 但为行使上述第 II.2 节规定的权利所必需的情况除外。

1.2不得修改。被许可方不得修改任何标准。

2.知识产权。被许可方承认并同意,每个 标准在任何时候均应为许可方和/或许可方作为被许可方的任何第三方(视情况而定)的专有财产,本协议中的任何内容均不得解释为向被许可方转让 任何 标准的任何所有权权益或本协议中明确授予的权利之外的任何权利。本协议不授予创建任何标准或其任何部分的衍生作品的权利。

3.支持与维护。许可方对被许可方或任何最终用户不承担支持或维护 任何 标准的义务。

4.无担保。每项标准均按“原样”提供,不作任何明示或暗示的保证,包括但不限于对适销性、特定用途适用性、准确性、完整性及不侵犯第三方权利的保证。在任何情况下,许可方、其成员或贡献者均不对任何索赔、任何直接、特殊、间接或后果性损害,或因失去使用性、数据或利润而造成的任何损害承担责任,无论是在合同诉讼、过失诉讼或其他侵权诉讼中,因使用或执行任何标准而引起或与之相关。

5.第三方权利。在不限制上述第 III.4 节规定的一般性的前提下,就使用或实施任何 标准而可能侵犯的专利权或其他知识产权,许可方不承担任何第三方认证的汇编、确认、更新或公开的责任。如果任何此类权利在任何标准中描述或在许可方的网站上显示,许可方对此类主张的有效性或无效性,或所有已提出或可能提出的主张是否均已列出,不持任何立场。

6.许可终止。

6.1违约。 如果被许可方违反本协议, 许可方有权向被许可方发出书面通知,并给予其补救的机会。如果书面通知发出后三十 (30) 天内未纠正违约行为, 或者违约行为属于无法纠正的性质, 则许可方可立即或在此后发出书面通知,终止本协议授予的许可;但许可方及其最终用户可继续使用在终止之前创建或获得的合规产品。

6.2除违约情况外。

(a) 若许可方认为实施任何标准的任何必备要素或其他要素 侵犯或可能侵犯某知识产权所有者的知识产权(”IPR”),且该权利人不愿在令许可方满意的条款下提供该知识产权,则许可方可:(i) 通知被许可方其已修订该标准, 此后被许可方在本协议下的权利应限于经修订后的标准;或 (ii) 经通知后立即终止本协议。

(b) 如果许可方认为本协议的继续完全有效会导致许可方违反任何政府机构的任何适用法律、法规、条例、命令或规则,许可方可立即发出通知终止本协议。

(c) 被许可方可向许可方发出书面通知,立即终止本协议。

(d) 尽管有上述规定, 本协议的终止并不终止被许可方根据本协议对任何标准承担的义务;但本协议的任何条款与政策条款发生冲突时,应以政策条款为准,以解决冲突为限。

7.赔偿。被许可方应就许可方使用任何 标准所引发的任何第三方索赔所导致的一切损失、成本、损害、索赔及其他费用(包括合理的律师费),包括但不限于主张任何标准或其任何部分侵犯该第三方在全球任何地区的专利、版权、商业秘密或其他知识产权的索赔,对许可方及其成员、以及其管理人员、董事、雇员和代理人(以下统称“被赔偿方”)进行赔偿、为其答辩并使其免受损害。

8.出口条例。在适用的美国制裁、法律、法规和行政法案(“美国法律”)禁止的范围内,不得下载、出口或再出口任何标准或标准草案:(i) 至美国对其实施禁运商品所在的任何国家或地区(或其国民或居民); (ii) 至美国财政部特别指定国民与被隔离人士清单或美国商务部拒绝令清单所列的任何个人或实体;及/或 (iii) 以其他违反美国法律的个人或实体。 下载或使用任何标准或标准草案,即表示您同意上述条款,并声明和保证您不在任何违反本条款的国家或地区,不受该国家或地区控制,不是该国家或地区国民或居民,亦未被列入任何名单。此外,您有责任遵守您所在司法管辖区的任何可能影响您进口、出口或使用标准或标准草案的权利的当地法律,并声明您已遵守适用法律要求的所有法规或注册或许可程序,以使本许可具有可执行性。

9.政府限制。每项标准、标准草案及其组成部分均属“商业产品”,包含“商业产品”和/或“商业计算机软件”, “商业计算机软件文档”及“商业软件文档”, 相关术语定义详见《联邦法规汇编》第 48 卷第 2.101条(2016 年 10 月版)及国防部《联邦采购条例》第 252.227-7014(a)(1)、(5)条(联邦2014 年)。根据《联邦法规》第 48 卷第 12.102 条(2022 年 1 月 30 日)、《联邦法规》第 48 卷第 12.212 条(2010 年 10 月)和《联邦法规》第 48 卷第 227.7202-1 条至227.7202-4(2011年10月)规定,所有美国政府最终用户在获得标准和标准草案时仅享有本协议规定的权利。承包商/制造商为 PCI Security Standards Council, LL,地址:401 Edgewater Place, Suite 600, Wakefield, MA 01880。

10.杂项法律条款

10.1通知。 本协议要求的所有通知均应以书面形式发出, 并在邮寄后五天内生效;如果由许可方发送,则通过电子邮件发送后立即生效。或者,许可方的通知也可发布在许可方的网站上,并应在发布后三十 (30) 天内视为书面通知并生效。根据前一句的规定,通知和信函 (a) 致 许可方的必须寄往上述街道地址,而 (b) 致被许可方的必须寄往被许可方在接受本协议条款时提供的街道地址或电子邮件地址。

10.2适用法律。 本协议应根据美国和特拉华州的国内法律进行解释和理解, 不适用其法律冲突原则。

10.3完整协议。 根据本政策的条款, 本协议构成许可方与被许可方之间关于本协议所涉事项的完整协议和谅解,并取代许可方与被许可方之间关于被许可方使用任何标准的权利的任何及所有先前协议。除非双方以书面形式签署,否则对本协议的任何修改或放弃均不具有约束力,且对本协议任何违约行为的放弃均不应被视为对任何其他或后续违约行为的放弃。如果本协议的任何条款被有管辖权的法院认定为无效、非法或无法执行,则该条款应予删除,其余条款仍具有完全效力。