根据《开曼群岛法律意见书》,―HC Group Inc. 慧聪集团有限公司 (the Company) (下称―公司‖)为依法成立之豁免公司,于开曼群岛存续并 在开曼群岛公司注册处(―注册处‖)具有良好资信。根据公司章程规定,公司有所有所需的权力批准其全资子公司签署文件及进行其项下拟进行的交易。公司已采取所有
北京市金杜律师事务所
关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(三)
致:北京慧辰资道资讯股份有限公司
北京市金杜律师事务所(以下简称本所)接受北京慧辰资道资讯股份有限公司(以下简称发行人)委托,担任发行人首次公开发行股票并在科创板上市(以下简称本次发行上市)的专项法律顾问。
本所根据《中华人民共和国证券法》《中华人民共和国公司法》《科创板首次公开发行股票注册管理办法(试行)》《律师事务所从事证券法律业务管理办法》
(以下简称《证券法律业务管理办法》)、《律师事务所证券法律业务执业规则
(试行)》(以下简称《证券法律业务执业规则》)、《公开发行证券公司信息披露的编报规则第 12 号--公开发行证券的法律意见书和律师工作报告》等中华人民共和国(以下简称中国,为本补充法律意见书之目的,不包括香港特别行政区、澳门特别行政区和台湾地区)现行有效的法律、行政法规、规章和规范性文件和中国证券监督管理委员会(以下简称中国证监会)的有关规定,按照律师行业公认的业务标准、道德规范和勤勉尽责精神,本所已就发行人本次发行上市事宜于 2019 年 6 月 20 日分别出具了《北京市金杜律师事务所关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市的法律意见书》(以下简称《法
律意见书》)和《北京市金杜律师事务所关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市之律师工作报告》(以下简称《律师工作报告》),于 2019 年 9 月 16 日出具了《北京市金杜律师事务所关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(一)》(以下简称《补充法律意见书(一)》),于 2019 年 9 月 23 日出具了《北京市金杜律师事务所关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(二)》(以下简称《补充法律意见书(二)》)。
根据上海证券交易所(以下简称上交所)于 2019 年 10 月 12 日下发的上证科审(审核)[2019]614 号《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》(以下简称《第二轮问询函》),本所及本所律师对《第二轮问询函》所载相关法律事项进行核查并出具本补充法律意见书。
本所及本所律师依据上述法律、行政法规、规章及规范性文件和中国证监会的有关规定以及本补充法律意见书出具日以前已经发生或者存在的事实,严格履行了法定职责,遵循了勤勉尽责和诚实信用原则,对发行人本次发行上市相关事项进行了充分的核查验证,保证本补充法律意见书所认定的事实真实、准确、完整,对本次发行上市所发表的结论性意见合法、准确,不存在虚假记载、误导性xx或者重大遗漏,并承担相应法律责任。
本补充法律意见书是《法律意见书》《律师工作报告》《补充法律意见书(一)》及《补充法律意见书(二)》的补充,并构成《法律意见书》《律师工作报告》
《补充法律意见书(一)》及《补充法律意见书(二)》不可分割的组成部分。除本补充法律意见书有特别说明外,本所在《法律意见书》《律师工作报告》《补充法律意见书(一)》及《补充法律意见书(二)》中发表法律意见的前提、假设和有关用语释义同样适用于本补充法律意见书。
本补充法律意见书仅供发行人为本次发行上市之目的使用,不得用作任何其他目的。本所同意将本补充法律意见书作为发行人申请本次发行上市所必备的法
律文件,随同其他材料一同上报,并承担相应的法律责任。本所同意发行人在其为本次发行上市所制作的相关文件中自行引用或按照上交所、中国证监会的审核要求引用本补充法律意见书的相关内容,但发行人作上述引用时,不得因引用而导致法律上的歧义或曲解。本所有权对上述相关文件的内容进行再次审阅并确认。
本所按照律师行业公认的业务标准、道德规范和勤勉尽责精神,出具法律意见如下:
目 录
问 题 八 : 关 于 资 产 来 源 于 上 市 公 司 5
问 题 十 : 关 于 核 心 技 术 人 员 及 水 平 23
问 题 十 一 : 关 于 数 据 来 源 合 规 性 40
问 题 二 十 一 : 关 于 首 轮 未 回 复 完 成 问 题 71
问题八: 关于资产来源于上市公司
根据首轮问询回复,保荐机构、发行人律师未对“慧聪国际、xx氏国际和华夏xx氏出资设立发行人、调整股权比例、历次增资及股权转让、退出时,所履行的决策程序、审批程序与信息披露情况,是否符合法律法规、上市公司章程以及上市公司监管和信息披露要求,是否存在争议或潜在纠纷,是否存在损害上市公司及股东利益的情形”发表明确意见。xxxxx设立之初,慧聪国际向xxxxx输入了与大企业客户业务相关的人才、市场及客户资源,除上述慧聪国际输入的部分人员仍在职,及个别基于个人原因自xx氏或者慧聪网离职后加入公司的员工外,发行人的其他人员均不来源于邓白氏和慧聪网。
请保荐机构、发行人律师:(1)对“慧聪国际、xx氏国际和华夏xx氏出资设立发行人、调整股权比例、历次增资及股权转让、退出时,所履行的决策程序、
审批程序与信息披露情况,是否符合法律法规、上市公司章程以及上市公司监管和信息披露要求,是否存在争议或潜在纠纷,是否存在损害上市公司及股东利益的情形”发表明确意见;(2)请保荐机构、发行人律师严格按照本所《审核问答》
的要求,对发行人资产来自于上市公司的事项逐项进行核查,并发表明确意见;(3)
对慧聪国际向xx氏慧聪输入的人才、市场及客户资源的具体情况,对发行人持续经营的作用,相关人员在慧聪国际及发行人处担任的职务,上述人才与慧聪国际是否存在竞业禁止或保密等情形,发行人与慧聪国际是否存在纠纷或潜在纠纷进行核查并发表明确意见;(4)对发行人人员、业务、资产、技术是否独立,是否存在对慧聪国际的重大依赖进行核查,并发表明确意见。
回复:
(一) 慧聪国际、xx氏国际和华夏xx氏出资设立发行人、调整股权比例、历次增资及股权转让、退出时,所履行的决策程序、审批程序与信息披露情况,是否符合法律法规、上市公司章程以及上市公司监管和信息披露要求,是否存在争议或潜在纠纷,是否存在损害上市公司及股东利益的情形
1、 xxxxxxx的相关决策
有关慧聪国际、xx氏国际和华夏xx氏出资设立xxxxx、调整股权比例、历次增资及股权转让及退出xx氏慧聪时,xxxxx所履行的决策程序的具体情况详见《律师工作报告》第七章“发行人的股本及其演变”之“(二)发行人及其前身的历次股权变动情况”之“1、2008 年 11 月,xxxxx设立”、―2、 2009 年 2 月,xxxxxx收资本增加‖、―3、2009 年 7 月,xxxxx章程修订‖、―4、2011 年 8 月,xxxxx第一次股权转让、经营范围变更‖、―2011 年 11 月,xxxxx第二次股权转让、法定代表人变更‖所述。
根据发行人的说明并经本所律师对发行人实际控制人xx及慧聪投资执行董事xxx进行访谈,上述慧聪国际、xx氏国际和华夏xx氏出资设立发行人、调整股权比例、历次增资及股权转让、退出时不存在争议和潜在纠纷。
基于上述,本所认为,上述慧聪国际、xx氏国际和华夏xx氏出资设立发行人、调整股权比例、历次增资及股权转让、退出时,xxxxx所履行的决策程序、审批程序符合相关法律法规及xx氏慧聪公司章程的相关规定,不存在争议或潜在纠纷。
2、 慧聪国际所属上市公司履行的相关决策程序、审批程序及信息披露情况
根据发行人提供的相关资料及出具的说明,自投资时起至退出xx氏慧聪期间,慧聪国际为慧聪集团有限公司(原名为慧聪网有限公司,以下简称慧聪集团)的下属公司,慧聪集团为于开曼群岛注册成立的有限公司,其股份在香港联交所创业板上市。
根据《开曼群岛法律意见书》,―HC Group Inc. 慧聪集团有限公司 (the Company) (下称―公司‖)为依法成立之豁免公司,于开曼群岛存续并在开曼群岛公司注册处(―注册处‖)具有良好资信。根据公司章程规定,公司有所有所需的权力批准其全资子公司签署文件及进行其项下拟进行的交易。公司已采取所有
必要的公司行动去授权其全资子公司签署文件及其项下拟进行的交易。公司就批准其全资子公司签署文件及进行其项下拟进行的交易,不会违反:(i)公司的章程和组织大纲;或(ii)任何开曼群岛适用于公司的法律、法规、命令或公共规则。截止我们检查法庭令状和其他起诉程序(―法庭令状‖)之前一天营业结束,根据我们对于法庭令状的查询,开曼群岛并无针对公司不利的未决诉讼,亦无要求公司清盘的申请或法令。‖
根据《香港法律意见书》,―根据慧聪集团有限公司(下称―慧聪集团‖)(前称―慧聪网有限公司‖)分别于 2008 年 10 月 21 日及 2008 年 11 月 7 日出具的公告、通函及北京慧辰的营业执照、设立时的章程及内资企业设立(变更)登记(备案)审核表,北京慧辰由xx氏国际信息咨询(上海)有限公司(“xx氏国际”)、上海华夏xx氏商业信息咨询有限公司(―华夏xx氏‖)与北京慧聪国际资讯有限公司(―慧聪国际‖)共同出资设立(“该设立事项”)。慧聪集团已就该设立事项根据联交所创业板上市规则以发布公告及通函的方式作出披露。根据xxxx于 2009 年 7 月 27 日举行的第一届第一次股东会的决议及 2009 年 7 月 27 日由慧聪国际、xx氏国际和华夏xx氏共同签署的北京慧辰的新公司章程,北京慧辰各股东的股权比例调整如下:慧聪国际 40%,xx氏国际 31.75%,华夏xx氏 28.25%(“该股权比例调整事项”)由于慧聪集团于该设立事项的公告及通函中已行披露慧聪集团最终将于北京慧辰占有 40%权益,故该股权比例调整事项非根据联交所创业板上市规则规定下需再次披露的事项。根据慧聪集团分别于 2011
年 5 月 30 日及 2011 年 6 月 20 日出具的公告、通函及联交所创业板上市规则第十九章规定,慧聪国际出售北京慧辰的 40%股份(“该出售事项”)构成慧聪集团一项须予披露交易,须遵守联交所创业板上市规则第十九章的申报及公告规定。慧聪集团已就该出售事项根据联交所创业板上市规则以发布公告及通函的方式作出披露。根据 TARGET On-Line Financial Ltd 及香港破产管理署于 2019 年 9 月 20日出具有关慧聪集团的诉讼及破产查册记录,不存在关于该设立事项、该股权比例调整事项及该出售事项的针对慧聪集团的争议或潜在纠纷的记录,也不存在关于上述事项损害慧聪集团及其股东利益的记录。‖
根据发行人的说明、《开曼群岛法律意见书》《香港法律意见书》,并经本所律师于香港联合交易所披露易网站(xxxxx://xxx.xxxxxxxx.xx/xxxxx_x.xxx)查询慧聪集团相关公告文件,上述慧聪国际出资设立发行人、调整股权比例、历次增资及股权转让、退出时,慧聪国际所属上市公司慧聪集团所履行的决策程序、审批程序与信息披露情况符合慧聪集团注册地开曼群岛法律法规、慧聪集团公司章程以及香港联合交易所上市公司的监管和信息披露要求,不存在争议或潜在纠纷,不存在损害慧聪集团及其股东利益的情形。
3、 xx氏国际及华夏xx氏所属上市公司履行的相关决策程序、审批程序及信息披露情况
根据发行人提供的相关资料及出具的说明,自投资时起至退出xx氏慧聪期间,xx氏国际与华夏xxxx为 Dun & Bradstreet International, Ltd. (注册地在美国特拉华州,以下简称 DBI)的下属独资或合资公司,DBI 为 Dun & Bradstreet Corporation(注册地在美国特拉华州,其股份在纽交所上市,以下简称 D&B)的子公司。
根据《美国法律意见书》1,根据特拉华州法律,没有强制要求 D&B 针对x
1 《美国法律意见书》以英文出具,相关中文内容仅为翻译,《美国法律意见书》的相关原文为―l. In November, 2008 DBPRC, HDBC, and HC PRC jointly funded the establishment of DBHC. Since D&B is the parent company of DBPRC and HDBC: a) under Delaware law, there was no mandatory requirement for D&B to perform particular decision-making procedures for this investment. The investment does not contravene: (i) any law, regulation, order or public rule of Delaware applicable to the company; or (ii) D&B's Articles of Association; or (iii) any law, regulation, and information disclosure requirements for New York Stock Exchange listed companies. b) according to public information disclosed by D&B, there is no dispute or potential dispute over the establishment of DBHC as jointly funded by DBPRC, HDBC and HC PRC. c) according to public information disclosed by D&B, no information was found on any claim made by D&B's shareholders on this matter.
2. In July,2009 DBPRC, HDBC, and HC PRC signed the new company's Articles of Association to adjust the equity structure of DBHC. Since D&B is the parent company of DBPRC and HDBC: a) under Delaware law, there was no mandatory requirement for D&B to perform particular decision-making procedures for the adjustment of equity structure of DBHC. The adjustment of equity structure of DBHC does not contravene: (i) any law, regulation, order or public rule of Delaware applicable to the company; or (ii) D&B's Articles of Association; or (iii) any law, regulation, and information disclosure requirements for New York Stock Exchange listed companies. b) according to public information disclosed by D&B, there is no dispute or potential dispute over the adjustment of equity structure
白氏国际、xxxxx与慧聪国际共同投资设立xxxxx、xx氏慧聪股东股权比例变更以及xx氏国际与华夏xx氏分别出售其持有的xxxxx并退出xxxxx履行任何特别决策程序。上述事项均不违反(i)适用于 D&B 的特拉华州的任何法律、法规、命令或公共规则;(ii)D&B 的公司章程;(iii)纽约证券交易所关于上市公司的任何法律、法规和上市公司信息披露要求。根据 D&B披露的公开信息,上述事项不存在争议或潜在争议,未发现 D&B 的股东因上述事项针对 D&B 提出索赔的信息。2008 年 11 月xx氏慧聪设立时,股东华夏xx氏以实物方式认缴出资人民币 2.789 万元,上述资产转让完成后,根据 D&B披露的公开信息,未发现慧辰资讯及其关联方与 D&B 之间就上述资产转让事项存在任何纠纷,未发现任何就上述资产转让事项针对慧辰资讯及其关联方、D&B提起的诉讼。
根据发行人出具的说明、《美国律师法律意见书》并经本所律师对发行人实际控 制 人 x x 进 行 访 谈 及 于 美 国 证 券 交 易 委 员 会 网 站
(xxxxx://xxx.xxxxxxxx.xx/xxxxx_x.xxx)查询 D&B 相关年度报告等文件,上述xx氏国际和华夏xx氏出资设立发行人、调整股权比例、历次增资及股权转让、退出时,xx氏国际及华夏xx氏所属上市公司 D&B 所履行的决策程序、审批程序与信息披露情况符合 D&B 注册地美国特拉华州法律法规、D&B 公司章程以及纽交所上市公司的监管和信息披露要求,不存在争议或潜在纠纷,不存在损
of DBHC. c) according to public information disclosed by D&B, no information was found on any claim made by D&B's shareholders on this matter.
3. In November,2011 DBPRC and HDBC sold their shares and withdrew from DBHC. Since D&B is the parent company of DBPRC and HDBC, a) under Delaware law, there was no mandatory requirement for D&B to perform particular decision-making procedures for the Share Transfer of DBPRC and HDBC and withdrawal from DBHC. The Share Transfer of DBPRC and HDBC and withdrawal of DBHC does not contravene: (i) any law, regulation, order or public rule of Delaware applicable to the company; or (ii) D&B's Articles of Association; or (iii) any law, regulation, and information disclosure requirements for New York Stock Exchange listed companies. b) according to public information disclosed by D&B, there is no dispute or potential dispute over the Share Transfer of DBPRC and HDBC and withdrawal from DBHC. c) according to public information disclosed by D&B, no information was found on any claim made by D&B's shareholders on this matter.
