时间:2023-06-05 10:17:01
甲方:_________
乙方:_________
甲乙双方根据《中华人民共和国反不正当竞争法》和国家、地方有关规定,就企业技术秘密,公司及客户财产保护达成如下协议:
1.保密范围:
甲方尚未公开的发展规划、方针政策、经营决策的信息、计划、方案、指令及商业秘密;
甲方财政预算、决策报告、财务报表、统计资料、财务分析报告、审计资料、银行账号;
甲方的经营方法、状况和经营实力;
甲方未公布的人事调动、人事任免;
甲方机构的设置、编制、人员名册和统计表、奖惩材料、考核材料;
甲方各级员工的个人薪金收入情况;
甲方具有保密级别的文件、资料、会议记录、信件、方案、投标书、图片、电脑软件;
甲方客户的资料及财产;
甲方专有产品技术、 新技术(包括设计方案、测试结果和记录、数据资料、计算机程序等)和售后服务技术;
销售合同、销售网络、渠道。
2.权利和义务:
甲方提供乙方正常的技术研究,开发条件和业务拓展的空间,努力创造有利于乙方发展的机会;
乙方未经批准、不准复印、摘抄、 随意或恶意拿走甲方秘密文件、电脑软、硬件等;
乙方未经批准、不得向他人泄露甲方秘密、信息;
乙方应妥善谨慎保管和处理甲方及其客户之机密信息资料及固定资产、如有遗失应立即报告并采取补救措施挽回损失;
甲方有义务对乙方在保守秘密,举报泄密或改进保密技术、措施、以及及时防止泄密事故、挽救损失方面成绩显著者、给予奖励。
3.违约责任:
乙方违反此协议,甲方有权无条件解除聘用合同,并取消或收回有关待遇;
乙方违反此协议,造成一定经济损失,甲方将处以乙方_________万元罚款;
乙方违反此协议,造成甲方重大经济损失的,应赔偿甲方全部损失;
以上违约责任的执行,超过法律、法规赋予双方权限的,申请仲裁机构仲裁或向法院提出起诉。
4.协议期限:
聘用合同期内;
解除聘用合同后的_________年内。
甲方(盖章):_________乙方(签字):_________
代表人(签字):_________
______________________________ (以下称「甲方)
______________________________ (以下称「乙方)
缘乙方可能成为甲方相关计划(「本计划)之协力厂商,甲方可能将有关之机密信息事先掲露或提供予乙方。
为保护甲方机密信息之秘密性、确保该等机密信息仅供评估或执行本计划之使用,经双方商议后约订如下:
第一条、机密信息
1、本协议书所称之「机密信息,系指由甲方或其人、受雇人、受托人,以口头或书面方式向乙方揭露、交付、出示或允许乙方知悉或取得之关于甲方或甲方合作厂商或客户之任何技术信息与商业信息,不论该等信息是否已藉由文字、声音、图形、展示或其它任何形式表现,亦不论其是否以书面或电磁记录形式储存。
2、甲方或其代表人、人、受雇人或其它使用人为进行本计划,于洽商过程中向乙方所揭露之关于甲方及甲方合作厂商之业务内容、营销及产品开发计划及构想等,包括且不限于甲方与其合作厂商合作之事实及其合作内容等,均视为甲方之机密信息,不论该等信息系以何种形式表达或附着于何种媒介之上。
3、本协议书所称之技术信息,包括且不限于与软硬件技术、研发、产品开发设计、及与产品制造有关之技术信息。
4、本协议书所称之商业信息,包括且不限于价格、业务计划、营销计划、合作厂商数据、客户数据、人事数据、财务数据、以及双方为本计划之洽商所提出或讨论之合作方式、条件、约定内容等。
5、本协议书所称之机密信息,不包括下列各项信息:
⑴、乙方能以书面文件或记录证明在双方开始洽商本计划前,即已为乙方所知悉或成为公开信息者;
⑵、非因乙方之故意泄密而成为相关大众所周知者;
⑶、经甲方之书面同意而揭露之机密信息
⑷、在未违反本协议书之情形下,乙方能以书面文件或记录证明未使用甲方之机密信息而独自开发取得之信息。
⑸、依法律之规定或法院之命令或要求,而必要揭露者。惟接受上开命令或要求之当事人应在法令所许可之范围内,事先通知甲方,并采取必要之保护措施。
第二条、保密义务
1、乙方同意,甲方所揭露、或乙方因本计划而知悉或取得之甲方机密信息,均仅得为评估或将来执行本计划之目的而使用。除为本计划之目的外,乙方不得为自己或第三人之利益,供作其它目的或用途之使用,亦不得以任何方式揭露或提供予任何第三人。惟乙方之在职员工、代表人、人或使用人,如事先已与乙方签订足以保护本机密信息机密性且保密义务及责任不低于本协议书之合约,且其在职务上或业务上有知悉机密信息之必要者,不在此限。乙方如嗣后另有其它人员在职务上或业务上有知悉机密信息之必要者,亦准用上开程序办理。乙方违反本条规定者,甲方得随时取消、终止或解除甲方与乙方间之合作关系、订单或契约,无庸对乙方负任何赔偿或补偿责任,甲方并得向乙方请求本协议书规定之违约金及其它损害赔偿。
2、乙方依前项约定将机密信息提供或揭露予其员工、代表人、人等参与本计划之必要人员时,应担保该等人员均将同样遵守乙方依本协议书所应负之义务,对于该等人员违反本协议书之行为,视为乙方自己之行为而负其责任。
3、乙方同意,对于甲方所揭露、或乙方因本计划而知悉或取得之甲方机密信息,应与其它数据区隔存放,以免混淆。乙方如事先未取得甲方之书面同意,不得逆向解析( reverse engineer、reverse assemble 或 de-compile )机密信息。乙方应采用下列两种注意义务之较高标准,并采取必要且适当之措施,维护其秘密性:
⑴、乙方用以保护其珍贵资料或财产之注意义务;或
⑵、本地同类业务厂商或公司用以保护其机密信息一般采用之合理注意义务。
⑶、如乙方发现任何人不当使用机密信息时,乙方应立即通知甲方并与甲方充分合作,以利甲方取回遭不当使用之机密信息,或防止不当使用之情形继续存在。
第三条、本协议书之效力、权利归属
1、本协议书签署后,不论双方是否继续洽商本计划、事后是否签署任何正式合约或协议,均不影响本协议书之效力,即使双方为本计划所签署之合约事后因故终止、解除或消灭,亦不影响本协议书之效力。
2、甲方因本计划所揭露或提供之机密信息,其数据所有权、专门技术或知识、营业秘密、商标、专利、以及其它知识财产权等,仍为甲方所有。该等机密信息不因揭露或提供予乙方、或因本协议书之签署而成为乙方所有;乙方亦不因此而取得机密信息之任何授权或其它法律上之权利。甲方并不因本协议书之签订而将甲方专有之相关专利权、著作权、商标权、光罩(电路布局)权或其它知识财产权授权予乙方。
