網(wǎng)易首頁 > 網(wǎng)易號(hào) > 正文申請(qǐng)入駐

合合信息成功闖關(guān)科創(chuàng)板：上市路上的十二個(gè)數(shù)據(jù)合規(guī)問題

2023-08-15 21:18:01　來源: 厚雪

上海舉報(bào)

分享至

導(dǎo)言

掃描全能王、名片全能王、啟信寶，這三款知名APP背后的公司——合合信息，其科創(chuàng)板IPO終于成功過會(huì)。

作為一家人工智能+大數(shù)據(jù)公司，合合信息當(dāng)下登陸A股的意義，不止在于其自身發(fā)展將獲得資本市場(chǎng)的大力助推，更是給眾多大數(shù)據(jù)應(yīng)用公司提供了一個(gè)指引樣本。

而合合信息上市路上所遭遇和解決的種種數(shù)據(jù)合規(guī)問題，對(duì)于整個(gè)大數(shù)據(jù)行業(yè)的健康發(fā)展都有參考價(jià)值。

出品 | 厚雪研究

作者 |潘言

在經(jīng)歷了三次問詢，兩次中止后，8月4日，上海合合信息科技股份有限公司（簡(jiǎn)稱“合合信息”）科創(chuàng)板IPO終于闖關(guān)成功，為大數(shù)據(jù)類公司在A股上市沖開了一條路。

合合信息一家人工智能及大數(shù)據(jù)科技企業(yè)，主要產(chǎn)品包括面向C端用戶的掃描全能王、名片全能王、啟信寶，以及面向B端客戶的基礎(chǔ)技術(shù)服務(wù)、標(biāo)準(zhǔn)化服務(wù)和和場(chǎng)景化解決方案。

早在2021年9月27日，合合信息就提交了科創(chuàng)板招股申請(qǐng)并獲得受理，但因其業(yè)務(wù)的科創(chuàng)屬性、經(jīng)營資質(zhì)、數(shù)據(jù)合規(guī)等問題，被上海證券交易所開出了三輪審核問詢函，也收到了大量媒體的質(zhì)疑。特別是在2021年第一輪問詢函中，交易所提出了高達(dá)21個(gè)問題，到了第二輪和第三輪，問題降至了9個(gè)和2個(gè)。

由于中國《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》分別在2021年9月1日和11月1日起施行，剛好是在合合信息遞交招股書前后，而近兩年，數(shù)據(jù)安全、個(gè)人隱私保護(hù)等成為監(jiān)管的重點(diǎn)，數(shù)據(jù)合規(guī)自然是合合信息上市最受關(guān)注的問題，也是眾多大數(shù)據(jù)類公司上市的阻礙。

如今，合合信息IPO獲得科創(chuàng)板上市委會(huì)議審議通過，等于認(rèn)可了“人工智能+大數(shù)據(jù)技術(shù)”的硬科技屬性，對(duì)于大數(shù)據(jù)類公司上市提供了借鑒。在數(shù)據(jù)作為生產(chǎn)要素的價(jià)值日益提升，數(shù)據(jù)監(jiān)管逐步明確和完善的當(dāng)下，數(shù)據(jù)應(yīng)用行業(yè)也迎來了更多機(jī)會(huì)。

合合信息在2018年和2019年分別虧損了7871萬元和1.96億元，而在之后的三年疫情之中，合合信息反而均實(shí)現(xiàn)盈利，并且利潤逐年提升，分別達(dá)到1.3億元、1.44億元和2.84億元，其商業(yè)模式被持續(xù)驗(yàn)證。

合合信息提交給交易所的三次問詢回復(fù)，以及針對(duì)媒體質(zhì)疑的自查回復(fù)，成為其最終過會(huì)的重要資料。這些回復(fù)中，包括了交易所對(duì)數(shù)據(jù)問題的關(guān)注點(diǎn)，以及公司對(duì)數(shù)據(jù)業(yè)務(wù)和合規(guī)問題整改的詳細(xì)說明，這對(duì)于其他大數(shù)據(jù)公司的業(yè)務(wù)模式和合規(guī)性具有非常重要的參考性。

厚雪根據(jù)合合信息的上述資料，梳理出交易所問詢的十二個(gè)數(shù)據(jù)合規(guī)方面主要問題，以及公司、保薦機(jī)構(gòu)或發(fā)行人律師的回復(fù)，以供行業(yè)參考。

本文為資料梳理，字?jǐn)?shù)近三萬字，文內(nèi)涉及的十二個(gè)數(shù)據(jù)問題如下：

問題一：公司各項(xiàng)業(yè)務(wù)及研發(fā)分別獲取、存儲(chǔ)、使用哪些數(shù)據(jù)，對(duì)應(yīng)的數(shù)據(jù)來源、數(shù)據(jù)權(quán)屬，是否存在銷售數(shù)據(jù)的情形？

問題二：公司向個(gè)人供應(yīng)商采購數(shù)據(jù)的主要內(nèi)容、比例及原因，價(jià)格公允性，該等個(gè)人是否與公司及其客戶、其他供應(yīng)商存在關(guān)聯(lián)關(guān)系或利益安排？

問題三：公司來源于供應(yīng)商采購和自主獲取的大數(shù)據(jù)的區(qū)別及報(bào)告期內(nèi)占比，自動(dòng)化訪問獲取的企業(yè)數(shù)據(jù)如何確保來源合法性，發(fā)行人調(diào)查供應(yīng)商及數(shù)據(jù)來源合法性的具體方式及有效性

問題四：報(bào)告期內(nèi)公司數(shù)據(jù)管理不完善的具體情形、影響范圍、嚴(yán)重程度，目前公司針對(duì)該等不完善情形的具體整改情況及效果，發(fā)行人數(shù)據(jù)合規(guī)糾紛的解決機(jī)制

問題五：公司關(guān)于獲取、存儲(chǔ)、使用數(shù)據(jù)的相關(guān)制度規(guī)范的制定時(shí)間、主要內(nèi)容、執(zhí)行情況，是否能夠有效保障數(shù)據(jù)安全及業(yè)務(wù)合法合規(guī)？

問題六：近年關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)等立法對(duì)公司研發(fā)、采購、銷售等的影響，公司業(yè)務(wù)開展是否符合該等法律法規(guī)規(guī)定，是否存在本次發(fā)行上市未履行的前置程序或其他障礙，相關(guān)風(fēng)險(xiǎn)揭示是否充分？

問題七：公司各項(xiàng)業(yè)務(wù)中所獲取的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途，是否存在超出數(shù)據(jù)獲取協(xié)議或隱私政策的情形？

問題八：公司各項(xiàng)業(yè)務(wù)中所銷售或交換的各類信息數(shù)據(jù)的內(nèi)容、來源、加工處理方式、交付產(chǎn)品形態(tài)、客戶類型

問題九：廣告換數(shù)據(jù)、數(shù)據(jù)換數(shù)據(jù)的業(yè)務(wù)模式是否符合行業(yè)慣例，數(shù)據(jù)交易對(duì)手方是否具有獲取、使用、銷售數(shù)據(jù)的資質(zhì)，該等數(shù)據(jù)來源是否合法，該類業(yè)務(wù)模式是否合規(guī)？

問題十：公司是否取得了從事數(shù)據(jù)服務(wù)所需的全部資質(zhì)、許可或備案？

問題十一：公司是否從事境外數(shù)據(jù)業(yè)務(wù)，是否存在向境外主體提供或銷售數(shù)據(jù)產(chǎn)品及服務(wù)的情形，是否合法合規(guī)？

問題十二：公司關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)的具體制度、流程措施、內(nèi)部控制執(zhí)行情況及有效性，是否符合相關(guān)法律法規(guī)和政策文件的規(guī)定？

問題一

公司各項(xiàng)業(yè)務(wù)及研發(fā)分別獲取、存儲(chǔ)、使用哪些數(shù)據(jù)，對(duì)應(yīng)的數(shù)據(jù)來源、數(shù)據(jù)權(quán)屬，是否存在銷售數(shù)據(jù)的情形？

（1）發(fā)行人開展 C 端及 B 端業(yè)務(wù)前的數(shù)據(jù)管理情形

發(fā)行人開展 C 端及 B 端業(yè)務(wù)前，發(fā)行人各項(xiàng)業(yè)務(wù)及研發(fā)分別獲取、存儲(chǔ)、使用的數(shù)據(jù)以及具體儲(chǔ)存方式及期限、使用方式及用途，對(duì)應(yīng)的數(shù)據(jù)來源、數(shù)據(jù)權(quán)屬具體如下表：

（2）發(fā)行人開展 C 端業(yè)務(wù)的數(shù)據(jù)管理情形

發(fā)行人 C 端業(yè)務(wù)分別獲取、存儲(chǔ)、使用的數(shù)據(jù)以及具體儲(chǔ)存方式及期限、使用方式及用途，對(duì)應(yīng)的數(shù)據(jù)來源、數(shù)據(jù)權(quán)屬具體如下表：

（3）發(fā)行人開展 B 端業(yè)務(wù)的數(shù)據(jù)管理情形

發(fā)行人 B 端業(yè)務(wù)分別獲取、存儲(chǔ)、使用的數(shù)據(jù)以及具體儲(chǔ)存方式及期限、使用方式及用途，對(duì)應(yīng)的數(shù)據(jù)來源、數(shù)據(jù)權(quán)屬具體如下表：

發(fā)行人存在銷售數(shù)據(jù)的情形，發(fā)行人銷售的是對(duì)原始數(shù)據(jù)加工、處理后的標(biāo)準(zhǔn)化產(chǎn)品：

公司的智能文字識(shí)別 C 端業(yè)務(wù)提供智能文字識(shí)別，主要用戶在“掃描全能王”、“名片全能王”APP，由其自主上傳文檔、圖片以及訂單開票數(shù)據(jù)，利用 APP 進(jìn)行文字及圖像識(shí)別。

B 端業(yè)務(wù)是為客戶提供基礎(chǔ)數(shù)據(jù)、標(biāo)準(zhǔn)化服務(wù)（名片全能王企業(yè)版SaaS 軟件服務(wù)）、場(chǎng)景化解決方案，主要為 B 端企業(yè)用戶提供的企業(yè)信息或者 SaaS軟件。

公司的商業(yè)大數(shù)據(jù)業(yè)務(wù) C 端業(yè)務(wù)方面，C端用戶登錄啟信寶 APP 后，可以通過對(duì)按期間收費(fèi)的 VIP 會(huì)員、付費(fèi)報(bào)告等單次付費(fèi)產(chǎn)品從而獲得經(jīng)公司整理、格式統(tǒng)一、結(jié)構(gòu)化處理及深度清洗加工后的企業(yè)經(jīng)營信息、工商數(shù)據(jù)等；

B 端業(yè)務(wù)方面，公司根據(jù) B 端客戶需求特點(diǎn)、產(chǎn)品種類、場(chǎng)景化程度、技術(shù)復(fù)雜度等因素綜合對(duì)相關(guān)數(shù)據(jù)進(jìn)行挖掘分析和處理，最終形成給B 端客戶的解決方案或標(biāo)準(zhǔn)化 SaaS 軟件。

公司開展B 端商業(yè)大數(shù)據(jù)業(yè)務(wù)、C 端啟信寶 APP 的主要數(shù)據(jù)來源是公司數(shù)據(jù)中臺(tái)匯聚的企業(yè)數(shù)據(jù)。公司開展 B 端商業(yè)大數(shù)據(jù)業(yè)務(wù)不會(huì)利用 C 端的用戶數(shù)據(jù)（包括但不限于 C 端用戶注冊(cè)數(shù)據(jù)、C 端用戶上傳的文檔、名片）。發(fā)行人不存在直接將從供應(yīng)商以及自動(dòng)化采集獲取的原始數(shù)據(jù)直接銷售給第三方的情形。

問題二

公司向個(gè)人供應(yīng)商采購數(shù)據(jù)的主要內(nèi)容、比例及原因，價(jià)格公允性，該等個(gè)人是否與公司及其客戶、其他供應(yīng)商存在關(guān)聯(lián)關(guān)系或利益安排？

發(fā)行人曾經(jīng)存在向個(gè)人供應(yīng)商采購數(shù)據(jù)的情形，采購的性質(zhì)為公司展業(yè)相關(guān)，具體情況如下：

1、發(fā)行人向個(gè)人供應(yīng)商采購數(shù)據(jù)的主要內(nèi)容、比例及原因

（1）公司采購個(gè)人供應(yīng)商提供數(shù)據(jù)的背景

公司商業(yè)大數(shù)據(jù)業(yè)務(wù)開展過程中，對(duì)外提供包括工商、股權(quán)、司法涉訴、失信、輿情、資產(chǎn)等超過1,000 個(gè)數(shù)據(jù)維度。對(duì)于工商數(shù)據(jù)，公司主要以向供應(yīng)商采購和自動(dòng)化數(shù)據(jù)采集的方式獲取。

