本文檔中包含的某些機密信息，標有[****]，已被省略，因為它既不是實質性的，也是註冊人視為私人或機密的類型。

第6號修正案

至

一般條款協議

BCA-65530-0016

在兩者之間

波音公司

和

SPIRIT航空系統公司

BCA-65530-0016號一般條款協議的第6號修正案(“第6號修正案”)是由特拉華州波音公司(以下簡稱“波音”)和SPIRIT AeroSystems，Inc.(“賣方”)在以下最後一次簽署之日起簽訂的。波音公司和賣方有時在本文中被單獨稱為“一方”，並統稱為“雙方”。

獨奏會

A.雙方於2005年6月17日簽訂了《一般條款協議》BCA-65530-0016。

B.對GTA的最新修正案是2022年1月30日生效的第5號修正案。

C.雙方希望按照本協議的規定修改《GTA》。

因此，現在雙方同意如下：

1.協議：

1.1現對《服務貿易總協定》進行修訂，將現有的《服務貿易總協定》修訂表全部刪除，代之以新的修訂表如下：

“修正案”

數 1 2 3 4 5 6			描述 將名稱從中西部飛機系統公司更名為精神航空系統公司。將生效日期2005年6月17日添加到協議以及第12.3和16.0節。 添加了第40.0節電子訪問 取代了第8.5節記錄的保留、第11.3節進口/出口和第21.5節環境健康和安全性能 取代了第21.2節，增加了第41.0節 增加了第8.3.1節波音維修站的工業協助(S) 已更換分段40.0電子通道			日期 4/1/06 3/4/11 1/30/14 1/18/21 1/30/22			批准 H·麥考密克 R·斯通 J.拜耳 米蘭隊 J·雷 米蘭隊 K·杜林 E.博斯勒 J·阿吉亞爾 L.漢普頓 K.希普利 K·克拉克

“

1.2現對《全球貿易協定》進行修訂，刪除並全部取代《全球貿易協定》第40.0條電子訪問如下：

“40.0電子存取/使用條款

第40.0節中的下列條款規定了賣方電子訪問波音系統的要求。

40.1定義

下列定義僅適用於本第40.0節(包括其所有小節)。

答：“訪問控制”被定義為限制授權人員或應用程序訪問波音系統的程序、機制和/或措施。

B.“波音系統”是指由波音公司運營或由第三方代表波音公司運營的任何電子信息系統，包括但不限於：設施、網絡通信系統、電信系統、軟件和應用程序。

C.互換使用的“合同”或“協議”是指賣方和波音之間的任何協議，其中納入了波音電子系統(“TOU”)的這些使用條款。

D.“電子訪問”被定義為授權賣方人員能夠或通過必要手段訪問波音系統，以讀取、寫入、修改或交流信息，或以其他方式使用授權的系統資源。

E.“惡意軟件”是指幹擾正常計算機功能或導致信息泄露給未經授權方的惡意計算機軟件。

F.“材料”指賣方根據合同存儲或託管的所有信息和數據、文本、圖形、動畫、音頻和/或數字視頻組件，或可通過波音系統訪問的所有信息和數據。

G.“安全違規”是指對信息系統的任何已確認的危害，包括意外或未經授權使用、披露、銷燬、丟失、更改、傳輸或訪問賣方根據協議存儲或以其他方式處理的波音材料。

H.“賣方人員”被定義為賣方的任何僱員、合同工、顧問、顧問或其他代表，他們需要訪問波音系統以便賣方履行合同。

I.“賣方系統”是指由賣方或第三方代表賣方運營的任何和所有電子信息系統，包括但不限於：設施、網絡通信系統和電信系統，包括其中包含的軟件、應用程序、信息和數據。

J.未經授權的使用是指未經《技術使用條例》明確授權的任何涉及材料的使用、複製、分發、轉移、處置、披露、佔有、記憶輸入、更改、刪除、損壞或其他活動。

40.2訪問權限

波音公司授予賣方有限的、不可轉讓的、非排他性的、可撤銷的權利(由波音公司酌情決定)，僅在合同期限內，僅在波音公司書面授權的範圍內，以電子方式訪問波音系統，以支持賣方根據合同執行的工作。在不限制前述規定的情況下，賣方人員不得(I)故意將任何惡意軟件(無論通過筆記本電腦或其他訪問設備或其他方式)引入波音系統；(Ii)將波音系統用於非商業目的，包括但不限於未經授權的使用；和/或(Iii)採取旨在擾亂波音系統的行動。

