基于国密算法的认证协议书

基于国密算法的认证协议书1.甲方（买方/出租方/委托方）：

甲方名称：中国科技创新集团有限公司（以下简称“甲方”），法定代表人：张明，注册地址：北京市海淀区中关村南大街1号科创大厦15层，联系方式甲方是一家专注于信息技术领域的高新技术企业，拥有先进的加密技术研发能力和丰富的行业应用经验。基于数字化安全需求，甲方拟采购由乙方提供的基于国密算法的认证系统及服务，以保障其业务数据传输与身份认证的安全性。甲方在金融、政务及企业级服务等领域拥有广泛客户基础，对信息安全等级保护合规性要求严格，此次合作旨在通过国密算法技术实现数据加密、用户身份验证及访问控制的高效、安全解决方案。

2.乙方（卖方/承租方/服务提供方）：

乙方名称：华安信息科技有限公司（以下简称“乙方”），法定代表人：李强，注册地址：上海市浦东新区张江高科技园区科苑路88号信息安全产业园B座8层，联系方式乙方是国内领先的密码产品与服务提供商，具备国家密码管理局颁发的《商用密码产品销售许可证》及《信息系统安全等级保护认证》，核心团队由多名密码学博士和资深安全工程师组成。乙方自主研发的国密算法认证系统已通过国家密码检测中心检测，并在多个国家级重点项目中得到应用。为响应甲方对数据安全加密与身份认证的需求，乙方同意根据本协议约定，向甲方提供基于国密SM2、SM3、SM4等算法的认证服务，包括但不限于密钥管理、证书签发、双向认证及安全审计等功能。

**协议简介：**

随着《中华人民共和国密码法》的实施，金融、政务及关键信息基础设施等领域对国密算法的应用要求日益提高。甲方作为行业领先的信息技术企业，需将其产品及服务中的数据传输、用户认证等环节全面升级至国密标准，以满足国家信息安全监管要求及客户合规需求。乙方作为国内国密算法技术的核心服务商，拥有成熟的认证系统、专业的技术团队及完善的服务体系。基于双方在信息安全领域的专业优势与合作意向，甲方委托乙方提供基于国密算法的认证解决方案，双方经友好协商，就认证系统部署、服务内容及权利义务达成如下协议。本协议的履行将有助于甲方实现数据安全合规，提升系统抗风险能力，同时乙方通过技术输出进一步巩固市场地位，双方合作符合国家信息安全战略及行业发展趋势。协议内容涉及技术标准、服务范围、知识产权、保密条款及违约责任等核心约定，旨在通过法律形式明确双方合作边界，确保项目顺利实施。

第一条协议目的与范围

本协议的主要目的是明确甲乙双方在基于国密算法的认证系统及服务合作中的权利与义务，确保乙方为甲方提供符合国家密码标准（GM/T）的认证解决方案，包括但不限于国密算法密钥管理、数字证书签发、双向认证服务及安全审计支持。协议范围涵盖认证系统的技术参数、部署实施、运维保障、培训支持及知识产权归属等事项。具体内容包括：乙方根据甲方需求提供SM2公钥加密、SM3哈希算法、SM4对称加密的国密认证系统，支持用户身份的机密性、完整性及不可抵赖性验证；甲方负责提供认证系统所需的硬件环境、网络接入及业务数据接口，并对数据真实性承担最终责任；双方共同制定密钥管理策略，定期进行安全评估；乙方确保认证系统符合《信息安全技术网络安全等级保护基本要求》三级及以上标准，并提供7×24小时技术支持服务。本协议旨在通过国密算法技术落地，构建安全可靠的身份认证体系，满足甲方业务合规及数据安全需求。

第二条定义

1.国密算法：指中国国家密码管理局批准发布的商用密码算法，包括SM系列算法（SM2非对称加密、SM3哈希、SM4对称加密）及SM9同态加密算法等，本协议中特指SM2/SM3/SM4的应用。

