Contract
北京市金杜律师事务所
关于奥比中光科技集团股份有限公司首次公开发行股票并在科创板上市 之
补充法律意见书(一)
致:奥比中光科技集团股份有限公司
北京市金杜律师事务所(以下简称金杜或本所)接受奥比中光科技集团股份有限公司的委托,担任发行人首次公开发行股票并上市(以下简称本次发行上市)的专项法律顾问。
根据《中华人民共和国证券法》(以下简称《证券法》)、《中华人民共和国公司法》《科创板首次公开发行股票注册管理办法(试行)》《律师事务所从事证券法律业务管理办法》(以下简称《证券法律业务管理办法》)、《律师事务所证券法律业务执业规则(试行)》(以下简称《证券法律业务执业规则》)和《公开发行证券公司信息披露的编报规则第 12 号—公开发行证券的法律意见书和律师工作报告》等中华人民共和国(以下简称中国,为本法律意见书之目的,不包括香港特别行政区、澳门特别行政区和台湾地区)现行有效的法律、行政法规、规章和规范性文件及中国证券监督管理委员会(以下简称中国证监会)的有关规定,金杜已于 2021 年 6 月 22 日出具了《北京市金杜律师事务所关于奥比中光科技集团股份有限公司首次公开发行股票并在科创板上市的法律意见书》和《北京市金杜
律师事务所关于奥比中光科技集团股份有限公司首次公开发行股票并在科创板上市之律师工作报告》(以下合称《法律意见书》)。
鉴于上海证券交易所(以下简称上交所)于 2021 年 7 月 22 日出具了《关于奥比中光科技集团股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》(上证科审(审核)〔2021〕451 号)(以下简称《一轮审核问询函》),本所现根据《一轮审核问询函》所涉及的法律事项,出具本补充法律意见书。
本补充法律意见书是对《法律意见书》的补充,并构成其不可分割的一部分。
本所在《法律意见书》中发表法律意见的前提、声明和假设同样适用于本补充法律意见书。除非文义另有所指,本补充法律意见书中的简称和词语与《法律意见书》具有相同含义。
本所及经办律师同意将本补充法律意见书作为发行人申请本次发行并上市所必备的法律文件,随其他申报材料一同上报上交所,并依法对所出具的补充法律意见承担相应的法律责任。
本补充法律意见书仅供发行人为本次发行并上市之目的使用,未经本所同意,不得用作任何其他目的。
本所及经办律师根据《证券法》《证券法律业务管理办法》《证券法律业务执业规则》和中国证监会的其他有关规定,按照律师行业公认的业务标准、道德规范和勤勉尽责精神,对发行人提供的有关文件和事实进行了核查、验证,现出具补充法律意见如下:
4.1 根据招股说明书,近期部分地方立法对个人信息采集和人脸识别应用范围进行约束,对企业在数据应用合规性、数据安全技术上提出更高要求。
请发行人说明:(1)公司技术(如算法的训练、系统的搭建等)、业务及产品(或服务)中是否涉及到个人信息、大量数据的采集和运用,若是,请进一步说明存在该等情形的业务环节,相关数据的来源及其合法合规性;(2)公司保证相关信息、数据采集、清洗、管理、运用等各方面的合规措施,并结合相关法律法规,进一步说明相关措施的有效性,是否能切实保证发行人不出现数据合规风险或法律纠纷;(3)公司是否曾存在数据合规方面的诉讼或纠纷;(4)“近期部分地方立法对个人信息采集和人脸识别应用范围进行约束”的具体情况,是否已对公司业务造成影响;(5)结合上述问题,进一步分析说明行业法规政策变动对公司业务的影响,并充分揭示相关风险。
请发行人律师核查问题(1)-(5)并发表明确意见。”
(一) 公司技术(如算法的训练、系统的搭建等)、业务及产品(或服务)中是否涉及到个人信息、大量数据的采集和运用,若是,请进一步说明存在该等情形的业务环节,相关数据的来源及其合法合规性
1. 公司技术(如算法的训练、系统的搭建等)、业务及产品(或服务)中是否涉及个人信息、大量数据的采集和运用,若是,请进一步说明存在该等情形的业务环节
如《招股说明书》第六节“业务与技术”中所阐述,公司的主营业务是 3D
视觉感知产品的设计、研发、生产和销售。
根据《招股说明书》及发行人的书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,3D 视觉感知产品包括 3D 视觉传感器、消费级应用设备和工业级应用设备。 3D 视觉感知产品的销售以直销为主,分别向生物识别、AIoT、消费