40.3隱私和監控權

在波音系統上傳輸或存儲的任何通信或數據可在任何時間出於任何合法目的被監控、攔截、記錄和搜索，並可根據適用法律的要求使用或披露。

40.4電子通道要求

賣方可以要求，波音公司可能會在賣方支持合同的情況下自行決定是否允許賣方人員在“需要知道”的基礎上進行電子訪問。當向賣方提供電子訪問時，這些第4節條款適用：

40.4.1帳户和訪問控制

在獲得電子訪問權限之前，授權賣方人員將被要求從波音公司獲得每個人的電子訪問帳户，包括可能來自波音公司的波音訪問控制、波音指定的第三方或經波音公司批准的替代控制。波音公司保留在不另行通知的情況下自行決定終止和/或阻止

任何個人或實體訪問波音系統。賣方承認，訪問控制僅供賣方人員個人使用，不得轉讓，賣方應保密。賣方應：

(I)確保所有賣方人員在獲得電子訪問權限之前審查並同意遵守本TU；

(Ii)指定一個單一協調人，為賣方人員提出電子訪問請求，並保存授予電子訪問權限的賣方人員的記錄，以便在波音公司提出要求時進行驗證；

(3)防止丟失、披露、反向工程、與未經授權的賣方人員共享或損害訪問控制；

(Iv)對所有賣方人員在電子訪問方面的行為和不作為負責，包括但不限於賣方人員使用或披露通過此類電子訪問獲得的專有信息和材料，或賣方人員在擁有此類專有信息和材料時的行為；

(V)如果任何訪問控制遭到破壞，應立即通知波音公司；

(Vi)至少每隔一次進行審查[****]每名賣方人員的電子訪問要求；以及

(Vii)立即向波音公司提交書面請求，並附上姓名和BEMS ID(S)，以在任何重新分配導致賣方人員不再需要電子訪問時終止電子訪問，並在辭職時或終止任何使用電子訪問的賣方人員。

40.4.2銷售商系統保護

在連接到波音公司的內部網絡之前(直接在波音公司的站點、通過SSLVPN遠程或[****]或波音批准的其他安全方法)，賣方應採取合理步驟，通過對用於連接到波音系統的所有賣方設備實施和維護行業最佳實踐控制來保護波音系統和信息的機密性、完整性和可用性，包括但不限於：

(I)應評估已打補丁的和當前的操作系統和應用程序的兼容性，並減輕對生產系統的負面潛在影響--賣方應訂閲並應用賣方的相關更新；

(Ii)反惡意軟件銷售商設備應具有使用最新簽名文件運行的最新防病毒保護；

(Iii)入侵檢測/防禦技術-賣方應使用入侵檢測/防禦技術來管理當前版本的軟件、特徵碼文件和防火牆配置，以僅將端口/協議限制為必要的端口/協議；

訪問控制--賣方應使用帳户和密碼或令牌和個人識別碼訪問或解鎖計算設備；以及

(V)加密-應使用整個磁盤或文件和文件夾加密來保護存儲在賣方移動設備本地的材料。

40.4.3虛擬辦公

如果賣方人員通過賣方網絡訪問，賣方人員可以通過虛擬方式訪問波音系統。

40.4.4出口管制(美國貿易管制)

40.4.4.1為了遵守適用的美國出口管制法規和條例，波音應被要求獲取有關身份和公民身份的信息，包括雙重或第三國國民身份(如果適用)，或具有電子訪問權限的賣方人員的出生地。在獲得訪問權限的情況下，賣方應負責獲得所需的所有出口授權，如適用，包括與賣方人員相關的出口授權。如果需要與電子訪問相關的出口授權(S)來允許賣方人員執行分配給他或她的工作，則賣方必須獲得此類授權，並且賣方應遵守適用的美國出口控制法規所要求的任何附加出口控制限制。