2.认证系统：由乙方提供的基于国密算法的软硬件结合体，包括密钥生成设备、证书签发服务器、认证网关及管理控制台，用于实现用户身份的机密性、完整性及不可抵赖性验证。

3.数字证书：采用国密算法加密技术生成的电子身份证明文件，包含用户公钥、主体信息、签发者信息及有效期限等，由乙方依据甲方申请签发。

4.双向认证：指通信双方通过交换国密算法密钥并验证数字证书有效性，实现相互身份确认的安全通信机制。

5.安全审计：指对认证系统运行日志、密钥使用情况、访问控制行为等进行的记录、分析及异常告警活动，本协议要求审计日志满足《信息安全技术网络安全等级保护基本要求》中关于日志完整性的规定。

6.服务水平协议（SLA）：乙方承诺提供的认证系统可用性、响应时间、故障修复等量化指标标准，本协议附件中另行约定。

7.知识产权：指在协议履行过程中产生的软件著作权、技术秘密、专利申请等无形资产归属及使用限制的约定。

第三条双方权利与义务

**1.甲方的权力与义务：**

甲方有权要求乙方按照协议约定提供基于国密算法的认证系统及配套服务，包括但不限于技术方案设计、系统部署实施、人员培训及运维支持；甲方有权对乙方提供的认证系统进行验收测试，确保其符合国家密码标准及甲方业务需求；甲方有权要求乙方提供认证系统相关的技术文档、操作手册及维护指南；甲方应按照协议约定支付服务费用，并配合乙方完成系统部署所需的网络环境、硬件设备及数据接口准备工作；甲方有义务确保其提供的业务数据真实有效，并对数据传输过程中的密钥管理承担最终责任；甲方应指定专门的技术接口人负责与乙方对接，及时反馈系统运行问题；甲方需遵守国家密码管理相关法律法规，不得将认证系统用于非法目的。

**2.乙方的权力与义务：**

乙方有权要求甲方提供必要的系统部署环境及业务需求说明，包括网络拓扑图、硬件配置清单及数据接口规范；乙方有权根据协议约定收取服务费用，并有权对甲方违约行为（如未按时支付费用）采取暂停服务或解除协议的措施；乙方应确保提供的认证系统完全符合国家密码标准（GM/T）要求，通过国家密码检测中心检测，并提供权威检测报告；乙方需配备专业技术人员为甲方提供7×24小时技术支持，响应时间不超过30分钟，故障修复时间根据问题严重程度在SLA中约定；乙方有权要求甲方配合完成系统部署过程中的密钥配置、证书申请等操作，甲方不配合视为违约；乙方需建立完善的密钥管理机制，包括密钥生成、存储、更新及销毁流程，并接受甲方及国家监管机构的审计；乙方应保证认证系统的可用性不低于99.5%，并提供月度运行报告；乙方需对甲方提供的国密算法密钥及数字证书严格保密，未经甲方书面授权不得向第三方泄露；乙方应提供认证系统源代码或核心算法接口供甲方用于二次开发，但需明确知识产权归属及使用限制；乙方需建立应急响应机制，在系统出现重大故障时第一时间通知甲方并启动应急预案，确保业务连续性；乙方应定期对认证系统进行安全漏洞扫描及补丁更新，并通知甲方相关情况。

第四条价格与支付条件

1.本协议项下的价格包括乙方提供的基于国密算法的认证系统软件许可费、硬件设备费（如需）、系统部署实施费、人员培训费及为期一年的标准运维服务费，不含税总价为人民币壹佰万元整（￥1,000,000.00）。如甲方需延长运维服务期限或增加高级功能模块，双方应另行签订补充协议确定费用。

2.支付方式：甲方应通过银行转账方式将款项支付至乙方指定账户，账户信息如下：开户行：中国工商银行上海张江支行；账号：1234567890123456789；收款人：华安信息科技有限公司。乙方应在收到甲方款项后开具等额增值税专用发票。

3.支付时间：本协议签订生效后7个工作日内，甲方支付总价款的30%（即￥300,000.00）作为预付款；乙方完成系统部署并通过甲方验收测试后10个工作日内，甲方支付总价款的40%（即￥400,000.00）；剩余20%（即￥200,000.00）作为质保金，于协议履行满一年且乙方完成项目移交后无息付清。甲方逾期支付任何款项，每逾期一日应向乙方支付逾期金额千分之五的违约金，逾期超过30日乙方有权暂停服务并解除协议。

