本文档中包含的某些机密信息，标有[****]，已被省略，因为它既不是实质性的，也是注册人视为私人或机密的类型。

第6号修正案

至

一般条款协议

BCA-65530-0016

在两者之间

波音公司

和

SPIRIT航空系统公司

BCA-65530-0016号一般条款协议的第6号修正案(“第6号修正案”)是由特拉华州波音公司(以下简称“波音”)和SPIRIT AeroSystems，Inc.(“卖方”)在以下最后一次签署之日起签订的。波音公司和卖方有时在本文中被单独称为“一方”，并统称为“双方”。

独奏会

A.双方于2005年6月17日签订了《一般条款协议》BCA-65530-0016。

B.对GTA的最新修正案是2022年1月30日生效的第5号修正案。

C.双方希望按照本协议的规定修改《GTA》。

因此，现在双方同意如下：

1.协议：

1.1现对《服务贸易总协定》进行修订，将现有的《服务贸易总协定》修订表全部删除，代之以新的修订表如下：

“修正案”

数 1 2 3 4 5 6			描述 将名称从中西部飞机系统公司更名为精神航空系统公司。将生效日期2005年6月17日添加到协议以及第12.3和16.0节。 添加了第40.0节电子访问 取代了第8.5节记录的保留、第11.3节进口/出口和第21.5节环境健康和安全性能 取代了第21.2节，增加了第41.0节 增加了第8.3.1节波音维修站的工业协助(S) 已更换分段40.0电子通道			日期 4/1/06 3/4/11 1/30/14 1/18/21 1/30/22			批准 H·麦考密克 R·斯通 J.拜耳 米兰队 J·雷 米兰队 K·杜林 E.博斯勒 J·阿吉亚尔 L.汉普顿 K.希普利 K·克拉克

“

1.2现对《全球贸易协定》进行修订，删除并全部取代《全球贸易协定》第40.0条电子访问如下：

“40.0电子存取/使用条款

第40.0节中的下列条款规定了卖方电子访问波音系统的要求。

40.1定义

下列定义仅适用于本第40.0节(包括其所有小节)。

答：“访问控制”被定义为限制授权人员或应用程序访问波音系统的程序、机制和/或措施。

B.“波音系统”是指由波音公司运营或由第三方代表波音公司运营的任何电子信息系统，包括但不限于：设施、网络通信系统、电信系统、软件和应用程序。

C.互换使用的“合同”或“协议”是指卖方和波音之间的任何协议，其中纳入了波音电子系统(“TOU”)的这些使用条款。

D.“电子访问”被定义为授权卖方人员能够或通过必要手段访问波音系统，以读取、写入、修改或交流信息，或以其他方式使用授权的系统资源。

E.“恶意软件”是指干扰正常计算机功能或导致信息泄露给未经授权方的恶意计算机软件。

F.“材料”指卖方根据合同存储或托管的所有信息和数据、文本、图形、动画、音频和/或数字视频组件，或可通过波音系统访问的所有信息和数据。

G.“安全违规”是指对信息系统的任何已确认的危害，包括意外或未经授权使用、披露、销毁、丢失、更改、传输或访问卖方根据协议存储或以其他方式处理的波音材料。

H.“卖方人员”被定义为卖方的任何雇员、合同工、顾问、顾问或其他代表，他们需要访问波音系统以便卖方履行合同。

I.“卖方系统”是指由卖方或第三方代表卖方运营的任何和所有电子信息系统，包括但不限于：设施、网络通信系统和电信系统，包括其中包含的软件、应用程序、信息和数据。

J.未经授权的使用是指未经《技术使用条例》明确授权的任何涉及材料的使用、复制、分发、转移、处置、披露、占有、记忆输入、更改、删除、损坏或其他活动。

40.2访问权限

波音公司授予卖方有限的、不可转让的、非排他性的、可撤销的权利(由波音公司酌情决定)，仅在合同期限内，仅在波音公司书面授权的范围内，以电子方式访问波音系统，以支持卖方根据合同执行的工作。在不限制前述规定的情况下，卖方人员不得(I)故意将任何恶意软件(无论通过笔记本电脑或其他访问设备或其他方式)引入波音系统；(Ii)将波音系统用于非商业目的，包括但不限于未经授权的使用；和/或(Iii)采取旨在扰乱波音系统的行动。