3、非经甲方事前书面许可,乙方不得以任何方式重制或影印甲方因本计划所揭露或提供之机密信息。乙方应依甲方之要求,至迟于确定本计划不进行、合作关系完成或合作关系终止后、或于甲方书面通知到达之次日起10工作日内,由乙方负担费用,
返还所有甲方机密信息之原件、副本、重制本及节录本。甲方亦得要求乙方自行将机密信息销毁或删除;乙方并应于销毁或删除完成后立即出具切结书予甲方,叙明其已完成该事实。 第四条、其它约定
1、甲方不因本协议书之签署,而负有揭露或提供任何特定机密信息予乙方之义务,亦不担保其因本计划所提供或揭露之信息之完整性、正确性或合目的性。乙方并明了机密信息必然会含有诸如印刷错误、计算错误、缺漏或其它形式的错误。基于此,乙方如发现上开错误应主动通知甲方,以维持甲方提供信息的正确性。
2、于下列情形之一,甲方得以书面之通知径行终止本合约:
⑴、乙方违反本协议书之任何约定。惟甲方如认定该违反系属轻微,甲方得先定期限,要求乙方改善。
⑵、乙方无法支付其日常费用、停止进行其惯常业务或申请进行破产或类似程序。
⑶、乙方将其现有资产超过50%部份,转让予第三人。
⑷、乙方为第三人并购或与第三人合并。
⑸、乙方违反本协议书第二条第1项之规定者。
⑹、乙方或上开第二条第1项乙方在职务上或业务上知悉机密信息之员工、代表人、人、使用人、或参与本计划之必要人员因涉及诈欺、虚伪陈述、妨害秘密或其它类似犯行而经司法机关追诉者。
3、基于乙方充分认知甲方保护相关机密信息之迫切需求性,故如甲方发现乙方或其员工、代表人、人、使用人及其它参与本计划之必要人员有泄密情事,而拟透过财产保全、诉前责令停止侵害行为等保全程序或先于执行程序获得实时救济时,乙方同意免除并抛弃甲方预供担保之义务,甲方得仅以释明请求法院准为上开裁定。
4、本协议书中任何条款倘相互抵触或与法令相抵触时,视为无效;其无效仅限于与法令相抵触部份无效,不影响本协议书之其它部份。
5、双方不因本协议书之签署而具有合伙、雇佣或相互之关系。除就本计划正式签署采购、委托或合作合约外,双方为洽商本计划所为之任何讨论及机密信息之揭露或提供等,均不得解释为双方已就本计划达成合意或承诺。
6、本协议书权利义务之免除、限制、转让、增删、修正或修改,应由甲方和乙方合法授权之代表人以书面签署之文件为之。非经他方书面同意,任一方不得转让本协议书;本协议书亦拘束任一方之继受人或财产管理人。
7、本协议书之保密义务于生效日起5年内有效,乙方应依约负保密义务,不因甲、乙双方业务关系之解除、终止、撤销、无效或不成立而免除或失效。
8、乙方如违反本协议书之保密义务时,除应依法负损害赔偿责任外,并需支付甲方违约金计:人民币100万元整,乙方并应当承担甲方因执行本协议书之的权利而发生的费用。
9、本协议书如有未尽事宜,应依甲方所在地法律解释及补充之;双方因本协议书之履行或不履行所生之争议,应本诚信原则尽力协商,如协商不成,双方同意将该争议提交至甲方所在地人民法院依法处理。
第五条、附则
1、本协议书于双方签署时即生效力。
2、本协议书壹式贰份,每份皆为正本,双方各执乙份为凭。
立协议书人:
甲 方:______________________________ 乙 方:______________________________
法定代表人:__________________________法定代表人:________________________
地 址:______________________________地 址:______________________________
本协议于
年
月
日由
(以下简称甲方)和
(以下简称乙方)签订。
1.
乙方从甲方已经获得或者即将获得的,包括但不限于公司经营、行政、人事、财务等一切资料称为“公司资料”。
2.
对于公司资料,乙方同意:
(1)
严守公司资料机密,并采取所有预防措施保护该资料
(2)
不泄漏任何公司资料或者源于公司资料的资料给任何第三方
(3)
除用于内部评估与甲方的关系之外,任何时候均不得利用公司资料
(4)
不复制该资料
(5)
乙方应当争取其他能够接触其公司资料的雇员、和分包商签订一份保密协议或者类似协议,该协议的实质内容应当与本协议相似
3.
协议有效期限从乙方签订该协议之日起到乙方与甲方结束劳动关系后三年之内。
4.
任何时候,只要收到甲方的书面要求,乙方应当立即归还全部公司资料给甲方,如果公司资料属于不能归还的形式,则经甲方同意,乙方可以将其销毁或者删除。
5.
如果本协议的部分条款不能执行,协议其他部分的有效性和可执行性不受影响,并且未经双方书面达成一致,本协议不得以其他任何理由更改。
6.
任何一方违反协议约定,造成另一方损失的,要承担相应的赔偿责任。
7.
若双方产生纠纷,则由甲方所在地的法院进行管辖。
8.
本协议一式两份,签字盖章后生效。
本协议于 年 月 日由 (以下简称甲
方)和
(以下简称乙方)共同签订:
1.
乙方从甲方已经获得或者即将获得的,包括但不限于公司经营、行政、人事、财务等一
切资料称为“公司资料”。
2.
对于公司资料,乙方同意:
(1)
严守公司资料机密,并采取所有预防措施保护该资料
(2)
不泄漏任何公司资料或者源于公司资料的资料给任何第三方
(3)
除用于内部评估与甲方的关系之外,任何时候均不得利用该公司资料
(4)
不复制该资料
(5)
乙方应当争取其他能够接触其公司资料的雇员、和分包商签订一份保密协议或者类似协议,该协议的实质内容应当与本协议相似
3.
在乙方在职期间及与甲方解除劳动合同关系后的三年内,乙方不得到生产同类产品或经营同类业务且
有竞争关系的其他用人单位任职,也不得自己生产与原单位有竞争关系的同类产品或经营同类业务。
4.
该协议有效期限从乙方签订该协议之日起到乙方与甲方结束劳动关系后三年之内。
5.
任何时候,只要收到甲方的书面要求,乙方应当立即归还全部公司资料给甲方,如果
该公司资料属于不能归还的形式,则经甲方同意,乙方可以将其销毁或者删除。
6.
乙方应在离职前一个月不再接受任何甲方的公司资料,若属于被动获得公司资料,乙
方应当立即将其交还给公司上级领导或将其销毁。
7.
如果本协议的部分条款不能执行,协议其他部分的有效性和可执行性不受影响,并且
未经双方书面达成一致,本协议不得以其他任何理由更改。
8.
任何一方违反协议约定,造成另一方损失的,要承担相应的赔偿责任。
9.
若双方产生纠纷,则由甲方所在地的法院进行管辖。
10.
