技术授权文件(生产厂商技术支持和服务承诺书)

技术授权文件(生产厂商技术支持和服务承诺书)一、授权主体与适用范围1.1授权方（以下简称“甲方”）：统一社会信用代码：9131**8X注册地址：上海市浦东新区张江高科技园区碧波路**号注册地址：上海市浦东新区张江高科技园区碧波路**号法定代表人：张某某职务：董事长兼总经理1.2被授权方（以下简称“乙方”）：统一社会信用代码：9132**9Y注册地址：江苏省苏州市工业园区金鸡湖大道**号注册地址：江苏省苏州市工业园区金鸡湖大道**号法定代表人：郑某某职务：执行董事1.3授权标的：甲方自主研发并享有完整知识产权的“分布式智能边缘计算节点系统V5.7”（以下简称“授权系统”），包括但不限于：（1）系统内核、驱动、中间件、算法库、管理控制台、移动端SDK、Web组件；（2）配套硬件固件、FPGA逻辑、加密芯片固件；（3）技术文档、测试用例、运维脚本、故障诊断工具、性能调优模板；（4）后续升级版本、补丁包、热修复脚本、安全加固补丁。1.4授权性质：非排他、不可转让、不可分授权、不可质押的普通商业使用授权，授权区域为中华人民共和国境内（不含港澳台），授权期限自2025年7月1日至2030年6月30日，期满自动终止，除非双方另行签署书面续约。1.5适用场景：乙方仅可将授权系统用于其自有品牌“慧聚”系列工业网关产品的设计、生产、销售、售后及运维，不得用于军事、博彩、加密货币挖矿、数据跨境传输等法律法规禁止或限制的场景。二、技术交付与验收2.1交付清单：（1）源代码仓库只读镜像1份（Git格式，含完整commit历史，SHA256校验值9f4e…a1b3）；（2）二进制安装包3套（x86_64、ARM64、RISC-V64）；（3）硬件参考设计文件1份（Altium工程、Gerber、BOM、坐标文件、钢网文件）；（4）测试报告1份（含功能、性能、环境适应性、EMC、安规、可靠性6大项312子项）；（5）用户手册、运维手册、API文档、二次开发指南、安全加固手册各1份；（6）License授权文件1份（含2048位RSA签名、甲方电子公章）。2.2交付方式：甲方通过加密移动硬盘（AES-256-XTS全盘加密，密码32位随机字符串单独邮寄）交付乙方指定收件人，快递单号同步抄送乙方项目接口人。2.3验收流程：（1）乙方收到加密硬盘后2个工作日内完成完整性校验；（2）乙方在甲方提供的验收环境（虚拟机镜像、DockerCompose模板）中执行100%用例，通过率≥99.5%视为合格；（3）乙方在自有硬件平台（主频≥1.8GHz，内存≥4GB，eMMC≥32GB）运行连续72小时压力测试，CPU占用≤75%、内存泄漏≤10MB、无重启、无死机视为合格；（4）验收报告由乙方技术负责人签字并加盖公章后5个工作日内回传甲方备案；（5）若首次验收不合格，甲方在7个工作日内提供补丁并重新进入验收流程，最多不超过3轮。三、技术支持内容与等级3.1支持通道：（1）7×24小时专属企业微信群，甲方指派3名资深工程师（平均工龄≥8年）轮班值守，响应时间≤30分钟；（2）400--语音热线，工作日9:00-18:00人工接听，非工作时间自动转接值班手机；（3）JiraServiceManagement工单系统，乙方提交后1小时内分配处理人，P1级故障2小时内给出临时规避方案，8小时内给出永久修复或降级方案。3.2支持等级定义：P0致命级：系统无法启动、数据损坏、安全漏洞可被远程利用且已公开，甲方30分钟内响应，2小时内提供热补丁，24小时内发布正式版本；P1严重级：核心功能异常、性能下降≥50%、需重启恢复，甲方1小时内响应，4小时内提供规避方案，48小时内发布正式版本；P2一般级：非核心功能缺陷、性能下降20%-50%，甲方4小时内响应，3个工作日内提供正式版本；P3轻微级：界面文案、日志格式、优化建议，甲方1个工作日内响应，视情况纳入后续迭代。3.3现场支持：乙方在重大节点（首批量产、客户现场验收、政府抽检）可提前5个工作日书面申请现场支持，甲方在2个工作日内派遣资深工程师赴乙方现场，差旅食宿由乙方承担，现场支持不超过5人日/次。