电子、工业等业务线的客户进行产品销售。公司的产品向客户销售后,客户集成到各终端产品中,在使用过程中部分终端产品会涉及到个人信息或数据的采集和运用,但这些信息数据均由终端客户掌控,公司并不享有这些数据的所有权、使用权。因此,公司在产品销售和服务环节不涉及个人信息或大量数据的采集和运用。
根据《招股说明书》及发行人的书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,发行人 3D 视觉感知产品的设计、研发和生产包括系统设计、芯片设计、算法研发、光学系统、软件开发、量产技术等核心技术开发。在硬件产品的研发过程中包括深度引擎算法的开发,该算法专注于深度信息的计算及优化,不涉及到个人信息及大量数据的采集和运用。同时,公司也在围绕 3D 视觉传感器布局研究一些应用算法,相关应用算法的研究过程中会涉及少量个人等信息数据的采集与运用。具体情况如下表所示:
业务阶段 | 分类 | 是否涉及个人信息等数据的 采集与运用 | 概况说明 | |
核心技术研发 | 系统设计 | 否 | 此部分技术构成了公司产品研发的核心技术,研发过程中均不涉及个人信息等数据的采集与运 用。其中深度引擎算法指的是用于深度信息的计算及优化,比如图像匹配、三角法、时间飞行计 算、滤波计算等。 | |
芯片设计 | ||||
光学系统 | ||||
软件开发 | ||||
量产技术 | ||||
算法研发 | 深度引擎 算法 | |||
消费级应用算法 | 是 | 消费级应用算法中,人脸、人体重建、人脸识别、人体抠图、骨架跟踪等算法涉及少量人脸、人体等数据,主要用于算法研发过程中的模型训练以及算法精度及 效果验证。 | ||
产品生产 | 3D 视觉传感器 | 否 | 硬件产品生产过程均不涉及个人信息等数据采集和运用。 | |
消费级应用设备 | ||||
工业级应用设备 | ||||
业务/销售 | AIoT 业务线 | 否 | 目前各个业务线,公司均是提供产品销售及售后服务,部分业务线产品在客户使用过程中涉及客户个人信息的收集,但均由客户执行。公司在销售与售后过程中 并不涉及数据收集与运用。 | |
消费电子业务线 | ||||
生物识别业务线 | ||||
工业业务线 | ||||
智慧教育业务线 | ||||
激光雷达业务线 |
2. 数据的来源及数据合法合规性
根据发行人提供的协议、发行人书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,公司在部分消费级应用算法研发及测试过程中涉及少量人脸、人体等数据的采集和运用,这些数据的来源主要包括以下两个方面:
(1) 委托第三方供应商采集的数据
根据发行人提供的与第三方数据供应商签署的数据委托采集协议、发行人的书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,公司委托第三方供应商采集的数据主要为人脸和人体数据,公司向可提供数据采集服务的供应商输出采集要求,由供应商完成数据的采集、存储及交付。
根据发行人提供的与第三方数据供应商签署的数据委托采集协议、第三方数 据供应商提供的被采集方签署的个人信息授权文件、第三方供应商出具的《合规 经营承诺函》、发行人的书面确认,并经本所律师对发行人控股股东及实际控制 人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,为保障数据的合法合规性,公司会对供应商数据来源的合法合规性提出明确要求,一方面,公司会要求供应商与被采集方之间签订个人信息授权书文件,以确保供 应商就所采集数据获得被采集方的有效授权。个人信息授权文件明确被采集信息 的使用目的、方式、范围及被授权人/数据使用方情况等内容,并获得被采集人的 明示同意。
另一方面,公司与供应商签署相关数据数据委托采集协议中已明确约定相关条款,要求供应商承诺并保证相关数据来源的合法合规性。与主要供应商签署的协议具体约定如下:
“乙方承诺并保证,提供给甲方的数据信息来源合法合理,并已征得被采集人明示授权同意用于本协议之目的;甲方基于本协议目的使用乙方提供的信息,不会侵犯被采集人的合法权利,且不会遭到他人的侵权索赔。如遇上述问题,乙
方应承担所有的赔偿责任,包括但不限于诉讼费、律师费、取证费以及甲方因上述问题导致生产研发受损费用等一切相关费用。