40.3隐私和监控权

在波音系统上传输或存储的任何通信或数据可在任何时间出于任何合法目的被监控、拦截、记录和搜索，并可根据适用法律的要求使用或披露。

40.4电子通道要求

卖方可以要求，波音公司可能会在卖方支持合同的情况下自行决定是否允许卖方人员在“需要知道”的基础上进行电子访问。当向卖方提供电子访问时，这些第4节条款适用：

40.4.1帐户和访问控制

在获得电子访问权限之前，授权卖方人员将被要求从波音公司获得每个人的电子访问帐户，包括可能来自波音公司的波音访问控制、波音指定的第三方或经波音公司批准的替代控制。波音公司保留在不另行通知的情况下自行决定终止和/或阻止

任何个人或实体访问波音系统。卖方承认，访问控制仅供卖方人员个人使用，不得转让，卖方应保密。卖方应：

(I)确保所有卖方人员在获得电子访问权限之前审查并同意遵守本TU；

(Ii)指定一个单一协调人，为卖方人员提出电子访问请求，并保存授予电子访问权限的卖方人员的记录，以便在波音公司提出要求时进行验证；

(3)防止丢失、披露、反向工程、与未经授权的卖方人员共享或损害访问控制；

(Iv)对所有卖方人员在电子访问方面的行为和不作为负责，包括但不限于卖方人员使用或披露通过此类电子访问获得的专有信息和材料，或卖方人员在拥有此类专有信息和材料时的行为；

(V)如果任何访问控制遭到破坏，应立即通知波音公司；

(Vi)至少每隔一次进行审查[****]每名卖方人员的电子访问要求；以及

(Vii)立即向波音公司提交书面请求，并附上姓名和BEMS ID(S)，以在任何重新分配导致卖方人员不再需要电子访问时终止电子访问，并在辞职时或终止任何使用电子访问的卖方人员。

40.4.2销售商系统保护

在连接到波音公司的内部网络之前(直接在波音公司的站点、通过SSLVPN远程或[****]或波音批准的其他安全方法)，卖方应采取合理步骤，通过对用于连接到波音系统的所有卖方设备实施和维护行业最佳实践控制来保护波音系统和信息的机密性、完整性和可用性，包括但不限于：

(I)应评估已打补丁的和当前的操作系统和应用程序的兼容性，并减轻对生产系统的负面潜在影响--卖方应订阅并应用卖方的相关更新；

(Ii)反恶意软件销售商设备应具有使用最新签名文件运行的最新防病毒保护；

(Iii)入侵检测/防御技术-卖方应使用入侵检测/防御技术来管理当前版本的软件、特征码文件和防火墙配置，以仅将端口/协议限制为必要的端口/协议；

访问控制--卖方应使用帐户和密码或令牌和个人识别码访问或解锁计算设备；以及

(V)加密-应使用整个磁盘或文件和文件夹加密来保护存储在卖方移动设备本地的材料。

40.4.3虚拟办公

如果卖方人员通过卖方网络访问，卖方人员可以通过虚拟方式访问波音系统。

40.4.4出口管制(美国贸易管制)

40.4.4.1为了遵守适用的美国出口管制法规和条例，波音应被要求获取有关身份和公民身份的信息，包括双重或第三国国民身份(如果适用)，或具有电子访问权限的卖方人员的出生地。在获得访问权限的情况下，卖方应负责获得所需的所有出口授权，如适用，包括与卖方人员相关的出口授权。如果需要与电子访问相关的出口授权(S)来允许卖方人员执行分配给他或她的工作，则卖方必须获得此类授权，并且卖方应遵守适用的美国出口控制法规所要求的任何附加出口控制限制。