40.4.4.2從波音電子系統訪問的技術數據和軟件可能受美國政府出口管制法規的約束，這符合美國國務院、國際軍火貿易法規(ITAR)或商務部出口管理法規(EAR)的規定，未經美國政府事先批准，不得出口、發佈或披露給位於美國境內或境外的外國人。違反出口法的行為引發

對個人和他們所代表的公司處以嚴厲的罰款和處罰。

40.4.5出口管制(非美國貿易管制)

40.4.5.1為了遵守適用的國際貿易管制法規和條例，波音應被要求獲取有關身份和公民身份的信息，包括雙重或第三國國民身份(如果適用)，或具有電子訪問權限的賣方人員的出生地。如果獲得訪問權限，賣方應負責獲得所有賣方人員所需的所有貿易控制授權，包括允許賣方人員執行所分配的工作，並且賣方應遵守適用司法管轄區出口控制法規所要求的任何額外貿易控制限制。

40.4.5.2根據受影響司法管轄區的進出口法規，從波音電子系統訪問的技術數據和軟件可能受到政府貿易管制，未經受影響政府事先批准，不得進口、出口、發佈或向未經授權的人披露。違反貿易管制法律會對個人和他們所代表的公司處以嚴厲的罰款和處罰。

40.5賣方安全控制

賣方應實施並保持合理的控制，以防止任何未經授權的使用、安全漏洞或材料丟失。在不限制前述規定的情況下，賣方應：

(I)已為賣方系統實施了一項政策，該政策根據[****];

(Ii)實施和維護不低於最新兩個版本之一的安全控制[****]如以下地址所示[****];

(Iii)在加密的使用和強度方面遵守波音的要求，但根據合同所涉及材料的敏感性，使用不低於法律、法規或政府標準所要求的；

(4)對賣方人員進行背景調查；

(V)就賣方人員在本合同項下承擔的義務向其提供當前和相關的安全教育；以及

(Vi)至少使用與賣方保護其專有和機密信息相同的努力，並且在任何情況下不得低於合理的努力，以執行賣方根據第40.5條對現任和前任員工承擔的義務。

40.6信息安全評估

40.6.1在Tou生效之日起三十(30)天內，賣方應(I)聯繫波音信息安全部門：[****]用於訪問[****]詳情請參閲[****]；。(Ii)填寫[****]；及。(Iii)授權波音公司檢討任何[****]由賣方完成。

40.6.2賣方允許波音及其授權代表每歷年查看一次與賣方系統的安全有關的報告、記錄、程序和信息，或在涉及波音材料的安全違規事件發生後一百八十(180)天內，在合理的事先通知下，以評估賣方遵守本Tou的情況(“評估”)。

40.6.3如果(I)波音公司在任何評估中確定賣方設施或賣方系統中存在重大漏洞，或賣方未能以其他方式履行其在TOU項下的任何義務；以及(Ii)波音公司以書面形式通知賣方此類漏洞或賣方違反TOU，則賣方應立即制定糾正行動計劃。任何此類糾正行動計劃應與波音公司合作制定，並須得到波音公司的書面批准，不得無理扣留、附加條件或拖延。賣方應自費執行整改行動計劃。