乙方在采集过程中,应遵守相关法律法规关于个人信息安全保护的相关要求,与被采集人签订相关授权协议及释明相应的项目情况与信息的使用情况,确保不 侵犯被采集人的权益,保证数据的来源渠道的合法合规性。乙方与被采集人之间 签订的相关授权协议须明确被采集信息的使用目的、方式、范围、数据使用人信 息,并获得被采集人的明示同意。乙方使用的授权协议必须与甲方协商确认。乙 方向甲方交付数据时,须一并向甲方交付其与被采集人签订的授权协议的复印件
(纸质版或电子版)。
乙方应提供合理必要的存储条件与设备来存储采集到的信息,尽到妥善保管与存储义务。如因乙方存储不当或者其他疏忽造成采集的信息丢失或被侵害或泄露的,乙方应承担全部责任。
乙方基于甲方委托采集的信息,仅能给甲方保存和使用,不能用于其他目的,乙方在完成交付后不能以任何形式留存或使用数据,不能分发给任何其他第三方以任何目的保存或使用,否则,由此造成的全部责任由乙方承担。
在乙方完成数据交付并收到甲方向乙方支付的全部服务费之日起三日内,乙方应对数据进行整体删除并向甲方出具已删除的相关证明文件。”
另外,根据发行人数据采集供应商向发行人出具的《合规经营承诺函》及协议约定,数据采集供应商承诺并保证向发行人提供的个人信息及其他数据符合相关法律法规及监管规定,数据来源合法,不存在任何信息、数据权属及知识产权争议,不存在与数据获取相关的争议、纠纷或相关负面报道。
此外,公司确保自第三方供应商提供的数据使用范围仅限于授权文件所限定的人工智能、大数据算法研究领域,未超出授权文件许可使用范围。
截至本补充法律意见书出具之日,就发行人正在使用的该等第三方供应商提供的数据,第三方供应商已确认取得被采集方出具的明确授权文件,发行人未超
出该等授权文件约定范围使用数据。同时,数据采集供应商进一步向发行人作出合规经营承诺函及在协议中约定,保证其提供数据符合法律法规及监管规定,数据来源合法。
(2) 公司自行采集数据
根据发行人提供的《员工个人信息处理授权同意函》、发行人的书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,公司会采集内部员工的人脸、人体等数据以进行相关算法精度及效果的验证,通过与员工签署《员工个人信息处理授权同意函》,向被采集人明确告知个人信息收集、使用的目的、方式和范围,经被采集人同意后进行采集,并按照被采集人授权个人信息的使用目的、方式和范围进行使用和处理。
基于上述,发行人采集并使用员工数据已取得员工明确同意,数据来源合法。
(二) 公司保证相关信息、数据采集、清洗、管理、运用等各方面的合规措施,并结合相关法律法规,进一步说明相关措施的有效性,是否能切实保证发行人不出现数据合规风险或法律纠纷
1. 公司保证相关信息、数据采集、清洗、管理、运用等各方面合规措施
根据发行人的书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,为保障数据信息的采集和运用等合规性,公司制定了“合法合规采集公开数据、集中存储防外部窃取、数据脱敏防内部泄露”的核心指导思想,初步形成了一套数据管理体系,从制度、组织、流程以及执行等方面全方位规范数据信息合规。
(1) 制度及组织建设
(a) 制度方面
根据发行人提供的《数据合规管理规定》《个人信息保护指引》《网络安全应
急预案》《员工信息安全行为准则》《奥比中光科技集团股份有限公司与第三方数据交互合规操作指南》《个人信息主体权利请求响应流程》《数据处理奖惩管理办法》及发行人的书面确认,公司制定了不同层级、不同侧重的数据安全与合规相关内部制度体系,从业务操作规范、信息安全管理、合规性管理等方面出发,加强数据采集、清洗、管理、运用等方面的合规性。
(i) 整体数据治理基础
公司制定了《数据合规管理规定》以及《个人信息保护指引》,建立了发行人内部数据安全保护以及个人信息保护的重要基础。其中《数据合规管理规定》提出了公司数据合规管理总体性规范及要求,约定了公司数据的获取、保存、使用、公开等相关模块的整体性管理规范,是公司从事数据合规管理的基础性文件。
(ii) 数据安全事件应对
公司制定了《网络安全应急预案》,为保证公司数据合规使用、防范数据泄露等目的所制定的数据备份、数据库维护、网站维护等应急性措施,明确了数据安全相关事件的应对流程与具体措施。
(iii) 行为指引