4. In November, 2008 when DBHC was established, the shareholder HDBC invested ¥27,890 in kind. After the transfer of assets was completed, according to public information disclosed by D&B, no dispute was found between D&B and HCR or HCR's affiliate on this matter, nor litigation was pending against these companies.‖
害 D&B 及其股东利益的情形。
(二) 按照本所《审核问答》的要求,对发行人资产来自于上市公司的事项逐项进行核查
2008 年 11 月 11 日,慧聪国际、xx氏国际及华夏xx氏签订了《北京xx氏慧聪市场信息咨询有限公司章程》,根据该章程约定,xxxxx设立时,注册资本 244 万元,股东的出资情况为:股东慧聪国际以实物方式认缴出资 1.211 万
元,应于 2009 年 2 月 10 日前全部缴纳;股东xx氏国际以现金方式认缴出资 180
万元,应于 2008 年 11 月 6 日前缴纳 48.8001 万元,并应于 2009 年 2 月 10 月前
缴纳 131.1999 万元;股东华夏xx氏以实物方式认缴出资 2.789 万元,以现金方
式认缴 60 万元,并应于 2009 年 2 月 10 日前缴纳全部前述出资。
2008 年 11 月 28 日,华夏邓白氏与xxxxx签署《财产转移协议书》,约
定华夏xx氏将价值 2.789 万元的实物资产(电子设备)转让给xxxxx,作为认缴xxxxx注册资本的出资。同日,慧聪国际与xxxxx签署《财产转移协议书》,约定慧聪国际将价值 1.211 万元的实物资产(电子设备)转让给xxxxx,作为认缴xxxxx注册资本的出资。
1、 就上述慧聪国际及华夏xx氏对xxxxx以实物资产出资的事项,有关xxxxx及相关上市公司履行的相关决策程序、审批程序与信息披露以及是否符合法律法规、交易双方公司章程以及证监会和证券交易所有关上市公司监管和信息披露要求、是否存在争议或潜在纠纷的具体情况见本补充法律意见书本题回复之―(一)慧聪国际、xx氏国际和华夏xx氏出资设立发行人、调整股权比例、历次增资及股权转让、退出时,所履行的决策程序、审批程序与信息披露情况,是否符合法律法规、上市公司章程以及上市公司监管和信息披露要求,是否存在争议或潜在纠纷,是否存在损害上市公司及股东利益的情形‖所述。
2、 根据发行人提供的相关资料、发行人现任董事、监事及高级管理人员及其相关关联方出具的确认函及发行人的说明并经本所律师对发行人持股 5%以上
股东慧聪投资执行董事xxx进行访谈,发行人现任董事长、总经理赵龙曾任慧聪国际研究员、研究经理、IT 研究所所长、研究院副院长、研究院院长;发行人现任监事xxxx任慧聪国际高级研究员;发行人现任职工代表监事xxx曾任慧聪国际划报员、网站编辑和研究员;发行人关联方慧聪投资的曾任董事xxxxxx集团的董事、关联xxx投资的现任董事xxx目前仍担任慧聪集团的董事,不存在违反竞业禁止业务及相关法律法规的情形。
上述资产转让时,xxxxx董事xx担任慧聪集团董事,xx与慧聪集团时任董事xxx为叔侄关系,根据《香港法律意见书》,―根据慧聪集团于 2011
年 5 月 30 日举行的董事会会议记录,慧聪集团董事批准(其中包括)该出售事项。由于xxx先生及xx先生为买方的股东,因此在该出售事项的决议案放弃表决。根据慧聪集团于 2011 年 7 月 6 日举行的特别股东大会的投票结果,独立股东一致通过批准该出售事项。由于xxx先生及xx先生当时为慧聪集团的关连人士,故按联交所创业板上市规则规定放弃投票。‖除前述情况外,上述资产转让时,xxxxx的董事、监事和高级管理人员不存在其他在慧聪集团任职的情况,亦不存在其他与慧聪集团及其董事、监事和高级管理人员存在亲属或其他密切关系的情况。
根据发行人提供的离职员工清单、发行人现任董事、监事及高级管理人员出具的确认函及发行人的说明,上述资产转让时,xxxxx的董事、监事和高级管理人员不存在在 D&B 任职的情况,亦不存在与 D&B 及其董事、监事和高级管理人员存在亲属或其他密切关系的情况。
3、 根据发行人现任董事、监事及高级管理人员及相关关联方出具的确认函及发行人的说明并经本所律师对发行人实际控制人xx进行访谈,上述资产转让完成后,发行人及其关联方与慧聪集团、D&B 之间就上述转让资产不存在纠纷或诉讼。
4、 根据发行人现任董事、监事及高级管理人员及相关关联方出具的确认函、相关境外法律意见书及发行人的说明并经本所律师对发行人实际控制人xx
进行访谈,发行人及其关联方的董事、监事、高级管理人员以及慧聪集团、D&B在转让上述资产时,不存在损害慧聪集团、D&B 及其中小投资者合法利益的情形。
5、 根据发行人的说明,上述电子设备于 2008 年 11 月由华夏邓白氏和慧聪国际作为出资投入xxxxx后即作为办公设备使用,截至本补充法律意见书出具日,鉴于该等设备使用寿命已陆续届满,发行人已不再使用该等电子设备。
(三) 慧聪国际向xx氏慧聪输入的人才、市场及客户资源的具体情况,对发行人持续经营的作用,相关人员在慧聪国际及发行人处担任的职务,上述人才与慧聪国际是否存在竞业禁止或保密等情形,发行人与慧聪国际是否存在纠纷或潜在纠纷
根据发行人提供的xxxxx与慧聪国际签署的相关协议、xxxxx董事会决议并经本所律师对发行人实际控制人xx进行访谈,2008 年 11 月,xxxxx和慧聪国际签订“FulfillmentServices Agreement Relating to E-Eyes”,主要约定自该协议签署之日起 3 年的有效期内,由xxxxx负责向客户销售和营销 E-Eyes 产品。2011 年 11 月 28 日,xxxxx通过董事会决议,同意:(1)xxxxxxx慧聪国际下属数据中心的全部人员和业务,由xxxxx与该等人员签署劳动合同并办理相应的社会保险;(2)董事及相关管理人员负责上述人员及业务交接工作;(3)与慧聪国际于 2008 年 11 月 28 日签署的协议(Fulfillment Services Agreement Relating to E-Eyes)到期后不再续签。
根据发行人提供的曾在慧聪国际任职的员工名单、相关员工出具的确认函及发行人的说明并经本所律师对发行人实际控制人xx及慧聪投资执行董事xxx进行访谈,自发行人前身xxxxx设立至本补充法律意见书出具日,发行人共存在 239 名员工曾在慧聪国际任职,其中部分为xxxxx设立时由慧聪国际转入xxxxx的人员,其在慧聪国际主要担任研究经理、研究员、客户代表等职务;部分为上述 2011 年 11 月xxxxx承接慧聪国际数据中心的人员,其在慧聪国际主要担任数据采集员、项目制作员等职务。截至本补充法律意见书出具日,上述 239 名员工中仅有 11 人仍在发行人任职,该等在职员工均不存在与慧聪国际
签署竞业禁止或保密协议的情形。就发行人部分员工曾在慧聪国际任职事宜,发行人与慧聪国际不存在纠纷或潜在纠纷。
根据发行人的说明并经本所律师对发行人实际控制人xx进行访谈,2011 年 11 月,xxxxxxx慧聪国际下属数据中心的相关业务并入xx氏慧聪 E-Eyes事业部,主要业务是为销售和营销 E-Eyes 产品提供数据,后续演化为舆情监测服务,由慧辰资讯报告期内控股子公司xxx负责经营,自 2016 年 8 月发行人出售慧思拓控股权之后,慧辰资讯及其下属公司即不再从事上述舆情监测服务。
根据发行人提供的项目合同清单、销售合同及出具的说明并经本所律师对发行人实际控制人xx进行访谈,xxxxx设立之初,涉及慧聪国际与 12 名客户
签署的 16 项销售合同由xxxxxxx,该等合同于 2009 年 12 月 31 日前均已
履行完毕。报告期内,上述客户中有 2 名,即中国移动通信集团西藏有限公司、联想(北京)有限公司,与慧辰资讯存在业务往来,截至本补充法律意见书出具日,上述客户中仅中国移动通信集团西藏有限公司与慧辰资讯存在正在履行的销售合同,该等业务系发行人自身经营获取,不存在依赖于慧聪国际的情况。
根据发行人现行有效的《营业执照》《公司章程》、发行人提供的重大业务合同及发行人的说明,发行人报告期内的主营业务系为行业头部企业和国内政府机构提供基于企业内外部数据、消费者态度与行为数据和行业数据的业务经营分析与应用、定制化行业分析应用解决方案等服务。发行人目前实际从事的业务在其经核准的经营范围之内,并拥有独立、完整的研发、采购和销售系统;发行人的收入和利润主要来源于自身经营,上述xxxxx承接慧聪国际下属数据中心相关人员、业务及客户的情况对发行人持续经营能力不会产生重大作用和影响。
(四) 发行人人员、业务、资产、技术是否独立,是否存在对慧聪国际的重大依赖
1、 人员
根据发行人高级管理人员填写的调查表、本所律师对发行人高级管理人员的访谈、发行人财务负责人的声明及发行人的说明,截至本补充法律意见书出具日,除发行人董事长、总经理赵龙曾在慧聪国际任职外,发行人的副总经理、董事会秘书、财务负责人等高级管理人员不存在在慧聪国际任职的情况,也不存在在慧聪国际及其控制的其他企业处领薪的情形;发行人的财务人员不存在在慧聪国际及其控制的其他企业中兼职的情形,发行人人员独立于慧聪国际,不存在对慧聪国际有重大依赖的情形。
2、 业务
根据发行人现行有效的《营业执照》《公司章程》《审计报告》《20190630审计报告》、发行人提供的重大业务合同及发行人的说明并经本所律师对发行人实际控制人xx进行访谈,发行人报告期内的主营业务系为行业头部企业和国内政府机构提供基于企业内外部数据、消费者态度与行为数据和行业数据的业务经营分析与应用、定制化行业分析应用解决方案等服务。发行人目前实际从事的业务在其经核准的经营范围之内,并拥有独立、完整的研发、采购和销售系统;发行人的收入和利润主要来源于自身经营,发行人业务独立,不存在对慧聪国际有重大依赖的情形。
3、 资产
根据《审计报告》《20190630 审计报告》《内控报告》、有关权属证书等相关文件以及发行人的说明,发行人合法拥有与其生产经营有关的房屋、商标、专利、计算机软件著作权等知识产权的所有权或使用权,不存在与慧聪国际混用资产的情形,发行人的资产独立于慧聪国际,不存在对慧聪国际有重大依赖的情形。
4、 技术
根据发行人提供的权属证书等相关文件及出具的说明,截至本补充法律意见书出具日,发行人及其境内下属公司拥有的专利、计算机软件著作权等知识产权
均为发行人单独所有,其他核心技术均系发行人自主研发,不存在与慧聪国际混用专利技术、核心技术人员的情形,亦不存在对慧聪国际有重大技术依赖的情形。
问题九: 关于资产重组
发行人报告期内存在多次资产出售和收购,以及短期内收购又出售同一资产的情况,部分收购或出售存在业绩对赌协议。
请发行人:(1)结合业绩对赌协议内容、标的资产业绩实现情况,说明发行人与资产出售方或受让方之间是否存在应履行但未履行的潜在义务,是否存在纠纷或潜在纠纷,是否存在未披露的其他协议安排;(2)2016 年8 月出售慧思拓32.5%股权的原因,信xxx《股权购买协议》业绩承诺与继续收购股权的相关条款,以及若继续收购发行人需支付的对价;(3)上述标的公司的其他股东、出售方或受让方与发行人的控股股东、实际控制人、董事、监事、高级管理人员是否存在关联关系;(4)发行人的主营业务是否清晰,未来是否存在收购或出售资产的具
体计划,如存在,请在招股说明书中予以披露,并说明标的资产与发行人主营业务的关系,对发行人业务构成及持续经营能力的影响。
回复:
(一) 结合业绩对赌协议内容、标的资产业绩实现情况,说明发行人与资产出售方或受让方之间是否存在应履行但未履行的潜在义务,是否存在纠纷或潜在纠纷,是否存在未披露的其他协议安排
根据发行人提供的发行人报告期内各项收购及出售公司的工商登记档案、公司章程、财务报表及相关交易协议,报告期内,发行人出售及收购相关资产的基本情况及该等交易中涉及的业绩对赌协议内容及标的资产业绩实现情况具体如下:
序 号 | 标的 公司 | 出售/收购进程 | 业绩对赌协议内容 | 标的资产业绩 实现情况 |
1 | 慧思拓 | 2014 年 1 月 慧 思拓设立,发行人持有 51.5% 股 权 ; 2016 年 8 月 , 发行人出售慧思拓32.5% 的 股 权 ; 目前,发行人持有慧思拓 19%的股 权。 | 不存在 | — |
2 | 上海慧骋 | 2015 年 2 月 上 海慧骋设立,发行人持有 51%股权; 2017 年 10 月,发行人出售上海慧骋 51%的股权。目前,发行人不持有上海慧骋的任 何股权。 | 不存在 | — |
3 | 广州威纳 | 2017 年 8 月 , 发行人收购广州威纳 30%的股权; 2018 年 12 月,发行人出售广州威纳 30%的股权; 目前,发行人不持有广州威纳的任何股权。 | 根据发行人、广州威纳及xx、xxx、xxx签署的《增资协议》,发行人以增资方式取得广州威纳 30%的股权。同时, xx、xxx、xxxxx广州威纳 2017 年度、2018 年度、2019 年度的税后净利润分别不低于 492 万元、700 万元、980 万元。如标的公司业绩承诺期间任一会计年度未完成业绩承诺的 80%,发行人有权要求xx回购发行人已取得的广州威纳 30%的股权,回购价格为发行人实缴增资款+发行人实缴增资款*10%*获得股权年限-股息和红利(如有)。 | 广州威纳 2017 年实际完成净利润未达到承诺业绩的 80%, 且根据出售时的预期,广州威纳 2018 年 也 不能完成承诺净利润的 80%。因此 ,2018 年 12 月,发行人根据上述协议约定将其持有的广州威纳 30% 的股权出售给xx。业绩对赌已 履行完毕。 |
序 号 | 标的 公司 | 出售/收购进程 | 业绩对赌协议内容 | 标的资产业绩 实现情况 |
4 | 数猿科技 | 2017 年 8 月 , 发行人收购数猿科技 19%的股权; 2019 年 6 月 , 发行人出售数猿科技 19%的股权; 目前,发行人不持有数猿科技的任 何股权。 | 不存在 | — |
5 | 慧经知行 | 2014 年 8 月 慧 经知行设立,发行人持 有 65% 股 权 ; 2016 年 8 月 , 发行人收购慧经知行剩余 35%股权; 目前,发行人持有慧经知行 100%股 权。 | 不存在 | — |
6 | 信xxx | 2017 年 6 月 , 发行人收购信xxx 48%的股权; 目前,发行人持有信xxx 48%的股权。 | 1、业绩承诺及补偿:xxxx、xxxx、xxx及xxx(以下合称“承诺方”)承诺,信xxx 2017 年-2019 年(以下简称业绩承诺期间)扣非后净利润(以下简称承诺净利润)分别不低于 1,300 万元、1,700 万元、2,200 万元,如信xxx业绩承诺期间的累计实际净利润未达到累计承诺净利润的100%,业绩承诺方将对慧辰资讯进行现金补偿,补偿金额 =[(三年累计承诺净利润—三年累计实际净利润)÷三年累计承诺净利润]*初始投资估值 *慧辰资讯持有信xxx的股 权比例 48%。 | 2017 年、2018 年,信xxx经审计的扣非后净利润分别为1,281.28 万元、 1,417.31 元。业 绩承诺尚未履行完毕。 |
序 号 | 标的 公司 | 出售/收购进程 | 业绩对赌协议内容 | 标的资产业绩 实现情况 |
2、回购权/回售权:当出现以下情形时,慧辰资讯有权要求承诺方回购慧辰资讯持有的全部信xxx股权:①信xxx业绩承诺期间任一会计年度未完成业绩承诺的 80%;②宁波信厚、天津信和及/或信xxx出现重大诚信问题、丧失商业信誉,尤其是信xxx出现投资方不知情的账外现金销售收入时;③经慧辰资讯合理认定并经承诺方就此无异议的其他严重损害慧辰资讯权益的情形。回购价格=交易对价-信xxx已经支付给慧辰资讯的分红、税后红利及返还至投资方的现金。 3、剩余股权的安排:2020 年 3 月 31 日后,慧辰资讯有权选择是否收购信xxx剩余 52%的股权。如慧辰资讯确认收购剩余股权,则该等剩余股份的收购对价及收购方式将由各方另行协商。 | ||||