工商數(shù)據(jù)的供應(yīng)商主要為上海憑安征信服務(wù)有限公司（以下簡(jiǎn)稱“憑安征信”）和人民數(shù)據(jù)。根據(jù)公司與憑安征信簽訂的合同，公司從 2018 年 12 月開始向憑安征信采購每周新增的重慶和內(nèi)蒙古個(gè)體戶工商名錄，并從 2019 年 7 月開始采購每周新增的全國個(gè)體戶工商名錄。根據(jù)公司與人民數(shù)據(jù)簽訂的合同，公司從 2020 年 9 月開始向人民數(shù)據(jù)采購企業(yè)工商大數(shù)據(jù)（公開數(shù)據(jù)）綜合服務(wù)包。

在 2018 年及以前，公司關(guān)于數(shù)據(jù)的自動(dòng)化采集邏輯是動(dòng)態(tài)采集最新的數(shù)據(jù)，獲取新的數(shù)據(jù)之后將覆蓋原有舊的數(shù)據(jù)，變更歷史未充分留存。但在業(yè)務(wù)開展過程中，用戶仍然存在查詢企業(yè)變更信息（如企業(yè)股權(quán)的演變過程、董監(jiān)高歷史變化情況）或個(gè)體工商戶信息的需求，且公司競(jìng)爭(zhēng)對(duì)手有提供這方面的信息。由于公司的工商歷史數(shù)據(jù)和個(gè)體工商戶信息的數(shù)據(jù)有一定缺失，也未能通過已有供應(yīng)商或自動(dòng)化采集獲取到該等數(shù)據(jù)，會(huì)導(dǎo)致公司的大數(shù)據(jù)整體業(yè)務(wù)的競(jìng)爭(zhēng)力變?nèi)?，因此選擇對(duì)外進(jìn)行采購。發(fā)行人在報(bào)告期內(nèi)不存在向個(gè)人供應(yīng)商采購數(shù)據(jù)的情形。

（2）向個(gè)人供應(yīng)商采購數(shù)據(jù)的主要內(nèi)容、比例及原因

公司曾經(jīng)存在向自然人采購企業(yè)信息數(shù)據(jù)的情形，采購的主要內(nèi)容為企業(yè)歷史工商數(shù)據(jù)和個(gè)體工商戶數(shù)據(jù)，相關(guān)數(shù)據(jù)內(nèi)容指工商公示的企業(yè)和個(gè)體工商戶的最新工商基本信息，包括公司名稱，注冊(cè)號(hào)，社會(huì)信用代碼，經(jīng)營范圍，股東列表，行政處罰，股權(quán)出質(zhì)情況等，以及該等信息歷史變化情況，包括歷史名稱，歷史股權(quán)出質(zhì)記錄，歷史股東等。該個(gè)人供應(yīng)商具有較強(qiáng)的技術(shù)背景，曾經(jīng)通過自動(dòng)化采集等手段獲取了國家工商公示系統(tǒng)對(duì)外公示的工商信息，其中包含公司所需的企業(yè)歷史工商數(shù)據(jù)和個(gè)體工商戶數(shù)據(jù)，能夠滿足公司大數(shù)據(jù)業(yè)務(wù)發(fā)展的需求，因此雙方就數(shù)據(jù)采購達(dá)成合作。

公司于 2018 年 4 月向該個(gè)人供應(yīng)商支付 160 萬元作為數(shù)據(jù)采購費(fèi)用，占 2018 年數(shù)據(jù)采購金額的比例為 47.13%。此次數(shù)據(jù)采購?fù)瓿珊?，公司安排自有技術(shù)團(tuán)隊(duì)通過自動(dòng)化采集的方式采集并留存相關(guān)企業(yè)工商歷史信息和個(gè)體工商戶信息，并通過向憑安征信和人民數(shù)據(jù)采購工商信息來對(duì)數(shù)據(jù)庫進(jìn)行完善。因此對(duì)于此類信息，公司未再對(duì)外進(jìn)行過其它采購。

除上述采購?fù)猓静淮嬖谄渌騻€(gè)人供應(yīng)商采購數(shù)據(jù)的情況。

2、發(fā)行人向個(gè)人供應(yīng)商采購數(shù)據(jù)的價(jià)格公允性

公司的工商數(shù)據(jù)供應(yīng)商主要為憑安征信和人民數(shù)據(jù)。

2019 年 12 月，公司與憑安征信簽訂采購合同，約定采購內(nèi)容為全國工商企業(yè)名錄，合同有效期為 12 個(gè)月，合同金額為 240 萬元，其中一半為數(shù)據(jù)采購費(fèi)用，一半為數(shù)據(jù)更新費(fèi)用；2020 年 9 月，公司與人民數(shù)據(jù)簽訂采購合同，約定采購內(nèi)容為工商大數(shù)據(jù)（公開數(shù)據(jù)），合同有效期為 12 個(gè)月，合同金額為 450 萬元，其中一半為數(shù)據(jù)采購費(fèi)用，一半為數(shù)據(jù)更新費(fèi)用。公司向個(gè)人供應(yīng)商采購的工商數(shù)據(jù)價(jià)格與前述供應(yīng)商采購價(jià)格對(duì)比如下：

由上表可知，2018 年公司向個(gè)人供應(yīng)商數(shù)據(jù)采購單價(jià)與公司向憑安征信及人民數(shù)據(jù)采購平價(jià)單價(jià)不存在明顯偏離，具備公允性。

3、個(gè)人供應(yīng)商是否與發(fā)行人及其客戶、其他供應(yīng)商的存在關(guān)聯(lián)關(guān)系或利益安排的問題

該個(gè)人供應(yīng)商系技術(shù)領(lǐng)域從業(yè)人員，具有較強(qiáng)的技術(shù)背景，與發(fā)行人及其客戶、其他供應(yīng)商不存在關(guān)聯(lián)關(guān)系或利益安排。

問題三

公司來源于供應(yīng)商采購和自主獲取的大數(shù)據(jù)的區(qū)別及報(bào)告期內(nèi)占比，自動(dòng)化訪問獲取的企業(yè)數(shù)據(jù)如何確保來源合法性，發(fā)行人調(diào)查供應(yīng)商及數(shù)據(jù)來源合法性的具體方式及有效性

1、發(fā)行人來源于供應(yīng)商采購和自主獲取的大數(shù)據(jù)的區(qū)別及報(bào)告期內(nèi)占比

發(fā)行人商業(yè)大數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)獲取主要有四種途徑，分別是向供應(yīng)商采購的企業(yè)數(shù)據(jù)、數(shù)據(jù)與數(shù)據(jù)互換、廣告與數(shù)據(jù)互換、自動(dòng)化訪問獲取。四種數(shù)據(jù)來源方式及區(qū)別如下：

（1）數(shù)據(jù)直接采購：從數(shù)據(jù)供應(yīng)商進(jìn)行直接采購，數(shù)據(jù)類型包括工商信息、企業(yè)經(jīng)營信息等。

（2）數(shù)據(jù)與數(shù)據(jù)互換：指以公司現(xiàn)有的數(shù)據(jù)換入供應(yīng)商提供的數(shù)據(jù)，公司用于互換的數(shù)據(jù)通常不是公司對(duì)外銷售的成型數(shù)據(jù)產(chǎn)品，換出的僅是關(guān)于企業(yè)公開的工商信息、法院公告、司法訴訟、對(duì)外投資等維度的數(shù)據(jù)。換入的數(shù)據(jù)類型包括工商信息、企業(yè)公開的經(jīng)營信息（企業(yè)招投標(biāo)、招聘信息等）、輿情、行業(yè)等信息。

（3）廣告與數(shù)據(jù)互換：以啟信寶 APP或網(wǎng)頁版的廣告服務(wù)換入供應(yīng)商提供的數(shù)據(jù)，具體形式是在啟信寶頁面展示相關(guān)數(shù)據(jù)時(shí)列示該供應(yīng)商作為數(shù)據(jù)來源方進(jìn)行宣傳，換入的數(shù)據(jù)類型主要為企業(yè)公開經(jīng)營信息。

（4）自動(dòng)化訪問獲取數(shù)據(jù)：由于數(shù)據(jù)采購在數(shù)據(jù)維度的完整性、多元性、及時(shí)性等方面無法滿足下游客戶的需求，因此公司使用自動(dòng)化訪問技術(shù)從互聯(lián)網(wǎng)獲取公開數(shù)據(jù)作為數(shù)據(jù)來源的重要組成部分。自動(dòng)化訪問獲取的數(shù)據(jù)類型主要包括工商信息、企業(yè)公開經(jīng)營信息、司法訴訟信息等。

另外，從數(shù)據(jù)供應(yīng)商獲取的數(shù)據(jù)一般為格式統(tǒng)一、已進(jìn)行清洗處理過的結(jié)構(gòu)化數(shù)據(jù)，但數(shù)據(jù)來源由數(shù)據(jù)供應(yīng)商掌控，公司優(yōu)化的空間有限；與之相比，公司使用自動(dòng)化訪問技術(shù)從互聯(lián)網(wǎng)獲取公開數(shù)據(jù)一般為非結(jié)構(gòu)化數(shù)據(jù)或半結(jié)構(gòu)化數(shù)據(jù)，格式多樣，需要公司自行進(jìn)行格式統(tǒng)一、結(jié)構(gòu)化處理，深度清洗加工后才能進(jìn)行下一步的挖掘分析工作，公司對(duì)數(shù)據(jù)處理過程自主可控，可不斷優(yōu)化提升。

除上述的數(shù)據(jù)來源外，公司也會(huì)將獲取的數(shù)據(jù)信息從不同維度進(jìn)行深度挖掘，并通過建模等方式進(jìn)行分析加工處理，最終形成更高質(zhì)量的數(shù)據(jù)，作為公司商業(yè)大數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)源之一。

公司數(shù)據(jù)庫存量數(shù)據(jù)龐大，不同類型數(shù)據(jù)內(nèi)容和形式差異較大，數(shù)據(jù)庫處于實(shí)時(shí)更新狀態(tài)，無法以報(bào)告期末作為截止時(shí)點(diǎn)進(jìn)行期間統(tǒng)計(jì)。截至 2023 年 3 月 1 日，發(fā)行人的數(shù)據(jù)庫中直接向數(shù)據(jù)供應(yīng)商采購、非直接采購（包括數(shù)據(jù)換數(shù)據(jù)、廣告換數(shù)據(jù)、自動(dòng)化訪問獲?。┑臄?shù)據(jù)按類型劃分后的數(shù)量占比統(tǒng)計(jì)如下表：

公司直接向數(shù)據(jù)供應(yīng)商采購的數(shù)據(jù)進(jìn)入發(fā)行人數(shù)據(jù)庫前會(huì)進(jìn)行打標(biāo)處理，從而統(tǒng)計(jì)出直接采購比例。除了最為基礎(chǔ)、使用率最高的工商數(shù)據(jù)之外，公司從其他多種數(shù)據(jù)供應(yīng)商獲取更多元化種類的企業(yè)公開數(shù)據(jù)以對(duì)工商數(shù)據(jù)進(jìn)行良好的補(bǔ)充，為用戶提供企業(yè)關(guān)聯(lián)圖譜、輿情監(jiān)控、風(fēng)險(xiǎn)監(jiān)控、商標(biāo)及專利信息、深度報(bào)告等多種數(shù)據(jù)查詢、挖掘和智能分析服務(wù)。

2、自動(dòng)化訪問獲取的企業(yè)數(shù)據(jù)確保來源合法性的具體方式

發(fā)行人通過自動(dòng)化訪問采集的數(shù)據(jù)主要是企業(yè)工商、企業(yè)經(jīng)營信息、訴訟等公開的信息。發(fā)行人采集的網(wǎng)站主要為全國各工商網(wǎng)站、各省律師事務(wù)所信息披露網(wǎng)站、各省社會(huì)組織信息網(wǎng)、各級(jí)人民銀行官網(wǎng)，主要是政府機(jī)構(gòu)等公開信息披露的平臺(tái)。發(fā)行人采取了多重方式確保自動(dòng)化數(shù)據(jù)采集的全過程的數(shù)據(jù)合規(guī)性。

（1）數(shù)據(jù)采集前完成合規(guī)評(píng)估：發(fā)行人會(huì)在數(shù)據(jù)采集前對(duì)采集網(wǎng)站做綜合評(píng)估，包括獲取數(shù)據(jù)的主要類型、被采集網(wǎng)站是否為政府公開信息網(wǎng)站或商業(yè)性網(wǎng)站、被采集網(wǎng)站是否具備 Robots 協(xié)議或公示條款限制自動(dòng)化采集、網(wǎng)站是否具備自動(dòng)化采集限制措施、自動(dòng)化采集數(shù)量及頻率是否影響采集對(duì)象網(wǎng)站的正常運(yùn)行等核心因素。在評(píng)估數(shù)據(jù)采集合規(guī)之后，發(fā)行人才會(huì)正式開始數(shù)據(jù)采集。腳本運(yùn)行前，數(shù)據(jù)技術(shù)人員結(jié)合 Alexa 數(shù)據(jù)（Alexa 中國免費(fèi)提供 Alexa 中文排名官方數(shù)據(jù)查詢、網(wǎng)站訪問量查詢、網(wǎng)站瀏覽量查詢和排名變化趨勢(shì)數(shù)據(jù)查詢。Alexa 排名數(shù)據(jù)常用于評(píng)價(jià)某一網(wǎng)站的訪問量）評(píng)估目標(biāo)網(wǎng)站一天的總訪問量，以此計(jì)算自動(dòng)化訪問程序每秒的訪問頻率上限，并在自動(dòng)化訪問程序配置階段對(duì)并發(fā)數(shù)和訪問頻率進(jìn)行適當(dāng)?shù)南拗啤?/p>