公司制定了《员工信息安全行为准则》,就公司员工涉及网络与数据的相关行为提供基本的指引。从业务产品与数据交互方面,公司还制定了《奥比中光科技集团股份有限公司与第三方数据交互合规操作指南》,针对与第三方开展合作中所涉及的数据交互场景,建立安全基线与合规准则。
(iv) 个人信息主体权利响应
公司制定了《个人信息主体权利请求响应流程》,就如何响应个人信息主体关于其个人信息的访问、删除、更正等权利提出内部规范指引。
(b) 组织建设方面
根据发行人提供的《关于成立信息安全与数据合规委员会的通知》、发行人的书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,为确保相关制度能顺利执行,公司设立了与之配套的组织体系,成立了信息安全与数据合规委员会。
信息安全与数据合规委员会作为公司数据安全工作的最高决策机构,全面负责公司数据安全政策、制度和体系规划工作,部署并协调公司数据及信息安全体系建设,以保障公司数据及信息安全相关工作的稳定运行。其中:
(i) 信息安全与数据合规工作组
信息安全与数据合规工作组负责信息安全与数据合规委员会的相关人事任命、方针政策制定、战略决策、制度签署、技术实现、审查监督、应急响应等事项。信息安全与数据合规工作组下设合规组、策略组、技术组及审计组。
项目 | 职能 |
合规组 | 通过合规驱动数据安全体系建设,包括:提供数据安全相关的法律法规专业支持,识别公司数据安全相关风险,推动数据安全合规相关管理制度的建 设,打造内部数据安全合规文化,代表公司进行对外的合规接洽,及伦理方 面的思考与探索等。 |
策略组 | 统筹公司数据及信息安全体系的建设,包括:制定数据及信息安全相关策 略,设计信息安全相关流程,组织公司内部信息安全相关培训等。 |
技术组 | 为信息安全工作提供全面技术支持,包括:制定信息安全相关技术规划,设 计具体落地的技术方案并实施部署,日常的信息安全运维等。 |
审计组 | 负责内部数据及信息安全的监督及审计管理工作,包含:公司数据安全相关 制度的评审,相关安全事件的调查,组织内部审计,推动改善。 |
(ii) 执行委员及公司全体员工
执行委员系公司各一级部门负责人,负责本部门信息安全与数据合规制度的推行。公司全体员工参与执行与反馈。
此外,公司还通过邮件、课程等方式对公司员工进行相关制度、规范的宣导,以确保制度可以顺利落地。
同时,根据发行人提供的《数据安全及个人信息保护承诺书》《数据安全及
个人信息保密协议》,针对涉及接触个人信息、数据的员工,其已签署《数据安全及个人信息保护承诺书》及《数据安全及个人信息保密协议》,承诺已知悉相关法律法规和规章政策对数据安全及个人信息保护的规定内容,承诺遵守奥比中光科技集团股份有限公司对于数据安全及个人信息保护的各项制度文件和管理要求,包括但不限于《数据合规管理规定》《个人信息保护指引》《网络安全应急预案》《员工信息安全行为准则》《奥比中光科技集团股份有限公司与第三方数据交互合规操作指南》《个人信息主体权利请求响应流程》等。除履行职务的需要之外,未经公司同意,不得以泄露、告知、公布、发布、出版、传授、转让或者其他任何方式使任何第三方(包括按照保密制度的规定不得知悉“保密信息”的甲方其他员工)知悉“保密信息”,也不得在履行职务之外处理这些“保密信息”。
(2) 数据采集
根据发行人提供的与第三方数据供应商签署的数据委托采集协议、第三方数 据供应商提供的被采集方签署的个人信息授权文件、发行人的书面确认,并经本 所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息 安全与数据合规委员会副主任的访谈,针对委托第三方供应商所采集的数据,公 司对供应商进行资质、信誉等评估后,与之签订包含数据合法合规约定条款的协 议书,同时要求第三方供应商在数据采集时必须与被采集方签订个人信息授权书,并对个人信息授权书进行核查。
根据发行人提供的《员工个人信息处理授权同意函》、发行人的书面确认,并经本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,针对内部员工所采集的数据,公司要求通过书面的方式获得员工的明确同意后再进行采集。
(3) 数据清洗