4.所有价格均以人民币计价，不含税费，如需开具增值税专用发票，甲方应承担相应税费。

第五条履行期限

1.本协议有效期为自双方签字盖章之日起三年，自2024年1月1日至2026年12月31日。如需延长协议期限，双方应在到期前三个月协商签订续约协议。

2.关键时间节点：乙方系统部署完成时限为协议签订后60个工作日；甲方验收测试期限为系统部署完成后15个工作日；乙方完成首轮人员培训应在系统上线后30日内；年度运维服务包含两次全面安全巡检，分别在6月30日前及12月31日前完成。

3.如遇国家密码政策调整或行业监管要求变化，双方应协商调整协议相关条款，但不得因此影响协议核心义务履行。任何一方因不可抗力导致无法按期履行义务，应在事件发生后7个工作日内书面通知对方并提供证明，相应期限顺延。

第六条违约责任

**1.甲方违约责任：**

a.甲方未按本协议第四条约定的支付条件及时足额支付款项的，每逾期一日应按逾期金额千分之五支付违约金，逾期超过30日，乙方有权解除协议，已发生的服务费用不予退还，并要求甲方赔偿因此造成的直接经济损失，包括但不限于乙方为追讨欠款产生的律师费、诉讼费等。

b.甲方未按约定提供系统部署所需环境或配合完成密钥配置、证书申请等义务，导致项目延期的，每逾期一日应向乙方支付合同总价千分之五的违约金，逾期超过60日，乙方有权单方面解除协议，甲方已支付的费用按协议约定比例扣除，不足部分乙方有权追偿。

c.甲方超出许可范围使用认证系统或擅自复制、传播乙方软件的，乙方有权立即停止服务并解除协议，甲方应支付相当于协议总价50%的违约金，并承担乙方因此遭受的所有损失，包括但不限于知识产权侵权赔偿。

d.甲方未遵守数据安全保密义务，导致国密算法密钥或数字证书泄露的，除承担《中华人民共和国网络安全法》规定的法律责任外，还应向乙方支付协议总价100%的违约金，乙方有权终止所有服务并保留追究刑事责任的权利。

**2.乙方违约责任：**

a.乙方未能按约定时间完成系统部署或验收测试的，每逾期一日应向甲方支付合同总价千分之五的违约金，逾期超过60日，甲方有权解除协议，乙方应退还已发生服务费用总额的30%，并赔偿甲方因此直接损失的80%。

b.乙方提供的认证系统存在设计缺陷或无法满足国密算法标准要求的，甲方有权要求乙方在30日内免费修复或更换，逾期未修复的，甲方有权解除协议，乙方应退还全部已发生费用并支付协议总价50%的违约金。

c.乙方运维服务未达到SLA约定标准，导致认证系统可用性低于99.0%超过30日的，每发生一次应向甲方支付当月服务费50%的违约金，连续三个月未达标的，甲方有权解除协议，乙方应赔偿甲方因此直接损失的120%。

d.乙方泄露甲方国密算法密钥或数字证书信息，或未按约定履行密钥管理义务导致安全事件发生的，乙方应承担全部责任，包括但不限于支付协议总价200%的违约金、赔偿甲方全部直接及间接损失，并承担相应的行政或刑事责任，甲方有权立即终止协议并永久禁止乙方参与同类项目。

**3.责任限制：**

a.除本协议明确约定的违约责任外，任何一方因不可抗力导致违约的，根据不可抗力影响程度相应减免责任，但双方均应采取合理措施减少损失。

b.任何一方对第三方造成的损失，由该方自行承担，另一方不承担连带责任，但应积极协助受损方解决争议。

c.违约金不足以弥补守约方损失的，守约方有权要求违约方赔偿全部实际损失，包括直接损失与合理预期利益损失，但赔偿总额不超过协议总价的两倍。

第七条不可抗力

1.本协议所称不可抗力，是指不能预见、不能避免并不能克服的客观情况，包括但不限于：自然灾害（如地震、洪水、台风、雷击等）；战争、军事冲突、恐怖袭击、暴乱、骚乱等社会事件；政府行为（如法律变更、行政命令、政策调整等）；流行病疫情；以及影响信息系统正常运行的电力中断、网络瘫痪等不可归责于任何一方的事故。