（2）關(guān)于外部數(shù)據(jù)自動(dòng)化獲取的新增和修改流程：產(chǎn)品經(jīng)理在協(xié)同辦公系統(tǒng)中發(fā)起采集需求并添加《需求說明書》作為附件，法務(wù)負(fù)責(zé)人和個(gè)人信息保護(hù)負(fù)責(zé)人評(píng)估采集目標(biāo)網(wǎng)站的 Robots 協(xié)議、網(wǎng)站聲明和目標(biāo)網(wǎng)站的內(nèi)容安全。評(píng)估完成后，需求部門負(fù)責(zé)人、需求部門所屬事業(yè)部負(fù)責(zé)人、數(shù)據(jù)采集團(tuán)隊(duì)負(fù)責(zé)人和法務(wù)負(fù)責(zé)人在協(xié)同辦公系統(tǒng)中完成采集需求的審批。數(shù)據(jù)開發(fā)人員完成自動(dòng)化訪問程序開發(fā)并提交測(cè)試數(shù)據(jù)，測(cè)試人員測(cè)試完成后通過郵件反饋測(cè)試結(jié)果至數(shù)據(jù)技術(shù)人員。在獲取測(cè)試結(jié)果后，數(shù)據(jù)技術(shù)人員上線自動(dòng)化訪問程序并將新增的目標(biāo)網(wǎng)站更新至數(shù)據(jù)采集網(wǎng)站清單中。

（3）定期檢查被采集網(wǎng)站的規(guī)定是否變化：發(fā)行人制定了《數(shù)據(jù)自動(dòng)獲取源定期審閱制度》，對(duì)被采集網(wǎng)站做定期檢查，如以上因素發(fā)生變化，即做相應(yīng)調(diào)整，確保數(shù)據(jù)采集符合綜合評(píng)估。發(fā)行人制定了相關(guān)的管理制度及流程以管理自動(dòng)化訪問工具。

當(dāng)新增或者下線自動(dòng)化訪問工具時(shí)，須經(jīng)適當(dāng)審批后由發(fā)行人啟信寶數(shù)據(jù)技術(shù)人員負(fù)責(zé)日常維護(hù)自動(dòng)化訪問網(wǎng)站清單。通過對(duì)自動(dòng)化訪問工具的代碼掃描，以識(shí)別是否存在正在運(yùn)行的自動(dòng)化訪問工具所實(shí)際爬取的網(wǎng)站范圍超出公司自行維護(hù)的自動(dòng)化訪問網(wǎng)站清單的情況。另外，數(shù)據(jù)技術(shù)人員每三個(gè)月使用自開發(fā)的代碼掃描工具對(duì)代碼中寫入的自動(dòng)化訪問網(wǎng)站的 URL 進(jìn)行掃描，以確保所有自動(dòng)化訪問網(wǎng)站均在公司入冊(cè)的數(shù)據(jù)自動(dòng)化訪問網(wǎng)站清單的范圍內(nèi)、且均為公開信息。若發(fā)現(xiàn)異常，則由數(shù)據(jù)技術(shù)人員自查流程并完成整改。

根據(jù)上海市瑛明律師事務(wù)所（成立于 1998 年，具有中國法律業(yè)務(wù)的資格，為本項(xiàng)目提供企業(yè)數(shù)據(jù)管理及信息系統(tǒng)合規(guī)相關(guān)的法律服務(wù)）出具的《關(guān)于上海合合信息科技股份有限公司數(shù)據(jù)安全管理的盡職調(diào)查報(bào)告》，發(fā)行人數(shù)據(jù)采集的評(píng)估過程未見異常，合合信息于 2021 年 9 月 30 日在所有重大方面符合《中華人民共和國網(wǎng)絡(luò)安全法》等所涉法規(guī)的相關(guān)規(guī)定。

根據(jù)北京市中倫律師事務(wù)所出具的《關(guān)于上海合合信息科技股份有限公司數(shù)據(jù)安全管理的盡職調(diào)查報(bào)告》，報(bào)告期內(nèi)發(fā)行人數(shù)據(jù)采集的評(píng)估過程未見異常，合合信息于 2022 年 12 月 31 日在所有重大方面符合《中華人民共和國網(wǎng)絡(luò)安全法》等所涉法規(guī)的相關(guān)規(guī)定。

3、發(fā)行人調(diào)查供應(yīng)商及數(shù)據(jù)來源合法性的具體方式及有效性

（1）內(nèi)控制度：對(duì)于數(shù)據(jù)供應(yīng)商采購，發(fā)行人制定了《供應(yīng)商準(zhǔn)入制度》《數(shù)據(jù)采購管理規(guī)范》等制度文件并制定了數(shù)據(jù)采購管理流程。

根據(jù)《供應(yīng)商準(zhǔn)入制度》和《數(shù)據(jù)采購管理規(guī)范》的相關(guān)規(guī)定，發(fā)行人在采購前需根據(jù)內(nèi)控要求，①審核評(píng)估采購數(shù)據(jù)類型范圍、目的、用途、時(shí)間、授權(quán)函；②調(diào)查數(shù)據(jù)供應(yīng)商資質(zhì)、數(shù)據(jù)來源的合法性，確認(rèn)供應(yīng)商不存在信息、數(shù)據(jù)權(quán)屬及知識(shí)產(chǎn)權(quán)相關(guān)重大爭(zhēng)議；③調(diào)查確定供應(yīng)商不存在重大違法、違規(guī)、行政處罰記錄、重大法律糾紛或相關(guān)負(fù)面報(bào)道，并將盡職調(diào)查結(jié)果記錄于《供應(yīng)商基礎(chǔ)信息調(diào)查表》。

（2）內(nèi)部數(shù)據(jù)采購流程管理：公司對(duì)數(shù)據(jù)供應(yīng)商進(jìn)行盡職調(diào)查以及評(píng)審數(shù)據(jù)采購合同。經(jīng)安全與合規(guī)部評(píng)估后，發(fā)行人使用協(xié)同辦公系統(tǒng)記錄和存儲(chǔ)與第三方簽訂的采購合同、廉潔協(xié)議以及交易記錄（包括對(duì)公付款流程和收入合同審批流程等）。報(bào)告期內(nèi)，發(fā)行人與第三方數(shù)據(jù)供應(yīng)商均簽署了協(xié)議。

（3）與數(shù)據(jù)供應(yīng)商對(duì)接合作：發(fā)行人會(huì)要求數(shù)據(jù)供應(yīng)商簽署含數(shù)據(jù)來源合法合規(guī)確認(rèn)條款的數(shù)據(jù)合同。合同中約定“承諾提供數(shù)據(jù)均來自于公開、合法渠道，否則由數(shù)據(jù)提供方承擔(dān)一切法律責(zé)任。承諾其提供的數(shù)據(jù)信息來源合法有效，且有權(quán)就該等數(shù)據(jù)信息提供對(duì)應(yīng)合同項(xiàng)下的數(shù)據(jù)服務(wù)”等相關(guān)條款。

若數(shù)據(jù)合同中未作出相關(guān)約定的，相應(yīng)數(shù)據(jù)提供商會(huì)提供《數(shù)據(jù)信息使用確認(rèn)書》，其中通常會(huì)確認(rèn)提供的數(shù)據(jù)信息來源合法有效，且有權(quán)就該等數(shù)據(jù)提供合作協(xié)議項(xiàng)下的數(shù)據(jù)服務(wù)。向發(fā)行人確認(rèn)其數(shù)據(jù)來源及開展業(yè)務(wù)的合法合規(guī)性，以進(jìn)一步保障發(fā)行人數(shù)據(jù)采購的合法合規(guī)性。

報(bào)告期內(nèi)，發(fā)行人的主要供應(yīng)商有憑安征信和人民數(shù)據(jù)，均為行業(yè)內(nèi)權(quán)威性較高的數(shù)據(jù)供應(yīng)商。憑安征信是經(jīng)人行上海分行備案的企業(yè)征信機(jī)構(gòu)，2016 年正式成為國家發(fā)改委電子商務(wù)行業(yè)信用建設(shè)官方合作征信機(jī)構(gòu)，同年與國家公共信用信息中心數(shù)據(jù)實(shí)現(xiàn)互聯(lián)互通。可及時(shí)性地提供工商信息發(fā)生新增和變更的企業(yè)名稱列表，公司利用此列表通過自動(dòng)化訪問技術(shù)從全國各工商網(wǎng)站獲取公開的企業(yè)工商數(shù)據(jù)，此種模式可以保證工商數(shù)據(jù)的完整性和時(shí)效性。

人民數(shù)據(jù)由人民網(wǎng)輿情數(shù)據(jù)中心（北京人民在線網(wǎng)絡(luò)有限公司）與工信云（中衛(wèi)）科技有限公司共同成立，以承建國家大數(shù)據(jù)災(zāi)備中心、國家應(yīng)急數(shù)據(jù)中心、智慧黨建數(shù)據(jù)中心等國家大數(shù)據(jù)項(xiàng)目為契機(jī)，打造安全、高效、開放、共享的國家級(jí)大數(shù)據(jù)平臺(tái)，并致力于做好各級(jí)黨政機(jī)關(guān)、央國企、民企等大數(shù)據(jù)的“存、管、用”工作。公司 2020 年 9 月 30 日與人民數(shù)據(jù)簽署系列協(xié)議，就“人民金融大數(shù)據(jù)中心”項(xiàng)目進(jìn)行合作，同時(shí)向人民數(shù)據(jù)采購企業(yè)工商大數(shù)據(jù)。2020 年 11 月 28 日，公司與國家公共信用信息中心簽訂《信用修復(fù)結(jié)果信息安全共享保密協(xié)議》，將“信用中國”對(duì)行政處罰后信用修復(fù)結(jié)果數(shù)據(jù)與公司進(jìn)行共享。

（4）數(shù)據(jù)供應(yīng)商后續(xù)審核：公司安全與合規(guī)部組織每年一次審核供應(yīng)商是否按照合同及相關(guān)協(xié)議內(nèi)容進(jìn)行數(shù)據(jù)處理。若發(fā)生因數(shù)據(jù)導(dǎo)致的相關(guān)合法合規(guī)事件，未按要求進(jìn)行處理或未能有效履行數(shù)據(jù)安全保護(hù)責(zé)任，或者發(fā)現(xiàn)供應(yīng)商未按要求進(jìn)行處理、或未能有效履行數(shù)據(jù)安全保護(hù)責(zé)任，則發(fā)行人要求供應(yīng)商停止相關(guān)行為，并采取有效的補(bǔ)救措施控制或消除可能存在的數(shù)據(jù)安全風(fēng)險(xiǎn)和影響。發(fā)行人已建立相應(yīng)機(jī)制以保障供應(yīng)商提供數(shù)據(jù)的合法合規(guī)性。截至本回復(fù)出具之日，發(fā)行人不存在因數(shù)據(jù)采購產(chǎn)生的訴訟、行政處罰及糾紛的情形。

問題四

報(bào)告期內(nèi)公司數(shù)據(jù)管理不完善的具體情形、影響范圍、嚴(yán)重程度，目前公司針對(duì)該等不完善情形的具體整改情況及效果，發(fā)行人數(shù)據(jù)合規(guī)糾紛的解決機(jī)制

1、數(shù)據(jù)管理不完善的具體情形及相關(guān)影響

整改前，發(fā)行人在數(shù)據(jù)管理、數(shù)據(jù)合規(guī)方面已有較為完善的內(nèi)控制度以及數(shù)據(jù)采集、使用、存儲(chǔ)的管理流程，如對(duì)自動(dòng)化訪問數(shù)據(jù)采集方面提前進(jìn)行合法、合理性評(píng)估；對(duì)與第三方數(shù)據(jù)供應(yīng)商簽署合同中已規(guī)范數(shù)據(jù)來源合法及保密等相關(guān)責(zé)任等。但嚴(yán)格對(duì)標(biāo)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等數(shù)據(jù)相關(guān)法律法規(guī)，報(bào)告期內(nèi)曾經(jīng)存在少許不完善的情形。發(fā)行人曾經(jīng)存在的數(shù)據(jù)管理不完善情形及整改措施的對(duì)應(yīng)關(guān)系如下：

就上述事項(xiàng)，發(fā)行人已根據(jù)自身的實(shí)際情況及業(yè)務(wù)發(fā)展需要完成了整改。根據(jù)上海市瑛明律師事務(wù)所、北京市中倫律師事務(wù)所分別出具的《關(guān)于上海合合信息科技股份有限公司數(shù)據(jù)安全管理的盡職調(diào)查報(bào)告》，根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》及其他上述報(bào)告中所列明的盡職調(diào)查中所對(duì)標(biāo)的所涉法律法規(guī)和相關(guān)指南，截至評(píng)估基準(zhǔn)日 2021 年 9 月 30 日、2022 年 12 月 31 日，發(fā)行人在所有重大方面符合了盡職調(diào)查所涉法律法規(guī)的相關(guān)規(guī)定。