根据发行人的书面确认、本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,公司在数据清洗方面主要有数据脱敏、数据追溯等措施。对于包含个人信息的敏感数据,例如包含年龄的人脸图像数据,由研发部门开发相应数据脱敏技术,建立 ID 信
息数据库,将个人 ID 信息与数据脱离并将 ID 信息进行转换,将真实 ID 信息以及转换文件保存至 ID 信息数据库。在进行算法开发时,仅允许使用脱敏后的数据。此外,公司还将对一些数据进行标注、水印等以确保数据被清洗后可追溯。
(4) 数据管理
根据发行人的书面确认、本所律师对发行人控股股东及实际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,公司在数据管理方面主要包括数据存储管理以及数据使用管理。
在数据存储方面,公司建立了数据中心,负责面向集团所有研发及业务单元统一管理所有数据,搭建了服务器集中保存所有数据,并根据数据来源对数据进行分类存储。目前针对数据中心正在进行更进一步的建设任务以应对未来可能出现的大规模数据管理需求,包括数据中心加密技术、备份策略、OS 系统管理、网络安全管理等。
在数据使用方面,在相关制度的指引下,公司已建立了员工数据需求 OA,统一管理研发对数据的需求及审核。要求所有研发算法训练只使用脱敏后的数据,此外公司还对办公网络进行了隔离策略划分,针对数据需求较密切的研发岗位,公司进行了外网隔离(设置了 VDI 桌面),并对电脑所有文件进行加密处理,由此 来防范数据使用过程中的外泄等风险。
2. 结合相关法律法规,进一步说明相关措施的有效性,是否能切实保证发行人不出现数据合规风险或法律纠纷
我国现行颁布实施的个人信息、数据采集相关的法律法规主要包括《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国网络安全法》(以下简称《网络安全法》),同时,于 0000 x 0 x 00 xxx,0000 x 9 月 1 日开始
生效实施的《中华人民共和国数据安全法》(以下简称《数据安全法》),以及 2021
年 4 月 29 日颁布的《个人信息保护法(草案)(二次审议稿)》(以下简称《个人信息保护法(草案)》)也对此作出了相关规定。
发行人已根据上述法律法规的规定,采取了如本补充法律意见书“一/(二)
/1.公司保证相关信息、数据采集、清洗、管理、运用等各方面合规措施”所述合规措施,以确保公司的采集、使用等数据处理行为符合相关法律法规的规定,避免出现合规风险或法律纠纷。
法律法规 | 相关条文 | 合规措施 |
《民法典》 | 第一千零三十五条 处理个人信息的,应当遵 | 公司内部制定了《数据 |
循合法、正当、必要原则,不得过度处理,并符 | 合规管理规定》以及《个 | |
合下列条件: | 人信息保护指引》,以确 | |
(一)征得该自然人或者其监护人同意,但是法 | 保数据收集处理能够满 | |
律、行政法规另有规定的除外; | 足合法、正当、必要的要 | |
(二)公开处理信息的规则; | 求。 | |
(三)明示处理信息的目的、方式和范围; | ||
(四)不违反法律、行政法规的规定和双方的约 | ||
定。 | ||
个人信息的处理包括个人信息的收集、存储、使 | ||
用、加工、传输、提供、公开等。 | ||
第一千零三十七条 自然人可以依法向信息处 | 尽管公司目前通过提供 | |
理者查阅或者复制其个人信息;发现信息有错 | 产品及服务收集个人信 | |
误的,有权提出异议并请求及时采取更正等必 | 息的场景相对有限,但 | |
要措施。 | 公司内部根据相关法律 | |
自然人发现信息处理者违反法律、行政法规的 | 法规及国家标准制定 | |
规定或者双方的约定处理其个人信息的,有权 | 《个人信息主体权利请 | |
请求信息处理者及时删除。 | 求响应流程》,并将根据 | |
该流程响应自然人关于 | ||
个人信息的各种权利请 | ||
求。 | ||
第一千零三十八条 信息处理者不得泄露或者 | 为确保所收集个人信息 | |
篡改其收集、存储的个人信息;未经自然人同 | 的安全性,公司采取了 | |
意,不得向他人非法提供其个人信息,但是经过 | 上述技术及内部制度管 | |
加工无法识别特定个人且不能复原的除外。 | 控措施确保数据安全 | |
信息处理者应当采取技术措施和其他必要措 | 性。 | |
施,确保其收集、存储的个人信息安全,防止信 | 如不幸发生个人信息安 | |