3.4远程调试：甲方可通过乙方提供的VPN隧道（仅开放22、443端口，双向mTLS证书校验，会话录像保存90天）登录乙方测试环境，进行日志采集、性能剖析、补丁验证。四、版本升级与补丁管理4.1升级节奏：甲方每季度发布1次minor版本（向下兼容），每年发布1次major版本（可能引入不兼容接口），提前30个自然日在乙方专属GitLab里程碑公示路线图。4.2升级包形态：（1）全量镜像（ISO、OTA差分包、Docker镜像三选一）；（2）增量补丁（bsdiff算法，平均体积≤全量包15%）；（3）回滚包（与升级包一一对应，支持双分区A/B无缝回滚）。4.3升级责任：乙方负责在甲方指导下完成灰度验证，首批灰度≤10台，观察7天无异常后分批全量；甲方提供升级脚本、回滚脚本、数据备份脚本，升级失败导致数据丢失由甲方承担恢复责任。4.4安全补丁：对于CVSS≥7.0的高危漏洞，甲方在公开漏洞信息发布后24小时内完成内部评估，72小时内提供补丁，168小时内协助乙方完成全网修复。五、培训与知识转移5.1培训体系：（1）初级培训：面向乙方研发、测试、生产、售后4个序列，共16学时，涵盖系统架构、编译环境、烧录流程、故障定位；（2）中级培训：面向乙方系统架构师、运维经理，共24学时，涵盖性能调优、容器化部署、CI/CD、灰度发布；（3）高级培训：面向乙方技术总监、质量总监，共8学时，涵盖安全攻防、合规认证、供应链风险管理。5.2培训形式：线上直播（Zoom企业版，1080P录制回放1年）+线下小班（≤15人，甲方培训中心，含实操机位），乙方可按项目进度灵活组合。5.3培训交付：每门课程配套电子教材（PDF，水印加密）、实验手册（Markdown）、虚拟机镜像（OVA格式）、课后测验（题库200道，及格线85分），乙方参训人员通过测验后颁发甲方电子证书，证书编号可在甲方官网验证。5.4知识库共享：甲方向乙方开放内部Confluence只读账号，涵盖FAQ、案例库、性能基线、故障树、物料替代清单，每月更新≥20篇技术文章；乙方可通过Comment方式提交补充，甲方审核后合并。六、质保与赔偿6.1质保期限：自乙方最终验收合格之日起36个月，或自乙方终端客户销售发票之日起30个月，以先到者为准。6.2质保范围：（1）授权系统自身缺陷导致的崩溃、重启、数据损坏；（2）甲方提供的硬件参考设计在标称环境下（温度-40℃~85℃，湿度5%~95%RH，电压±10%波动）出现的电气性能失效；（3）甲方发布的补丁、升级包引入的新缺陷。6.3不质保范围：（1）乙方未按手册操作、擅自修改源码、裁剪组件、关闭安全策略；（2）乙方使用非甲方指定型号外围芯片、电源、连接器；（3）不可抗力（地震、洪水、战争、疫情封控）导致的损坏。6.4赔偿标准：（1）因甲方软件缺陷导致乙方生产线停线，甲方按1:1赔付乙方直接人工损失（以乙方当地社平工资三倍为上限）；（2）因甲方硬件参考设计缺陷导致乙方批量召回，甲方承担召回物流费用及更换物料费用，上限不超过乙方当批次采购金额；（3）因甲方安全漏洞导致乙方终端客户数据泄露，甲方承担法定赔偿责任外，额外向乙方支付等同于该批次License费用50%的商誉损失补偿，上限200万元人民币。七、知识产权与保密7.1知识产权归属：授权系统及其衍生专利、商标、著作权、域名、商业秘密均归甲方所有；乙方仅享有本授权文件约定的使用权，不得申请与授权系统相关的专利或软件著作权。7.2反向工程限制：乙方不得对授权系统进行逆向、反汇编、反编译、破解、去除水印、去除License校验；因调试需要必须逆向时，须提前书面申请，甲方书面同意后方可进行，且结果只能用于故障定位，不得用于竞品分析。7.3保密义务：（1）乙方对甲方提供的源代码、原理图、BOM成本、漏洞细节、未公开路线图负有无限期保密义务；（2）乙方仅可将保密信息披露给“必须知道”且已签署不低于本文件保密义务的员工、外协，名单每年更新并抄送甲方；（3）若乙方违反保密条款，须向甲方支付违约金100万元人民币，并赔偿甲方因此遭受的全部损失，包括但不限于律师费、公证费、调查费。