此外，公司對(duì)掃描全能王、名片全能王等 APP 產(chǎn)品進(jìn)行了檢測(cè)和整改。公司發(fā)現(xiàn)相關(guān) APP 的部分版本中存在違反必要原則，收集與其提供的服務(wù)無關(guān)的用戶權(quán)限等待整改的情況。

就上述情形，公司比對(duì)《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》（國信辦秘字〔2019〕191 號(hào)，以下簡(jiǎn)稱“《認(rèn)定方法》”），對(duì)掃描全能王、名片全能王等 APP 產(chǎn)品存在的問題進(jìn)行了整改并重新上架、及對(duì)其他部分產(chǎn)品采取主動(dòng)下架并終止提供相關(guān) APP 的網(wǎng)絡(luò)服務(wù)等措施。公司整改完成后不存在《認(rèn)定方法》所認(rèn)定的APP 違法違規(guī)收集使用個(gè)人信息行為。前述事項(xiàng)不構(gòu)成公司重大違法違規(guī)行為，不構(gòu)成發(fā)行人本次發(fā)行上市的障礙。

中國電子技術(shù)標(biāo)準(zhǔn)化研究院賽西實(shí)驗(yàn)室于 2022 年 12 月 28 日出具了《數(shù)據(jù)安全保護(hù)能力自評(píng)估報(bào)告》，經(jīng)對(duì)合合信息旗下產(chǎn)品及業(yè)務(wù)系統(tǒng)進(jìn)行的全方位評(píng)估，合合信息已根據(jù)標(biāo)準(zhǔn)要求，在個(gè)人信息保護(hù)影響評(píng)估（PIA）的執(zhí)行周期、以及對(duì)接口安全規(guī)范的鑒權(quán)信息傳輸方面的低風(fēng)險(xiǎn)問題進(jìn)行了整改，并建立了完整的覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全管理制度規(guī)范體系；已開展了數(shù)據(jù)分級(jí)分類工作，明確各類數(shù)據(jù)的敏感程度與安全保護(hù)需求，已配備了數(shù)據(jù)加密、數(shù)據(jù)脫敏等數(shù)據(jù)安全保護(hù)技術(shù)，以保障合合信息各個(gè)系統(tǒng)在數(shù)據(jù)全生命周期的安全；定期對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)，對(duì)數(shù)據(jù)接口采取了嚴(yán)格的保護(hù)措施，在接口口令認(rèn)證、數(shù)據(jù)暴露面、訪問權(quán)限、高危操作方面暫未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。

2、是否存在侵權(quán)行為、糾紛、潛在糾紛或可能被處罰的情形。（略）

3、發(fā)行人針對(duì)該等不完善情形的具體整改情況及效果，發(fā)行人數(shù)據(jù)合規(guī)糾紛的解決機(jī)制

公司根據(jù)自身的實(shí)際情況及業(yè)務(wù)發(fā)展需要，在數(shù)據(jù)管理方面進(jìn)行了相應(yīng)的整改：

（1）在制度制定方面，根據(jù)上海市瑛明律師事務(wù)所、北京市中倫律師事務(wù)所分別出具的《關(guān)于上海合合信息科技股份有限公司數(shù)據(jù)安全管理的盡職調(diào)查報(bào)告》，截至整改評(píng)估基準(zhǔn)日 2021 年 9 月 30 日、2022 年 12 月 31 日，發(fā)行人已制定并完善了覆蓋全部數(shù)據(jù)生命周期的數(shù)據(jù)合規(guī)管理制度，包括數(shù)據(jù)采集、數(shù)據(jù)使用、數(shù)據(jù)訪問權(quán)限控制、數(shù)據(jù)導(dǎo)出和數(shù)據(jù)刪除相關(guān)的制度，并設(shè)計(jì)了相應(yīng)的管理流程，實(shí)現(xiàn)全數(shù)據(jù)生命周期的管理。

（2）在數(shù)據(jù)采集方面，對(duì)于用戶自主輸入的數(shù)據(jù)采集，公司獲取用戶勾選并授權(quán)同意隱私政策后，方可主動(dòng)采集用戶的數(shù)據(jù)。對(duì)于自動(dòng)化訪問獲取的數(shù)據(jù)，公司設(shè)計(jì)了外部數(shù)據(jù)的采集管理流程，使用監(jiān)控平臺(tái)對(duì)自動(dòng)化訪問的運(yùn)行進(jìn)行監(jiān)測(cè)和告警，并定期檢查自動(dòng)化訪問目標(biāo)網(wǎng)站的 Robots 協(xié)議、網(wǎng)站聲明和內(nèi)容安全。對(duì)于數(shù)據(jù)采購，公司制定了數(shù)據(jù)采購的管理流程，包括數(shù)據(jù)供應(yīng)方的盡職調(diào)查和數(shù)據(jù)采購合同的評(píng)審流程。同時(shí)，與數(shù)據(jù)供應(yīng)商補(bǔ)充簽署了《數(shù)據(jù)信息使用確認(rèn)書》，確認(rèn)數(shù)據(jù)來源合法合規(guī)性。

（3）在數(shù)據(jù)使用方面，公司制定了用戶個(gè)人信息的使用限制以及數(shù)據(jù)分析需求的處理流程，制定了訪問授權(quán)流程，在權(quán)限管理中遵循職責(zé)分離原則。公司通過權(quán)限管理對(duì)掃描全能王、名片全能王、啟信寶 APP 的應(yīng)用系統(tǒng)及后臺(tái)支撐系統(tǒng)的訪問權(quán)限進(jìn)行限制，以保護(hù)用戶個(gè)人信息免受未經(jīng)授權(quán)訪問、公開披露、使用、修改、損壞或丟失。公司制定了數(shù)據(jù)資源的申請(qǐng)審批流程，并限制了數(shù)據(jù)庫的訪問授權(quán)。

（4）在數(shù)據(jù)存儲(chǔ)與銷毀方面，公司定義了個(gè)人信息的存儲(chǔ)方式、存儲(chǔ)期限，以及個(gè)人信息的到期刪除或匿名化處理標(biāo)準(zhǔn)。公司制定了個(gè)人信息的刪除流程，在接收用戶注銷申請(qǐng)后，掃描全能王、名片全能王、啟信寶 APP 的數(shù)據(jù)庫和后臺(tái)支持系統(tǒng)對(duì)用戶個(gè)人信息進(jìn)行物理刪除。

（5）在數(shù)據(jù)安全方面，公司制定了數(shù)據(jù)安全相關(guān)的管理制度，明確了數(shù)據(jù)分級(jí)分類的標(biāo)準(zhǔn)和不同類型數(shù)據(jù)的保護(hù)要求，并定期實(shí)施所有數(shù)據(jù)資產(chǎn)的分級(jí)分類梳理及標(biāo)注。公司制定了個(gè)人信息安全評(píng)估流程，其中明確了個(gè)人信息安全評(píng)估的適應(yīng)場(chǎng)景、評(píng)估內(nèi)容以及定期審閱機(jī)制。公司規(guī)范了不同安全等級(jí)的數(shù)據(jù)在傳輸和存儲(chǔ)中的加密要求以及密鑰的全生命周期管理機(jī)制，對(duì)掃描全能王、名片全能王、啟信寶 APP 等產(chǎn)品涉及的個(gè)人信息均使用了加密算法進(jìn)行去標(biāo)識(shí)化處理，并制定了內(nèi)容安全相關(guān)的審核機(jī)制，規(guī)范了內(nèi)容安全人工審核的標(biāo)準(zhǔn)流程和審閱標(biāo)準(zhǔn)，以及違法有害信息的應(yīng)急響應(yīng)流程和處置程序。

（6）在數(shù)據(jù)合規(guī)糾紛的解決機(jī)制方面：

1）自動(dòng)化數(shù)據(jù)采集方面：發(fā)行人制定了《通過自動(dòng)化訪問獲取數(shù)據(jù)操作規(guī)范》，在數(shù)據(jù)采集前會(huì)做綜合評(píng)估，評(píng)估因素包括爬取數(shù)據(jù)的主要類型、被采集網(wǎng)站是否為政府公開信息網(wǎng)站或商業(yè)性網(wǎng)站、被采集網(wǎng)站是否具備 Robots 協(xié)議或公示條款限制自動(dòng)化采集、網(wǎng)站是否具備自動(dòng)化采集限制措施、自動(dòng)化采集數(shù)量及頻率是否影響采集對(duì)象網(wǎng)站的正常運(yùn)行等核心因素。在評(píng)估通過之后，發(fā)行人才會(huì)正式開始數(shù)據(jù)采集。

同時(shí)，發(fā)行人會(huì)對(duì)被采集網(wǎng)站做定期檢查，如以上因素發(fā)生變化，即做相應(yīng)調(diào)整，確保數(shù)據(jù)采集符合綜合評(píng)估。發(fā)行人制定了相關(guān)的管理制度及流程以管理自動(dòng)化訪問獲取數(shù)據(jù)的工具。當(dāng)新增或者下線數(shù)據(jù)源時(shí)，須經(jīng)適當(dāng)審批后由發(fā)行人啟信寶數(shù)據(jù)技術(shù)人員負(fù)責(zé)日常維護(hù)數(shù)據(jù)源網(wǎng)站清單。通過對(duì)自動(dòng)化訪問獲取數(shù)據(jù)工具的代碼掃描，以識(shí)別是否存在正在運(yùn)行的自動(dòng)化訪問獲取數(shù)據(jù)工具所實(shí)際獲取數(shù)據(jù)的網(wǎng)站范圍超出公司自行維護(hù)的數(shù)據(jù)源網(wǎng)站清單的情況。若存在不一致的情形，評(píng)估該類網(wǎng)站是否為合法合規(guī)的信息披露平臺(tái)，從而降低因數(shù)據(jù)信息不準(zhǔn)確而產(chǎn)生訴訟糾紛的可能。

2）數(shù)據(jù)采購方面：數(shù)據(jù)采購方面，發(fā)行人對(duì)數(shù)據(jù)供應(yīng)商進(jìn)行了盡職調(diào)查，確保數(shù)據(jù)來源合法，不存在任何信息、數(shù)據(jù)權(quán)屬及知識(shí)產(chǎn)權(quán)爭(zhēng)議，不存在與數(shù)據(jù)獲取相關(guān)的爭(zhēng)議、糾紛或相關(guān)負(fù)面報(bào)道，并且在采購合同中約定數(shù)據(jù)合規(guī)事宜和糾紛解決、實(shí)施的數(shù)據(jù)安全措施條款和數(shù)據(jù)處理（包括數(shù)據(jù)類型、頻率、處理方法等）等相關(guān)條款；

3）個(gè)人信息安全及網(wǎng)絡(luò)安全方面：根據(jù)公司制定的《網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》《個(gè)人信息安全事件應(yīng)急預(yù)案》，當(dāng)發(fā)生網(wǎng)絡(luò)安全或個(gè)人信息安全相關(guān)糾紛或訴訟時(shí)，該事件涉及的系統(tǒng)產(chǎn)品團(tuán)隊(duì)負(fù)責(zé)人、研發(fā)負(fù)責(zé)人、運(yùn)營負(fù)責(zé)人，以及公司法務(wù)、安全、公共關(guān)系處理團(tuán)隊(duì)將臨時(shí)組成應(yīng)急響應(yīng)團(tuán)隊(duì)，根據(jù)事件的四個(gè)級(jí)別（特別重大、重大、較大、一般）于 2 至 24 小時(shí)內(nèi)制定應(yīng)急方案并實(shí)施，盡可能在規(guī)定時(shí)間內(nèi)解決糾紛、減少對(duì)用戶和產(chǎn)品的影響。

根據(jù)上海市瑛明律師事務(wù)所、北京市中倫律師事務(wù)所分別出具的《關(guān)于上海合合信息科技股份有限公司數(shù)據(jù)安全管理的盡職調(diào)查報(bào)告》，截至整改評(píng)估基準(zhǔn)日 2021 年9 月 30 日、2022 年 12 月 31 日，發(fā)行人上述數(shù)據(jù)合規(guī)瑕疵均已整改完畢，且已制定并完善了《安全與合規(guī)管理制度》《用戶個(gè)人信息安全管理規(guī)定》《隱私政策管理規(guī)范》《數(shù)據(jù)采購管理規(guī)范》等貫穿業(yè)務(wù)全流程、覆蓋數(shù)據(jù)全生命周期的內(nèi)控機(jī)制，符合相關(guān)法律法規(guī)的要求。

問題五

公司關(guān)于獲取、存儲(chǔ)、使用數(shù)據(jù)的相關(guān)制度規(guī)范的制定時(shí)間、主要內(nèi)容、執(zhí)行情況，是否能夠有效保障數(shù)據(jù)安全及業(yè)務(wù)合法合規(guī)？

自 2016 年至今，發(fā)行人關(guān)于數(shù)據(jù)合規(guī)管理的意識(shí)和能力逐步提升，在此期間多次對(duì)數(shù)據(jù)內(nèi)部管理機(jī)制進(jìn)行更新和升級(jí)，并于 2020 年 11 月建立了覆蓋整個(gè)數(shù)據(jù)生命周期管理的相關(guān)制度。具體制度設(shè)立的時(shí)間節(jié)點(diǎn)如下：