息泄露、篡改、丢失;发生或者可能发生个人信 | 全事件,公司会根据法 | |
息泄露、篡改、丢失的,应当及时采取补救措施, | 律法规要求以及内部 | |
按照规定告知自然人并向有关主管部门报告。 | 《网络安全事件应急预 | |
案》的流程向监管部门 | ||
上报并告知个人信息主 | ||
体。 | ||
《 网络安全 | 第四十一条 网络运营者收集、使用个人信息, | 公司内部制定了《数据 |
法》 | 应当遵循合法、正当、必要的原则,公开收集、 | 合规管理规定》以及《个 |
使用规则,明示收集、使用信息的目的、方式和 | 人信息保护指引》,同时 | |
范围,并经被收集者同意。 | 针对从第三方合作获取 | |
网络运营者不得收集与其提供的服务无关的个 | 数据的场景制定《奥比 | |
人信息,不得违反法律、行政法规的规定和双方 | 中光科技集团股份有限 | |
的约定收集、使用个人信息,并应当依照法律、 | 公司与第三方数据交互 | |
行政法规的规定和与用户的约定,处理其保存 | 合规操作指南》,从而确 |
法律法规 | 相关条文 | 合规措施 |
的个人信息。 | 保数据收集处理能够满 | |
足、合法、正当、必要的 | ||
要求。 | ||
第四十二条 网络运营者不得泄露、篡改、毁损 | 为确保所收集个人信息 | |
其收集的个人信息;未经被收集者同意,不得向 | 的安全性,公司采取了 | |
他人提供个人信息。但是,经过处理无法识别特 | 上述技术及内部制度管 | |
定个人且不能复原的除外。 | 控措施确保数据安全 | |
网络运营者应当采取技术措施和其他必要措 | 性。 | |
施,确保其收集的个人信息安全,防止信息泄 | 如不幸发生个人信息安 | |
x、毁损、丢失。在发生或者可能发生个人信息 | 全事件,公司会根据法 | |
泄露、毁损、丢失的情况时,应当立即采取补救 | 律法规要求以及内部 | |
措施,按照规定及时告知用户并向有关主管部 | 《网络安全事件应急预 | |
门报告。 | 案》的流程向监管部门 | |
上报并告知个人信息主 | ||
体。 | ||
第四十四条 任何个人和组织不得窃取或者以 | 公司深刻了解个人信息 | |
其他非法方式获取个人信息,不得非法出售或 | 保护的重要性,在业务 | |
者非法向他人提供个人信息。 | 开展中会根据法律法规 | |
要求及内部管控流程确 | ||
保通过合法方式收集个 | ||
人信息。同时公司通过 | ||
权限管控以及内部制度 | ||
流程对于公司及员工进 | ||
行严格管控,此前从未 | ||
涉及向他人非法出售或 | ||
提供个人信息 | ||
《 个人信息 | 第五十一条 个人信息处理者应当根据个人信 | 为确保所收集个人信息 |
保护法( 草 | 息的处理目的、处理方式、个人信息的种类以及 | 的安全性,公司采取了 |
案)》 | 对个人的影响、可能存在的安全风险等,采取必 | 上述技术及内部制度管 |
要措施确保个人信息处理活动符合法律、行政 | 控措施确保数据安全 | |
法规的规定,并防止未经授权的访问以及个人 | 性,防止未经授权的访 | |
信息泄露或者被窃取、篡改、删除:(一)制定 | 问以及个人信息泄露或 | |
内部管理制度和操作规程;(二)对个人信息实 | 者被窃取、篡改、删除。 | |
行分类管理;(三)采取相应的加密、去标识化 | ||
等安全技术措施;(四)合理确定个人信息处理 | ||
的操作权限,并定期对从业人员进行安全教育 | ||
和培训;(五)制定并组织实施个人信息安全事 | ||
件应急预案;(六)法律、行政法规规定的其他 | ||
措施。 | ||
《 数据安全 | 第二十七条 开展数据处理活动应当依照法 | 公司内部制定《数据合 |
法》(自 2021 年 9 月 1 日起施行) | 律、法规的规定,建立健全全流程数据安全管理 制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用 | 规管理规定》在内的一 系列安全管理制度,同时建立内部信息安全管 |
互联网等信息网络开展数据处理活动,应当在 | 理组织,以确保数据安 | |
网络安全等级保护制度的基础上,履行上述数 | 全,同时公司会定期开 | |
据安全保护义务。重要数据的处理者应当明确 | 展数据安全与合规培 | |