40.4.4.2从波音电子系统访问的技术数据和软件可能受美国政府出口管制法规的约束，这符合美国国务院、国际军火贸易法规(ITAR)或商务部出口管理法规(EAR)的规定，未经美国政府事先批准，不得出口、发布或披露给位于美国境内或境外的外国人。违反出口法的行为引发

对个人和他们所代表的公司处以严厉的罚款和处罚。

40.4.5出口管制(非美国贸易管制)

40.4.5.1为了遵守适用的国际贸易管制法规和条例，波音应被要求获取有关身份和公民身份的信息，包括双重或第三国国民身份(如果适用)，或具有电子访问权限的卖方人员的出生地。如果获得访问权限，卖方应负责获得所有卖方人员所需的所有贸易控制授权，包括允许卖方人员执行所分配的工作，并且卖方应遵守适用司法管辖区出口控制法规所要求的任何额外贸易控制限制。

40.4.5.2根据受影响司法管辖区的进出口法规，从波音电子系统访问的技术数据和软件可能受到政府贸易管制，未经受影响政府事先批准，不得进口、出口、发布或向未经授权的人披露。违反贸易管制法律会对个人和他们所代表的公司处以严厉的罚款和处罚。

40.5卖方安全控制

卖方应实施并保持合理的控制，以防止任何未经授权的使用、安全漏洞或材料丢失。在不限制前述规定的情况下，卖方应：

(I)已为卖方系统实施了一项政策，该政策根据[****];

(Ii)实施和维护不低于最新两个版本之一的安全控制[****]如以下地址所示[****];

(Iii)在加密的使用和强度方面遵守波音的要求，但根据合同所涉及材料的敏感性，使用不低于法律、法规或政府标准所要求的；

(4)对卖方人员进行背景调查；

(V)就卖方人员在本合同项下承担的义务向其提供当前和相关的安全教育；以及

(Vi)至少使用与卖方保护其专有和机密信息相同的努力，并且在任何情况下不得低于合理的努力，以执行卖方根据第40.5条对现任和前任员工承担的义务。

40.6信息安全评估

40.6.1在Tou生效之日起三十(30)天内，卖方应(I)联系波音信息安全部门：[****]用于访问[****]详情请参阅[****]；。(Ii)填写[****]；及。(Iii)授权波音公司检讨任何[****]由卖方完成。

40.6.2卖方允许波音及其授权代表每历年查看一次与卖方系统的安全有关的报告、记录、程序和信息，或在涉及波音材料的安全违规事件发生后一百八十(180)天内，在合理的事先通知下，以评估卖方遵守本Tou的情况(“评估”)。

40.6.3如果(I)波音公司在任何评估中确定卖方设施或卖方系统中存在重大漏洞，或卖方未能以其他方式履行其在TOU项下的任何义务；以及(Ii)波音公司以书面形式通知卖方此类漏洞或卖方违反TOU，则卖方应立即制定纠正行动计划。任何此类纠正行动计划应与波音公司合作制定，并须得到波音公司的书面批准，不得无理扣留、附加条件或拖延。卖方应自费执行整改行动计划。