為確保將數(shù)據(jù)合規(guī)管理落到實(shí)處，發(fā)行人制定了覆蓋整個(gè)數(shù)據(jù)生命周期管理的相關(guān)制度，包括數(shù)據(jù)采集、數(shù)據(jù)使用、數(shù)據(jù)訪問權(quán)限控制、數(shù)據(jù)導(dǎo)出和數(shù)據(jù)刪除相關(guān)的制度。并設(shè)計(jì)了相應(yīng)的管理流程，實(shí)現(xiàn)全數(shù)據(jù)生命周期的管理。發(fā)行人制定的數(shù)據(jù)獲取、使用、處理等過程的內(nèi)部控制制度如下：

發(fā)行人制定的《安全與合規(guī)管理制度》中，規(guī)定了公司合規(guī)與信息安全的組織架構(gòu)，明確了安全與合規(guī)管理委員會(huì)在業(yè)務(wù)合規(guī)、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和用戶個(gè)人信息保護(hù)等方面的責(zé)任以及安全與合規(guī)部和各事業(yè)部、項(xiàng)目組的職責(zé)，并規(guī)定網(wǎng)絡(luò)安全、數(shù)據(jù)安全和個(gè)人信息保護(hù)等相關(guān)責(zé)任機(jī)構(gòu)的匯報(bào)層級(jí)要求。如下圖所示：

發(fā)行人設(shè)立安全與合規(guī)管理委員會(huì)，為公司內(nèi)合規(guī)與信息安全相關(guān)事務(wù)的最高決策機(jī)構(gòu)。安全與合規(guī)管理委員會(huì)由董事長(zhǎng)擔(dān)任委員會(huì)主席，由大數(shù)據(jù)技術(shù)負(fù)責(zé)人、AI技術(shù)負(fù)責(zé)人等組成委員會(huì)委員。董事長(zhǎng)為安全與合規(guī)管理委員會(huì)第一負(fù)責(zé)人。安全與合規(guī)管理委員會(huì)對(duì)公司產(chǎn)品的用戶個(gè)人信息安全負(fù)有全面的領(lǐng)導(dǎo)責(zé)任。安全與合規(guī)管理委員會(huì)下設(shè)安全與合規(guī)部，負(fù)責(zé)公司合規(guī)與信息安全日常管理工作，貫徹安全與合規(guī)管理委員會(huì)的相關(guān)決議，監(jiān)督、協(xié)調(diào)和規(guī)范公司的合規(guī)與信息安全工作。各事業(yè)部、項(xiàng)目組是合規(guī)與信息安全的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)執(zhí)行相關(guān)管理要求，落實(shí)具體工作。

數(shù)據(jù)獲取、使用、處理、信息安全等過程工作開展及相關(guān)數(shù)據(jù)制度執(zhí)行過程中，發(fā)行人按照“誰主管、誰負(fù)責(zé)”的原則，根據(jù)國家的法律法規(guī)，明確數(shù)據(jù)獲取、使用、處理等環(huán)節(jié)的第一責(zé)任人，實(shí)施覆蓋整個(gè)數(shù)據(jù)生命周期管理的責(zé)任管理制。

問題六

近年關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)等立法對(duì)公司研發(fā)、采購、銷售等的影響，公司業(yè)務(wù)開展是否符合該等法律法規(guī)規(guī)定，是否存在本次發(fā)行上市未履行的前置程序或其他障礙，相關(guān)風(fēng)險(xiǎn)揭示是否充分？

近年來，國家及有關(guān)部門陸續(xù)頒布了《中華人民共和國個(gè)人信息保護(hù)法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《信息安全技術(shù)—個(gè)人信息安全規(guī)范》《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《工業(yè)和信息化部關(guān)于開展 APP 侵害用戶權(quán)益專項(xiàng)整治工作的通知》《工業(yè)和信息化部關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知》等一系列的法規(guī)和政策，為行業(yè)的規(guī)范發(fā)展提供了政策指引和法律保障。

出于對(duì)個(gè)人信息的重視，監(jiān)管部門日益加強(qiáng)了數(shù)據(jù)行業(yè)的監(jiān)管及個(gè)人隱私保護(hù)，并出臺(tái)一系列相關(guān)的法律、法規(guī)政策。截至本回復(fù)出具之日，發(fā)行人的業(yè)務(wù)從數(shù)據(jù)來源和業(yè)務(wù)推廣方面，不存在違反上述法律法規(guī)的情形。同時(shí)，發(fā)行人在企業(yè)數(shù)據(jù)相關(guān)業(yè)務(wù)中，已取得了人行上海分行關(guān)于企業(yè)征信機(jī)構(gòu)的備案。

對(duì)于日益加強(qiáng)的個(gè)人隱私保護(hù)政策，發(fā)行人依據(jù)相關(guān)法律、法規(guī)制定了《隱私政策管理規(guī)范》，以規(guī)范隱私政策的制定流程、標(biāo)準(zhǔn)和展示方式，并明確了產(chǎn)品隱私政策編制和修訂的場(chǎng)景，包括新產(chǎn)品發(fā)布、產(chǎn)品功能變更、集成的第三方業(yè)務(wù)或功能變更、產(chǎn)品隱私政策所載明的事項(xiàng)變化、法律法規(guī)和政策的變化以及業(yè)務(wù)模式、信息系統(tǒng)或運(yùn)行環(huán)境的變化。

發(fā)行人在業(yè)務(wù)開展過程中獲取的數(shù)據(jù)依據(jù)適用的法律法規(guī)及監(jiān)管規(guī)定進(jìn)行管理和運(yùn)用。發(fā)行人制定了《安全與合規(guī)管理制度》《用戶個(gè)人信息安全管理規(guī)定》《隱私政策管理規(guī)范》《數(shù)據(jù)采購管理規(guī)范》等貫穿業(yè)務(wù)全流程的信息安全管理制度，覆蓋數(shù)據(jù)全生命周期的各項(xiàng)合規(guī)要求。

對(duì)于未來可能加強(qiáng)的數(shù)據(jù)行業(yè)監(jiān)管及個(gè)人隱私保護(hù)政策，發(fā)行人采取了以下措施：

（1）對(duì)于行業(yè)政策，持續(xù)關(guān)注國家、行業(yè)政策的更新發(fā)展，及時(shí)響應(yīng)有關(guān)部門的要求，明確在合規(guī)和信息安全方面的戰(zhàn)略、方針、目標(biāo)；

（2）發(fā)行人內(nèi)部的安全與合規(guī)管理委員會(huì)根據(jù)不斷更新的數(shù)據(jù)行業(yè)監(jiān)管、個(gè)人隱私保護(hù)政策，統(tǒng)籌規(guī)劃合規(guī)與信息安全管理制度體系的維護(hù)與持續(xù)運(yùn)作；安全與合規(guī)部根據(jù)行業(yè)與公司業(yè)務(wù)發(fā)展和監(jiān)管環(huán)境變化情況，牽頭開展研究工作，包括國內(nèi)外法律法規(guī)研究、行業(yè)形勢(shì)研究、政策研究、趨勢(shì)研判等，基于研究工作成果，對(duì)公司相關(guān)經(jīng)營管理制度、流程、方案及計(jì)劃中的數(shù)據(jù)安全、隱私保護(hù)等方面的合規(guī)性進(jìn)行評(píng)估和管理，積極提升公司數(shù)據(jù)安全與合規(guī)管理能力；

（3）安全與合規(guī)部組織與推動(dòng)對(duì)公司員工的安全與合規(guī)意識(shí)教育，牽頭開展公司內(nèi)部安全與合規(guī)相關(guān)培訓(xùn)工作，內(nèi)容包括但不限于行業(yè)相關(guān)法律法規(guī)普及、信息安全知識(shí)、數(shù)據(jù)安全紅線、用戶隱私保護(hù)、信息安全技能、內(nèi)部相關(guān)管理制度、內(nèi)部相關(guān)流程等；公司及各級(jí)管理人員強(qiáng)化國家相關(guān)法律法規(guī)的學(xué)習(xí)，對(duì)員工定期進(jìn)行有關(guān)合規(guī)培訓(xùn)，加強(qiáng)各級(jí)管理人員和普通員工的數(shù)據(jù)合規(guī)意識(shí)。

發(fā)行人已于招股說明書“第三節(jié) 風(fēng)險(xiǎn)因素”之“二、與行業(yè)相關(guān)的風(fēng)險(xiǎn)”之“（三）政策變化的風(fēng)險(xiǎn)”披露如下內(nèi)容：

公司所處行業(yè)屬于軟件和信息技術(shù)服務(wù)業(yè)，具體細(xì)分領(lǐng)域?yàn)槿斯ぶ悄芗按髷?shù)據(jù)軟件領(lǐng)域。人工智能和大數(shù)據(jù)作為“新基建”重大發(fā)展戰(zhàn)略的重要內(nèi)容，近年來得到我國政府的重點(diǎn)支持，我國中央和地方政府推出一系列針對(duì)人工智能和大數(shù)據(jù)利好政策。

同時(shí)，國家頒布了《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》等多項(xiàng)法律法規(guī)及產(chǎn)業(yè)政策，為行業(yè)的規(guī)范發(fā)展提供了政策指引和法律保障。公司在人工智能及大數(shù)據(jù)領(lǐng)域的業(yè)務(wù)發(fā)展直接或間接地受到當(dāng)前國家產(chǎn)業(yè)政策的鼓勵(lì)與支持，若未來行業(yè)監(jiān)管政策發(fā)生變化，而公司不能及時(shí)適應(yīng)或滿足未來可能出臺(tái)的監(jiān)管政策標(biāo)準(zhǔn)，將對(duì)公司的持續(xù)經(jīng)營產(chǎn)生不利影響。

綜上，發(fā)行人的業(yè)務(wù)開展符合《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)規(guī)定，不存在本次發(fā)行上市未履行的前置程序或其他障礙，相關(guān)風(fēng)險(xiǎn)揭示已在招股說明書中充分披露。

問題七

公司各項(xiàng)業(yè)務(wù)中所獲取的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途，是否存在超出數(shù)據(jù)獲取協(xié)議或隱私政策的情形？

發(fā)行人開展 C 端和 B 端業(yè)務(wù)前，通過數(shù)據(jù)供應(yīng)商采購/互換、自動(dòng)化訪問的方式獲取各類信息數(shù)據(jù)。發(fā)行人在開展 C 端業(yè)務(wù)時(shí)，通過掃描全能王 APP、名片全能王APP、啟信寶 APP3 款核心產(chǎn)品獲取各類信息數(shù)據(jù)；發(fā)行人開展 B 端業(yè)務(wù)時(shí)，通過智能文字識(shí)別和商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)獲取各類信息數(shù)據(jù)。下文將按此分類進(jìn)行闡述。

1、發(fā)行人開展 C 端及 B 端業(yè)務(wù)前所獲取的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途，是否存在超出數(shù)據(jù)獲取協(xié)議或隱私政策的情形

（1）發(fā)行人開展 C 端及 B 端業(yè)務(wù)前所獲取、使用的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途

發(fā)行人開展智能文字識(shí)別業(yè)務(wù)前無需獲取數(shù)據(jù)，開展商業(yè)大數(shù)據(jù)業(yè)務(wù)前需獲取數(shù)據(jù)。該類數(shù)據(jù)的來源系從數(shù)據(jù)供應(yīng)商采購/互換、或通過自動(dòng)化訪問獲取。具體如下：

該類數(shù)據(jù)主要用于商業(yè)大數(shù)據(jù)的 C 端及B 端服務(wù)，即：為 C 端用戶提供啟信寶APP 上的企業(yè)信息查詢服務(wù)；為 B 端客戶提供數(shù)據(jù)查詢或推送的期間段服務(wù)。該類數(shù)據(jù)存儲(chǔ)在發(fā)行人的第三方云平臺(tái)數(shù)據(jù)庫中并永久保存。

（2）發(fā)行人開展 C 端及 B 端業(yè)務(wù)前所獲取、使用的各類信息數(shù)據(jù)的主要來源及合規(guī)性對(duì)于直接采購的數(shù)據(jù)，發(fā)行人對(duì)數(shù)據(jù)進(jìn)行清洗、處理后在數(shù)據(jù)庫中進(jìn)行標(biāo)記。截至 2023 年 3 月 1 日，發(fā)行人的數(shù)據(jù)庫中直接向數(shù)據(jù)供應(yīng)商采購、數(shù)據(jù)換數(shù)據(jù)、廣告換數(shù)據(jù)、自動(dòng)化訪問獲取的數(shù)據(jù)按類型劃分后的數(shù)量占比統(tǒng)計(jì)如下表：

發(fā)行人在開展 C 端及 B 端業(yè)務(wù)前所獲取、使用的各類信息數(shù)據(jù)的來源主要為自動(dòng)化訪問、數(shù)據(jù)直接采購、數(shù)據(jù)換數(shù)據(jù)和廣告換數(shù)據(jù)，其中數(shù)據(jù)直接采購、數(shù)據(jù)換數(shù)據(jù)和廣告換數(shù)據(jù)的重要性不斷凸顯：報(bào)告期內(nèi)計(jì)入營業(yè)成本的數(shù)據(jù)直接采購、互換的金額分別為 643.36 萬元、1,036.20 萬元及 814.30 萬元。