数据安全负责人和管理机构,落实数据安全保 | 训,提升员工数据安全 | |
护责任。 | 意识,从而更好地履行 | |
数据安全保护义务。 |
法律法规 | 相关条文 | 合规措施 |
第二十八条 开展数据处理活动以及研究开发 | 为确保数据处理及技术 | |
数据新技术,应当有利于促进经济社会发展,增 | 研发行为符合社会公 | |
进人民福祉,符合社会公德和伦理。 | 德、伦理,公司制定了一 | |
系列的内部规章制度, | ||
通过该等内部规章制 | ||
度,保证人工智能技术 | ||
可控。 | ||
第二十九条 开展数据处理活动应当加强风险 | 公司通过日志审计、防 | |
监测,发现数据安全缺陷、漏洞等风险时,应当 | 泄密管理、漏洞管理等 | |
立即采取补救措施;发生数据安全事件时,应当 | 技术手段,并根据《数据 | |
立即采取处置措施,按照规定及时告知用户并 | 合规管理规定》等制度 | |
向有关主管部门报告。 | 要求会定期对于公司数 | |
据处理活动进行监测, | ||
及时识别安全风险;同 | ||
时如不幸发生数据安全 | ||
事件,公司会根据《网络 | ||
安全应急预案》所确立 | ||
的流程要求落实向主管 | ||
部门上报的义务。 | ||
第三十二条 任何组织、个人收集数据,应当采 | 为确保所收集个人信息 | |
取合法、正当的方式,不得窃取或者以其他非法 | 的安全性与合法性,公 | |
方式获取数据。 | x采取了上述技术管控 | |
法律、行政法规对收集、使用数据的目的、范围 | 措施及包括《数据合规 | |
有规定的,应当在法律、行政法规规定的目的和 | 管理规定》《个人信息保 | |
范围内收集、使用数据。 | 护指引》《奥比中光科技 | |
集团股份有限公司与第 | ||
三方数据交互合规操作 | ||
指南》在内的内部制度, | ||
确保数据收集行为的合 | ||
法性、正当性。 |
同时,如本补充法律意见书“一/(三)公司是否曾存在数据合规方面的诉讼或纠纷”所述,截至本补充法律意见书出具之日,公司未有违反《民法典》《网络安全法》等法律法规而产生诉讼或法律纠纷的情形,未出现数据合规风险。
鉴于此,发行人已从制度、组织、流程以及执行等方面采取相关措施以保障相关信息、数据采集、清洗、管理、运用等各方面合规,该等措施符合现行法律法规的相关要求,能够切实保证发行人不出现数据合规风险或法律纠纷。
(三) 公司是否曾存在数据合规方面的诉讼或纠纷
根据《审计报告》、发行人的书面确认、发行人及其全资、控股子公司注册地市场监督主管部门出具的合规证明文件,并经本所律师对发行人控股股东及实
际控制人兼信息安全与数据合规委员会主任、信息安全与数据合规委员会副主任的访谈,在中国裁判文书网( xxxx://xxxxxx.xxxxx.xxx.xx/ )、人民法院公告网
(xxxx://xxxxxx.xxxxx.xxx.xx/)、中国证监会证券期货市场失信记录查询平台网站
(xxxx://xxxxx.xxxx.xxx.xx/xxxxxxxxxxxx/)、发行人及其境内全资、控股子公司住所地 的 相 关 司 法 机 关 网 站 、 国 家 企 业 信 用 信 息 公 示 系 统
( xxxx://xxx.xxxx.xxx.xx/xxxxx.xxxx ) 、 信 用 中 国 网 站
( xxxx://xxx.xxxxxxxxxxx.xxx.xx/ ) 、 中 国 执 行 信 息 公 开 网
(xxxx://xxxx.xxxxx.xxx.xx/xxxxxxx/)等公开网站进行查询,截至本补充法律意见书出具之日,发行人未有数据合规方面的诉讼或纠纷。
(四) “近期部分地方立法对个人信息采集和人脸识别应用范围进行约束”的具体情况,是否已对公司业务造成影响
1. “近期部分地方对个人信息采集和人脸识别应用范围进行约束”的具体情况
根据本所律师在北大法宝网站( xxxx://xxx.xxxxxx.xx/ )、威科先行网站
(xxxxx://xxx.xxxxxx.xxx.xx/)的检索,近期我国广东地区、浙江地区出台了或拟出台相关立法对个人信息采集及人脸识别应用范围进行了相关约束,该等规定具体如下:
序号 | 文件名称 | 发布及生效情况 | 相关内容 |