7 | 汇知意德 | 2014 年 12 月,发行人收购汇知意德 51%的股权; 2018 年 6 月 , 发行人收购汇知意德剩余 49%的股权; 目前,发行人持有汇知意德 100%股权。 | 2014 年 12 月,发行人以增资及受让股权的方式取得汇知意德 51%的股权。根据投资协议及补充协议,上海汇颂承诺汇知意德 2015 年度、2016 年度、2017 年度(以下简称业绩承诺 期间)净利润分别不低于 260 万元、400 万元、500 万元,且业绩承诺期间内累积承诺净利润不低于 1,160 万元。如汇知 意德累计实际净利润在 1,044 | 2015 年度、2016 年度、2017 年度,汇知意德实现扣非后净利润分别为 269.83 万元、350.64 万元、521.42 万元, 累积 1,141.89 万 元,基本符合发 行人的预期及战略规划,故发 |
序 号 | 标的 公司 | 出售/收购进程 | 业绩对赌协议内容 | 标的资产业绩 实现情况 |
万元(不含本数)至 1,276 万 | 行人与上海汇 | |||
元(不含本数)之间,各方对 | 兮(2018 年3 月, | |||
初始投资估值(1,800 万元)不 | 上海汇颂将其 | |||
进行调整;如汇知意德累计实 | 持有汇知意德 | |||
际净利润低于 1,044 万元(不 | 49%的股权转让 | |||
含本数),慧辰资讯可选择由上 | 给上海汇兮)等 | |||
x汇颂或xxx给予现金补 | 协商于2018 年6 | |||
偿,补偿金额=慧辰资讯交割日持有的汇知意德出资 918 万元-累计实际净利润÷累计承诺净利润 1,160 万元×初始投 资估值 1,800 万元×慧辰资讯 持股比例 51%,但尽管有前述 | 月收购汇知意德剩余 49% 的股权。业绩对赌已履行完毕。 | |||
约定,xxx资讯补偿的金额 | ||||
最高不超过 268 万元。 | ||||
同时,各方约定,慧辰资讯有 | ||||
权选择是否继续收购汇知意德 | ||||
剩余 49%股权。 | ||||
2016 年 1 月,发行人以受让股权的方式取得上海瑞斡 51%的 | 2016 年度、2017 年度,上海瑞斡 | |||
股权。根据投资协议,上海睿 | 实现扣非后净 | |||
8 | 上海瑞斡 | 2016 年 1 月 , 发行人收购上海瑞斡 51%的股权; 2018 年 10 月,发行人收购上海瑞斡剩余 49%的股权; 目前,发行人持有上海瑞斡 100%股权。 | 兮、吴xx承诺上海瑞斡 2016 年度、2017 年度(以下简称业绩承诺期间)净利润分别不低于 1,000 万元、1,250 万元,且业绩承诺期间内累积承诺净利润不低于 2,250 万元。如上海瑞斡三年累计实际净利润在2,025 万元(含本数)至 2,475 万元(含本数)之间,各方均不对任何他方进行任何形式的 补偿;如上海瑞斡三年累计实 | 利 润 分 别 为 743.24 万 元 、 965.86 万元,累积 1,709.10 万元,虽然较承诺净利润存在一定差距,但考虑到上海瑞斡具有丰富的行业经验和市场资 源,未来发展预 |
际净利润低于 2,025 万元,慧 | 期较好,且契合 | |||
辰资讯可选择由上海睿兮、吴 | 发行人的战略 | |||
xx、xx、xx或上海瑞斡 | 规划,故发行人 |
序 号 | 标的 公司 | 出售/收购进程 | 业绩对赌协议内容 | 标的资产业绩 实现情况 |
给予现金补偿,补偿金额=慧辰资讯持有的上海瑞斡 51%股权的实际出资-累计实际净利润÷累计承诺净利润 2,250 万 元×初始投资估值 4,200 万元 ×慧辰资讯持股比例 51%。同时,各方约定,2018 年 3 月31 日后,发行人有权继续收购上海瑞斡剩余 49%股权。 | 于 2018 年 10 月收购上海瑞斡剩余 49% 的股权。业绩对赌已履行完毕。 |
如上所述,截至本补充法律意见书出具日,除信xxx涉及的业绩对赌条款尚未履行完毕外,发行人其他资产出售或收购所涉及对赌条款均已履行完毕,发行人与资产出售方或受让方之间不存在应履行但未履行的义务,发行人与资产出售方或受让方之间不存在纠纷或潜在纠纷,不存在未披露的其他协议安排。
(二) 2016 年 8 月出售慧思拓 32.5%股权的原因,信xxx《股权购买协议》业绩承诺与继续收购股权的相关条款,以及若继续收购发行人需支付的对价
1、 2016 年 8 月出售慧思拓 32.5%股权的原因
根据发行人提供的慧思拓的工商登记档案及发行人的说明并经本所律师对发行人实际控制人xx及慧思拓主要负责人进行访谈,xxx成立于 2014 年 1 月 7日,其设立时的股东为慧辰资讯(持股 51%)和北京拓尔思信息技术股份有限公司(以下简称拓尔思,持股 49%)。双方合作设立慧思拓的目的是开展媒体监测和舆情信息服务业务,拓尔思提供技术支持,慧辰资讯提供客户资源。慧辰资讯基于公司自身业务发展战略调整考虑,拟不再从事舆情监测业务,故处置慧思拓股权。
但同时,考虑到发行人的部分客户存在对该类业务的长期需求,为保证服务的持续性及发行人与慧思拓的稳定合作,发行人保留部分慧思拓股权,慧思拓团
队也希望借助股权关系强化与发行人的合作关系,故经各方协商,发行人出售慧思拓 32.5%的股权。
2、 信xxx《股权购买协议》业绩承诺与继续收购股权的相关条款,以及若继续收购发行人需支付的对价
信xxx《股权购买协议》业绩承诺与继续收购股权的相关条款,以及若继续收购发行人需支付的对价的具体情况见本补充法律意见书本题回复之―(一)结合业绩对赌协议内容、标的资产业绩实现情况,说明发行人与资产出售方或受让方之间是否存在应履行但未履行的潜在义务,是否存在纠纷或潜在纠纷,是否存在未披露的其他协议安排‖所述。
(三) 上述标的公司的其他股东、出售方或受让方与发行人的控股股东、实际控制人、董事、监事、高级管理人员是否存在关联关系
根据发行人提供的相关交易协议、上述标的公司及相关出售方或受让方的工商登记档案及现行有效的公司章程/合伙协议并经本所律师核查,截至本补充法律意见书出具日,上述标的公司的其他股东、出售方或受让方的基本情况如下:
序号 | 标的公司 | 标的公司的其他股东及持股比例 | 标的资产出售方或受让方 |
1 | 慧思拓 | 北京信远慧利科技中心(有限合 伙)81% | 北京信远健利资产管理中 心(有限合伙) |
2 | 上海慧骋 | xx 90% 上海时卓投资管理有限公司 10% | xx |
3 | 广州威纳 | xx 92.5% xxx 7% 张淑玲 0.5% | xx |
4 | 数猿科技 | 天津聚合为上企业管理咨询中心 (有限合伙)80.59% xx 19.41% | xx |
5 | 慧经知行 | — | 马京华 |
6 | 信xxx | 天津信和 30.00% | 宁波信厚 |
宁波信厚 22.00% | |||
7 | 汇知意德 | — | 上海汇兮 |
8 | 上海瑞斡 | — | xxx、上海睿兮、永新县双贇 |
根据上述标的公司的其他股东及相关出售方或受让方出具的声明函及发行人董事、监事及高级管理人员出具的确认函,报告期内,xx曾担任发行人的副总经理,2017 年 1 月xx因个人原因辞去副总经理职务,报告期xxx曾持有发行人控股股东良知正德 8.1622 万元的出资份额,出资比例为 4.7%,2019 年 3 月,xx将其持有良知正德的全部股权转让给发行人实际控制人xx;上海汇兮、上海睿兮、永新县xx因报告期内曾为发行人控股子公司汇知意德、上海瑞斡持股 49%的股东而构成发行人关联方。除上述情况外,上述标的公司的其他股东、出售方或受让方与发行人的控股股东、实际控制人、董事、监事、高级管理人员不存在其他关联关系。
(四) 发行人的主营业务是否清晰,未来是否存在收购或出售资产的具体计划,如存在,请在招股说明书中予以披露,并说明标的资产与发行人主营业务的关系,对发行人业务构成及持续经营能力的影响
根据《招股说明书(申报稿)》,发行人的主营业务为―公司是一家数据分析服务提供商。公司主要为行业头部企业和国内政府机构提供基于企业内外部数据、消费者态度与行为数据和行业数据的业务经营分析与应用、定制化行业分析应用解决方案等服务,是以数据分析应用技术为核心的科技创新型企业。‖,发行人主营业务清晰。
如上所述,发行人与xxxx、xxxx、信xxx、xxx、xxx之间存在关于信xxx的业绩承诺约定以及信xxx剩余 52%股权的意向性收购安排,即 2020 年 3 月 31 日后,慧辰资讯有权选择是否收购信xxx剩余 52%的股权。如慧辰资讯确认收购剩余股权,则该等剩余股份的收购对价及收购方式将由各方另行协商。根据发行人的说明并经本所律师对信xxx业务负责人进行访谈,
截至本补充法律意见书出具日,发行人与xxxx、xxxx、信xxx、xxx、xxx之间尚未对信xxx剩余 52%股权的收购事宜形成具体计划,发行人亦不存在其他收购或出售其资产的具体计划。
问题十: 关于核心技术人员及水平
根据首轮问询回复,报告期最近一期,发行人研发人员中 30 岁以下的占比为
71.43%,薪酬 30 万元以下的占比为 96.83%。发行人核心研发人员为xx等 13
人,但是核心技术人员仅为 3 人。公司高管、核心技术人员等人员从前公司离职并加入发行人,曾签署竞业禁止、保密协议等约定。问询回复未充分说明核心技术的先进性指标。发行人多项技术成果已陆续提交专利申请,但因涉及数据分析算法的专利申报审核期相对较长,当前该等专利申请均在审核中。
请发行人:(1)结合研发人员的年龄、加入发行人前的工作经验、学历和专业背景、薪酬水平及同行业可比公司的相关情况,说明相关研发人员是否具备持续创新的研发能力,公司对核心技术人员及主要研发人员的激励和稳定措施及其有效性,公司上市后是否有人才流失和核心技术流失的风险,如必要作风险提示;
(2)结合xx等 13 人担任的研发职责及工作岗位、在公司专利等技术研发中的作用、优势业务领域等,进一步说明是否均应当认定为核心技术人员,发行人目前关于核心技术人员的认定是否准确、全面;(3)报告期内发行人的研发人员离职情况,离职研发人员职务级别,是否涉及重要研发人员的离职、是否涉及核心技术泄密或对公司经营稳定性造成重大不利影响;(4)量化说明发行人核心技术的关键指标,相较于同行业可比公司存在先进性的具体表征;(5)发行人 4 项 2017年及之前申请的专利一直停留在实质审查阶段的原因及合理性,该申请专利的新
颖性、创造性是否符合授予专利权的条件,发行人预计取得该 4 项专利的时间,如不能取得,对发行人的业务开展是否有存在重大不利影响。
请保荐机构、发行人律师充分核查:(1)公司高管、核心技术人员是否违反竞业禁止和保密等约定,是否存在纠纷或潜在纠纷,是否存在承担相关法律责任的风险;(2)发行人专利、核心技术等是否来源于前述公司,是否为该等人员在
上述公司的职务发明。
请保荐机构、发行人律师对上述事项进行核查,说明核查方法、过程及依据,并发表明确意见。
回复:
(一) 结合研发人员的年龄、加入发行人前的工作经验、学历和专业背景、薪酬水平及同行业可比公司的相关情况,说明相关研发人员是否具备持续创新的研发能力,公司对核心技术人员及主要研发人员的激励和稳定措施及其有效性,公司上市后是否有人才流失和核心技术流失的风险,如必要作风险提示
1、 研发人员的年龄、加入发行人前的工作经验、学历和专业背景、薪酬水平及同行业可比公司的相关情况
(1) 研发人员年龄
根据《招股说明书(申报稿)》、发行人提供的员工名册及出具的说明,截至
2019 年 6 月 30 日,发行人研发人员年龄结构如下:
年龄结构 | 人数 | 占比 |
40 岁以上 | 3 | 4.76% |
30~40 岁 | 15 | 23.81% |
30 岁以下 | 45 | 71.43% |
合计 | 63 | 100.00% |
(2) 研发人员加入发行人前的工作经验
根据《招股说明书(申报稿)》、发行人提供的员工名册及出具的说明,发行人研发人员在加入发行人前,主要就职于信息技术公司、运营商和咨询公司。截至 2019 年 6 月 30 日,发行人研发人员在加入发行人前的工作经验如下:
工作经验 | 人数 | 占比 |
5 年以上 | 17 | 26.99% |
3 年-5 年 | 7 | 11.11% |
3 年以下 | 39 | 61.90% |
合计 | 63 | 100.00% |
(3) 研发人员学历和专业背景
根据《招股说明书(申报稿)》、发行人提供的员工名册及出具的说明,截至
2019 年 6 月 30 日,发行人研发人员的学历情况如下:
教育背景 | 人数 | 占比 |
博士 | 2 | 3.17% |
硕士 | 5 | 7.94% |
本科及以下 | 56 | 88.89% |
合计 | 63 | 100.00% |
截止至 2019 年 6 月 30 日,发行人研发人员的专业背景如下表所示:
专业背景 | 人数 | 占比 |
计算机类 | 27 | 42.86% |
软件开发类 | 10 | 15.87% |
信息自动化类 | 7 | 11.11% |
数学等基础科学 | 4 | 6.35% |
管理类 | 6 | 9.52% |
其他 | 9 | 14.29% |
合计 | 63 | 100.00% |
(4) 研发人员薪酬水平
根据《招股说明书(申报稿)》、发行人提供的员工名册、工资明细及出具的说明,报告期内,发行人研发人员的薪酬水平如下表所示:
薪酬水平 | 2019.6.30 | 2018.12.31 | 2017.12.31 | 2016.12.31 | ||||
人数 | 占比 | 人数 | 占比 | 人数 | 占比 | 人数 | 占比 | |
>50 万元 | - | - | 1 | 1.69% | 1 | 2.00% | 1 | 2.70% |
30-50 万 元 | 2 | 3.17% | 9 | 15.25% | 9 | 18.00% | 4 | 10.81% |
<30 万元 | 61 | 96.83% | 49 | 83.05% | 40 | 80.00% | 32 | 86.49% |
合计 | 63 | 100.00% | 59 | 100.00% | 50 | 100.00% | 37 | 100.00% |
注:2019 年 6 月发行人研发人员薪酬只统计了 2019 年上半年的人员工资情况。
基于上述,发行人研发人员多具有计算机、软件开发、信息自动化类的专业背景和知识储备,并具有多年的项目实践经验,具备持续创新的研发能力。
(5) 同行业可比公司的相关情况
① 同行业可比公司薪酬情况
根据《招股说明书(申报稿)》、发行人提供的员工工资明细及发行人出具的说明,报告期内,发行人研发人员人均情况如下:
单位:万元
薪酬水平 | 2019 年 1-6 月 | 2018 年度 | 2017 年度 | 2016 年度 |
研发人员薪酬 | 699.10 | 1,211.84 | 978.69 | 656.36 |
研发人数平均数 | 61.00 | 54.50 | 43.50 | 34.50 |
研发人员人均薪酬 | 11.46 | 22.24 | 22.50 | 19.02 |
注:研发人数平均数=(期初人数+期末人数)/2
同行业可比公司研发人员平均薪酬数据未公开披露。由于 A 股软件行业特性,其研发支出主要为研发人员薪酬,故使用财务报表中研发支出项作为 2018 年 A 股软件行业研发人员人均薪酬计算标准。按上述假设计算出 A 股软件行业研发人员平均薪酬为 27 万元(研发支出/研发人员数量)。发行人的研发人员的年人均薪酬与 A 股软件行业情况相匹配。
② 同行业可比公司研发人员学历和专业背景
A. 零点有数
经本所律师查询零点有数公开披露的定期报告,零点有数未披露其研发人员学历和专业背景的相关信息。
B. 美林数据
经本所律师查询美林数据公开披露的 2018 年年度报告,截至 2018 年 12 月 31
日,美林数据研发人员的学历情况如下表所示:
教育背景 | 人数 | 占比 |
博士 | 1 | 1.19% |
硕士 | 25 | 29.76% |
本科及以下 | 58 | 69.05% |
合计 | 84 | 100.00% |
C. 佰聆数据
经本所律师查询佰聆数据公开披露的 2018 年年度报告,截至 2018 年 12 月 31
日,佰聆数据研发人员的学历情况如下表所示:
教育背景 | 人数 | 占比 |