协议一式两份,签字盖章后生效。
甲方:
乙方:
甲方:
乙方:(身份证号:)
鉴于乙方在职期间从甲方获得技术、商业秘密并获得增进知识、经验、技能的机会,同时甲方对乙方的劳动支付工资、奖金、报酬;甲、乙双方依据《中华人民共和国合同法》以及相关法律规定,自愿订立以下协议条款,以期双方共同自觉遵守:
1、双方或单方终止或解除聘用关系时,乙方必须依其忠实义务的要求,停止办理其正在进行的工作,并将该工作移交甲方,在移交期间乙方不应有不利于甲方以后继续完成该项工作的行为(该行为包括作为或不作为),对紧急事务必须由乙方作应急处理的,乙方应报告甲方后,依法依约并按甲方书面指示作紧急处理。
2、双方或单方终止或解除聘用关系时,乙方必须向甲方办理事务移交手续,对原保管的物品、资料等,必须按甲方要求的期限内移交甲方,在移交前乙方应尽继续保管和保密义务。
3、乙方在工作中将为甲方的经济利益尽最大努力,在职期间不组织或参加竞争企业或从事任何不正当使用甲方技术、商业秘密的行为。
4、乙方对在职期间因工作信任关系获得、交换的保密信息负有保密义务,这些保密内容包括与甲方经营范围相关的或与有关的重大经营决策、方针、计划、措施、管理决策、财务数据、销售计划、构思、方案、设计、甲方人事档案、员工状况、人员安排及人事调动情况;各种技术情报、资料、样品、数据、软件、供销渠道、销售客户、客户文件、经济指标、竞争策略、营销策划及公关方案;甲方所记载的所有相关业务、客户档案资料及知识产权等无形资产;甲方所属的各种合同、手册和内部教材、尚未付诸实施的经营战略、方向、规划、项目等;甲方内部文件包括董事会会议内容、决议和记录,经理会议内容、决议和记录,监事会会议内容、决议和记录,办公纪要等。
5、乙方承诺保守上款所述秘密,除因工作需要和善意履行对甲方的义务,不得使他人获得、使用或计划使用这些信息。即除了得到甲方指示和在甲方需要的程度内向应该知道上述内容的甲方其他员工或甲方外部业务者如商进行保密交流外;乙方不得直接或间接地向甲方内部、外部的无关人员泄露;不得为自己利益使用或计划使用;不得复制或公开包含甲方商业秘密的文件或文件副本;对因工作所保管、接触的有关甲方或甲方客户的文件妥善对待,未经许可不得超出工作范围使用。
6、甲方上述秘密信息的部分或个别要素可能产生这种情况,即其虽被公知但未产生使该信息的其他部分或整体成为公知知识从而破坏价值,因此乙方同意这种部分或个别要素的公知不影响其对仍属秘密的信息的保密义务,乙方仍不得使用这些信息,或诱导第三人通过收集公开信息以整理出企业的商业秘密,并以此证明该商业秘密的不存在。
7、保密范围:乙方只能在办公时间内、办公区域内合理使用本协议列明的各项保密内容。
8、在未征得甲方书面批准的情况,乙方将本协议列明的各项保密内容带离办公区域或者脱离甲方有效控制范围的,均属违约行为,应当承担相应的违约责任。9、乙方因侵犯商业秘密触犯《中华人民共和国刑法》第二百一十九条的规定的,甲方有权依法将其提交公安司法机关进行处理,追究乙方的刑事责任。
10、乙方不得以任何理由私藏楼盘信息或在获得最新情况时而不更新楼盘信息,或其他隐瞒楼盘信息行为。乙方违反此规定,甲方有权解雇,且不给予乙方任何经济补偿。
11、乙方不得利用甲方的资料及资源促成交易而将所得利益据为已有(即“做私盘”),违者即时予以解雇,所得利益应当交归甲方所有。
12、乙方在知道甲方或者业主方已有客户对某一物业落定(即诚意金)后,未经批准仍以各种名义擅自联系业主(即“撩盘“),甲方有权解雇,且不给予乙方任何经济补偿。
13、乙方擅自离职或单方辞职未经甲方书面批准的,甲方有权处理乙方离职前尚未完成的中介事务而离职后才收到的佣金,直至该部分佣金归入甲方所有。
14、乙方的上述义务不因劳动合同的终止而失效。
15、乙方承诺:在与甲方劳动关系存续有效期内不进行除对甲方之外的其他投资(甲方书面同意的除外),也不在除甲方、甲方控股子公司或甲方资产关联公司之外的任何其他公司、企业、社会团体中,通过任职或兼职服务获得任何利益(乙方仅是通过证券市场买卖其他公司的股票、债券而获利等相类似的行为除外)或其他合作行为。
16、乙方同意在与甲方法律关系终止后6个月以内,不在其与甲方有合作关系的企业或其他经济实体就职。
17、乙方同意在与甲方法律关系终止后6个月以内,不在其工作过的区域(主要是指在甲方工作期间的就职区域)内投资或者直接参与经营与甲方、甲方控股子公司或甲方资产关联公司有业务竞争、有相同业务或者有类似业务的企业或其他经济实体。
18、乙方同意将其因职务创造和构思的有关专业技术秘密和经营秘密为了企业的利益迅速向甲方汇报,并以书面形式作出报告。
19、职务发明归属甲方所有,乙方在退休、解聘或辞职后两年内所做的与其本职工作有关的发明创造应属职务发明,归甲方所有。
20、关联交易是指乙方为谋取经济利益,在未征得甲方书面同意时,以甲方名义与乙方的关系人发生业务往来的行为。
21、乙方的关系人是指:A.乙方的近亲属或者近亲属所在的法人单位及其他经济组织;B.乙方投资或者控股的法人单位或者其他经济组织;C.持有甲方10%股份以上的股东;D.甲方的其他董事、监事、经理和其他管理人员及其近亲属、或者近亲属所在法人单位及其他经济组织。
22、甲方在乙方任职开始之日,即每月向乙方发放保密费及竞业禁止补贴。
23、如果乙方违反本协议中各项义务约定的,应当向甲方承担违约金或者赔偿金,违约金为:乙方违约之日起前二年平均实际收入的3-5倍;损失赔偿为:经营损失、利润损失、资金利息、诉讼费、保全费、执行费、评估费、拍卖费、公告费、公证费、差旅费、律师费等。
24、甲、乙双方因履行本协议产生的争议,双方自愿同意提交重庆市渝中区人民法院进行司法诉讼管辖。
25、本协议一式两份,甲、乙双方各执一份,甲、乙双方签字和盖章后生效。
甲方(盖章):
乙方(签名):_____________________
乙方:
丙方:
(本协议甲方、乙方、丙方每一方称“一方”,甲方、乙方、丙方合称“三方”)
甲、乙、丙三方根据《中华人民共和国反不正当竞争法》、《汇友网保密制度》以及国家、地方政府有关规定,三方在遵循平等、自愿、公平、诚实、信用的原则下,经协商一致,就汇友网商业秘密保密事项达成如下协议:
(一)保密内容
1.汇友网的交易秘密,包括但不限于:产品产、供、销渠道,客户名单,买卖意向,成交或商谈的价格,产品性能、质量、数量、交货日期;
2.汇友网的经营秘密,包括但不限于:经营方针,经营策略,商业模式(包含运营模式、业务模式、赢利模式),投资决策意向,市场分析,广告策略,产品定价,网站任何运营数据(包含网站的各种数据库、网站的用户数、网站的在线用户数、网站的注册用户数、网站的用户资料等),网站活动的相关信息(包含活动的策划、参加活动的成员资料等);
3.汇友网的管理秘密,包括但不限于:财务资料,人事资料,工资薪酬资料,股权激励机制;
4.汇友网的技术秘密,包括但不限于:网站需求分析文档,网站系统架构图,网站源代码,网站测试数据,网站维护日志,技术数据,专利技术,科研成果;
本协议所称产品,包括但不限于:网站广告位,网站活动的冠名权、赞助权等,以商业目的建立的专题、内容,软件或网站的开发、维护服务。
本协议部分保密内容(如网站的用户数,网站的在线用户数),如因网站运营需要,需对外公开的,均要求三方同意并采取书面形式确认。对相同保密项目的二次(含两次)以上公开,每次均要求三方同意并采取书面形式确认。
(二)保密期限
不论三方中有几方退出汇友网的经营,本协议在汇友网的存续期间永久有效。
(三)脱密期限
汇友网因任何原因停止运营,本协议即时失效。
(四)保密津贴
三方均自愿保守本协议商定的商业秘密,汇友网对三方均不设立任何形式的保密津贴。
(五)违约责任
甲、乙、丙三方中违反此协议的,造成未违反此协议方轻微经济损失的,违反协议方向未违反协议方支付三倍经济损失的补偿;违反协议方造成未违反协议方重大经济损失的,违反协议方向未违反协议方支付五倍经济损失的补偿。构成犯罪的,未违反协议方可依法向本协议签订所在地的人民法院提起诉讼,依法追究违反协议方的刑事责任。