40.7禁止使用

賣方特此保證，除支持根據合同提供的產品或服務外(或除非波音公司另有書面授權)，賣方和賣方人員不得：

(I)從波音系統出口或保存任何材料；

(Ii)對波音系統或材料進行任何衍生用途；

(3)使用任何惡意或未經授權的“數據挖掘”、機器人或類似的數據收集和提取方法；

(Iv)使用任何框架或框架技術將在波音系統上提供或發現的任何材料圍起來；

(5)允許與指定的訪問憑證沒有明確關聯的任何人使用該憑證；

(Vi)取用或企圖取用任何波音材料；

(Vii)進入或企圖進入波音系統的任何受限部分；

(Viii)刪除波音材料上的任何限制性標記；

(Ix)通過授權訪問控制以外的任何機制訪問波音系統。

40.8安全事件和違規通知

賣方特此聲明、擔保和契諾，其現在和將來將繼續遵守所有要求通知安全違規行為的適用法律。

40.8.1賣方將指派一名賣方信息安全專員與波音公司就安全事件(此處定義為超出正常日誌監控範圍的調查)或確認的安全違規事件進行協調。

40.8.2對於任何安全漏洞，賣方應及時通知波音公司此類安全漏洞，並通知波音公司所涉及的材料(如果知道的話)。

40.8.3如果賣方發現或收到安全違規通知時，波音公司的材料歸賣方所有，賣方應：

(I)調查並採取合理步驟糾正違反保安規定的情況；

(Ii)向波音公司提供雙方都同意的緩解行動計劃，但波音公司造成的安全漏洞除外；

(Iii)採取賣方和波音共同確定的與該事件有關的任何其他合理步驟；以及

(Iv)協助波音公司調查、補救和採取波音公司合理認為必要的任何其他雙方商定的行動

解決此類安全違規行為，包括與此類安全違規行為相關的任何爭議、調查或索賠。

40.8.4賣方應立即遵守合同中的通知要求，並向abuse@boeing.com發送電子郵件，列出本40.8節所要求的信息，從而發出本40.8節所要求的通知。賣方應在所有相關電子郵件通知上覆制波音採購代理。

40.8.5賣方對本條款40.8的任何實質性違反可被視為波音可能暫停或撤銷電子訪問的違約行為。

40.8.6賣方承認，賣方或任何賣方人員試圖規避旨在防止未經授權訪問波音系統的任何安全措施，可能會受到美國聯邦計算機欺詐和濫用法案及其他適用法律和法規的刑事或民事處罰。除了根據合同或根據法律或衡平法向波音公司提供的任何其他補救措施外，賣方和波音公司特此同意，波音公司有權獲得禁制令救濟，因為違反與電子訪問相關的任何條款可能會對波音公司或其附屬公司造成不可彌補的損害，而金錢賠償可能無法提供足夠的補救措施。

40.9賣方軟件/代碼安全

賣方軟件/代碼安全適用於提供代碼供波音系統使用的所有形式的網絡服務。賣方同意：

(I)在代碼評估完成之前，賣方不得向波音交付任何代碼；

(Ii)賣方應在應用程序開發工具內進行本地評估，以確保檢測並解決交付給波音公司的所有代碼、軟件和小程序的代碼缺陷；

(3)賣方不得交付包含超過[****]，得分為[****]或[****];

(Iv)賣方應自自我發現、公開披露或波音公司通知賣方時(以先發生者為準)開始補救賣方代碼缺陷。

(V)在初始產品交付後發現的安全缺陷將在軟件合同有效期內使用以下時間表或通過波音書面批准的替代時間表進行補救：

•[****]為任何人提供補丁[****]分數為[****]

•[****]為任何人提供補丁[****]漏洞

•[****]為漏洞提供補丁程序[****]分數為[****]

40.10擔保免責聲明

賣方明確同意，波音對電子訪問的可靠性不作任何明示或默示的保證。對於因無法使用或中斷使用波音系統而導致的使用損失、收入或利潤或任何附帶或後果性損害，波音公司不承擔合同(包括保修)或侵權行為所產生的義務或責任。本條款在本協議終止或取消後繼續有效。

40.10.1就本條款40.10而言，“波音”包括波音公司、其分公司、子公司、各分公司的受讓人、分包商、供應商和關聯公司，以及他們各自的董事、高級管理人員、僱員和代理人。

2.其他。

2.1《服務貿易總協定》的所有其他規定應保持不變，並具有全部效力和作用。

2.2本第6號修正案構成雙方之間關於本協議標的的完整和排他性協議，並取消和取代雙方之間以前所有與此相關的協議，無論是書面的還是口頭的。

3.依法治國。

第6號修正案受華盛頓州國內法管轄，不涉及任何關於法律衝突的規則。

自下述最後日期起，由雙方正式授權的代表簽署，一式兩份。