博士 | 1 | 1.43% |
硕士 | 6 | 8.57% |
本科及以下 | 63 | 90% |
合计 | 70 | 100.00% |
③ 同行业可比公司研发人员年龄、研发人员加入发行人前的工作经验、研发人员专业背景
经本所律师查询发行人同行业可比公司零点有数、美林数据、佰聆数据的公开披露文件,零点有数、美林数据、佰聆数据均未披露其研发人员年龄、研发人员加入公司前的工作经验、研发人员专业背景的相关信息。
2、 发行人对核心技术人员及主要研发人员的激励和稳定措施及其有效性
根据发行人提供的股东名册、公司章程、发行人相关股东的公司章程/合伙协议及发行人核心技术人员填写的调查问卷并经本所律师核查,截至本补充法律意见书出具日,发行人核心技术人员及主要研发人员不存在直接持有发行人股份的情况,该等人员间接持有发行人股份的情况如下:
研发人员 姓名 | 职务 | 间接持股数量 (股) | 间接持股比例 |
xx | 董事、技术总监、核心技术人员 | 349,725 | 0.6278% |
xx | 大数据平台部高级数据挖掘经理、核心技术人员 | 6,000 | 0.0107% |
xx | TMT 事业群总经理、核心技术人员 | 241,036 | 0.4327% |
xxx | 大数据高级研发工程师 | 11,500 | 0.0206% |
xx | x经知行大数据系统架构师 | 37,500 | 0.0673% |
xx | 信息技术高级技术经理 | 5,000 | 0.0090% |
xxx | 大数据算法工程师 | — | — |
xxx | 数据处理经理 | — | — |
xx | 大数据产品总监 | — | — |
xxx | 信息技术部研发经理 | 10,000 | 0.0180% |
xxx | 董事、副总经理 | 2,416,690 | 4.3383% |
xxx | 政务服务高级业务专家 | — | — |
xx | 医药产品服务业务总经理 | 187,502 | 0.3366% |
注:其中xx、xxx、xxxxxx是公司的技术人员。
根据发行人提供的相关内部管理制度及出具的说明,为提高发行人核心技术人员和主要研发人员的稳定性,发行人制定了《HCR 项目奖金管理办法》和《技术、研发人员管理制度》,明确和规范了发行人项目奖金管理:
① 对于核心技术人员和主要研发人员,除工资等福利待遇方面,加强和提倡通过股权方式形成对上述人员的长期激励,将上述人员的研发成果(软件著作权与专利)与其研发成果所形成的应用和贡献进行挂钩;
② 对于主要研发人员,在能力培养与成长空间的激励方面,除了基础业务技能培训外,发行人会为其制定长期培养计划,并支持跨部门的管培生计划提升其综合业务能力。此外,发行人会在职位、收入和业务自主性方面为员工提供较大的上升空间,提升了相关员工(尤其年轻员工)成长的积极性。
根据发行人的说明,发行人目前的员工激励制度和稳定措施可以综合提升员工的个人能力、收入和升职空间,加强了研发和技术员工对公司的归属感和认知感,起到了积极作用。报告期内发行人无核心技术人员或主要研发人员离职的现象,相关制度和措施具有有效性。
3、 发行人上市后是否有人才流失和核心技术流失的风险,如必要作风险提
示
根据发行人的说明,目前,数据分析行业得到了越来越多行业和领域的认可,数据分析的专业人才是同行业企业竞相追逐的焦点。虽然发行人制定了相关员工激励制度和措施,但是仍不能避免主要研发人员的流失风险。经本所律师核查,
《招股说明书(申报稿)》已在―第四节 风险因素‖之―二、经营风险‖中对―主要研发人员流失的风险‖进行提示,具体如下:
―公司核心业务以数据分析技术为基础,将数据科学技术和垂直领域专业分析方法模型进行有效融合,为客户提供业务经营数据分析与应用、定制化行业分析应用解决方案等服务。随着数据分析技术的价值被行业头部企业所认可,数据分析技术的专业人才逐步成为了市场追逐的焦点。虽然公司制定了对研发和技术人员的激励和奖励制度,但仍不能避免由于同行业企业对人才的竞争造成的研发人员流失的风险。‖
(二) 结合xx等 13 人担任的研发职责及工作岗位、在公司专利等技术研发中的作用、优势业务领域等,进一步说明是否均应当认定为核心技术人员,发行人目前关于核心技术人员的认定是否准确、全面
根据《招股说明书(申报稿)》、发行人提供的员工名册及出具的说明,发行人 13 名主要研发人员担任的研发职责及工作岗位、在发行人专利等技术研发中的作用、优势业务领域的具体情况如下:
姓名 | 工作岗位 | 研发职责 | 在发行人专利等技术研发中 的作用 | 优势业务领域 |
马亮 | 技术总监,核心技术人员 | 核心技术人员。带领公司研发团队,构建完成公司核心算法模型技术框架到相关应 用研发的全流程 | 参与 11 项申请中专利;指导、参与核心技术 研发 | 大数据处理、机器学习/自然语言处理/人工智能技术与软件应 用研发全流程 |
xx | 大数据平台部高级数据挖掘经理,核心技术人员 | 核心技术人员。带领团队完成公司核心数据分析技术模型的探索研发与优化 | 参与4 项申请中专利,4 项软件著作权;主持 5 项技术研发 | 大数据算法/机器学习相关分析建模(应用于CRM/旅游/教育/ 物联网等行业) |
韩丁 | TMT 事业群总经理,核心技术人员 | 核心技术人员。负责公司级商业消费场景业务的专业分析方法论研究与体系的设 计,配合商业分析产品模型研发 | 参与2 项申请中专利,7 项软件著作权 | 商业领域消费者分析/体验研究的理论体系设计与多业务领域 (TMT/移动运 营商/汽车等)应用能力 |
xxx | 大数据高级研发工程师 | 骨干技术人员。带领团队实现数据分析技术模型(大数据/机器学习与深度学习相 关)的工程化算法开发与调优 | 参与9 项申请中专利 | 机器学习/深度学习大数据分析算法工程化开发 (应用于汽车/ 节能/环保领域) |
xxx | 大数据算法 | 骨干技术人员。负责 | 参与2 项申请中 | 大数据分析算法 |
姓名 | 工作岗位 | 研发职责 | 在发行人专利等技术研发中 的作用 | 优势业务领域 |
工程师 | 数据分析技术模型 (大数据/机器学习为主)的工程化算法开发与调优 | 专利,2 项软件著作权 | 工程化开发(应用于电力/教育/ 旅游等) | |
xxx | 数据处理经理 | 骨干技术人员。带领团队,完成经典业务数据分析(统计学模型为主)模型构建与快速数据处理 | 参与3 项软件著作权 | 商业消费研究相关的统计性数据模型构建与处理 |
xx | x经知行大数据系统架构师 | 骨干技术人员。负责公司自有/业务中相关大数据平台的架构设计、建设与优化 | 参与1 项申请中专利,3 项软件著作权 | 百亿级以上数据规模的企业大数据系统基础架构与平台设计/实 施 |
xx | 大数据产品总监 | 骨干技术人员。带领产品团队完成相关行业数据分析产品应用 的设计 | 参与6 项软件著作权 | 面向快消/零售/ 渠道的大数据分析产品的设计 |
xx | 信息技术部高级技术经理 | 骨干技术人员。实现分析产品应用的相关软件系统的技术功能研发(开发、测试、部署)全流程支持 | 参与7 项软件著作权 | 大型数据化软件系统的技术研发与研发过程管理 |
xxx | 信息技术部研发经理 | 骨干技术人员。完成业务特定核心分析功能/技术特性的攻关 与研发 | 参与5 项软件著作权 | 数据可视化/移动端/企业运营分析相关技术能 力研发 |
xxx | 董事、副总经理 | 骨干技术人员。负责快消等细分领域产品创新与消费者分析方法设计/模型分析能 力的更新优化 | 参与3 项软件著作权 | 快消、零售领域相关分析方法模型 |
xx | 医药产品服务业务总经 | 骨干技术人员。负责医药/医疗等细分领 | 参与2 项软件著作权 | 医疗/医药领域相关业务分析方 |
姓名 | 工作岗位 | 研发职责 | 在发行人专利等技术研发中 的作用 | 优势业务领域 |
理 | 域相关的产品服务/ 跟踪分析方法论设计 /业务应用 | 法模型 | ||
xxx | 政务服务行业高级专家 | 骨干技术人员。负责政府服务/管理相关细分领域(如经济运行/旅游管理)业务评估体系/分析模型设计 | 参与2 项软件著作权 | 政府/管理部门 (如旅游/环保) /国央企等业务分析方法模型 |
注:其中,韩丁、xxx、xxxxxx是发行人的技术人员。
根据发行人的说明,发行人研发技术人员分为三个层次,从上至下分别为核心技术人员、骨干技术人员和普通技术员工。上表中的 13 人是发行人的核心技术人员和骨干技术人员,其具体的工作内容和职责具体如下:
核心技术人员需要具有可以在发行人全局层面领导和推动核心技术要素进步的能力。目前,发行人核心竞争力是专业数据分析技术与应用,对应的核心技术要素包括:专业方法论、数据建模技术和相关技术化应用能力。发行人的三名核心技术人员即为持续推动上述三个核心技术要素进步的负责人:韩丁负责专业方法论核心体系的创建,xx主导数据建模核心技术的实现,xx从相关技术具体应用的全流程(数据建模、软件研发与应用)进行全局把控。上述三人是主导发行人核心技术要素进步的关键人物,在发行人内具有不可替代性,因此被认定为核心技术人员。
骨干技术人员,是指在发行人三个核心技术要素下细分的子技术/流程中相关节点上的专业技术人员:xxx、xx与xxx负责协助xx在总体研究框架下各负责相关细分领域方法论的扩展、优化与应用;数据建模技术在xx总体负责下,细分子技术领域分别由xxx、xxxxxxx负责完成;技术应用全流程中除了核心建模技术,相关技术还涉及大数据平台架构、产品设计与相关软件研
发,分别由xx、xx、xx和xxx负责。上述骨干技术人员主要负责发行人核心技术要素的一个子技术或细分环节,支撑上层核心技术要素但不具备对核心技术要素的全局引导与推动能力。同时这些技术环节相关岗位上实际存在多个类似能力的员工,因此上述骨干技术人员对发行人业务技术发展有辅助作用,但并非不可替代。
综上,结合发行人主要研发人员具体研发职责及工作岗位、在发行人专利等技术研发中的作用、优势业务领域等情况,发行人将xx、xx和韩丁认定为核心技术人员是准确、全面的。
(三) 报告期内发行人的研发人员离职情况,离职研发人员职务级别,是否涉及重要研发人员的离职、是否涉及核心技术泄密或对公司经营稳定性造成重大不利影响
根据发行人提供的离职员工清单及出具的说明并经本所律师对对发行人研发负责人和人力负责人进行访谈,报告期内,发行人的研发人员离职情况,离职研发人员职务级别,是否涉及重要研发人员的离职、是否涉及核心技术泄密的情况具体如下:
报告期 | 离职人员总数 | 离职人员级别 | 离职人员数量 | 是否为重要研发人员 | 是否涉及核心技术泄密 | 是否对公司经营稳定性造成重大不利影响 |
2019 年 1-6 月 | 18 | 总监 | - | 否 | 否 | 否 |
经理 | 1 | 否 | 否 | 否 | ||
主管 | 9 | 否 | 否 | 否 | ||
员工 | 8 | 否 | 否 | 否 | ||
2018 年 | 23 | 总监 | 2 | 否 | 否 | 否 |
经理 | 5 | 否 | 否 | 否 | ||
主管 | 14 | 否 | 否 | 否 | ||
员工 | 2 | 否 | 否 | 否 | ||
2017 年 | 18 | 总监 | 1 | 否 | 否 | 否 |
经理 | 4 | 否 | 否 | 否 | ||
主管 | - | 否 | 否 | 否 | ||
员工 | 13 | 否 | 否 | 否 | ||
2016 年 | 10 | 总监 | - | 否 | 否 | 否 |
经理 | 2 | 否 | 否 | 否 | ||
主管 | 3 | 否 | 否 | 否 | ||
员工 | 5 | 否 | 否 | 否 |
由上表可知,报告期内,发行人离职员工的级别集中在主管和员工级别,主要工作岗位为信息技术部工程师、分析员、设计师和助理工程师等执行岗位。上述离职人员均为发行人的普通技术员工,不是发行人的重要研发人员,上述员工自发行人离职不涉及发行人核心技术泄密,亦不会对发行人的实际经营的稳定性造成重大不利影响。
(四) 量化说明发行人核心技术的关键指标,相较于同行业可比公司存在先进性的具体表征
根据发行人的说明,发行人核心技术中的消费者分析技术在行业内处于领先地位,其领先性体现在对企业实际业务分析的专业能力(准确度和深度),但相关指标难以进行量化衡量,实际业务中客户主要通过最终的业务效果评测(如业务收入提升,而非技术指标)来衡量发行人的技术能力。但由于服务业务场景较多,业务效果难以进行统一、量化的指标进行评价。根据发行人提供的业务合同等相关资料,以下列举部分发行人为客户进行服务的具体业务场景及相关对比指标以说明发行人技术先进性。
在个性化分析技术中,以 CRM 相关业务分析与提升为例,每项业务的关注指标均不相同,且不存在相关的量化指标。客户对于数据分析结果的评测主要是基于与往年分析结果进行 A/B 测试对比,或者与同行业公司的分析结果进行 A/B 测试来完成的。通过考察关键数据的提升或变化程度来衡量技术能力的先进性。
1、 某化妆品品牌数据驱动 CRM KPI 提升
发行人通过分析某化妆品品牌会员在过去 18 至 24 个月内的用户行为数据,发现新老会员的产品购买路径,并建立基于喜好的标签体系。以下为发行人核心技术对于相关重要指标的改进效果:
(1) 新客户购买率 24.4%,2017 相比 2016 提升了 6.2%;
(2) 老客户保留率 41.1%,2017 相比 2016 提升了 7.5%;
(3) 客户购买频次 1.82,2017 相比 2016 提升了 1.2%。 2、 某运动品牌数据驱动活动提高销售
利用某运动品牌天猫会员 18 个月内的活动与交易数据建立分析预测模型,对用户进行群组划分,并为每个人群建立个性化标签,自动生成优化后的活动筛选结果。以下为发行人核心技术对于相关重要指标的改进效果:
(1) 现有会员回柜率:童鞋店增长 94%,成人店增长 59%;
(2) 活动销售量提升率:童鞋店提升 83%,成人店提升 38.5%。 3、 某食品品牌食品消费者沟通路径
发行人使用 2017 年某食品品牌忠诚会员数据,搭建数据分析模型,挖掘会员互动行为规律,生成自动化沟通策略,以及将生产的个性化菜谱推荐给不同主厨。以下为发行人核心技术对于相关重要指标的改进效果:
(1) 潜客点击率提升 10%,潜客销售额提升 7.8%;
(2) 购买者点击率提升 15%,购买者销售额提升 11.2%。
在相关销售合同中,发行人能够承诺客户使用发行人业务技术模型可以达到
的实际业务效果,即可以承诺实现客户实际业务中关键指标的提升比例。
(五) 发行人 4 项 2017 年及之前申请的专利一直停留在实质审查阶段的原因及合理性,该申请专利的新颖性、创造性是否符合授予专利权的条件,发行人预计取得该 4 项专利的时间,如不能取得,对发行人的业务开展是否有存在重大不利影响
根据发行人的说明,发行人 2015 年至 2017 年申请的 4 项专利,其申请时间和实际审核开始时间如下所示:
申请中专利名称 | 专利号及专利类型 | 专利申请日 | 实际审核开始日期 |
一种从行为数据 识别用户特性的方法 | 发明专利申请号: 201510701305.X (实质审查阶段) | 2015 年 10 月 23 日 | 2016 年 3 月 9 日 |
一种快速识别用户兴趣点的方法 | 发明专利申请号: 201510702141.2 (实质审查阶段) | 2015 年 10 月 23 日 | 2016 年 2 月 3 日 |
一种识别问卷批改得分的方法 | 发明专利申请号: 201711342421.2 (实质审查阶段) | 2017 年 12 月 14 日 | 2018 年 5 月 6 日 |
一种学生学科掌握能力的个性化 评估方法 | 发明专利申请号: 201711339865.0 (实质审查阶段) | 2017 年 12 月 14 日 | 2018 年 5 月 30 日 |
根据发行人提供的《专利申请受理通知书》《发明专利申请公布及进入实质审查阶段通知书》及出具的说明,截至本补充法律意见书出具日,上述 4 项发明专利均已进入实质审查阶段,其中,2017 年申报的相关分析方法专利,是用于教育大数据的业务分析,于 2018 年 5 月才进入实际审核阶段;2015 年申报的两个发明专利,均为面向商业应用的专业数据化分析算法或方法模型,相关类型的专利此前申报较少,因此可参考的申请专利案例较少。截至本补充法律意见书出具日,发行人未收到国家知识产权局对上述 4 项专利提出质疑。