(六)其他
本协议的订立、效力、解释、履行及争议解决,均受中华人民共和国法律管辖。
本协议在履行中发生争议,三方应本着互让互谅的原则协商解决。协商不成的,可依法向本协议签订所在地的人民法院提起诉讼。
本协议一式三份,甲、乙、丙三方各执一份。自甲、乙、丙三方签字或盖章完成之日起生效,三方各执的一份本协议具有同等的法律效力。
本协议如与三方以前的口头或书面协议有抵触,均以本协议为准。本协议之变更须经三方同意并采取书面形式确认。在三方未达成一致意见的情况下,原协议继续有效。
甲方:身份证:
乙方(员工):_________________________
乙方第一受益人:________________________
部门:_______________________
身份证号:_______________________
签订时间:_________年____月____日
员工保密协议书
由于乙方在公司关键部门工作,因工作需要,接触到甲方的商业和管理上秘密,为明确乙方在任职期间和离职后一段合理期限内有关的保密事项,双方就下列条款达成一致:
第一条商业秘密的内容
本协议提及的商业秘密包括技术秘密和经营秘密,其中技术秘密包括但不限于工作进度、技术方案、配方、工艺流程、技术指标、数据库、研究开发记录、技术报告、检测报告、实验数据、试验结果、图纸、样品、技术文档、相关的函电等;经营秘密包括但不限于客户名单、行销计划、采购资料、定价政策、财务资料、进货渠道、法律事务信息、人力资源信息等等。
第二条职务成果
双方确认,乙方在任职期间,因履行职务或者主要是利用甲方的物质技术条件、业务信息等产生的发明创造、作品、非专利技术成果等,其知识产权归甲方所有;甲方有权使用或转让上述知识产权。乙方应当积极提供一切必要的信息资料、研究材料和采取一切必要的行动,协助甲方取得和行使有关的知识产权。乙方对上述知识产权享有作为发明人、创作人或设计人的署名权(依照法律规定应由甲方署名的除外);并且,乙方有权获得相应的物质奖励和报酬。
甲方给乙方的相应的物质奖励和报酬有如下规定:
1)
2)
第三条保密规章和制度
乙方在任职期间必须遵守甲方的保密规章、制度,履行与其工作岗位相应的保密职责。
遇到甲方保密规章、制度中未规定或者规定不明确的方面时,乙方应本着谨慎、负责的态度,采取必要、合理的措施,保守其于任职期间知悉或者持有的任何属于甲方或者虽属于第三方但甲方承诺有保密义务的商业秘密。
第四条保密责任
除履行职务需要之外,未经甲方事先书面同意,乙方不得泄漏、传播、公布、发表、传授、转让、交换或者以其他任何方式使任何第三方(包括无权知悉该项秘密的甲方职员)知悉属于甲方或者属于第三方但甲方承诺有保密义务的商业秘密,也不得在履行职务之外使用这些秘密信息。
第五条保密期限
甲乙双方确认,乙方的保密义务自甲方对本协议第一条所述的商业秘密采取适当的保密措施并告知乙方时开始,到该商业秘密由甲方公开时止。
无论乙方因何种原因离职,乙方离职之后(自离职之日起)仍应当保守在甲方任职期间接触、知悉的属于甲方或者虽属于第三方但甲方承诺有保密义务的商业秘密,承担同在甲方任职期间一样的保密义务。乙方自离职之日起三年内不得从事相同职业的工作。
第六条从事第二职业的限制
乙方承诺在甲方任职期间,不从事第二职业。特别是未经甲方书面同意,不得在与甲方生产、经营同类产品或提供同类服务的其他企业内任职,包括但不限于合伙人、董事、监事、股东、经理、职员、人、顾问等;不得间接为上述企业提供服务。
第七条秘密信息的载体
乙方因职务上的需要所持有或保管的一切记录有甲方秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体均归甲方所有,无论这些秘密信息有无商业上的价值。
乙方应当于离职时,或者于甲方提出要求时,返还属于甲方的全部财物和载有甲方秘密信息的一切载体,不得将这些载体及其复制件擅自保留或交给其他任何单位或个人。
第八条任职期间
本协议中所称的任职期间,是指乙方从甲方领取工资到甲方终止向乙方发放工资或乙方不再从甲方领取工资为止的期间。
本协议中所称的离职,是指任何乙方明确表示解除聘用关系并将此种意愿付诸事实的行为,包括辞职、辞退等正常离职和非正常离职。
第九条侵权责任
甲、乙双方约定:
(1)如果乙方不履行本协议所规定的保密义务,应当承担违约责任,任职期间接受甲方的罚款、降薪或辞退等处罚;如已离职,一次性向甲方支付违约金人民币元;
(2)如果因为乙方前款所称的违约行为造成甲方的损失,乙方应当承担违约责任,并承担赔偿甲方损失的责任。
(3)前款所述损失赔偿按照如下方式计算:
①损失赔偿额为甲方因乙方的违约行为所受到的实际经济损失;
②如果甲方的损失依照①款所述的计算方法难以计算的,损失赔偿额为乙方因违约行为所获得的全部利润;或者以不低于甲方商业秘密许可使用费的合理数额作为损失赔偿额;
③甲方因调查乙方的违约行为而支付的合理费用,应当包含在损失赔偿额之内;
(4)因乙方的违约行为侵犯了甲方的商业秘密权利的,甲方可以选择根据本协议要求乙方承担违约责任,或者根据国家有关法律、法规通过
司法的方式要求乙方承担侵权法律责任。
第十条争议解决
因本协议而引起的任何纠纷由双方协商解决;如果协商不成,任何一方均可以在北京市海淀区人民法院提讼。
上述约定不影响甲方请求知识产权管理部门对侵权行为进行行政处理。
第十一条其它事项
本协议如与双方以前的任何口头或书面协议有抵触,以本协议的规定为准。
本协议的修改必须采用书面形式。
本协议正本一式二份,甲乙双方各执一份。
第十二条生效
本协议自双方签字盖章之日起生效。
甲方:_______________________乙方签字:_______________________
代表:_______________________身份证号:_______________________
乙方:(员工)
根据《中华人民共和国劳动法》、《中华人民共和国著作权法》及相关法规、规章,甲乙双方就甲方商业秘密及乙方在甲方工作期间的技术成果归属问题,自愿达成如下协议:
一、乙方必须严格保守公司商业秘密,并在工作中严格遵守公司《保密守则》之规定。
二、乙方在公司工作存续期间应自觉履行下列义务:
(一)不将公司开发或其参与开发的各类产品及相关资料泄露给他人或私自带出公司,亦不得擅自提交第三方阅览使用;
(二)未经公司授权不得将公司产品中的软件产品(包括软件的源程序、相关分析、设计资料、图象、照片、动画、音乐、文字和附加程序及相关使用资料、宣传资料)进行复制、演示、编辑、注释、翻译、出租及出售;
(三)在工作存续期间,不擅自与其他公司合作研制开发与本公司业务相同或相似之软件产品,损害公司利益;
(四)不得擅自向第三方转让甲方产品及相关使用、宣传资料;
(五)不得泄露公司其他重要商业情报。
若乙方有违反上述义务的行为,甲方可视其情节给予乙方警告、严重警告或解除除劳动合同及相应经济处罚的处理,并有权要求乙方停止侵害、赔偿损失,情节恶劣的,建议司法机关追究其刑事责任。
三、著作权及技术成果权归属
(一)乙方在公司工作关系存续期间研制开发取得的一切科技成果(包括但不限于著作权,相关专利权、商标权等)其所有权均归公司所有。
(二)甲方取得的软件产品许可权归甲方公司所有。非经公司授权,乙方不得将软件产品及相关使用、宣传资料转让第三人。否则,视为侵权行为。
四、乙方调出或辞退或解除、终止劳动合同时,应将公司提交使用的开发资料、开发工具及工作成果完好无损地全部交回公司,待公司核准后,办理离职手续。
甲方:(盖章) 乙方:(签字)
本协议书由以下双方于___ 年___ 月___ 日签署并生效。
1.___________ (以下简称“甲方”)
经营地址为:
邮政编码:
2. ___________(以下简称“乙方”)
经营地址为:
邮政编码:
鉴于:
1.甲方与乙方进行技术及业务合作事宜,双方将以书面或口头形式要求对方提供,并将拥有或已经拥有对方某些非公开的、保密的、专业的信息和数据;