2.任何一方因不可抗力事件导致无法履行或无法完全履行本协议义务的，应在事件发生后七日内书面通知对方，并提供有效的事故证明文件（如政府公告、新闻报道、权威机构鉴定等）。双方应根据不可抗力的影响程度，协商决定延期履行、部分履行或解除协议。

3.因不可抗力导致的履行延迟或不能履行，受影响一方不承担违约责任，但应及时采取措施减少损失，若未采取合理措施导致损失扩大的，仍需承担扩大部分的责任。不可抗力影响消除后，受影响一方应尽快恢复履行协议义务。

4.若不可抗力影响持续超过六十日，双方仍无法达成一致意见的，本协议自动终止，双方互不承担违约责任，已发生的服务费用按实际履行比例结算，甲方已支付的预付款中超出已服务部分的金额应予退还。双方应就项目成果的处置进行协商，协商不成的，可提交争议解决机构裁决。

第八条争议解决

1.因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决；协商不成的，任何一方均有权选择以下第（一）项或第（二）项方式解决：

（一）提交北京仲裁委员会，按照其届时有效的仲裁规则进行仲裁。仲裁裁决是终局的，对双方均有约束力。仲裁地点为北京市，仲裁语言为中文。

（二）依法向甲方所在地有管辖权的人民法院提起诉讼。受理法院应依据《中华人民共和国民事诉讼法》及相关司法解释规定行使管辖权。

2.在争议解决期间，除争议事项外，双方应继续履行本协议其他未受争议影响的条款，任何一方不得单方面停止履行。

3.争议解决费用（包括仲裁费或诉讼费、律师费等）由败诉方承担；若双方均有责任，则根据责任大小合理分担。仲裁或诉讼过程中，涉及国密算法技术事实认定的，双方可共同委托具有资质的第三方检测机构出具专业报告，该报告可作为证据使用。

4.任何一方在本协议履行期间或争议解决过程中，就协议内容作出的任何书面承诺、谅解或和解协议，均应视为本协议不可分割的一部分，并具有同等法律效力。未经对方书面同意，任何一方不得单方面变更或解除该等承诺。

5.若争议涉及国家密码局监管事项或知识产权归属，双方应优先向主管机关申请处理，相关处理结果不影响本协议其他条款效力。

第九条其他条款

1.通知与送达：本协议项下的所有通知、文件等均应以书面形式，通过专人递送、挂号信、快递服务或双方确认的电子邮箱（甲方：tech@；乙方：service@）送达。以专人递送方式发出的，签收日为送达日；以挂号信或快递方式发出的，寄出后第五日为送达日；以电子邮件方式发出的，发出时视为送达。任何一方变更联系方式，应提前十日书面通知对方。

2.协议变更：对本协议的任何修改或补充，均须经双方授权代表签署书面文件后方能生效。任何口头约定或非书面形式作出的变更均无效。

3.法律适用与管辖：本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律（为本协议之目的，不包括香港、澳门及台湾地区法律）。除争议解决条款另有约定外，双方因本协议产生的任何争议，均应适用本协议约定解决方式。

4.完整协议：本协议及其附件构成双方就本协议标的达成的完整协议，取代双方此前就此达成的所有口头或书面协议、谅解或安排。本协议未约定的事项，均应遵循相关法律法规及行业惯例。

5.分离性：本协议各条款为相互独立的部分，任何条款的无效或不可执行，不影响其他条款的效力。若任何条款被认定为无效，双方应协商替换为内容最接近、合法有效的条款。

6.转让：未经对方事先书面同意，任何一方不得将其在本协议项下的权利或义务部分或全部转让给第