发行人核心技术的研发产出包括分析技术模型(以专利申请为主)与相关分
析软件(以申请软件著作权登记为主)。实际业务中,可保护发行人核心技术业务竞争力的是软件产品的能力,而非专利申请数量。发行人分析技术模型中的核心要素,如流程、模型与参数选择等,在实际生产过程中不能通过专利得到有效保护(易于被竞争对手学习模仿而难以查验),只有通过软件模式,将分析技术模型以黑盒实现(不说明中间核心分析过程),从而屏蔽了所有细节,才能不被竞争对手所掌握,达到保护发行人核心技术的作用。此外,上述两项 2015 年申报的发明专利属于大数据应用初期公司研发的通用性分析模型方法,发行人陆续在此方法体系下研发了大量适合细分领域的更深入的分析技术或软件,实际应用中对原申请专利在业务能力上也进行了升级和替代。因此,发行人上述 4 项 2017 年及之前申请的专利是否能取得,对发行人的业务开展不存在重大不利影响。
(六) 公司高管、核心技术人员是否违反竞业禁止和保密等约定,是否存在纠纷或潜在纠纷,是否存在承担相关法律责任的风险
根据发行人的说明及发行人高级管理人员、核心技术人员出具的确认函,发行人理人员、核心技术人员加入发行人前的任职单位(以下简称离职单位)及其与离职单位之间关于竞业禁止和保密等约定的情况如下:
姓名 | 在发行人所任职务 | 离职单位 | 从离职单位的离职时间 | 是否与离职单位签署保密协议 | 是否与离职单位签署竞业禁止协议 |
xx | 总经理 | 北京慧聪国际资 讯有限公司 | 2008 年 | 否 | 否 |
xxx | 副总经理 | 武汉亚信市场咨询有限公司 | 1998 年 | 否 | 否 |
思玮市场咨询有限公司 | 2005 年 | 否 | 否 | ||
益普索 | 2012 年 | 是 | 否 | ||
xxx | 副总经理 | 联合利华 | 2001 年 | 否 | 否 |
现代国际市场研究公司(上海)分 公司 | 2004 年 | 否 | 否 |
丹思卡威 | 2012 年 | 否 | 否 | ||
xx | 副总经理 | 宝洁(中国)有限公司 | 1999 年 | 否 | 否 |
xxx | 2000 年 | 否 | 否 | ||
广东现代国际市场研究有限公司 | 2001 年 | 否 | 否 | ||
思玮市场资讯有 限公司 | 2005 年 | 否 | 否 | ||
x思卡威 | 2012 年 | 否 | 否 | ||
xxx | 董事会秘书、财务负责人 | 北京兆维电子(集团)有限责任公司 | 2004 年 | 否 | 否 |
北京兆维亿方科 技发展有限公司 | 2008 年 | 否 | 否 | ||
汉瑞商务咨询(北 京)有限公司 | 2009 年 | 否 | 否 | ||
马亮 | 核心技术人员 | 江苏亿科达科技发展有限公司 | 2008 年 | 否 | 否 |
北京信海千寻信 息技术有限公司 | 2010 年 | 否 | 否 | ||
江苏南亿xx数字科技发展有限公司 | 2011 年 | 否 | 否 | ||
韩丁 | 核心技术人员 | 联想集团 | 2006 年 | 否 | 否 |
益普索 | 2012 年 | 是 | 否 | ||
xx | 核心技术人员 | 国家电网信息通信分公司 | 2015 年 | 否 | 否 |
根据发行人高级管理人员、核心技术人员出具的确认函,截至本补充法律意见书出具日,发行人高级管理人员、核心技术人员不存在违反竞业禁止和保密等约定的情形,不存在纠纷或潜在纠纷,亦不存在承担相关法律责任的风险。
(七) 发行人专利、核心技术等是否来源于前述公司,是否为该等人员在上述公司的职务发明
根据发行人提供的《实用新型专利证书》《发明专利证书》《手续合格通知书》《专利登记簿副本》、国家知识产权局出具的《证明》并经本所律师在中国及多国专利审查信息查询网站(xxxx://xxxxxxx.xxxx.xxx.xx/)查询,截至本补充法律意见书出具日,发行人及其境内下属公司共拥有 5 项已获得授权的境内专利,具体情况如下:
序号 | 专利权人 | 名称 | 类别 | 专利号 | 申请日 | 授权公告日 | 发明人 | 原专权利人/ 申请人 |
1 | 慧辰资讯 | 一种基于移动终端设备的天气预报方 法及系统 | 发明专利 | ZL2013 100170 87.9 | 2013 年 1 月 17 日 | 2015 年4 月 15 日 | 马帅 | 北京知投家知识产权运营有 限公司 |
2 | 慧辰资讯 | 支持多类型数据库操作的集成接口的实现方法及系统 | 发明专利 | ZL2015 100584 63.8 | 2015 年 2 月 4 日 | 2019 年3 月 22 日 | xxx | 新余兴邦信息产业有限公司 |
3 | 慧辰资讯 | 防脱落的电力调度自动化控制系统及 方法 | 发明专利 | ZL2016 103276 61.4 | 2016 年 5 月 18 日 | 2019 年3 月 8 日 | xx; 其他发明人请求不公 开姓名 | xxx |
4 | 智慧生态 | 智能化环境检测和维护方法 | 发明专利 | ZL2017 102914 93.2 | 2017 年 4 月 28 日 | 2019 年3 月 26 日 | 请求不公开姓名 | 无锡北斗星通信息科技有限 公司 |
5 | 智慧生态 | 一种空气质量治理装置 | 实用新型 | ZL2015 208505 52.1 | 2015 年 10 月 30 日 | 2016 年6 月 8 日 | xx | xx |
根据发行人高级管理人员、核心技术人员出具的确认函,上述专利中,已公开姓名(含部分公开)的发明涉及的发明人及原权利人人均不属于发行人的高级管理人员及核心技术人员,发行人的专利均不来源于上述离职单位,亦不涉及发行人的高级管理人员及核心技术人员在上述离职单位的职务成果。
根据《招股说明书(申报稿)》、发行人高级管理人员、核心技术人员出具的确认函及发行人的说明,截至本补充法律意见书出具日,发行人共有 4 项核心技术,分别是商业消费服务数据化分析技术、个性化用户分析与智能应用技术、运营效能分析与优化应用技术和生态环保的数据化分析与治理技术,系发行人自主研发为主,均不来源于上述离职单位,亦不涉及发行人的高级管理人员及核心技术人员在上述离职单位的职务成果。
问题十一: 关于数据来源合规性
首轮问询回复,在公司为客户提供数据分析服务时,主要有三类数据获取途径,分别是客户提供的数据、公司向供应商采集的数据以及公司自行采集的数据。
请发行人说明:(1)报告期内,发行人上述三类数据来源的占比,发行人是否掌握核心数据来源,此种运营模式是否与同行业可比公司相同或相似,是否对数据供应商存在重大依赖;(2)上述数据的所有权归属情况,公司向供应商采集数据以及公司自行采集数据时,是否获得了相关信息主体(及用户)的合法授权,
是否明确告知收集信息的范围及使用用途,是否对用户有明示提示,发行人获取用户数据的手段及方式是否合法合规;(3)发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定,是否制定并公开收集使用规则,是否向所在地网信部门备案,是否存在违反收集使用规则使用个人信息的情况,发行人相关内部控制措施是否合法合规并得到有效执行;(4)发行人使用用户数据是否
合法合规,请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法
律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险;(5)数据获取、使用、处理等过程的内部控制制度及执行情况,对
数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷;(6)对于公司向数据供应商购买数据的,请说明供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意,授权是否完备合规,个人信息获取是否合法。公司是否建立完善的供应商评价体系,以及供应
商甄选、数据源核验以及合同合规性审核的内控措施;(7)发行人的数据是否存在转授权或流转给第三方使用的情况,如存在,是否经过了个人信息主体的明示同意,是否经过了充分的脱敏,相关授权流程是否完备。(8)日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施。必要时请做风
险提示和重大事项提示。
请保荐机构、发行人律师进行全面核查,说明核查的方式、过程、依据,并发表明确意见。
回复:
(一) 报告期内,发行人上述三类数据来源的占比,发行人是否掌握核心数据来源,此种运营模式是否与同行业可比公司相同或相似,是否对数据供应商存在重大依赖
1、 报告期内,发行人上述三类数据的具体内容、标准及占比
根据发行人填写的调查问卷并经本所律师对发行人相关业务负责人进行访谈,报告期内,发行人为客户提供数据分析服务时,主要有三类数据获取途径,分别是客户提供的数据、公司向供应商采集的数据以及公司自行采集的数据,上述三类数据的具体内容和标准的具体情况如下:
数据来源 | 具体内容 | 标准(以采集方式不同区分) |
客户提供的数据 | 如产品物料数据、会员销售数据(销售单号、销售终端、会员编号、购买产品、购买时间 与数量)、渠道数据(渠道编 | 由客户从内部系统导出相关数 据,并交由发行人处理,发行人本身不参与数据采集过程 |
号、所在地、店铺规模、检测 问题列表) 与客服数据等 | ||
公司向供应商采集的数据 | 消费者态度数据(消费者对品牌/产品的价格、偏好、功能认知、使用中的问题,对服务渠道与客服的意见) | 主要通过外部数据供应商采集, 多基于座谈会、展会、问卷、电话访谈等方式。少量需要通过互联网采集公开新闻信息报道(涉及新闻内容、媒体与发布时间等), 发行人本身不参与实施具 体的数据采集行为 |
公司自行采集的数据 | 消费者态度数据(消费者对具体业务/服务的认知、评价、问题点、满意度、相关建议) | 发行人主要采集消费者态度数据与渠道类数据,多基于问卷调查与电话专访方式。 |
根据发行人填写的调查问卷,发行人的数据分析服务可以实现对企业内外部数据、消费者态度与行为数据和行业大数据的多维度数据分析,在同一个项目中经常会出现企业内外部数据、行业数据(数据量较大)以及消费者态度与行为大数据(数据量较小)多类数据,因此发行人的项目无法按照数据来源对项目进行划分;此外,因数据分析业务具有定制化、个案化的特点,不同业务类型数据内容和形式差异较大,难以找到统一的数量统计口径。发行人数据按照数据类型来进行划分,可以分为结构化数据和非结构化数据,不同数据类型的统计方法不同。其中,结构化数据按数据条目进行统计,最高可达百亿条数据级别;非结构化数据以文本、图片和视频为主,按数据规模进行统计,最高可到百 TB 级别。因此,发行人为客户提供的服务所涉及的数据来源难以统计具体比例。
2、 发行人是否掌握核心数据来源,此种运营模式是否与同行业可比公司相同或相似
根据发行人出具的说明并经本所律师对发行人相关业务负责人进行访谈,发行人获取数据的主要来源包括客户提供的数据、公司向供应商采集的数据以及公司自行采集的数据。其中,报告期内,发行人相关数据分析业务以客户提供的数据为核心、主要的数据来源,在为客户提供相关业务具有实际需要时,发行人也向供应商采集和/或自行采集需要的数据。
发行人的业务核心为提供数据分析服务,具体而言,发行人主要根据具体客户在具体项目下提出的个性化需求,基于自身积累的大数据分析技术和行业洞察能力,通过分析、处理数据生成算法模型,并将模型运行在客户的生产环境中。行业内不同企业的数据分析方法以及形成的解决方案均有所不同,故运营模式不尽一致。
3、 是否存在数据来源的风险,是否对数据供应商存在重大依赖
根据发行人出具的说明并经本所律师对发行人相关业务负责人进行访谈,发行人的业务核心为提供数据分析服务,客户提供数据作为数据来源的项目,单一项目的测试数据规模可达到 1-10 亿级别(此类数据作为测试数据集,最终的生产
数据的数据规模是测试数据集数据规模的 10-20 倍),是公司数据分析项目的主要业务数据来源,发行人数据分析业务通常不存在数据来源层面的风险。
此外,发行人亦具备自行采集数据的能力,可替代部分发行人从供应商采集的数据,对数据供应商不存在重大依赖。发行人数据供应商所从事的数据获取业务行业门槛较低,供应商可替代性强,发行人对单一供应商不存在重大依赖。
(二) 上述数据的所有权归属情况,公司向供应商采集数据以及公司自行采集数据时,是否获得了相关信息主体(及用户)的合法授权,是否明确告知收集信息的范围及使用用途,是否对用户有明示提示,发行人获取用户数据的手段及方式是否合法合规
1、 上述数据的所有权归属情况
根据《中华人民共和国民法总则》第一百一十一条规定,―自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。‖
《中华人民共和国物权法》第三十九条规定:―所有权人对自己的不动产或者动产,依法享有占有、使用、收益和处分的权利。‖
《中华人民共和国网络安全法》第四十一条的规定:―网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。‖
目前,相关法律法规暂无对个人信息所有权归属的具体、明确的规定。但根据国家个人信息保护的相关规范,企业可以在获得个人信息主体(即用户)合法授权的情况下,在法律允许的范围依法处理(含收集、使用、留存等)个人信息。有关个人信息保护的相关国家标准《信息安全技术个人信息安全规范》也明确了
―个人信息控制者‖的概念,是指有权决定个人信息处理目的、方式等的组织或个人。
据此,参照《中华人民共和国民法总则》《中华人民共和国物权法》及《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》的上述规定,在相关数据涉及个人信息的情况下,发行人及发行人的客户、供应商作为相关数据的收集者、应用者对该等数据均不具有不受限制的所有权,但可以在获得个人信息主体(及用户)合法授权的情况下,在法律允许的范围内享有对所收集个人信息的控制权。
此外,《中华人民共和国反不正当竞争法》对市场经营者的商业秘密进行保护。根据《中华人民共和国反不正当竞争法》第九条的规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。就客户提供的数据而言,由于其涉及客户在经营过程中产生的商业性质的数据,在满足法定要件的情况下,也可能构成法律所保护的商业秘密。在客户数据构成商业秘密的情况下,该等数据的相关权益由发行人的客户享有。
2、 公司向供应商采集数据以及公司自行采集数据时,取得相关信息主体(及用户)的合法授权、明确告知收集信息的范围及使用用途及对用户进行明示提示的情况
(1) 根据发行人提供的相关业务场景下使用的授权告知模本、《HCR 数据与隐私保护政策》及出具的说明并经本所律师核查,截至本补充法律意见书出具日,针对公司自行采集数据的业务场景,发行人进行采集数据,均结合授权告知模本和《HCR 数据与隐私保护政策》等以不同形式对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权。
前述授权告知模本的主要内容如下(以下―我们‖指项目名义发起方,视具体情况为发行人的客户或发行人,―您‖指被采集方):
―为本项目之必要,我们将收集您的多种个人信息用于 XX 目的。具体而言,我们将收集您的姓名、联系方式(手机号码、电子邮箱),用于确认您的身份和本项目下后续可能进行的随访过程;同时,为开展本项目下的行业研究和分析过程,我们还将收集您的 XX。
为保证个人信息安全,我们将尽量通过软件系统等电子化方式收集您的个人信息。基于本授权文件中所声明的目的,我们将在本项目开展期间及项目结束后的合理期限内保存并处理您的上述个人信息。
由于本项目的复杂性和广泛性,我们可能需要与 HCR 下属的不同实体与分支机构、商业合作伙伴等(统称―授权伙伴‖)共同完成本项目,因此可能需要将您的上述个人信息提供给我们的授权伙伴,例如使用第三方提供的线上软件系统、与第三方共同采集需要的数据等。我们将谨慎选择授权伙伴,并确保通过合同等方式要求这些授权伙伴依照《网络安全法》等法律规定保护您的个人信息。„本项目由 XX 基于 XX 目的发起,并由 XX 具体执行。„‖