7.4开源合规：授权系统内嵌第三方开源组件（GPL-2.0、LGPL-2.1、Apache-2.0、MIT、BSD等）共计47个，甲方已在《开源义务清单》中列明许可证类型、版本、下载地址、修改说明、义务要点；乙方在产品说明书、包装盒、官网、App内须同步放置开源声明，并按要求向终端用户提供源码索取通道，因乙方未履行开源义务导致的法律纠纷由乙方独立承担。八、数据安全与隐私8.1数据分类：（1）甲方数据：源代码、构建日志、漏洞样本、商业策略；（2）乙方数据：生产测试日志、终端客户信息、售后工单；（3）联合数据：联合调试日志、性能基准、灰度报告。8.2存储与传输：（1）双方使用AES-256-GCM加密存储，密钥长度256位，由硬件安全模块（HSM）生成并托管；（2）公网传输采用TLS1.3、ECDHE-RSA-AES256-GCM-SHA384、双向证书校验，禁止SSLv3、TLS1.0、TLS1.1；（3）内网传输采用IPSecVPN，ESP协议，AES-256-GCM，PFS开启，重钥周期1小时。8.3数据留存与销毁：（1）日志留存180天，到期自动覆盖；（2）乙方因审计需要延长留存期，须书面说明理由，甲方技术评估后方可执行；（3）合作终止后10个工作日内，双方互相删除对方保密数据，并出具由信息安全部负责人签字的《数据销毁确认函》。8.4个人信息保护：若乙方终端客户数据含个人信息，乙方应独立履行《个人信息保护法》义务，包括但不限于告知同意、最小必要、去标识化、跨境评估；甲方不主动收集个人信息，仅在调试日志中可能出现MAC地址、设备序列号，甲方承诺在收到日志后30天内完成脱敏并删除原始文件。九、审计与合规9.1审计权：甲方每年可对乙方进行一次现场或远程审计，提前10个工作日书面通知，审计范围包括License使用数量、源代码保管、开源义务履行、安全漏洞修复情况；乙方须配合提供脚本、截图、日志、台账，不得拒绝、拖延、隐匿。9.2审计费用：若审计发现乙方超出授权数量≥5%，乙方按当年License单价3倍补缴费用，并承担审计差旅成本；若未发现违规，审计成本由甲方自行承担。9.3合规证书：甲方已通过的ISO9001、ISO27001、ISO21434、IEC62443-4-1、CMMI-DEVv2.0五级证书复印件作为本文件附件，乙方有权在甲方官网验证；甲方承诺在授权期限内持续维持上述证书有效性，若因甲方失去证书导致乙方无法通过客户审核，甲方承担乙方因此产生的直接损失。十、不可抗力与终止10.1不可抗力：地震、洪水、台风、战争、疫情封控、政府禁令、海底电缆中断等不可预见、不可避免且不可克服的事件构成不可抗力；受影响方应在事件发生后3个工作日内书面通知对方，并在合理期限内提供公证机构或官方媒体出具的证明；不可抗力持续超过90日，任何一方可书面通知终止本文件，双方互不承担违约责任，但保密义务、知识产权条款、已产生的费用结算条款继续有效。10.2违约终止：一方实质性违约且在收到书面催告后15日内未能纠正，守约方有权立即终止本文件并要求违约方赔偿损失；实质性违约包括但不限于：（1）乙方超出授权数量、区域、期限使用；（2）甲方未能在约定时限内修复P0级故障累计3次；（3）一方擅自转让、质押、托管授权系统或其任何部分。10.3破产清算：若一方进入破产、重整、清算程序，对方有权立即终止本文件；甲方进入清算时，乙方已支付的未到期License费用按剩余月份比例退还；乙方进入清算时，甲方有权要求乙方销毁全部授权系统副本并提交由清算组签署的《销毁证明》。十一、争议解决11.1协商：双方应首先通过友好协商解决争议，协商期为30日，自争议书面通知送达之日起算；协商期间，除争议事项外，双方应继续履行本文件项下其他义务。11.2调解：若协商未果，任何一方可向上海市浦东新区知识产权纠纷人民调解委员会申请调解，调解地点为上海市浦东新区，调解语言为中文；调解员由双方各指定1名，再由调解委员会指定第3名，调解意见对双方具有约束力，除非一方在收到调解意见后10日内书面表示拒绝。11.3诉讼：若调解失败，任何一方可向甲方注册地有管辖权的人民法院提起诉讼，适用中华人民共和国法律，排除冲突规范；诉讼期间，双方仍应履行无争议部分。十二、通知与送达12.1通知形式：双方往来通知应以书面形式作出，包括纸质公文、电子邮件、电子签章平台、特快专递；电子邮件应以