2.双方愿以本协议规定对本协议项下的保密信息承担保密义务。
为此,双方达成协议如下:
第一条 定义
保密信息:指提供方向接受方提供的,属于提供方或其股东及其他关联公司所有或专有的,或提供方负有保密义务的有关第三方的下列资料及所有在信息载体上明确标示“保密”的材料和信息。需保密材料包括但不限于:集成电路设计版图数据、业务记录和计划、贸易机密、技术资料、产品项目、产品设计信息、价格结构、成本等非公开的、保密的或专业的信息和数据。
第二条 保密信息不包括以下信息:
1.在接受保密信息之时,接受方已经通过其他来源获悉的、无保密限制信息;
2.一方通过合法行为获悉已经或即将公诸于众的信息;
3.根据政府要求、命令和司法条例所披露的信息。
第三条 接受方在接受保密信息后,必须承担以下义务:
1.对保密信息谨慎、妥善持有,并严格保密,没有提供方事先书面同意,不得向任何第三方披露;
2.接受方仅可为双方合作之必需,将保密信息披露给其指定的第三方公司,并且该公司应首先以书面形式承诺保守该保密信息;
3.接受方仅可为双方合作业务之必需,将保密信息披露给其直接或间接参与合作事项的管理人员、职员、顾问和其他雇员(统称“有关人员”),但应保证该类有关人员对保密信息严格保密;
4.若具有权力的法庭或其他司法、行政、立法机构要求乙方披露保密信息,接受方将(1 )立即通知提供方此类要求;(2 )若接受方按上述要求必须提供保密信息,接受方将配合提供方采取合法及合理的措施,要求所提供的保密信息能得到保密的待遇;
5.若接受方或有关人员违反本协议的保密义务,接受方须承担相应责任,并赔偿提供方由此造成的损失。
第四条 没有得到另一方的书面同意,任何一方不得将其在本协议书项下的权利和义务转让给第三方。
第五条 双方同意,本协议生效后,如国家颁布有关产权资料的出口、再出口的法律法规与管理条例,双方有义务遵守这些法律法规与管理条例。
第六条 本协议的各部分构成完整的保密协议,并取代双方此前任何有关本协议所述事项的理解或协议。未经他方书面同意,本协议不得变更或修改。
第七条 双方承认并同意,除提供方以书面形式明确表达外,提供方向接受方披露保密信息并不构成提供方向接受方转让或授予接受方享有提供方对其商标、专利、技术秘密或其他知识产权拥有的利益,亦不构成向接受方转让或其他知识产权等有关利益。
第八条 本协议接受中国法律管辖并按中国法律解释。对因本协议项下各方的权利和义务而发生的有关的任何争议,双方应首先协商解决,如无法通过协商解决,则应在苏州仲裁解决。
第九条 本保密协议自双方授权代表签署之日起生效,且在双方合作期间和合作结束完成之后_____ 年内持续有效。
第十条 本协议一式二份,具有同等效力,双方各持一份。
甲方:________________________________
________________________(授权代表)
______________________________ (以下称「乙方)
缘乙方可能成为甲方相关计划(「本计划)之协力厂商,甲方可能将有关之机密信息事先掲露或提供予乙方。 为保护甲方机密信息之秘密性、确保该等机密信息仅供评估或执行本计划之使用,经双方商议后约订如下:
第一条、机密信息
1、本协议书所称之「机密信息,系指由甲方或其人、受雇人、受托人,以口头或书面方式向乙方揭露、交付、出示或允许乙方知悉或取得之关于甲方或甲方合作厂商或客户之任何技术信息与商业信息,不论该等信息是否已藉由文字、声音、图形、展示或其它任何形式表现,亦不论其是否以书面或电磁记录形式储存。
2、甲方或其代表人、人、受雇人或其它使用人为进行本计划,于洽商过程中向乙方所揭露之关于甲方及甲方合作厂商之业务内容、营销及产品开发计划及构想等,包括且不限于甲方与其合作厂商合作之事实及其合作内容等,均视为甲方之机密信息,不论该等信息系以何种形式表达或附着于何种媒介之上。
3、本协议书所称之技术信息,包括且不限于与软硬件技术、研发、产品开发设计、及与产品制造有关之技术信息。
4、本协议书所称之商业信息,包括且不限于价格、业务计划、营销计划、合作厂商数据、客户数据、人事数据、财务数据、以及双方为本计划之洽商所提出或讨论之合作方式、条件、约定内容等。 5、本协议书所称之机密信息,不包括下列各项信息:
⑴、乙方能以书面文件或记录证明在双方开始洽商本计划前,即已为乙方所知悉或成为公开信息者;
⑵、非因乙方之故意泄密而成为相关大众所周知者;
⑶、经甲方之书面同意而揭露之机密信息
⑷、在未违反本协议书之情形下,乙方能以书面文件或记录证明未使用甲方之机密信息而独自开发取得之信息。
⑸、依法律之规定或法院之命令或要求,而必要揭露者。惟接受上开命令或要求之当事人应在法令所许可之范围内,事先通知甲方,并采取必要之保护措施。
第二条、保密义务
1、乙方同意,甲方所揭露、或乙方因本计划而知悉或取得之甲方机密信息,均仅得为评估或将来执行本计划之目的而使用。除为本计划之目的外,乙方不得为自己或第三人之利益,供作其它目的或用途之使用,亦不得以任何方式揭露或提供予任何第三人。惟乙方之在职员工、代表人、人或使用人,如事先已与乙方签订足以保护本机密信息机密性且保密义务及责任不低于本协议书之合约,且其在职务上或业务上有知悉机密信息之必要者,不在此限。乙方如嗣后另有其它人员在职务上或业务上有知悉机密信息之必要者,亦准用上开程序办理。乙方违反本条规定者,甲方得随时取消、终止或解除甲方与乙方间之合作关系、订单或契约,无庸对乙方负任何赔偿或补偿责任,甲方并得向乙方请求本协议书规定之违约金及其它损害赔偿。
2、乙方依前项约定将机密信息提供或揭露予其员工、代表人、人等参与本计划之必要人员时,应担保该等人员均将同样遵守乙方依本协议书所应负之义务,对于该等人员违反本协议书之行为,视为乙方自己之行为而负其责任。
3、乙方同意,对于甲方所揭露、或乙方因本计划而知悉或取得之甲方机密信息,应与其它数据区隔存放,以免混淆。乙方如事先未取得甲方之书面同意,不得逆向解析机密信息。乙方应采用下列两种注意义务之较高标准,并采取必要且适当之措施,维护其秘密性:
⑴、乙方用以保护其珍贵资料或财产之注意义务;
⑵、本地同类业务厂商或公司用以保护其机密信息一般采用之合理注意义务。
⑶、如乙方发现任何人不当使用机密信息时,乙方应立即通知甲方并与甲方充分合作,以利甲方取回遭不当使用之机密信息,或防止不当使用之情形继续存在。
第三条、本协议书之效力、权利归属
1、本协议书签署后,不论双方是否继续洽商本计划、事后是否签署任何正式合约或协议,均不影响本协议书之效力,即使双方为本计划所签署之合约事后因故终止、解除或消灭,亦不影响本协议书之效力。
2、甲方因本计划所揭露或提供之机密信息,其数据所有权、专门技术或知识、营业秘密、商标、专利、以及
其它知识财产权等,仍为甲方所有。该等机密信息不因揭露或提供予乙方、或因本协议书之签署而成为乙方所有;乙方亦不因此而取得机密信息之任何授权或其它法律上之权利。甲方并不因本协议书之签订而将甲方专有之相关专利权、著作权、商标权、光罩(电路布局)权或其它知识财产权授权予乙方。
3、非经甲方事前书面许可,乙方不得以任何方式重制或影印甲方因本计划所揭露或提供之机密信息。乙方应依甲方之要求,至迟于确定本计划不进行、合作关系完成或合作关系终止后、或于甲方书面通知到达之次日起10工作日内,由乙方负担费用,返还所有甲方机密信息之原件、副本、重制本及节录本。甲方亦得要求乙方自行将机密信息销毁或删除;乙方并应于销毁或删除完成后立即出具切结书予甲方,叙明其已完成该事实。
第四条、其它约定
1、甲方不因本协议书之签署,而负有揭露或提供任何特定机密信息予乙方之义务,亦不担保其因本计划所提
供或揭露之信息之完整性、正确性或合目的性。乙方并明了机密信息必然会含有诸如印刷错误、计算错误、缺漏或其它形式的错误。基于此,乙方如发现上开错误应主动通知甲方,以维持甲方提供信息的正确性。 2、于下列情形之一,甲方得以书面之通知径行终止本合约:
⑴、乙方违反本协议书之任何约定。惟甲方如认定该违反系属轻微,甲方得先定期限,要求乙方改善。
⑵、乙方无法支付其日常费用、停止进行其惯常业务或申请进行破产或类似程序。
⑶、乙方将其现有资产超过50%部份,转让予第三人。
⑷、乙方为第三人并购或与第三人合并。
⑸、乙方违反本协议书第二条第1项之规定者。
⑹、乙方或上开第二条第1项乙方在职务上或业务上知悉机密信息之员工、代表人、人、使用人、或参与本计划之必要人员因涉及诈欺、虚伪陈述、妨害秘密或其它类似犯行而经司法机关追诉者。
3、基于乙方充分认知甲方保护相关机密信息之迫切需求性,故如甲方发现乙方或其员工、代表人、人、使用人及其它参与本计划之必要人员有泄密情事,而拟透过财产保全、诉前责令停止侵害行为等保全程序或先于执行程序获得实时救济时,乙方同意免除并抛弃甲方预供担保之义务,甲方得仅以释明请求法院准为上开裁定。
4、本协议书中任何条款倘相互抵触或与法令相抵触时,视为无效;其无效仅限于与法令相抵触部份无效,不影响本协议书之其它部份。
5、双方不因本协议书之签署而具有合伙、雇佣或相互之关系。除就本计划正式签署采购、委托或合作合约外,双方为洽商本计划所为之任何讨论及机密信息之揭露或提供等,均不得解释为双方已就本计划达成合意或承诺。
6、本协议书权利义务之免除、限制、转让、增删、修正或修改,应由甲方和乙方合法授权之代表人以书面签署之文件为之。非经他方书面同意,任一方不得转让本协议书;本协议书亦拘束任一方之继受人或财产管理人。
7、本协议书之保密义务于生效日起5年内有效,乙方应依约负保密义务,不因甲、乙双方业务关系之解除、终止、撤销、无效或不成立而免除或失效。
8、乙方如违反本协议书之保密义务时,除应依法负损害赔偿责任外,并需支付甲方违约金计:人民币100万元整,乙方并应当承担甲方因执行本协议书之的权利而发生的费用。
9、本协议书如有未尽事宜,应依甲方所在地法律解释及补充之;双方因本协议书之履行或不履行所生之争议,应本诚信原则尽力协商,如协商不成,双方同意将该争议提交至甲方所在地人民法院依法处理。
第五条、附则
1、本协议书于双方签署时即生效力。
2、本协议书壹式贰份,每份皆为正本,双方各执乙份为凭。
立协议书人:
甲 方:XXX
法定代表人:XXX
地 址:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
乙 方:
法定代表人:
关键词:安全、认证、证书、CA 、SSL协议、SET协议
一 引言
近几年,随着互联网的不断发展,在世界范围内掀起了一股电子商务热潮。许多国家政府部门对电子商务的发展十分重视,把这场以电子商务为标志的信息化革命与十九世纪以蒸汽机为标志的工业化革命相提并论,并纷纷出台了有关政策和举措。
中国对电子商务的发展也给予了应有的重视,考虑到电子商务必然涉及到网上支付、必然涉及到银行支付结算,为了作好前瞻性的研究,1998年6月,人民银行支付科技司组织成立了电子商务课题组,对银行支付在电子商务中的作用和对策进行研究,并在研究基础上,组织各商业银行联合共建金融认证中心,为网上安全支付创造条件。
实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在向基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。电子商务的安全主要采用数据加密和身份认证技术。
下面分别从认证系统,SSL(Secure Sockets Layer)协议和安全电子交易SET(Secure Electronic Transaction)协议三个方面来加以论述。
二 认证系统
电子商务的关键是安全,网上安全交易的基础是数字证书。证书类似于生活中的身份证,用以在网络上鉴别一个人或组织的真实身份。证书的颁发机构叫做Certificate Authority,通常简称CA。要建立安全的电子商务系统,必须首先建立一个稳固、健全的CA;否则,一切网上的交易都没有安全保障。
2.1 认证系统的基本原理
传统的对称密钥算法具有加密强度高、运算速度快的优点,但密钥的传递与管理的问题限制了它的一些应用。为解决此问题,七十年代密码界出现了公开密钥算法,该算法使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。RSA算法是公开密钥算法中研究最为深入,使用最为广泛的算法,为大多数国家地区的官方或非官方所采用。利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间(比如网银服务器和某客户之间)利用证书来保证信息安全性和双方身份的合法性。
国际邮联ITU在1994年公布了关于证书格式的最新标准,称为X.509协议,在X.509的证书格式中,包含很多域,其中比较重要的有:用户名称、签发者名称、有效期、用户公钥信息、签发者对证书信息的数字签名。在浏览器和Web Server产品中都已集成了证书申请和证书的验证功能,只要能用符合X.509协议的证书安装在浏览器上和Web Server服务器端,就能实现双方证书的自动验证,从而识别身份。
2.2 系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和Web Publisher。
核心系统根CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
证书的登记机构Register Authority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。RA与CA双方的通信报文也通过RSA进行加密,确保安全。系统的分布式结构适于新业务网点的开设,具有较好的扩充性。通信协议为TCP/IP。
证书的公布系统Web Publisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
2.3 我国认证系统的建设情况
为保证电子商务在中国的顺利开展,必须建立全国统一的金融认证中心。
目前,经"金融系统电子商务联络与研究小组"提议,由人民银行和各家商业银行联合建立金融部门的安全认证体系得到了国内十几家商业银行的支持和响应。经金融信息化领导小组会议批准,现已决定由人民银行牵头,联合工商银行等11家商业银行,共同出资建立金融认证中心。
金融认证中心工程建设目前正在顺利进行。它将是面向全国的、金融系统联合共建的统一的认证中心,将支持B to C和B to B两种模式的网上交易;在体系结构上,金融认证中心的设计充分考虑了各地方开展电子商务的认证需求,计划在中心城市或某些银行系统内设立若干面对客户的注册机构。
三 SSL协议
SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和保密密钥的用于浏览器和Web服务器之间的安全连接技术。它被视为 Internet 上 Web 浏览器和服务器的标准安全性措施。SSL 提供了用于启动 TCP/IP 连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别,并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证。在用数字证书对双方的身份验证后,双方就可以用保密密钥进行安全的会话了。
这种简单加密模式的特点是:
部分或全部信息加密;
采用对称的和非对称的加密技术;
通过数字证书验证身份;
采用防止伪造的数字签名。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证(可选)。
3.1 服务器认证阶段
在一次交易过程中,客户的证书首先传送到银行Server方,服务器先验证有效期,再根据签发者(CA)名称找到签发者公钥(在CA的根证书内),验证证书的数字签名的合法性。
Web 服务器上的 SSL 安全性要求步骤如下:
1 生成密钥对文件和请求文件。