《HCR 数据与隐私保护政策》中涉及不同业务场景下发行人收集和处理个人信息授权的主要内容如下(以下―我们‖指项目名义发起方,视具体情况为发行人的客户或发行人,―您‖指被采集方):
―HCR 在不同的业务场景下,将与客户开展多种多样的业务合作。我们将与
客户一道,确保所收集和处理的个人信息已取得您的完整、有效授权同意,但以下情况除外:
1) 与履行法律法规规定的义务相关的;
2) 与国家安全、国防安全直接相关的;
3) 与公共安全、公共卫生、重大公共利益直接相关的;
4) 与犯罪侦查、起诉、审判和判决执行等直接相关的;
5) 出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;
6) 所涉及的个人信息是您自行向社会公众公开的;
7) 根据您的要求签订和履行合同所必需的;
8) 从合法公开披露的信息中收集个人信息的,如合法的新闻报道、政府信息公开等渠道;
9) 维护所提供产品或服务的安全稳定运行所必需的,例如发现、处置产品或服务的故障;
10) 个人信息控制者为新闻单位,且其开展合法的新闻报道所必需的;个人信息控制者为学术研究机构,出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果时,对结果中所包含的个人信息进行去标识化处理的。
在一些业务场景下,我们可能自己作为数据控制者进行数据处理,例如以
HCR 自身名义开展的市场调研和其他类型的数据收集过程。此时,我们将严格按
照适用法律法规的要求向您提供 HCR 的隐私保护政策或声明,并可能会另行向您提供特定的隐私声明文本,并在其中提供与该具体业务场景相关的详细信息。
在一些业务场景下,我们将作为数据处理者,严格按照相关数据控制者的指示进行数据处理,例如我们接受客户委托完成数据采集、分析等过程时;该等情况下,个人信息处理的范围、目的、共享和留存等相关信息,请参阅该等具体场景下由客户向您提供的隐私政策。
总体而言,我们处理的个人信息可能包括以下类别:
1) 身份数据 – 如姓名、身份证件号码或其他标识符;
2) 联系信息 – 如地址、电子邮件地址和电话号码等;
3) 特征数据 – 包括兴趣、偏好、反馈和调查结果等其他相关信息。
在相关业务流程中,我们将按照客户的具体要求或项目的具体需要处理个人信息,确保所使用的个人信息类别均是业务流程的实现是必要的。‖
(2) 根据发行人提供的供应商管理制度、相关供应商的个人信息授权书样例、隐私政策等告知文本等资料及发行人的说明并经本所律师核查,截至本补充法律意见书出具日,针对供应商以发行人名义或代为采集数据的场景,发行人均通过要求供应商签署合规经营承诺函、供应商业务管理、提供授权告知模本等方式严格督促供应商对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权,确保取得个人信息主体出具的明确授权文件。
基于上述,本所认为,截至本补充法律意见书出具日,公司向供应商采集数据以及公司自行采集数据时,均会明确告知收集信息的范围及使用用途,对用户有明示提示并获得相关信息主体(及用户)的合法授权,发行人获取用户数据的手段及方式合法合规。
(三) 发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定,是否制定并公开收集使用规则,是否向所在地网信部门备案,是否存在违反收集使用规则使用个人信息的情况,发行人相关内部控制措施是否合法合规并得到有效执行
1、 发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定
《数据安全管理办法(征求意见稿)》发布于 2019 年 5 月,截至本补充法律意见书出具日,仍未正式生效。
根据发行人提供的隐私保护政策、授权告知模本、相关业务合同及出具的说明并经本所律师对相关业务负责人进行访谈,截至本补充法律意见书出具日,发行人收集、使用等数据处理行为整体符合《数据安全管理办法(征求意见稿)》的相关规定。具体而言,发行人已采取的主要、针对性的数据合规措施包括:
《数据安全管理办法(征求意见稿)》相应条款 | 发行人已采取的合规措施 |
第七条、第八条、第十条 | 发行人在通过网站、应用程序等渠道收集使用个人信息时,已分别针对不同的项目情况制定并公开了收集使用规则、目的范围、使用与共享情况、个人信息控制者情况、用户权利与投诉联系渠道等必要 内容,并不时更新。 |
第十二条 | 发行人主要服务企业客户,如收集 14 周岁以下未成 年人个人信息的,将确保征得其监护人同意。 |
第十七条 | 发行人已在内部控制措施中明确了任命数据安全负责人,指导、监督管理部及配合部门切实开展数据安全相关的各项工作,数据安全负责人应由具有相关管理工作经历和数据安全专业知识的人员担任, 定期向发行人主要负责人报告工作情况,同时对数据安全负责人的职责进行了规定。 |
第十九条 | 发行人已参照国家有关标准,设计并采用了数据分 类、备份、加密等措施。 |
《数据安全管理办法(征求 意见稿)》相应条款 | 发行人已采取的合规措施 |
第二十条 | 发行人严格按照可适用的法律法规要求和收集使用规则中的说明保存个人信息,并在内部控制措施中 明确了相关要求。 |
第二十一条 | 发行人已合理公开投诉与联系方式,在收到有关个人信息查询、更正、删除请求时及时响应。 |
2、 是否制定并公开收集使用规则
根据发行人提供的《HCR 数据与隐私保护政策》并经本所律师查询发行人官方网站(xxxx://xxx.xxx.xxx.xx/),截至本补充法律意见书出具日,发行人已制定隐私政策并xxx资讯官方网站进行公示,上述隐私保护政策中的主要内容包括如下部分:
(1) 发行人及其关联公司的基本信息
(2) 数据保护原则
(3) 如何处理个人信息
(4) 如何披露客户和用户的个人信息
(5) 如何保留客户和用户的个人信息
(6) 如何保护客户和用户的个人信息
(7) 客户和用户对其个人信息的权利
(8) 如何处理儿童的个人信息
(9) 政策如何更新
3、 是否向所在地网信部门备案
根据《数据安全管理办法(征求意见稿)》第十五条规定,―网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。备案内容
包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。‖
截至本补充法律意见书出具日,《数据安全管理办法(征求意见稿)》尚未生效;根据公开可用的信息,各级网信部门尚未正式公布或出台上述网络运营者备案流程相关的具体规定,因此发行人尚未向所在地网信部门备案。根据发行人的说明,结合发行人届时具体开展业务情况及相关具体规定,发行人及其下属公司将依法根据未来立法立规的进展,及时、妥善地履行相关备案程序。
4、 是否存在违反收集使用规则使用个人信息的情况
根据发行人的说明并经本所律师对发行人相关业务负责人进行访谈及在信用中国网 ( xxxx://xxx.xxxxxxxxxxx.xxx.xx/ ) 、 国家 企 业信用 信 息公示 系 统
( xxxx://xxx.xxxx.xxx.xx/xxxxx.xxxx ) 、 中 国 裁 判 文 书 网
(xxxx://xxxxxx.xxxxx.xxx.xx/)、人民法院公告网(xxxx://xxxxxx.xxxxx.xxx.xx/)、
12309 中国检察网( xxxx://xxx.xxxxxx.xxx.xxx.xx/ ) 、中国执行信息公开网
(xxxx://xxxx.xxxxx.xxx.xx/)查询,截至本补充法律意见书出具日,发行人不存在因违反收集使用规则使用个人信息而产生的纠纷、诉讼或因此而受到相关行政处罚的情况。
5、 发行人相关内部控制措施是否合法合规并得到有效执行
根据发行人提供的相关数据安全管理制度文件及出具的说明并经本所律师核查,在数据安全管理制度方面,发行人已就市场调查数据的信息安全管理活动获得了 ISO27001 信息安全管理体系认证。另外,发行人已建立了与数据安全相关的内部控制制度,具体情况如下:
制度名称 | 制度的作用 |
《信息安全管理制度 (V1.0)》 | 加强公司信息化安全,保证在管理手段提高的情况下使得在系统使用和维护过程中不会造成数据丢失和泄密。 保证公司信息资产的完整性、安全性 |
制度名称 | 制度的作用 |
《信息泄露管理办法 (V1.0)》 | 保护公司商业秘密的安全,防止商业秘密丢失、外泄和 非正常使用,公司全体员工共同执行信息安全数据保护管理要求,保障客户与公司利益不受侵害 |
《数据备份与恢复管理规范 (V1. 0)》 | 为加强公司信息化安全,保证企业信息资产的完整性、安全性 |
《个人数据保护制度 (V1.1)》 | 为了加强公司个人数据安全管理,规范个人数据访问流程和访问权限以及规范承载个人数据的环境,降低个人 数据被违法使用和传播的风险 |
《系统运维管理办法 (V1.0)》 | 规范公司的 IT 管理和保证 IT 服务质量,提高设备使用 效率 |
《机房安全管理办法 (V1.0)》 | 加强机房的安全管理,为通信设备提供安全的运行环境,保证机房内设备处于最佳运行状态 |
发行人已建立的数据安全管理内部控制制度覆盖了整体信息化安全管理、数据及商业秘密安全与泄露事件的应对、个人数据的独立保护以及物理层面系统及机房的安全管理,从整体到不同类型数据类型,从数据、系统到物理层面均包含在内,符合相关法律法规的规定。此外,发行人为增强全员数据安全意识、推动落实上述各项内部控制制度,已切实开展全员信息安全培训与欧盟《通用数据保护条例》合规培训等培训活动,并以考试方式予以合理考核,总体上确保了有关内控制度的较好、有效执行。
(四) 发行人使用用户数据是否合法合规,请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险
1、 发行人作为网络运营者开展业务中使用数据遵守《网络安全法》的情况
根据发行人提供的相关数据安全管理制度文件、隐私保护政策、相关业务场景下使用的授权告知模本、相关业务合同及发行人出具的说明并经本所律师对照
《网络安全法》对网络运营者经营业务中使用数据的相关规定,发行人作为网络
运营者开展业务中使用数据符合《网络安全法》的相关规定,具体如下:
相关条款 | 相关规定 | 发行人开展业务是否符合前述规定 |
第三十七条 | 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法 律、行政法规另有规定的,依照其规定。 | 根据发行人的说明, 发行人未被认定为 关键信息基础设施 的运营者 |
第四十条 | 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。 | 符合 |
第四十一条 | 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定, 处理其保存的个人信息。 | 符合 |
第四十二条 | 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并 向有关主管部门报告。 | 符合 |
第四十四条 | 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。 | 符合 |
第四十九条 | 网络运营者应当建立网络信息安全投诉、举 报制度,公布投诉、举报方式等信息,及时 | 符合 |
受理并处理有关网络信息安全的投诉和举报。 网络运营者对网信部门和有关部门依法实施 的监督检查,应当予以配合。 |
2、 发行人开展业务中使用数据遵守《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的情况
根据发行人提供的相关业务合同及发行人出具的说明并经本所律师对照《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的相关规定,截至本补充法律意见书出具日,发行人开展业务中不存在均不构成《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》所称各类型违法行为。
3、 发行人开展业务中使用个人信息的现状符合《信息安全技术个人信息安全规范》的核查
全国信息安全标准化技术委员制定的《信息安全技术个人信息安全规范》
(GB/T 35273-2017)(以下简称《个人信息安全规范》)已经于 2018 年 5 月 1 日起施行。《个人信息安全规范》为推荐性国家标准而非强制性标准。根据《中华人民共和国标准化法》第十四条的规定:强制性标准必须执行。不符合强制性标准的产品,禁止生产、销售和进口。推荐性标准,国家鼓励企业自愿采用。
根据发行人提供的隐私保护政策、相关业务场景下使用的授权告知模本、相关数据安全管理制度文件及出具的说明并经本所律师对照《个人信息安全规范》第 7 条关于个人信息使用的相关规定查阅上述隐私保护政策及制度中的相关内容,截至本补充法律意见书出具日,发行人已参照《个人信息安全规范》的基本要求对开展业务中个人信息使用方面进行了规范,具体如下:
相关条款 | 发行人隐私保护政策及内控制度中的相关内容及开展业务中个人信息使用的情况 |
7.1 个人信息访问控 | 《HCR数据与隐私保护政策》―VI 我们如何保护您的个人 |
制措施 | 信息‖规定(以下―我们‖指项目名义发起方,视具体情况为发行人的客户或发行人,―您‖指被采集方),―我们承诺已使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的个人信息 , 包 括 : 1)我们会在可行的情况下及时将您的个人信息进行去标识化处理,从而降低其他组织或个人通过去标识化个人信息识别到您的风险。我们会定期审查数据处理的方式(包括物理性安全措施),以避免各种未经授权的访问。 2)我们已在集团层面统一设置了个人信息处理权限管控制度,并切实推行至各部门与业务团队;我们只允许那些为实现处理目的所必要的员工及其他经授权代为处理的人员访问个人信息,并保证其受到严格的合同保密义务。 3)我们将不断努力保障您的个人信息安全,并实施存储和传输全程安全加密等保障手段,以免您的个人信息在未经授权的情况下被访问、使用或披露。 4)我们在传输和存储您的个人敏感信息时,会采用加密等 安全措施。‖ |
7.2 个人信息的展示限制 | 根据发行人的说明,发行人向客户展示的数据中可见信息均为例如性别、年龄段、消费偏好、兴趣偏好等用户预测标签, 该等数据已经经过加密、去标识化处理,不会识别至个人。 |
7.3 个人信息的使用限制 | 《HCR 数据与隐私保护政策》―IV 我们如何披露您的个人信息‖规定,―我们仅会出于合法、正当、必要、特定、明确的目的共享和披露您的个人信息。我们将,同时也会敦促我们的合作伙伴一道,严格依据数据处理目的利用您的个人信息。 在涉及出售、转让或合并部分业务或资产时,我们也可能与第三方分享个人信息。如果业务控制发生变更,我们将切实采取措施,要求业务或部分业务的购买方继续按照本政策所述的相同标准处理、保护您的个人信息。 我们还可能依照法律法规或法庭要求、响应执法机构要求或在其他法律要求或许可的情况下披露个人信息。 关于在各具体的业务场景下您的个人信息将如何披露,您可参见由我们及其客户向您另行提供的隐私政策或其他相关法律文本。‖ 具体业务场景下,发行人在采集数据前向个人出示的授权告 |
知模本中规定(以下―我们‖指项目名义发起方,视具体情况为发行人的客户或发行人,―您‖指被采集方),“为本项目之必要,我们将收集您的多种个人信息用于 XX 目的。具体而言,我们将收集您的姓名、联系方式(手机号码、电子邮箱),用于确认您的身份和本项目下后续可能进行的随访过程;同时,为开展本项目下的行业研究和分析过程,我们还将收集您的 XX。”根据发行人的说明,采集目的和数据范围将严格依照法律法规、国家标准,按照项目实际需求在使用时补 充。 | |
7.4 个人信息访问 | 《HCR 数据与隐私保护政策》―VIII 您对您的个人信息的权利‖规定,―我们高度尊重您对您个人信息的权利。以下列出您依法享有的权利,以及我们将如何保护您的这些权利。请注意,在具体的产品或服务场景下,出于安全考虑,在处理您的请求前,我们可能需要先行验证您的身份。您有权访问 您的个人信息。‖ |