報(bào)告期內(nèi)，公司主要從東方財(cái)富信息股份有限公司、上海憑安征信服務(wù)有限公司、人民數(shù)據(jù)管理（北京）有限公司等行業(yè)內(nèi)權(quán)威性較高的供應(yīng)商獲取數(shù)據(jù)，從而保證及時(shí)準(zhǔn)確的提供企業(yè)的相關(guān)信息。從數(shù)據(jù)供應(yīng)商采購、互換成為發(fā)行人數(shù)據(jù)獲取、使用數(shù)據(jù)的日益重要的來源。

發(fā)行人主要通過如下措施確保數(shù)據(jù)供應(yīng)商提供數(shù)據(jù)的合法合規(guī)性：

1）在與數(shù)據(jù)供應(yīng)商洽談過程中，發(fā)行人要求數(shù)據(jù)供應(yīng)商簽署含數(shù)據(jù)來源合法合規(guī)確認(rèn)條款的數(shù)據(jù)合同。該等合同中較多約定“承諾提供數(shù)據(jù)均來自于公開、合法渠道，否則由數(shù)據(jù)提供方承擔(dān)一切法律責(zé)任”、承諾其“提供的數(shù)據(jù)信息來源合法有效，且有權(quán)就該等數(shù)據(jù)信息提供對(duì)應(yīng)合同項(xiàng)下的數(shù)據(jù)服務(wù)”等類似條款。

2）若數(shù)據(jù)合同中未特意作出相關(guān)約定的，相應(yīng)數(shù)據(jù)提供商提供《數(shù)據(jù)信息使用確認(rèn)書》，確認(rèn)提供的數(shù)據(jù)信息來源合法有效，且有權(quán)就該等數(shù)據(jù)提供合作協(xié)議項(xiàng)下的數(shù)據(jù)服務(wù)。從而向發(fā)行人確認(rèn)其數(shù)據(jù)來源及開展業(yè)務(wù)的合法合規(guī)性，保障發(fā)行人數(shù)據(jù)采購、互換的合法合規(guī)性。

根據(jù)《關(guān)于上海合合信息科技股份有限公司科創(chuàng)板上市審核中重要關(guān)注問題的專題會(huì)議紀(jì)要》，市經(jīng)信委確認(rèn)，“除征信業(yè)務(wù)外，其他數(shù)據(jù)業(yè)務(wù)沒有資質(zhì)、許可或備案要求?！币虼耍瑥纳鲜鰯?shù)據(jù)供應(yīng)商采購、互換而來的數(shù)據(jù)不涉及企業(yè)征信業(yè)務(wù)，相關(guān)數(shù)據(jù)供應(yīng)商無需取得資質(zhì)、許可或備案。報(bào)告期內(nèi)，發(fā)行人與數(shù)據(jù)供應(yīng)商進(jìn)行數(shù)據(jù)采購、互換過程中也未出現(xiàn)任何法律糾紛或潛在糾紛，也不存在違反數(shù)據(jù)安全相關(guān)法律法規(guī)的情形。

（3）發(fā)行人已對(duì)歷史上存在的數(shù)據(jù)合規(guī)瑕疵進(jìn)行了整改。截至本回復(fù)出具之日，發(fā)行人開展 C 端及 B 端業(yè)務(wù)前所獲取、使用的各類信息數(shù)據(jù)不存在超出數(shù)據(jù)獲取協(xié)議的情形，也不存在違反相關(guān)法律法規(guī)的情形

1）對(duì)于通過與數(shù)據(jù)供應(yīng)商簽署數(shù)據(jù)采購/互換協(xié)議獲取、使用的數(shù)據(jù)：采購前，發(fā)行人根據(jù)《供應(yīng)商準(zhǔn)入制度》《數(shù)據(jù)采購管理規(guī)范》，審核評(píng)估采購數(shù)據(jù)的類型、范圍、目的、用途等。發(fā)行人已與數(shù)據(jù)供應(yīng)商在合同及確認(rèn)書中明確約定數(shù)據(jù)供應(yīng)商提供的數(shù)據(jù)具體類型、范圍、確認(rèn)數(shù)據(jù)來源的合法合規(guī)性等條款，簽署合同后，數(shù)據(jù)供應(yīng)商通過 API 接口或數(shù)據(jù)包的形式為發(fā)行人提供數(shù)據(jù)。發(fā)行人不存在獲取、使用的數(shù)據(jù)超出相關(guān)協(xié)議或條款約定的情形，與數(shù)據(jù)供應(yīng)商不存在糾紛或潛在糾紛。

2）對(duì)于通過自動(dòng)化訪問獲取、使用的數(shù)據(jù)：發(fā)行人在自動(dòng)化訪問前對(duì)被采集網(wǎng)站進(jìn)行綜合評(píng)估，包括擬自動(dòng)化訪問獲取數(shù)據(jù)的類型、范圍、目的、用途等；被采集網(wǎng)站是否為政府公開網(wǎng)站、是否具備 Robots 協(xié)議或公示條款限制自動(dòng)化訪問；被采集網(wǎng)站是否具備自動(dòng)化訪問限制措施等。發(fā)行人完成自動(dòng)化訪問的評(píng)估后，嚴(yán)格按照Robots 協(xié)議或公示條款正式開始數(shù)據(jù)采集。另外，發(fā)行人會(huì)對(duì)被采集網(wǎng)站定期檢查，如以上因素發(fā)生變化，及時(shí)進(jìn)行相應(yīng)調(diào)整，確保自動(dòng)化訪問符合被采集網(wǎng)站的 Robots協(xié)議或公示條款。發(fā)行人不存在獲取、使用的數(shù)據(jù)超出相關(guān)協(xié)議或條款約定的情形，與被采集網(wǎng)站及相關(guān)主體不存在糾紛或潛在糾紛。

2、發(fā)行人開展 C 端業(yè)務(wù)中所獲取的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途，是否存在超出數(shù)據(jù)獲取協(xié)議或隱私政策的情形

（1）發(fā)行人 C 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途

C 端業(yè)務(wù)主要為掃描全能王 APP、名片全能王 APP、啟信寶 APP3 款核心產(chǎn)品，C端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途如下表所示：

（2）發(fā)行人已對(duì)歷史上存在的數(shù)據(jù)合規(guī)瑕疵進(jìn)行了整改。截至本回復(fù)出具之日，發(fā)行人 C 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)不存在超出隱私政策的情形，也不存在違反相關(guān)法律法規(guī)的情形

發(fā)行人的 C 端業(yè)務(wù)三款 APP 獲取、使用的數(shù)據(jù)均為用戶自主輸入或通過第三方組件采集。對(duì)于用戶自主輸入的注冊(cè)信息、自主上傳文檔、自主上傳圖片信息、訂單支付數(shù)據(jù)、一鍵登錄信息、聯(lián)系方式、設(shè)備信息等數(shù)據(jù)，前述數(shù)據(jù)均在 C 端 APP 的《個(gè)人信息收集清單》《第三方信息數(shù)據(jù)共享清單》《隱私政策》《兒童隱私保護(hù)指引》《用戶協(xié)議》《應(yīng)用權(quán)限說明》（以下統(tǒng)稱“隱私政策”）中明確列示，發(fā)行人在用戶勾選并授權(quán)同意隱私政策后方可采集。

1）內(nèi)控制度方面，發(fā)行人制定了《隱私政策管理規(guī)范》以規(guī)范隱私政策的制定流程、標(biāo)準(zhǔn)和展示方式內(nèi)控方面，發(fā)行人依據(jù)相關(guān)法律、法規(guī)制定了《隱私政策管理規(guī)范》，以規(guī)范隱私政策的制定流程、標(biāo)準(zhǔn)和展示方式，并明確了產(chǎn)品隱私政策編制和修訂的場(chǎng)景，包括新產(chǎn)品發(fā)布、產(chǎn)品功能變更、集成的第三方業(yè)務(wù)或功能變更、產(chǎn)品隱私政策所載明的事項(xiàng)變化、法律法規(guī)和政策的變化以及業(yè)務(wù)模式、信息系統(tǒng)或運(yùn)行環(huán)境的變化。公司在各產(chǎn)品的隱私政策中聲明了公司在履行法律法規(guī)的義務(wù)時(shí)須配合公安機(jī)關(guān)處理與個(gè)人信息相關(guān)的執(zhí)法需求。

2）業(yè)務(wù)開展方面，發(fā)行人已在隱私政策中明確數(shù)據(jù)采集的內(nèi)容及用戶授權(quán)方式

C 端業(yè)務(wù)開展過程中，發(fā)行人分別在掃描全能王、名片全能王、啟信寶 APP 產(chǎn)品的隱私政策中明示了對(duì)用戶個(gè)人信息的收集和處理、個(gè)人信息的傳輸與共享、個(gè)人信息的存儲(chǔ)和銷毀、個(gè)人信息主體權(quán)利的實(shí)現(xiàn)機(jī)制以及個(gè)人信息安全保護(hù)措施等相關(guān)內(nèi)容。發(fā)行人已對(duì)歷史上存在的數(shù)據(jù)合規(guī)瑕疵進(jìn)行了整改。截至本回復(fù)出具之日，發(fā)行人獲取、使用的數(shù)據(jù)類型不存在超出隱私政策的情形。

發(fā)行人基于合法、正當(dāng)、必要的原則在各產(chǎn)品的隱私政策中列示了個(gè)人信息主體的規(guī)則，其中包括：收集和使用個(gè)人信息的目的、業(yè)務(wù)功能和類型、收集方式和頻率、存放地域、存儲(chǔ)期限、自身的數(shù)據(jù)安全能力、對(duì)外共享、轉(zhuǎn)讓、公開披露的有關(guān)情況、關(guān)于兒童隱私保護(hù)指引和第三方服務(wù)商清單。各產(chǎn)品的隱私政策等協(xié)議中設(shè)置了目錄摘要，對(duì)協(xié)議內(nèi)容進(jìn)行了概述，以確保用戶能夠快速了解個(gè)人信息保護(hù)政策的主要組成部分和個(gè)人信息控制者所作聲明的核心要旨。

根據(jù)三款 APP 的隱私政策，掃描全能王、名片全能王和啟信寶 APP 的業(yè)務(wù)功能分為基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能?；緲I(yè)務(wù)功能是 APP 必備的業(yè)務(wù)功能，擴(kuò)展業(yè)務(wù)功能是基于 APP 基本業(yè)務(wù)擴(kuò)展的相關(guān)服務(wù)及其他第三方服務(wù)。具體如下表：

在啟用不同業(yè)務(wù)功能前，公司要求用戶分別授權(quán)。

①對(duì)于 C 端 APP 的基本業(yè)務(wù)功能：對(duì)于掃描全能王、名片全能王和啟信寶三款A(yù)PP，公司在各版本產(chǎn)品的用戶注冊(cè)流程中嵌入了隱私政策和用戶、服務(wù)協(xié)議勾選確認(rèn)的機(jī)制。若用戶不主動(dòng)勾選并接受隱私政策和用戶、服務(wù)協(xié)議，則無法完成用戶注冊(cè)流程。

對(duì)于掃描全能王、名片全能王和啟信寶 APP 的 OCR 識(shí)別功能，公司提供單張授權(quán)或全集授權(quán)機(jī)制，用戶授權(quán)后，APP 才可訪問相關(guān)內(nèi)容，掃描全能王、名片全能王和啟信寶 APP 不會(huì)讀取圖片庫中其他圖片信息。對(duì)于名片全能王和啟信寶 APP 的通訊錄信息導(dǎo)入功能，產(chǎn)品提供了通訊錄信息的單個(gè)聯(lián)系人授權(quán)或全集授權(quán)機(jī)制，用戶授權(quán)后，APP 才可訪問相關(guān)內(nèi)容，名片全能王和啟信寶 APP 不會(huì)讀取通訊錄中其他聯(lián)系人信息。

②對(duì)于 C 端 APP 的擴(kuò)展業(yè)務(wù)功能：公司提供了隱私政策授權(quán)、手機(jī)權(quán)限設(shè)置和第三方隱私政策彈窗授權(quán)這三種方式，以供用戶接受并授權(quán)同意擴(kuò)展業(yè)務(wù)功能收集個(gè)人信息的請(qǐng)求。若用戶不主動(dòng)勾選并接受隱私政策，則無法使用對(duì)應(yīng)的擴(kuò)展業(yè)務(wù)功能。同時(shí)，針對(duì)擴(kuò)展業(yè)務(wù)功能所收集的個(gè)人信息建立了限制處理措施，當(dāng)數(shù)據(jù)主體拒絕信息收集時(shí)，公司會(huì)立即停止對(duì)相關(guān)數(shù)據(jù)的收集和處理。

3）對(duì) C 端 APP 的隱私政策進(jìn)行專項(xiàng)評(píng)估

發(fā)行人分別聘請(qǐng)了上海市瑛明律師事務(wù)所、北京市中倫律師事務(wù)所對(duì)發(fā)行人的三款產(chǎn)品掃描全能王、名片全能王和啟信寶 APP 的隱私政策進(jìn)行了專項(xiàng)評(píng)估。