2 从身份验证权限中请求一个证书。
3 在服务器上安装证书。
4 激活 WWW 服务文件夹上的 SSL 安全性。
服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的消息时将包含生成主密钥所需的信息;
客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器,从而建立安全的通信通道。
3.2 用户认证阶段(可选)
在此之前,服务器已经过了客户认证,这一阶段主要完成对客户的认证。
经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。
SSL支持各种加密算法。在“握手”过程中,使用RSA公开密钥系统。密钥交换后,使用一系列密码,包括RC2、RC4、IDEA、DES、triple-DES及MD5 信息摘要算法。公开密钥认证遵循X.509标准。
SSL协议独立于应用层协议,且被大部分的浏览器和Web服务器所内置,便于在电子交易中应用,国际著名的CyberCash信用卡支付系统就支持这种简单加密模式,IBM等公司也提供这种简单加密模式的支付系统。
3.3 SSL的应用及局限
中国目前多家银行均采用SSL协议,如在目前中国的电子商务系统中能完成实时支付,用的最多的招行一网通采用的就是SSL协议。所以,从目前实际使用的请款来看,SSL还是人们最信赖的协议。
SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端。它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系;还有,购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件。
因此,为了实现更加完善的电子交易,MasterCard和Visa以及其它一些业界厂商制订并了SET协议。
四 SET协议
SET协议是针对开放网络上安全、有效的银行卡交易,由Visa和MasterCard联合研制的,为Internet上卡支付交易提供高层的安全和反欺诈保证。SET协议为电子交易提供的安全措施
SET协议保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性。
4.1 机密性(Confidentiality)
SET协议采用先进的公开密钥算法来保证传输信息的机密性,以避免Internet上任何无关方的窥探。公开密钥算法容许任何人使用公开的密钥将加密信息发送给指定的接收者,接收者收到密文后,用私人密钥对这个信息解密,因此,只有指定的接收者才能读这个信息,从而保证信息的机密性。
SET协议也可通过双重签名的方法将信用卡信息直接从客户方透过商家发送到商家的开户行,而不容许商家访问客户的账号信息,这样客户在消费时可以确信其信用卡号没有在传输过程中被窥探,而接收SET交易的商家因为没有访问信用卡信息,故免去了在其数据库中保存信用卡号的责任。
4.2 数据完整性(Data Integrity)
通过SET协议发送的所有报文加密后,将为之产生一个唯一的报文摘要值(message digest),一旦有人企图篡改报文中包含的数据,该数值就会改变,从而被检测到,这就保证了信息的完整性。
4.3 身份验证(Verification of Identity)
SET协议可使用数字证书来确认交易涉及的各方(包括商家、持卡客户、受卡行和支付网关)的身份,为在线交易提供一个完整的可信赖的环境。
4.4 抗否认性(Non-repudiation of Disputed Charges)
SET交易中数字证书的过程也包含了商家和客户在交易中存在的信息。因此,如果客户用SET发出一个商品的订单,在收到货物后他(她)不能否认发出过这个订单;同样,商家以后也不能否认收到过这个订单。
4.5 SET的局限性
SET是专门为电子商务而设计的协议,虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。而且,SET遭到有些银行的抵制,其前途如何,尚未得知。
五 与电子商务安全有关的其他一些技术
5.1 密码技术
密码技术基本思想是在加密密钥Ke的控制下按照加密算法E对要保护的数据(即明文M)加密成密文C,记为C=E(M,Ke)。而解密是在解密钥Kd的控制下按照解密算法D对密文C进行反变换后还原为明文M,记为M=D(C,Kd)。根据密钥性质的不同,可分为传统密码体制和公开钥密码体制两大类型。
传统密码体制加密解密用同一个密钥,即Ke=Kd;而公开钥密码体制使用一对密钥即一个私钥和一个公钥,其对应关系是唯一的,公钥对外公开,私钥个人秘密保存。一般用公钥来进行加密,用私钥来进行签名;同时私钥用来解密,公钥用来验证签名。算法的加密强度主要取决于选定的密钥长度。
密码技术是上面所提到的几种技术的基础,所以可以说整个电子商务的安全就是建立在密码技术基础上的。
5.2 访问控制
除了计算机网络硬设备之外,网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者,必须具备安全的控制策略和保护机制,防止非法入侵者攻破设防而非法获取资源。网络操作系统安全保密的核心是访问控制,即确保主体对客体的访问只能是授权的,未经授权的访问是不允许的,其操作是无效的。因此,授权策略和机制的安全性显得特别重要。保护可以从以下几个方面加以考虑:物理隔离、时间隔离、密码隔离。
5.3 防火墙技术
设立防火墙的目的是保护内部网络不受外部网络的攻击,以及防止内部网络的用户向外泄密。目前,防火墙技术主要是分组过滤和服务两种类型。下面简要介绍这两种技术:
分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器中按网络安全策略设置一张访问表或黑名单,即借助数据分组中的IP地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据访问表(或黑名单)对进出路由器的分组进行检查和过滤,凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。目前,80%的防火墙都是采用这种技术。
服务:是一种基于服务的防火墙,它的安全性高,增加了身份认证与审计跟踪功能,但速度较慢。所谓审计跟踪是对网络系统资源的使用情况提供-个完备的记录,以便对网络进行完全监督和控制。通过不断收集与积累有关出入网络的完全事件记录,并有选择地对其中的某些进行审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。
5.4 数字时间戳
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS:digital time-stamp service)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
时间戳产生的过程为:用户首先将需要加时间戳的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。由Bell core创造的DTS采用如下的过程:加密时将摘要信息归并到二叉树的数据结构;再将二叉树的根值发表在报纸上,这样更有效地为文件发表时间提供了佐证。注意,书面签署文件的时间是由签署人自己写上的,而数字时间戳则不然,它是由认证单位DTS来加的,以DTS收到文件的时间为依据。因此,时间戳也可作为科学家的科学发明文献的时间认证。
六 结束语
随着上网人数的不断增加以及金融认证系统的不断完善,各种安全协议的不断出台,电子商务在中国将会有一个长足的发展;随着时间的推移,电子商务将从根本上改变几千年来形成的传统商业模式,充分体现现代科学技术给人们生活所带来的便利。
甲方:__________ 签订时间:__________