7.5 个人信息更正 | 《HCR 数据与隐私保护政策》―VIII 您对您的个人信息的权利‖规定,―当您发现我们处理的关于您的个人信息有错误时,您有权要求我们做出更正。‖ |
7.6 个人信息删除 | 《HCR 数据与隐私保护政策》―VIII 您对您的个人信息的权利‖规定,―若我们没有合法理由继续持有并处理您的信息, 您可以向我们要求删除您的个人信息。‖ |
7.7 个人信息主体撤回同意 | 《HCR 数据与隐私保护政策》―VIII 您对您的个人信息的权利‖规定,―如果您同意我们处理您的个人信息,但稍后改变主意,你可以随时撤回您的同意,我们将及时停止处理您的个人信息。‖ |
7.8 个人信息主体注销账户 | 根据发行人的说明,发行人的业务不涉及该条款。 |
7.9 个人信息主体获取个人信息副本 | 根据发行人的说明,基于发行人目前的业务实践,发行人暂 未在相关隐私保护政策及内部制度对个人信息主体的此项权利作出明确规定。 |
7.10 约束信息系统自动决策 | 《HCR 数据与隐私保护政策》―VIII 您对您的个人信息的权利‖规定,―您有权不受制于全自动处理作出的决定,包括用户画像。若这些决定显著影响您的合法权利,您有权要求解 释。‖ |
7.11 相应个人信息主体的请求 | 《HCR 数据与隐私保护政策》―VIII 您对您的个人信息的权利‖规定,―由于我们广泛服务于各行各业的企业客户,且特定项目结束后通常我们作为受委托方将向客户移交项目下 |
涉及的原始材料(含个人信息),为您的请求能够及时、全面地得到回应,我们建议您向具体业务场景(如具体项目) 下的个人信息控制者(通常为我们的客户)直接提出请求, 并由其视情况向我们转交。我们会在收到您的请求后尽快进行回应。 对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将视情收取一定成本费用。对于那些无端重复、需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者非常不切实际(例如,涉及备份磁带上存放的信息)的请求, 我们可能会予以拒绝。 一般而言,我们会在三十天内或法律法规规定的期限内尽快回复,以下情形除外: 1)与个人信息控制者履行法律法规规定的义务相关的; 2)与国家安全、国防安全直接相关的; 3)与公共安全、公共卫生、重大公共利益直接相关的; 4)与犯罪侦查、起诉、审判和执行判决等直接相关的; 5)个人信息控制者有充分证据表明个人信息主体存在主观恶意或滥用权利的; 6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的; 7)响应个人信息主体的请求将导致个人信息主体或其他个人、组织的合法权益受到严重损害的; 8)涉及商业秘密的。‖ | |
7.12 申诉管理 | 《HCR 数据与隐私保护政策》中披露了发行人的联系地址及联系方式。 发行人制定了《(投诉举报管理办法(V1.0 )》,其中对投诉举报案件的提出途径、投诉举报案件受理及处理、各部门职 责分工等作出了相关规定。 |
根据发行人的说明并经本所律师对发行人相关业务负责人进行访谈及在信用中国网 ( xxxx://xxx.xxxxxxxxxxx.xxx.xx/ ) 、 国家 企 业信用 信 息公示 系 统
( xxxx://xxx.xxxx.xxx.xx/xxxxx.xxxx ) 、 中 国 裁 判 文 书 网
(xxxx://xxxxxx.xxxxx.xxx.xx/)、人民法院公告网(xxxx://xxxxxx.xxxxx.xxx.xx/)、
12309 中国检察网( xxxx://xxx.xxxxxx.xxx.xxx.xx/ ) 、中国执行信息公开网
(xxxx://xxxx.xxxxx.xxx.xx/)查询,报告期内,发行人不存在因侵犯用户隐私或数据的情况而产生的纠纷、诉讼或因此而受到相关行政处罚及承担相关刑事责任的情况,不存在重大法律风险或潜在重大法律风险。
(五) 数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷
1、 数据获取、使用、处理等过程的内部控制制度及执行情况
就发行人数据获取、使用、处理等过程的内部控制制度及执行情况的具体情况见本补充法律意见书本题回复之―(三)发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定,是否制定并公开收集使用规则,是否向所在地网信部门备案,是否存在违反收集使用规则使用个人信息的情况,发行人相关内部控制措施是否合法合规并得到有效执行‖所述。
2、 对数据安全和个人隐私的保护措施与手段
根据发行人提供的相关数据管理制度文件及出具的说明并经本所律师对发行人相关业务负责人进行访谈,发行人不曾亦不会获取用户的隐私数据,发行人对于保障用户非隐私数据安全的具体措施作出说明,―公司保障获取的相关数据安全的具体措施如下:
(1) 针对客户提供的数据实行加密管理,具体包括如下几种方式:
① 传输通道加密:客户方数据传输给公司时,主要数据均使用安全加密的上传通道,通过 VPN 拨入后,客户通过相关加密上传工具(如 Sftp 客户端)上传数据到公司内网专用服务器,主要的数据均不会使用公网渠道(如云服务或者邮件)传输。
② 传输文件加密:数据文件有标准格式,按约定密码方式加密。密码由客户方生成,密码强度不低于 STRONG 级别(长度>8 字符,必须包含大写、小写、数字与键盘特殊字符四类字符),且不由数据文件传输通道告知公司,由其他通道
(如电话、短信等),以避免数据与密码同时泄露而被公开。
③ 保存时加密处理:数据在业务分析后,如客户要求留存后用时,如客户要求进行安全保护,则进行归档加密处理(基于 AES 256 以上对称算法加密强度)。密码由项目经理生成和保管,但加密的数据由技术平台保存,且实现冷备份,无法网络访问。后续获取和解密数据恢复业务使用,必须经业务相关项目经理以及技术人员同时操作方可进行,进一步保证数据的安全。
(2) 针对公司向供应商采集的数据及公司自行采集的数据,公司按照被采集人授权个人信息的使用目的、方式和范围进行使用和处理数据。相关处理过程主要如下:
① 预处理:数据清洗为主,确保数据质量达到分析要求与合规可用。
② 数据脱敏:清洗后,检测是否有涉及企业与用户信息的字段(如被访者姓名与企业名称等),如果为客户约定的非分析类字段(如人员姓名),则直接通过不可逆加密(如标准 MD5 算法)处理。如后续客户需深入分析的属性(如终端渠道店的名称),经客户明确要求,则按客户的要求确定加密方法(如先 Base64编码再加 AES/3DES 加密)进行处理,以便后续客户企业可反向解析。
(3) 公司内部构建了数据安全保障体制,具体如下:
在数据安全管理制度方面,公司已就市场调查数据的信息安全管理活动获得了 ISO27001 信息安全管理体系认证。此外,公司已制定《信息安全管理制度》《机房安全管理制度》《数据备份与恢复管理规范》《系统运维管理办法》《个人数据保护制度》《信息泄露管理办法》等与信息系统内部控制相关的制度。
在数据安全管理机构方面,公司技术研发部下设信息技术部为公司数据安全的责任部门,董事会办公室下属的管理部是数据安全的管理部门,内控部定期对安全规范进行核查。
在人员管理层面,公司按照不同的数据类型、不同的敏感程度对接触、处理数据的人员权限进行划分,不同角色、级别人员所管理的数据及访问权限分别如下:
人员角色 | 对应管理数据 | 访问权限 |
数据库管理员 | 底层业务数据库系统的数据 | 经数据对应的管理者许可后可浏览。 不可修改和增删 |
应用管理员 | 相关应用软件(外购与自主研发)相关的全部数据 | 外购软件的数据操作根据软件功能而定,自主研发软件的数 据操作支持浏览修改和删除 |
应用开发人员 | 与研发系统相关的,与本人业 务功能相关的开发测试数据 | 可浏览、修改、增删 |
DP 处理人员 | 项目服务中,所支撑的项目中需实现处理的部分数据 | 可浏览,修改需根据业务要求, 无权增删 |
项目经理 | 所参与项目中的全部业务数据 | 可浏览,修改增删权限根据客 户方要求确定 |
项目业务人员 | 所参与项目中,与自身工作相关的业务数据 | 可浏览,修改增删权限,由项目经理确定 |
公司会定期对上述人员的访问权限进行核查。此外,公司员工已签署保密协议,其中包含个人数据保护相关条款,且公司不定期组织员工进行有关个人数据安全保护的培训及考试,对新员工进行有关个人数据安全保护的入职培训,并制定个人数据泄露处罚规则,对于违反相关规定的人员进行惩戒;外部人员访问受控区域(如机房)前需向对应管理部门提出书面申请,相关管理部门主管审批通过后,方可授权进入;定期对关键岗位人员进行全面、严格的安全审查和技能考核及交流。‖
3、 是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷
根据发行人的说明并经本所律师对发行人相关业务负责人进行访谈及在信用中国网 ( xxxx://xxx.xxxxxxxxxxx.xxx.xx/ ) 、 国家 企 业信用 信 息公示 系 统
( xxxx://xxx.xxxx.xxx.xx/xxxxx.xxxx ) 、 中 国 裁 判 文 书 网
(xxxx://xxxxxx.xxxxx.xxx.xx/)、人民法院公告网(xxxx://xxxxxx.xxxxx.xxx.xx/)、
12309 中国检察网( xxxx://xxx.xxxxxx.xxx.xxx.xx/ ) 、中国执行信息公开网
(xxxx://xxxx.xxxxx.xxx.xx/)查询,截至本补充法律意见书出具日,发行人未出现过个人信息、隐私泄露事件,亦不存在重大纠纷或潜在重大纠纷。
(六) 对于公司向数据供应商购买数据的,请说明供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意,授权是否完备合规,个人信息获取是否合法。公司是否建立完善的供应商评价体系,以及供应商甄选、数据源核验以及合同合规性审核的内控措施
1、 供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意,授权是否完备合规,个人信息获取是否合法
(1) 根据发行人提供的供应商管理制度、相关供应商的个人信息授权书样例、隐私政策等告知文本等资料及发行人的说明并经本所律师核查,截至本补充法律意见书出具日,对于数据执行类供应商及其他可能涉及以发行人名义采集或代发行人采集数据的供应商,发行人将要求该等供应商确保在采集过程取得个人信息主体出具的明确授权文件,以合法取得终端用户的有效授权。具体而言:
① 在该等供应商以发行人名义采集数据时,个人信息授权书将以发行人名义出具,由终端用户同意并直接授权发行人使用相关数据;
② 在该等供应商以非发行人名义采集数据时,个人信息授权书中关于授权第三方(含发行人在内)使用相关数据的内容主要如下(以下―我们‖指供应商,―您‖指被采集方):
―由于本项目的复杂性和广泛性,我们可能需要与集团内的不同实体与分支机
构、服务提供商、商业合作伙伴等(统称―授权伙伴‖)共同完成本项目的特定部分,此时我们可能需要将您的上述个人信息提供给我们的授权伙伴,例如使用第三方提供的线上软件系统、与第三方共同采集需要的数据等。我们将谨慎选择授权伙伴,并确保通过合同等方式要求这些授权伙伴依照《网络安全法》等法律规定保护您的个人信息。‖
(2) 根据发行人提供的发行人与供应商签署相关数据购买协议/服务委托合同,发行人会要求供应商对获取数据的合规性作出保证,相关条款具体如下(以下―甲方‖指发行人,―乙方‖指供应商):
―乙方应当保证调查结果或数据的真实、准确、完整、合法、及时, 如果由于乙方提供的调查结果不符合前述规定,导致甲方向第三方承担了赔偿责任,乙方应当赔偿甲方因此遭受的一切损失,包括但不限于甲方向第三方赔偿的金额、诉讼费、律师费、差旅费、交通费等。‖
―xxx在不违反法律法规的前提下实施调查,收集相关资料,保证按研究要求如实向甲方提供调查资料及结果。如果乙方或乙方的工作人员在实施调查时采取了违法的、侵权的行为,对此产生的责任均由乙方承担,如因此给甲方造成损害,乙方应承担赔偿责任。xxxx不在任何时间和任何场所诋毁、损害甲方及甲方客户的声誉、名誉。‖
―乙方保证提交甲方之数据、资料及任何信息没有侵犯任何第三方的知识产权及其它权益,并保证甲方免于因正常使用乙方提供的信息而被第三方追究责任。‖
基于上述,本所认为,截至本补充法律意见书出具日,对于公司向数据供应商购买数据的,供应商会确保在采集过程就授权第三方使用相关数据取得个人信息主体出具的明确授权文件,个人信息获取符合相关法律法规的规定。
2、 公司是否建立完善的供应商评价体系,以及供应商甄选、数据源核验以及合同合规性审核的内控措施
根据发行人提供的供应商管理制度及发行人的说明,截至本补充法律意见书出具日,发行人已经制定《供应商管理制度(V3.0)》,经本所律师查阅:
(1) 前述制度已就供应商的审核流程及审核内容进行明确规定。发行人对供应商的审核主要分为如下四部分:
① 供应商信息初审,即核验供应商的基本信息的真实性、准确性和完整性,如营业执照、行政许可或备案(如需)、银行开户、税务登记等;
② 供应商业务审核,即针对供应商从事相关业务的合法合规性证明材料进行审核,针对数据执行类供应商及其他可能涉及向公司提供个人信息等数据的供应商,应重点审核供应商提供的合法合规性证明材料,确保符合《网络安全法》等相关法律法规要求;
③ 重点供应商核查,即对于业务合作深入、数据交互频繁、可能对公司业务开展及合规性等产生重大影响的供应商,应进一步进行重点核查,核查内容包括但不限于要求供应商提供个人信息授权书样例与隐私政策等告知文本(必备)、供应商(与其他客户的)业务协议样例、供应商的内控制度(必备,包括但不限于信息安全组织管理制度、个人信息保护制度、数据及设备安全管理制度、数据备份制度、网络安全事件应急制度等)、业务流程规范等证明材料,并审核证明材料的真实性、准确性、完整性和有效性。原则上,合同金额达到 20 万元(含)的,或涉及数据量达到五百条(含)的,应作为重点供应商予以核查。
④ 审核通过后,要求涉及数据执行类供应商及其他可能涉及向公司提供个人信息等数据的供应商应按照公司统一模板签署数据处理协议,并切实留存供应商审核中的相关信息采集记录和证明文件,并将审核通过后的供应商添加到供应商库中。
(2) 前述制度明确要求供应商在进入审核前即签署合规经营承诺函,供应商需要就如下与数据来源合法合规的事项作出承诺(以下―我司‖指供应商,―贵司‖
指慧辰资讯及其下属公司):
① 我司承诺并保证,我司具有合法资质从事拟与贵司开展的合作事宜,我司服务过程中所收集、使用、向贵司共享的个人信息及其他数据符合相关法律法规规章及监管规定,数据来源合法,且我司不存在任何法律法规禁止或限制情形,我司服务内容不存在任何信息及数据权属及知识产权争议。
② 我司已建立严格的信息及数据安全使用管理制度及内部安全管理制度和操作流程,控制信息及数据知悉范围,建立专人负责制度,并与知悉信息及数据的工作人员签订保密协议,确保知悉信息及数据的工作人员遵守保密义务。
③ 我司承诺并保证,在未获得贵司授权同意情况下,对提供服务过程中知悉的信息及数据不拥有披露、复制、传播、出版、翻译成外国语言等权利。信息及数据的任何格式或者任何复制品视同原始信息及数据。
④ 未经贵司要求,我司承诺并保证不将因合作目的而从贵司或其他数据源获取的任何信息及数据与我司其他来源数据混同。在合作期间,贵司有权对我司进行与本合作信息处理相关的安全审计,我司应予以全力配合,包括但不限于贵司有权对我司与本合作相关信息及数据存储设备管理情况、信息及数据保密管理情况进行问询或检查。
⑤ 我司承诺并保证,与贵司合作过程中提交的所有信息、数据、文件、证明材料、说明文件、合规性承诺等均真实准确、全面完善、合法有效。
(3) 前述制度已就供应商业务行为明确了如下管理要求,以防范在发行人与供应商签署的合同履行过程中存在的风险:
① 供应商应当严格按照所接到的业务需求和指示向公司提供服务和开展合作,不得违反法律法规及相关监管要求开展业务,不得擅自以公司名义从事任何形式的营销、推广、数据采集或其他行为。