①對(duì)于 C 端境內(nèi)產(chǎn)品：將全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)制定的《個(gè)人信息安全規(guī)范》，以及中國信息通信研究院、電信終端產(chǎn)業(yè)協(xié)會(huì)（TAF）制定的《APP 用戶權(quán)益保護(hù)測(cè)評(píng)規(guī)范》，電信終端產(chǎn)業(yè)協(xié)會(huì)發(fā)布的《APP 收集使用個(gè)人信息最小必要評(píng)估規(guī)范》作為對(duì)標(biāo)，梳理報(bào)告期內(nèi)掃描全能王、名片全能王和啟信寶 APP 所使用的隱私政策與作為對(duì)標(biāo)依據(jù)的法律法規(guī)和國家標(biāo)準(zhǔn)之間的合規(guī)對(duì)標(biāo)關(guān)系。

②對(duì)于 C 端境外產(chǎn)品：基于《通用數(shù)據(jù)保護(hù)條例》（General Data ProtectionRegulation, （EU）2016/679 號(hào)法規(guī)，以下簡(jiǎn)稱“GDPR”）的要求，參考國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）于 2019 年發(fā)布的《GDPR審計(jì)矩陣》，針對(duì)境外產(chǎn)品掃描全能王（境外版）、名片全能王（境外版）的數(shù)據(jù)保護(hù)及隱私管理制度進(jìn)行高階評(píng)估，上海市瑛明律師事務(wù)所、北京市中倫律師事務(wù)所分別出具了《關(guān)于上海合合信息科技股份有限公司數(shù)據(jù)保護(hù)及隱私管理的盡職調(diào)查報(bào)告》。根據(jù) GDPR 的相關(guān)規(guī)定，公司在截至 2021 年 9 月 30 日、2022 年 12 月 31 日的數(shù)據(jù)保護(hù)及隱私管理制度經(jīng)高階評(píng)估沒有整改建議。

4）發(fā)行人采取了一系列措施應(yīng)對(duì)不斷調(diào)整、日益變化的行業(yè)政策

2021 年 11 月 3 日，工信部信息通信管理局通報(bào) 38 款 APP 超范圍索取權(quán)限、過度收集用戶個(gè)人信息等問題，啟信寶 APP 在華為應(yīng)用市場(chǎng)的 8.1.1.0 版本被指超范圍收集個(gè)人信息。具體請(qǐng)見本回復(fù)“1.關(guān)于合規(guī)經(jīng)營”之“三、請(qǐng)保薦機(jī)構(gòu)、發(fā)行人律師說明”之“（三）對(duì)發(fā)行人報(bào)告期內(nèi)所有存在的不合規(guī)情形是否構(gòu)成重大違法違規(guī)、是否構(gòu)成發(fā)行上市障礙逐一發(fā)表明確核查意見”之“5、啟信寶 APP 超范圍收集信息”。

用戶勾選并同意隱私政策后，發(fā)行人通過使用 IMEI 對(duì)用戶賬號(hào)和設(shè)備進(jìn)行匹配，該信息收集并未超出啟信寶 APP 在華為應(yīng)用市場(chǎng)的 8.1.1.0 版本的隱私政策的范圍。但由于 APP 數(shù)據(jù)合規(guī)相關(guān)的行業(yè)標(biāo)準(zhǔn)及執(zhí)行口徑不斷調(diào)整、日益變化，使得發(fā)行人未能及時(shí)跟上行業(yè)檢測(cè)標(biāo)準(zhǔn)在實(shí)踐中的應(yīng)用。為此，發(fā)行人進(jìn)一步采取了如下措施：

①與從事信息安全評(píng)估檢測(cè)服務(wù)的權(quán)威機(jī)構(gòu)合作，定期進(jìn)行數(shù)據(jù)合規(guī)安全檢測(cè)評(píng)估：發(fā)行人與相關(guān)從事信息安全評(píng)估檢測(cè)服務(wù)的單位簽署了服務(wù)合同，定期對(duì)發(fā)行人的掃描全能王、名片全能王、啟信寶 APP 產(chǎn)品進(jìn)行安全及個(gè)人信息合規(guī)檢測(cè)，根據(jù)評(píng)估及檢測(cè)結(jié)果不斷更新 APP 版本，滿足不斷調(diào)整、日益變化的行業(yè)政策及行業(yè)標(biāo)準(zhǔn)：

②持續(xù)關(guān)注行業(yè)政策的變化，不斷加強(qiáng)數(shù)據(jù)合規(guī)相關(guān)的內(nèi)控體系建設(shè)：發(fā)行人的安全與合規(guī)管理委員根據(jù)不斷更新的數(shù)據(jù)行業(yè)監(jiān)管、個(gè)人隱私保護(hù)政策，統(tǒng)籌規(guī)劃合規(guī)與信息安全管理制度體系的維護(hù)與持續(xù)運(yùn)作；安全與合規(guī)部根據(jù)行業(yè)與公司業(yè)務(wù)發(fā)展和監(jiān)管環(huán)境變化情況，牽頭開展研究工作，包括法律法規(guī)、行業(yè)政策標(biāo)準(zhǔn)等，基于工作成果，對(duì)公司相關(guān)經(jīng)營管理制度中的數(shù)據(jù)安全、隱私保護(hù)等方面的合規(guī)性持續(xù)進(jìn)行評(píng)估和更新，從內(nèi)控層面提升公司數(shù)據(jù)安全與合規(guī)管理能力；

③不斷加強(qiáng)員工的安全與合規(guī)意識(shí)教育：安全與合規(guī)部組織推動(dòng)對(duì)員工的安全與合規(guī)意識(shí)教育，牽頭定期開展公司內(nèi)部安全與合規(guī)培訓(xùn)工作，內(nèi)容包括但不限于行業(yè)法律法規(guī)、政策標(biāo)準(zhǔn)、信息安全知識(shí)、用戶隱私保護(hù)等，加強(qiáng)各級(jí)管理人員和員工的數(shù)據(jù)合規(guī)意識(shí)。

因此，發(fā)行人已對(duì)歷史上存在的數(shù)據(jù)合規(guī)瑕疵進(jìn)行了整改。截至本回復(fù)出具之日，發(fā)行人在 C 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)不存在超出隱私政策的情形，也不存在違反相關(guān)法律法規(guī)的情形。

5）完善招股書風(fēng)險(xiǎn)提示

發(fā)行人已在招股說明書“第三節(jié) 風(fēng)險(xiǎn)因素”之“二、與行業(yè)相關(guān)的風(fēng)險(xiǎn)”之“（三）政策變化的風(fēng)險(xiǎn)”中對(duì)該風(fēng)險(xiǎn)提示內(nèi)容進(jìn)行了更新：公司所處行業(yè)具體細(xì)分領(lǐng)域?yàn)槿斯ぶ悄芗按髷?shù)據(jù)軟件領(lǐng)域，國家頒布了《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《關(guān)于加強(qiáng)科技倫理治理的意見》等多項(xiàng)法律法規(guī)及產(chǎn)業(yè)政策，不斷加強(qiáng)對(duì)數(shù)據(jù)安全、人工智能領(lǐng)域科技倫理治理的規(guī)范要求并提升對(duì)個(gè)人隱私的保護(hù)力度。雖然目前發(fā)行人的主營業(yè)務(wù)不涉及科技倫理敏感領(lǐng)域，若未來行業(yè)監(jiān)管政策發(fā)生變化，或已有的行業(yè)政策及標(biāo)準(zhǔn)發(fā)生更新，而公司不能及時(shí)適應(yīng)或滿足未來可能更新或出臺(tái)的監(jiān)管政策標(biāo)準(zhǔn)，將對(duì)公司的持續(xù)經(jīng)營及業(yè)務(wù)合規(guī)性產(chǎn)生不利影響。

3、發(fā)行人開展 B 端業(yè)務(wù)中所獲取的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途，是否存在超出數(shù)據(jù)獲取協(xié)議或隱私政策的情形

（1）發(fā)行人 B 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途發(fā)行人 B 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)的具體儲(chǔ)存方式及期限、使用方式及用途具體如下表：

（2）發(fā)行人 B 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)不存在超出相關(guān)協(xié)議的情形

1）截至本回復(fù)出具之日，智能文字識(shí)別B 端業(yè)務(wù)獲取、使用的各類信息數(shù)據(jù)不存在超出相關(guān)協(xié)議的情形，也不存在違反相關(guān)法律法規(guī)的情形發(fā)行人在智能文字識(shí)別B 端業(yè)務(wù)中，與 B 端企業(yè)客戶簽訂相關(guān)協(xié)議后，根據(jù)協(xié)議具體內(nèi)容，由 B 端企業(yè)客戶自主提供證照、票據(jù)、名片等樣本圖片，以便發(fā)行人提供證照、銀行卡、名片、通用文本、表格等智能文字識(shí)別的基礎(chǔ)技術(shù)服務(wù)，名片全能王企業(yè)版 SaaS 軟件服務(wù)及場(chǎng)景化解決方案服務(wù)。

智能文字識(shí)別 B 端業(yè)務(wù)的協(xié)議中已列明B 端企業(yè)客戶提供的企業(yè)數(shù)據(jù)、業(yè)務(wù)資料，以及發(fā)行人提供的技術(shù)內(nèi)容、形式及要求。同時(shí)，協(xié)議中也明確約定了發(fā)行人及B端企業(yè)客戶雙方的保密義務(wù)。因此發(fā)行人在智能文字識(shí)別 B 端業(yè)務(wù)獲取、使用的數(shù)據(jù)不存在超出與 B 端企業(yè)客戶簽署協(xié)議范圍外的情形，發(fā)行人按相關(guān)協(xié)議要求履行合同，與智能文字識(shí)別 B 端客戶不存在糾紛或潛在糾紛。

2）截至本回復(fù)出具之日，商業(yè)大數(shù)據(jù) B端業(yè)務(wù)獲取、使用的各類信息數(shù)據(jù)不存在超出相關(guān)協(xié)議或隱私政策的情形，也不存在違反相關(guān)法律法規(guī)的情形

發(fā)行人商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)中，與 B端企業(yè)客戶簽訂相關(guān)協(xié)議后，根據(jù)協(xié)議具體內(nèi)容提供基礎(chǔ)數(shù)據(jù)服務(wù)、標(biāo)準(zhǔn)化服務(wù)（啟信寶 SaaS 軟件服務(wù)）及場(chǎng)景化解決方案。商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)獲取、使用的是 B 端企業(yè)用戶的注冊(cè)、登錄信息以及使用服務(wù)時(shí)留存的查詢記錄。該信息僅作為 B 端企業(yè)用戶注冊(cè)及登錄賬號(hào)使用、便于發(fā)行人為客戶定向提供具體的基礎(chǔ)數(shù)據(jù)及標(biāo)準(zhǔn)化服務(wù)。商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)中的協(xié)議中已列明發(fā)行人提供的技術(shù)內(nèi)容、形式及要求，并明確為 B 端企業(yè)客戶提供的自身企業(yè)的相關(guān)數(shù)據(jù)、信息和資料。同時(shí)，協(xié)議中也明確約定了發(fā)行人及 B 端企業(yè)客戶雙方的保密義務(wù)。因此，截至本回復(fù)出具之日，發(fā)行人在商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)獲取、使用的數(shù)據(jù)不存在超出與 B 端企業(yè)客戶簽署協(xié)議范圍的情形，發(fā)行人按相關(guān)協(xié)議要求履行合同，與商業(yè)大數(shù)據(jù) B 端客戶不存在糾紛或潛在糾紛，也不存在違反相關(guān)法律法規(guī)的情形。

問題八

公司各項(xiàng)業(yè)務(wù)中所銷售或交換的各類信息數(shù)據(jù)的內(nèi)容、來源、加工處理方式、交付產(chǎn)品形態(tài)、客戶類型

發(fā)行人各項(xiàng)業(yè)務(wù)中所銷售或交換的各類信息數(shù)據(jù)的內(nèi)容、來源、加工處理方式、交付產(chǎn)品形態(tài)、客戶類型如下表所示：

公司智能文字識(shí)別業(yè)務(wù)為 C 端用戶和B 端客戶提供的服務(wù)主要為文檔掃描與文字、圖片識(shí)別服務(wù)，不涉及銷售數(shù)據(jù)。

智能文字識(shí)別 C 端業(yè)務(wù)為掃描全能王與名片全能王 APP，所獲取、使用的各類信息數(shù)據(jù)均為在獲取用戶通過彈窗方式明示同意隱私政策后，用戶自主輸入或通過第三方組件采集，并根據(jù)用戶自主上傳的文檔、圖片等數(shù)據(jù)從而提供文字、圖像識(shí)別服務(wù)，不涉及交換信息數(shù)據(jù)。智能文字識(shí)別 B 端所獲取、使用的各類信息數(shù)據(jù)為根據(jù)協(xié)議具體內(nèi)容、由 B 端企業(yè)客戶自主提供企業(yè)信息，以便發(fā)行人提供文檔掃描與文字識(shí)別服務(wù)，不涉及交換信息數(shù)據(jù)。