40.7禁止使用

卖方特此保证，除支持根据合同提供的产品或服务外(或除非波音公司另有书面授权)，卖方和卖方人员不得：

(I)从波音系统出口或保存任何材料；

(Ii)对波音系统或材料进行任何衍生用途；

(3)使用任何恶意或未经授权的“数据挖掘”、机器人或类似的数据收集和提取方法；

(Iv)使用任何框架或框架技术将在波音系统上提供或发现的任何材料围起来；

(5)允许与指定的访问凭证没有明确关联的任何人使用该凭证；

(Vi)取用或企图取用任何波音材料；

(Vii)进入或企图进入波音系统的任何受限部分；

(Viii)删除波音材料上的任何限制性标记；

(Ix)通过授权访问控制以外的任何机制访问波音系统。

40.8安全事件和违规通知

卖方特此声明、担保和契诺，其现在和将来将继续遵守所有要求通知安全违规行为的适用法律。

40.8.1卖方将指派一名卖方信息安全专员与波音公司就安全事件(此处定义为超出正常日志监控范围的调查)或确认的安全违规事件进行协调。

40.8.2对于任何安全漏洞，卖方应及时通知波音公司此类安全漏洞，并通知波音公司所涉及的材料(如果知道的话)。

40.8.3如果卖方发现或收到安全违规通知时，波音公司的材料归卖方所有，卖方应：

(I)调查并采取合理步骤纠正违反保安规定的情况；

(Ii)向波音公司提供双方都同意的缓解行动计划，但波音公司造成的安全漏洞除外；

(Iii)采取卖方和波音共同确定的与该事件有关的任何其他合理步骤；以及

(Iv)协助波音公司调查、补救和采取波音公司合理认为必要的任何其他双方商定的行动

解决此类安全违规行为，包括与此类安全违规行为相关的任何争议、调查或索赔。

40.8.4卖方应立即遵守合同中的通知要求，并向abuse@boeing.com发送电子邮件，列出本40.8节所要求的信息，从而发出本40.8节所要求的通知。卖方应在所有相关电子邮件通知上复制波音采购代理。

40.8.5卖方对本条款40.8的任何实质性违反可被视为波音可能暂停或撤销电子访问的违约行为。

40.8.6卖方承认，卖方或任何卖方人员试图规避旨在防止未经授权访问波音系统的任何安全措施，可能会受到美国联邦计算机欺诈和滥用法案及其他适用法律和法规的刑事或民事处罚。除了根据合同或根据法律或衡平法向波音公司提供的任何其他补救措施外，卖方和波音公司特此同意，波音公司有权获得禁制令救济，因为违反与电子访问相关的任何条款可能会对波音公司或其附属公司造成不可弥补的损害，而金钱赔偿可能无法提供足够的补救措施。

40.9卖方软件/代码安全

卖方软件/代码安全适用于提供代码供波音系统使用的所有形式的网络服务。卖方同意：

(I)在代码评估完成之前，卖方不得向波音交付任何代码；

(Ii)卖方应在应用程序开发工具内进行本地评估，以确保检测并解决交付给波音公司的所有代码、软件和小程序的代码缺陷；

(3)卖方不得交付包含超过[****]，得分为[****]或[****];

(Iv)卖方应自自我发现、公开披露或波音公司通知卖方时(以先发生者为准)开始补救卖方代码缺陷。

(V)在初始产品交付后发现的安全缺陷将在软件合同有效期内使用以下时间表或通过波音书面批准的替代时间表进行补救：

•[****]为任何人提供补丁[****]分数为[****]

•[****]为任何人提供补丁[****]漏洞

•[****]为漏洞提供补丁程序[****]分数为[****]

40.10担保免责声明

卖方明确同意，波音对电子访问的可靠性不作任何明示或默示的保证。对于因无法使用或中断使用波音系统而导致的使用损失、收入或利润或任何附带或后果性损害，波音公司不承担合同(包括保修)或侵权行为所产生的义务或责任。本条款在本协议终止或取消后继续有效。

40.10.1就本条款40.10而言，“波音”包括波音公司、其分公司、子公司、各分公司的受让人、分包商、供应商和关联公司，以及他们各自的董事、高级管理人员、雇员和代理人。

2.其他。

2.1《服务贸易总协定》的所有其他规定应保持不变，并具有全部效力和作用。

2.2本第6号修正案构成双方之间关于本协议标的的完整和排他性协议，并取消和取代双方之间以前所有与此相关的协议，无论是书面的还是口头的。

3.依法治国。

第6号修正案受华盛顿州国内法管辖，不涉及任何关于法律冲突的规则。

自下述最后日期起，由双方正式授权的代表签署，一式两份。