② 数据执行类供应商及其他可能涉及以公司名义采集或代公司采集数据的供应商,涉及个人信息的,应确保在采集过程中要求个人信息主体签署(线下渠道)或点击同意(线上渠道)授权文件,并校验签署者身份和个人信息主体身份是否一致。
③ 供应商应当全面、妥善留存开展业务和合作过程的相关记录,尤其是数据执行类供应商及其他可能涉及以公司名义采集或代公司采集数据的供应商,并及时向公司完整移交合作中涉及的原始数据、授权文件及相关记录等业务相关材料。
④ 供应商在向公司完整移交业务相关材料后,应视项目具体情况和公司要求,确保该等材料在脱离生产环境、线下隔离且具有完善权限控制措施的保存方式下冷备留存不超过 6 个月时间,以备公司查验;经公司要求或冷备期间 6 个月届满时,供应商应当切实删除、销毁该等业务相关材料的原始文件,并确保该等删除与销毁行为的记录在冷备期间届满后合理保留必要时长,一经公司要求,供应商应及时提供该等删除与销毁行为的记录。
基于上述,本所认为,截至本补充法律意见书出具日,公司已建立完善的供应商评价体系,以及供应商甄选、数据源核验以及合同合规性审核的内控措施。
(七) 发行人的数据是否存在转授权或流转给第三方使用的情况,如存在,是否经过了个人信息主体的明示同意,是否经过了充分的脱敏,相关授权流程是否完备
根据发行人提供的相关业务协议、隐私保护政策、相关业务场景下使用的授权告知模本及发行人的说明并经本所律师对相关业务负责人进行访谈,发行人作为数据控制者所获取的数据存在的转授权或流转给第三方使用的情况主要包括如下两个情形:一是发行人将其采集的原始数据经脱敏后提供给相应客户;二是发行人以自身名义委托相关供应商进行数据的采集或处理。
1、 上述转授权或对外共享情形已获得个人信息主体的明确授权
(1) 根据发行人提供的《HCR 数据与隐私保护政策》,其中对―如何披露客户和用户的个人信息‖制定了如下内容(以下―我们‖指项目名义发起方,视具体情况为发行人的客户或发行人,―您‖指被采集方):
―我们仅会出于合法、正当、必要、特定、明确的目的共享和披露您的个人信息。我们将,同时也会敦促我们的合作伙伴一道,严格依据数据处理目的利用您的个人信息。
在涉及出售、转让或合并部分业务或资产时,我们也可能与第三方分享个人信息。如果业务控制发生变更,我们将切实采取措施,要求业务或部分业务的购买方继续按照本政策所述的相同标准处理、保护您的个人信息。
我们还可能依照法律法规或法庭要求、响应执法机构要求或在其他法律要求或许可的情况下披露个人信息。
关于在各具体的业务场景下您的个人信息将如何披露,您可参见由我们及其客户向您另行提供的隐私政策或其他相关法律文本。‖
(2) 根据相关业务场景下使用的授权告知模本,终端用户已被明确告知且授权同意其被采集数据可能存在转授权或流转给第三方使用,主要内容如下(以下―我们‖指项目名义发起方,视具体情况为发行人的客户或发行人,―您‖指被采集方):
―由于本项目的复杂性和广泛性,我们可能需要与集团内的不同实体与分支机构、商业合作伙伴等(统称―授权伙伴‖)共同完成本项目,因此可能需要将您的上述个人信息提供给我们的授权伙伴,例如使用第三方提供的线上软件系统、与第三方共同采集需要的数据等。我们将谨慎选择授权伙伴,并确保通过合同等方式要求这些授权伙伴依照《网络安全法》等法律规定保护您的个人信息。‖
2、 进行数据脱敏
(1) 根据发行人提供的相关数据管理制度文件及出具的说明并经本所律师对发行人相关业务负责人进行访谈,针对公司向供应商采集的数据及公司自行采集的数据公司按照被采集人授权个人信息的使用目的、方式和范围进行使用和处理数据。相关处理过程主要如下:
① 预处理:数据清洗为主,确保数据质量达到分析要求与合规可用。
② 数据脱敏:清洗后,检测是否有涉及企业与用户信息的字段(如被访者姓名与企业名称等),如果为客户约定的非分析类字段(如人员姓名),则直接通过不可逆加密(如标准 MD5 算法)处理。如后续客户需深入分析的属性(如终端渠道店的名称),经客户明确要求,则按客户的要求确定加密方法(如先 Base64编码再加 AES/3DES 加密)进行处理,以便后续客户企业可反向解析。‖
(2) 针对发行人作为数据控制者(即发行人以自身名义)委托供应商(包括发行人的其他关联公司)采集或处理个人信息的情况,或涉及从其他第三方供应商处获取个人信息时,发行人会与该等供应商签署数据处理协议,其中对―关于实施技术性和组织性措施保护个人信息的义务‖进行了约定,具体如下:
―3.1.1 供应商应实施适当的技术性和组织性措施保护和保障所处理的个人信息免遭泄露。相关措施的安全等级应至少达到适用数据保护法律、有关监管机构关于个人信息安全的适用规定和指引,且与个人信息处理风险相适当,该等措施包括但不限于:
3.1.1.1 对个人信息进行假名化(如适当)和加密(如适当)处理;
3.1.1.2 防止向任何未授权人士/实体传输个人信息的措施,包括通过传输中对个人信息加密实现安全通讯;
3.1.1.3 持续确保处理系统和服务的保密性、完整性、可用性及恢复力的能力,例如,通过定期对个人信息进行备份;
3.1.1.4 发生物理或技术事件时,具备及时恢复个人信息可用性及访问的能力;
3.1.1.5 定期测试、评估和评价技术性和组织性措施的效果以确保处理的安全性的流程;
3.1.1.6 确保本数据处理协议项下处理个人信息所使用的固定和可移动存储介质在不再使用时以安全且不可逆的方式予以销毁。
3.1.2 供应商应在公司要求时提供必要信息,以使公司就本数据处理协议项下的个人信息处理,根据适用数据保护法律或公司内部数据保护管理要求开展数据保护影响评估工作及向有关监管机构报告或咨询(如适用)。‖
综上,本所认为,截至本补充法律意见书出具日,发行人作为数据控制者所获取的数据存在上述转授权或流转给第三方使用的情形,已经过个人信息主体的明示同意及授权,并按照相关协议和内控制度的要求进行了数据脱敏。
(八) 日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施。必要时请做风险提示和重大事项提示。
根据发行人出具的说明,发行人不曾亦不会获取用户的隐私数据;此外,对于用户非隐私数据的安全性,发行人采取了多重保护,主要体现在如下方面:
1、 经查阅发行人提供的《HCR 数据与隐私保护政策》,其中对―如何保护客户和用户的个人信息‖制定了如下内容(以下―我们‖指项目名义发起方,视具体情况为发行人的客户或发行人,―您‖指被采集方):
―我们已采取了合理的可行措施和技术措施,以保护所处理的个人信息。但是
请注意,虽然我们采取了合理的措施保护您的个人信息,但没有任何网站、Internet传输、计算机系统或无线连接是绝对安全的。
我们承诺已使用符合业界标准的安全防护措施保护您提供的个人信息,防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失。我们会采取一切合理可行的措施,保护您的个人信息,包括:
1) 我们会在可行的情况下及时将您的个人信息进行去标识化处理,从而降低其他组织或个人通过去标识化个人信息识别到您的风险。我们会定期审查数据处理的方式(包括物理性安全措施),以避免各种未经授权的访问。
2) 我们已在集团层面统一设置了个人信息处理权限管控制度,并切实推行至各部门与业务团队;我们只允许那些为实现处理目的所必要的员工及其他经授权代为处理的人员访问个人信息,并保证其受到严格的合同保密义务。
3) 我们将不断努力保障您的个人信息安全,并实施存储和传输全程安全加密等保障手段,以免您的个人信息在未经授权的情况下被访问、使用或披露。
4) 我们在传输和存储您的个人敏感信息时,会采用加密等安全措施。
在发生个人信息安全事件后,我们将按照法律法规的要求,及时向您告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您。难以逐一告知时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,主动上报个人信息安全事件的处置情况。‖
2、 经查阅发行人提供的《个人数据保护制度(V1.1)》,其中关于数据安全保护进行了如下相关规定:
第十四条―数据最小化‖规定,在个人数据的传递、处理、加工过程中,在条件允许的情况下,要对个人数据中的敏感及隐私部分加以加密或假名,以降低个人数据的敏感度。
第二十九条―项目中数据的处理‖规定,(一)项目访问后的数据首先交由 DP
(数据处理部门)进行脱敏处理,把所有的个人信息进行编码,然后才可以提供给其他部门进行进一步使用。处理数据的 DP 一定是经过授权可以接触个人信息的 DP 经理。(二)如果在对数据进行分析时,需要对数据中的个人信息进行还原,则必须由项目经理和 DP 经理、执行经理负责执行,其他项目组成员不得以此为理由接触个人数据。
第三十条―项目中数据的删除‖规定,(一)项目结束后,所有系统内留存的个人数据都需要彻底删除,包括接受和发送数据的邮箱、存储的域文件夹、数据备份的硬盘、访问程序、DP 数据脱敏程序等。(二)数据删除的时间为项目结束后 3 个月内,如有特殊情况需提请审批。(三)数据删除由项目经理、项目执行经理、项目 DP 经理配合,由信息技术部执行,由管理部进行检查。(四)管理部将不定期对数据删除情况进行抽查。
第三十一条―项目中个人数据泄露时间的处理‖规定,(一)项目组成员应严格遵守项目流程,对个人数据泄露事件进行防范。(二)项目组成员如果发现潜在的个人泄露机会(例如非授权人员接触到个人数据,发现个人数据的非法拷贝复制等),应及时报告给项目经理、管理部及《信息泄露管理办法 v1.0》中规定的相关部门。(三)任何人发现项目发生个人数据泄露事件时,应第一时间报告给项目经理,项目经理必须马上停止项目的运作并报告给管理部及客户;同时需按《信息泄露管理办法 v1.0》中规定执行上报或配合核查;在整改完成前,项目不得继续运作(除非客户提出在一定条件下可以继续运作);在整改完成后,得到客户许可后,项目方可继续运作。
3、 经查询发行人提供的相关业务场景下使用的授权告知模本,其中对于被采集方提供了安全保障和承诺,主要内容如下(以下―我们‖指项目名义发起方,视
具体情况为发行人的客户或发行人,―您‖指被采集方):
―我们采取了必要而适当的技术和制度方面的安全保障措施,保护您的个人信息,但也请您知悉,互联网并非绝对安全的环境;因此如您发现您提供给我们的个人信息可能泄露或被不当使用,请及时联系我们,我们将及时展开排查和处理。
如您发现我们收集、存储的个人信息有误,您有权提交正确的个人信息,和/或要求我们进行相应删除或更正。您的其他相关权利及我们如何保护您个人信息的细节,您可查阅我们的隐私保护政策。‖
经本所律师核查,《招股说明书(申报稿)》已在―重大事项提示‖之―九、特别风险提示‖中对―侵犯数据信息安全和数据隐私的风险‖进行提示,具体如下:
―公司主要为行业头部企业和国内政府机构提供基于企业内外部数据、消费者态度与行为数据和行业数据的业务经营分析与应用、定制化行业分析应用解决方案等服务。
根据《中华人民共和国网络安全法》《数据安全管理办法(征求意见稿)》等相关法律法规及立法趋势,针对大数据的汇集与分析应用等行为,例如即时位置状态、交易和浏览行为等信息聚合,相关法律法规及立法趋势对企业的数据合规工作提出了较高的要求,包括个人信息保护及信息数据安全等方面。因公司所处的大数据行业系新兴发展行业,行业内的监管政策仍具有不确定性,在未来公司业务开展中,仍不能完全避免因立法或监管政策的发展变化而引发数据合规方面的潜在法律风险。此外,一旦公司员工违反公司内部相关制度要求,或数据合作方、客户因违反协议约定或基于其他自身原因造成了数据的不当泄露或使用,将可能因侵犯个人隐私而受到主管部门处罚或被用户投诉,或因侵犯个人隐私及个人信息相关权益导致诉讼或仲裁等纠纷,进而可能会对公司声誉及业务开展造成不利影响,影响公司的经营业绩。‖
问题十二: 关于私募基金备案
根据首轮问询回复,上海越日、达鼎财兴属于私募股权投资基金,尚未办理完成私募投资基金备案手续。
请保荐机构、发行人律师核查上述私募股权投资基金备案手续的办理进程,预计完成时间,是否存在不能办理的实质障碍。
回复:
1、 上海越日
根据上海越日提供的相关资料及出具的说明,上海越日的普通合伙人及执行事务合伙人为上海思觅资产管理有限公司,截至本补充法律意见书出具日,上海思觅资产管理有限公司正在准备向中国证券投资基金业协会提交办理私募投资基金管理人登记的申请材料,待其私募投资基金管理人登记完成后,将启动上海越日相应的私募基金产品备案工作,预计于 2020 年 9 月底前办理完成私募投资基金产品备案,不存在不能办理的实质障碍。
2、 达鼎财兴
根据达鼎财兴提供的申请私募基金产品备案的相关文件及出具的说明,达鼎财兴已于 2019 年 10 月 17 日向中国证券投资基金业协会提交办理私募基金产品备案的申请,截至本补充法律意见书出具日,产品备案申请正在审核阶段,预计于 2020 年 2 月底前办理完成私募投资基金产品备案,不存在不能办理的实质障碍。
问题二十一: 关于首轮未回复完成问题
请中介机构勤勉尽责履行核查工作,落实以下事项:(3)保荐机构相关子公司还将参与配售,按照股票发行价格认购发行人首次公开发行股票数量 2%至 5%的股票。请保荐机构、发行人律师结合xxxx和三峡金石投资发行人的比例和发行人首次公开发行股票的规模,说明该等情形是否符合有关监管规则的规定。
回复:
根据发行人提供的发行人及相关股东的工商登记档案、发行人股东名册、相关股东填写的调查问卷及发行人的说明并经本所律师核查,截至本补充法律意见书出具日,发行人股东xxxx、三峡金石分别持有发行人 3.49%、2.10%的股权,xxxx为金石投资有限公司的全资控股子公司,三峡金石的执行事务合伙人三峡金石投资管理有限公司的控股股东为金石投资有限公司,金石投资有限公司是中信证券的全资子公司,中信证券通过xxxx、三峡金石间接合计持有发行人 5.59%的股份。
根据《上海证券交易所科创板股票发行与承销业务指引》第十八条规定,“参与配售的保荐机构相关子公司应当事先与发行人签署配售协议,承诺按照股票发行价格认购发行人首次公开发行股票数量 2%至 5%的股票,具体比例根据发行人首次公开发行股票的规模分档确定:
(一)发行规模不足 10 亿元的,跟投比例为 5%,但不超过人民币 4000 万元;
(二)发行规模 10 亿元以上、不足 20 亿元的,跟投比例为 4%,但不超过人
民币 6000 万元;
(三)发行规模 20 亿元以上、不足 50 亿元的,跟投比例为 3%,但不超过人
民币 1 亿元;
(四)发行规模 50 亿元以上的,跟投比例为 2%,但不超过人民币 10 亿元。‖根据发行人本次发行上市计划发行规模及中信证券全资子公司中信证券投资
有限公司出具的相关说明,假设本次发行股数为 18,568,628 万股,募集资金金额
为 53,258.27 万元,发行规模不足 10 亿元,中信证券投资有限公司将按照股票发行价格认购发行人首次公开发行股票数量的 5%。
本次发行完成后,xxxx和三峡金石分别持有发行人 2.6194%和 1.5716%的股份,中信证券投资有限公司将持有发行人 1.2500%的股份,中信证券及其控股股东、实际控制人、重要关联方将合计持有发行人 5.4410%的股份。
根据《证券发行上市保荐业务管理办法》第三十九条规定,“保荐机构及其控股股东、实际控制人、重要关联方持有发行人的股份合计超过 7%,或者发行人持有、控制保荐机构的股份超过 7%的,保荐机构在推荐发行人证券发行上市时,应联合 1 家无关联保荐机构共同履行保荐职责,且该无关联保荐机构为第一保荐机构。”
基于上述,本所认为,本次发行前后,中信证券及其控股股东、实际控制人、重要关联方单独及合计持有公司股份比例均不超过 7%,不涉及需要联合 1 家无关联保荐机构共同履行保荐职责的情形,符合《上海证券交易所科创板股票发行与承销业务指引》《证券发行上市保荐业务管理办法》的上述规定。
(以下无正文,下接签章页)
(本页无正文,为《北京市金杜律师事务所关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(三)》之签章页)
北京市金杜律师事务所 | 经办律师: |
xx | |
xxx | |
单位负责人: | |
xx | |
二 〇 一 九 年 月 日 |