乙方:__________ 签订地点:__________
鉴于:
甲乙双方正在进行 的所有 项目(以下简称“项目”);双方就该项目的实施以及合作过程中,向对方提供有关保密信息,且该保密信息属提供方合法所有;甲乙双方均希望对本协议所述保密信息予以有效保护,经双方协商,达成本协议。
一、 本协议所指保密信息是指:
1、甲方向乙方提供:
在合作过程中,乙方从甲方(或子公司、关联公司)获得的与合作有关或因合作产生的任何商业、营销、技术、运营数据或其他性质的资料,无论以何种形式或载于何种载体,无论在披露时是否以口头、图像或以书面方式表明其具有保密性。
2、乙方向甲方提供:
在合作过程中,甲方从乙方(或其母公司、子公司、关联公司)获得的与合作有关或因合作产生的任何商业、营销、技术、运营数据或其他性质的资料,无论以何种形式或载于何种载体,无论在披露时是否以口头、图像或以书面方式表明其具有保密性。
上述保密信息可以以数据、文字及记载上述内容的资料、光盘、软件、图书等有形媒介体现,也可通过口头等视听形式传递。
二、双方权利与义务
1.双方保证该保密信息仅用于与合作有关的用途或目的。
2.双方各自保证对对方所提供的保密信息予以妥善保存。
3.双方各自保证对对方所提供的保密信息按本协议约定予以保密,并至少采取适用于对自己的保密信息同样的保护措施和审慎程度进行保密。
4.任何一方在提供保密信息时,如以书面形式提供,应注明“保密”等相关字样;如以口头或可视形式透露,应在透露前告知接受方为保密信息,并在告知后5日内以书面形式确认,该确认应包含有所透露的信息为保密信息的内容。
5.双方保证保密信息仅可在各自一方从事该项目研究的负责人和雇员范围内知悉。在双方上述人员知悉该保密信息前,应向其提示保密信息的保密性和应承担的义务,并保证上述人员以书面形式同意接受本协议条款的约束,确保上述人员承担保密责任的程度不低于本协议规定的程度。
三、违约与赔偿
1、任何一方违反本协议的规定,应在第一时间采取一切必要措施防止保密信息的扩散,尽最大可能消除影响,并应承担违约责任,向守约方支付违约金,违约金的具体数额为双方合作项目金额的 10倍(或由双方协商确定)。
2、上述违约金数额并不影响受损害方向违约方要求损害赔偿。该等赔偿以受损害方实际遭受的损失为限。
四、有效期:本协议自签订之日起生效,并持续有效,双方协商一致可终止协议。双方合作项目的终止并不影响和协议的效力。
五、任何通过友好协商后不能解决的争议均应提交协议签订地人民法院诉讼解决。
六,传真、扫描件有效
甲方: 乙方:
地址: 地址:
[关键词] 电子商务 ssl协议 set协议
一、引言
电子商务作为计算机应用技术与现代经济贸易活动结合的产物,已经成为人类跨入知识经济新纪元的重要标志之一。但美国的一个调查机构显示超过60%的人由于担心电子商务的安全问题而不愿进行网上购物。安全是电子商务发展的核心问题。
保证电子商务安全,其核心在于安全协议。迄今为止,国内外已经出现了多种电子支付协议,目前有两种安全在线支付协议被广泛采用,即安全套接层ssl协议和安全电子交易set协议,二者均是成熟和实用的安全协议。
二、安全套接层协议(ssl)
ssl协议是由网景公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护。ssl是对计算机之间整个会话进行加密的协议。在ssl中,采用了公开密钥和私有密钥两种加密方法。
它已成为事实上的工业标准,独立于应用层,可加载任何高层应用协议,适合为各类c/s模式产品提供安全传输服务。它提供一种加密的握手会话,使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。这种握手会话通过数字签名和数字证书来实现客户和服务器双方的身份验证,采用des、md5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后,双方就可以用密钥进行安全会话。
1.ssl安全协议主要提供三方面的服务
(1)用户和服务器的合法性认证:认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号,这些识别号由公开密钥进行编号,为了验证用户是否合法,ssl要求在握手交换数据进行数字认证,以此来确保用户的合法性。
(2)加密数据以隐藏被传送的数据:ssl采用的加密技术既有对称密钥技术,也有公开密钥技术。在客户机与服务器进行数据交换之前,交换ssl初始握手信息,在ssl握手情息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别。这样就可以防止非法用户进行破译。
(3)护数据的完整性:ssl采用hash函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2.ssl协议的缺点
(1)客户的信息先到商家,让商家阅读,这样,客户资料的安全性就得不到保证。
(2)ssl只能保证资料信息传递的安全,而传递过程是否有人截取就无法保证了。所以,ssl并没有实现电子支付所要求的保密性、完整性,而且多方互相认证也是很困难的。
三、安全电子交易set协议
set协议是由visa和mastercard两大信用卡公司于1997年5月联合推出的规范。set主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。set中的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。
1.set支付系统的组成
set支付系统主要由持卡人、商家、发卡行、收单行、支付网关、认证中心等六个部分组成。对应地,基于set协议的网上购物系统至少包括电子钱包软件、商家软件、支付网关软件和签发证书软件。
2.set安全协议主要提供三方面的服务
(1)保证客户交易信息的保密性和完整性:set协议采用了双重签名技术对set交易过程中消费者的支付信息和订单信息分别签名,使得商家看不到支付信息,只能接收用户的订单信息;而金融机构看不到交易内容,只能接收到用户支付信息和帐户信息,从而充分保证了消费者帐户和定购信息的安全性。
(2)确保商家和客户交易行为的不可否认性:set协议的重点就是确保商家和客户的身份认证和交易行为的不可否认性,采用的核心技术包括x.509电子证书标准,数字签名,报文摘要,双重签名等技术。
(3)确保商家和客户的合法性:set协议使用数字证书对交易各方的合法性进行验证。通过数字证书的验证,可以确保交易中的商家和客户都是合法的,可信赖的。
3.set协议的缺点
(1)只能建立两点之间的安全连线,所以顾客只能把付款信息先发送到商家,再由商家转发到银行,而且只能保证连接通道是安全的而没有其他保证。
(2)不能保证商家会私自保留或盗用他的付款信息。
4.ssl与set协议的比较
(1)在认证要求方面,早期的ssl并没有提供商家身份认证机制,不能实现多方认证;而set的安全要求较高,所有参与set交易的成员都必须申请数字证书进行身份识别。
(2)在安全性方面,set协议规范了整个商务活动的流程,从而最大限度地保证了商务性、服务性、协调性和集成性。而ssl只对持卡人与商店端的信息交换进行加密保护,可以看作是用于传输的那部分的技术规范。从电子商务特性来看,它并不具备商务性、服务性、协调性和集成性。因此set的安全性比ssl高。
(3)在网络层协议位置方面,ssl是基于传输层的通用安全协议,而set位于应用层,对网络上其他各层也有涉及。
(4)在应用领域方面,ssl主要是和web应用一起工作,而set是为信用卡交易提供安全,但如果电子商务应用是一个涉及多方交易的过程,则使用set更安全、更通用些。
四、结束语
由于两协议所处的网络层次不同,为电子商务提供的服务也不相同,因此在实践中应根据具体情况来选择独立使用或两者混合使用。
参考文献:
[1]陈兵主编:网络安全与电子商务[m].北京:北京大学出版社,2002.1