1. | 《广东省数字经济促进条例》 | 2021.07.30 发布 , 2021.09.01 生效 | 明确规定个人信息受法律保护。个人信息的处理活动,应当遵循合法、正当、必要原则,不得过度处理,并符合法律法规规 定的条件。 |
2. | 《深圳经济特区数据条例》 | 2021.07.06 发布 , 2022.01.01 生效 | 明确了数据、个人数据、敏感个人数据、生物识别数据、数据处理的含义。对个人数据处理的处理原则、处理方式及数据安全管理进行了具体规定。 同时,进一步明确了应当在征得自然人明示同意的情况下,处理生物识别数据。如果处理生物识别数据并非为处理个人数据目的所必需,应当提供处理其他非生物识别数据的替代方案。另外,基于特定目的处理生物识别数据的,未经自然人明示同意,不得将该生物识别数据用于其他目 的。 |
序号 | 文件名称 | 发布及生效情况 | 相关内容 |
3. | 《浙江省数字经济促进条例》 | 2020.12.24 发布 , 2021.03.01 生效 | 明确任何单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,应当遵循合法、正当、必要的原则,遵守网络安全、数据安全、电子商务、个人信息保护等有关法律、法规以及国家标准的强制性要求,不得损害国家利益、社会公共利 益或者他人合法权益。 |
2. 对发行人业务开展的影响
发行人目前业务开展中仅在研发阶段部分消费级应用算法在训练及验证过程中涉及少量个人信息及数据的采集及运用。针对该等个人信息、数据的采集及运用环节,发行人已结合国家层面相关法律法规以及国家标准的要求采取了切实有效的合规措施,且在经营过程中切实履行了该等合规措施,截至本补充法律意见书出具之日,发行人未有数据合规方面的诉讼或纠纷。研发阶段的算法训练主要用于发行人的技术研发,不直接对生产、销售、业务等开展产生影响。
考虑到上述地方立法中对于个人信息采集和人脸识别应用范围约束的规定并未超出此前国家立法层面的要求且发行人已采取有效合规措施,近期部分地方立法对个人信息采集和人脸识别应用范围进行约束不会对发行人的业务开展造成重大不利影响。
(五) 结合上述问题,进一步分析说明行业法规政策变动对公司业务的影响,并充分揭示相关风险
1. 进一步分析说明行业法规政策变动对公司业务的影响
发行人目前仅在部分产品或服务的研发环节中涉及个人数据的采集和运用,该等数据主要来源于第三方供应商采集及公司自行收集,数据来源合法合规且获得个人信息主体的授权同意。同时,公司已从制度、组织、流程以及执行多个维度采取相关合规措施确保相关信息、数据采集、清洗、管理、运用等方面的合法合规。截至本补充法律意见书出具之日,发行人未有相关数据合规风险或法律纠纷。相关行业法规政策变动不会对公司业务造成重大不利影响。
2. 充分揭示相关风险
发行人已在《招股说明书》“第四节 风险因素”之“五、法律风险”之“(五)下游应用行业监管更新变化的风险”披露如下:
“3D 视觉感知是人工智能和物联网时代的关键基础共性技术,随着人工智能产业发展上升为国家战略,国家各部委及省市地区陆续出台相关政策,产业链和各场景应用不断发展完善,近期部分地方立法对个人信息采集和人脸识别应用范围进行约束,对企业在数据应用合规性、数据安全技术上提出更高要求,人工智能的应用难度会逐步提升,可能在短期内对人工智能发展产生一定阵痛。《民法典》《网络安全法》《数据安全法》等法律法规对个人信息的采集、运用等情况作出了相关规定,且《个人信息保护法(草案)(二次审议稿)》等与个人信息保护相关的法律法规正在立法过程中,立法及监管政策仍具有不确定性。
公司产品应用取决于下游应用行业发展,同时公司也积极拓展一些应用层面技术。在未来公司业务开展中,存在因立法或监管政策的发展变化而引发数据合规等方面的潜在法律风险。同时,如公司员工违反公司内部相关制度,或数据合作方、客户等违反协议约定或基于其他自身原因造成数据不当使用或泄露,则可能受到有关部门的行政处罚,或产生数据合规方面的诉讼或纠纷,并可能对公司的研发、销售等业务产生不利影响。”
本补充法律意见书一式三份。
(以下无正文,下接签署页)
(本页无正文,为《北京市金杜律师事务所关于奥比中光科技集团股份有限公司首次公开发行股票并在科创板上市之补充法律意见书(一)》之签章页)
北京市金杜律师事务所 | 经 办 律 师: |
xxx | |
xxx 单位负责人: xx | |
年 月 日 |