公司的商業(yè)大數(shù)據(jù) C 端和 B 端業(yè)務(wù)涉及的銷售或交換的信息數(shù)據(jù)內(nèi)容主要為工商信息、司法訴訟、法院公告、經(jīng)營信息等企業(yè)數(shù)據(jù)，不涉及個(gè)人數(shù)據(jù)。數(shù)據(jù)的具體來源為發(fā)行人向供應(yīng)商采購或互換和從法院官網(wǎng)、政府部門官網(wǎng)等公開網(wǎng)站自動(dòng)化訪問獲取。待發(fā)行人對(duì)前述數(shù)據(jù)進(jìn)行數(shù)據(jù)挖掘、數(shù)據(jù)清洗、數(shù)據(jù)結(jié)構(gòu)化處理等加工后，分別在 C 端形成按期收費(fèi)的 VIP 會(huì)員、付費(fèi)報(bào)告產(chǎn)品，以及在 B 端形成給企業(yè)客戶提供基礎(chǔ)數(shù)據(jù)服務(wù)、標(biāo)準(zhǔn)化服務(wù)、場(chǎng)景化解決方案。發(fā)行人不存在將從供應(yīng)商采購/互換的以及自動(dòng)化訪問獲取、使用的原始數(shù)據(jù)直接銷售給第三方的情形，前述數(shù)據(jù)均符合供應(yīng)商合作協(xié)議及網(wǎng)站公開數(shù)據(jù)處理規(guī)范。

問題九

廣告換數(shù)據(jù)、數(shù)據(jù)換數(shù)據(jù)的業(yè)務(wù)模式是否符合行業(yè)慣例，數(shù)據(jù)交易對(duì)手方是否具有獲取、使用、銷售數(shù)據(jù)的資質(zhì)，該等數(shù)據(jù)來源是否合法，該類業(yè)務(wù)模式是否合規(guī)？

1、廣告換數(shù)據(jù)、數(shù)據(jù)換數(shù)據(jù)的業(yè)務(wù)模式是否符合行業(yè)慣例

公司在商業(yè)大數(shù)據(jù)業(yè)務(wù)開展過程中，對(duì)外提供包括工商、股權(quán)、司法涉訴、失信、輿情、資產(chǎn)等超過 1,000 個(gè)數(shù)據(jù)維度。公司通過購買、自動(dòng)化訪問獲取、數(shù)據(jù)互換等方式獲取原始數(shù)據(jù)，并對(duì)原始數(shù)據(jù)進(jìn)行加工、處理，形成標(biāo)準(zhǔn)化產(chǎn)品或解決方案后對(duì)外出售。公司廣告換數(shù)據(jù)和數(shù)據(jù)換數(shù)據(jù)業(yè)務(wù)的數(shù)據(jù)供應(yīng)商大部分不直接對(duì)外銷售公司所需要的原始數(shù)據(jù)，因此雙方采取互換的形式進(jìn)行合作，根據(jù)對(duì)方的需求提供公司的數(shù)據(jù)或廣告服務(wù)。換入數(shù)據(jù)維度主要有經(jīng)營信息如招投標(biāo)、招聘、投融資等，該類信息細(xì)分維度多且缺乏統(tǒng)一的數(shù)據(jù)來源，故用互換的方式來獲取相關(guān)數(shù)據(jù)。公司在選擇互換數(shù)據(jù)供應(yīng)商時(shí)，一般選擇行業(yè)內(nèi)規(guī)模較大、資質(zhì)較好的公司進(jìn)行合作，確保數(shù)據(jù)的準(zhǔn)確性。

根據(jù)公開渠道檢索，查詢到案例公司與第三方進(jìn)行戰(zhàn)略合作或數(shù)據(jù)互換情況如下：

綜上，數(shù)據(jù)互換的業(yè)務(wù)模式符合行業(yè)慣例。

2、數(shù)據(jù)交易對(duì)手方是否具有獲取、使用、銷售數(shù)據(jù)的資質(zhì)，該等數(shù)據(jù)來源是否合法，該類業(yè)務(wù)模式是否合規(guī)

1）數(shù)據(jù)交易對(duì)手方無需具備獲取、使用、銷售數(shù)據(jù)的資質(zhì)

《網(wǎng) 絡(luò) 安全法》《中華人民共和國數(shù) 據(jù) 安全法》（以下簡(jiǎn) 稱 “ 《數(shù) 據(jù) 安全法》”）《個(gè)人信息保護(hù)法》等數(shù)據(jù)相關(guān)法律法規(guī)中，對(duì)廣告換數(shù)據(jù)、數(shù)據(jù)換數(shù)據(jù)業(yè)務(wù)模式的數(shù)據(jù)交易對(duì)手方并沒有明確規(guī)定其在獲取、使用、銷售數(shù)據(jù)的資質(zhì)要求。

為進(jìn)一步明確該數(shù)據(jù)交易對(duì)手方的資質(zhì)問題，2022 年 3 月 28 日，上海市靜安區(qū)金融服務(wù)辦公室組織召開關(guān)于合合信息科創(chuàng)板上市審核中重要關(guān)注問題的專題會(huì)議，市經(jīng)信委、上海數(shù)據(jù)交易所、發(fā)行人及保薦機(jī)構(gòu)、發(fā)行人律師參會(huì)。根據(jù)《關(guān)于上海合合信息科技股份有限公司科創(chuàng)板上市審核中重要關(guān)注問題的專題會(huì)議紀(jì)要》，市經(jīng)信委認(rèn)為，“除此類受到中國人民銀行直接監(jiān)管的征信業(yè)務(wù)外，監(jiān)管層面對(duì)應(yīng)其他數(shù)據(jù)業(yè)務(wù)沒有涉及資質(zhì)、許可或備案要求”，且“根據(jù)《上海市數(shù)據(jù)條例》第十五條規(guī)定，自然人、法人和非法人組織可以依法開展數(shù)據(jù)交易活動(dòng)。法律、行政法規(guī)另有規(guī)定的除外。因此，自然人、法人和非法人組織（以下簡(jiǎn)稱“相關(guān)主體”）均可從事數(shù)據(jù)類服務(wù)、數(shù)據(jù)交易，不存在法律法規(guī)禁止相關(guān)主體從事數(shù)據(jù)交易活動(dòng)的情況。”

因此，根據(jù)《上海市數(shù)據(jù)條例》及市經(jīng)信委的確認(rèn)，與發(fā)行人進(jìn)行數(shù)據(jù)采購、數(shù)據(jù)互換（包括廣告換數(shù)據(jù)、數(shù)據(jù)換數(shù)據(jù)）的交易對(duì)手方無需具備獲取、使用、銷售數(shù)據(jù)的資質(zhì)。

2）該等數(shù)據(jù)來源是否合法，該類業(yè)務(wù)模式是否合規(guī)

從數(shù)據(jù)來源來看，經(jīng)保薦機(jī)構(gòu)、發(fā)行人律師查閱發(fā)行人與數(shù)據(jù)供應(yīng)商簽署的合同及《數(shù)據(jù)信息使用確認(rèn)書》，發(fā)行人已要求數(shù)據(jù)供應(yīng)商通過簽署協(xié)議條款或者出具《數(shù)據(jù)信息使用確認(rèn)書》等方式，從而保障發(fā)行人數(shù)據(jù)采購的合法合規(guī)性，并且發(fā)行人換入的數(shù)據(jù)類型都是工商、企業(yè)等公開信息，不存在獲取個(gè)人隱私、敏感信息或非公開信息的情形。

從該等業(yè)務(wù)模式來看，根據(jù)《關(guān)于上海合合信息科技股份有限公司科創(chuàng)板上市審核中重要關(guān)注問題的專題會(huì)議紀(jì)要》，市經(jīng)信委及上海數(shù)據(jù)交易所認(rèn)為，數(shù)據(jù)日常交易中，常見的是數(shù)據(jù)采購、數(shù)據(jù)互換或以其他資源與數(shù)據(jù)進(jìn)行互換的商業(yè)模式。目前國家鼓勵(lì)倡導(dǎo)數(shù)據(jù)交易，除在數(shù)據(jù)交易所進(jìn)行場(chǎng)內(nèi)數(shù)據(jù)交易外，場(chǎng)外數(shù)據(jù)交易允許對(duì)公開渠道獲得的數(shù)據(jù)進(jìn)行加工，加工所形成的數(shù)據(jù)產(chǎn)品或服務(wù)可進(jìn)行交易。合合信息通過數(shù)據(jù)采購或者數(shù)據(jù)互換等方式獲取數(shù)據(jù)后經(jīng)過加工對(duì)外銷售，符合法律法規(guī)規(guī)定和行業(yè)慣例。

因此，廣告換數(shù)據(jù)、數(shù)據(jù)換數(shù)據(jù)的業(yè)務(wù)模式符合行業(yè)慣例，數(shù)據(jù)交易對(duì)手方無需具有獲取、使用、銷售數(shù)據(jù)的資質(zhì)，該等數(shù)據(jù)來源合法，該類業(yè)務(wù)模式合規(guī)。

問題十

公司是否取得了從事數(shù)據(jù)服務(wù)所需的全部資質(zhì)、許可或備案

發(fā)行人從事的數(shù)據(jù)業(yè)務(wù)分為企業(yè)征信業(yè)務(wù)及其他數(shù)據(jù)類業(yè)務(wù)。對(duì)于企業(yè)征信業(yè)務(wù)，上海生騰已取得企業(yè)征信機(jī)構(gòu)備案；對(duì)于其他數(shù)據(jù)類業(yè)務(wù)，發(fā)行人無需取得相關(guān)資質(zhì)、許可或備案

發(fā)行人的 C 端業(yè)務(wù)主要為通過掃描全能王、名片全能王、啟信寶 APP 三款核心產(chǎn)品為個(gè)人用戶提供 C 端服務(wù)；發(fā)行人的 B 端業(yè)務(wù)主要為面向企業(yè)客戶提供以智能文字識(shí)別、商業(yè)大數(shù)據(jù)為核心的服務(wù)。其中，智能文字識(shí)別業(yè)務(wù)主要為將用戶所需的文件內(nèi)容進(jìn)行識(shí)別、處理，不涉及企業(yè)征信類業(yè)務(wù)。

對(duì)于不屬于征信類業(yè)務(wù)的數(shù)據(jù)業(yè)務(wù)，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等數(shù)據(jù)相關(guān)法律法規(guī)中，未明確數(shù)據(jù)業(yè)務(wù)經(jīng)營者的資質(zhì)要求。根據(jù)《關(guān)于上海合合信息科技股份有限公司科創(chuàng)板上市審核中重要關(guān)注問題的專題會(huì)議紀(jì)要》，市經(jīng)信委確認(rèn)，“除征信業(yè)務(wù)外，其他數(shù)據(jù)業(yè)務(wù)沒有資質(zhì)、許可或備案要求?！币虼耍l(fā)行人其他不涉及企業(yè)征信業(yè)務(wù)的數(shù)據(jù)類業(yè)務(wù)，無需取得資質(zhì)、許可或備案。發(fā)行人從事的數(shù)據(jù)業(yè)務(wù)中涉及企業(yè)征信業(yè)務(wù)的，由發(fā)行人全資子公司上海生騰開展。上海生騰已于 2020 年 7 月 24 日獲得企業(yè)征信機(jī)構(gòu)備案，符合《征信業(yè)管理?xiàng)l例》《征信業(yè)務(wù)管理辦法》等法規(guī)的規(guī)定。

問題十一

公司是否從事境外數(shù)據(jù)業(yè)務(wù)，是否存在向境外主體提供或銷售數(shù)據(jù)產(chǎn)品及服務(wù)的情形，是否合法合規(guī)？

1、發(fā)行人為日本、美國的 C 端用戶提供除中國外的全球企業(yè)數(shù)據(jù)報(bào)告服務(wù)

2021 年 11 月和 2022 年 3 月，發(fā)行人的名片全能王 APP（境外版）分別在日本、美國上線數(shù)據(jù)報(bào)告服務(wù)，為 C 端客戶提供數(shù)據(jù)報(bào)告，該業(yè)務(wù)屬于境外數(shù)據(jù)業(yè)務(wù)。具體業(yè)務(wù)模式為：名片全能王 APP（境外版）通過 Company Search Incorporated（美國企業(yè)，主要提供企業(yè)數(shù)據(jù)庫及數(shù)據(jù)報(bào)告，以下簡(jiǎn)稱“CSI”）提供的數(shù)據(jù)報(bào)告接口服務(wù)（API），向日本、美國本土的 C 端用戶提供除中國外的全球企業(yè)數(shù)據(jù)報(bào)告。

報(bào)告內(nèi)容為除中國外的全球企業(yè)的概況、財(cái)務(wù)信息、股東及董事會(huì)等公開信息。截至本反饋回復(fù)出具之日，該等業(yè)務(wù)仍處于用戶測(cè)試階段。

2、發(fā)行人不存在向境外主體提供或銷售境內(nèi)數(shù)據(jù)相關(guān)產(chǎn)品及服務(wù)的情形

發(fā)行人為日本、美國的 C 端用戶提供數(shù)據(jù)報(bào)告的服務(wù)，報(bào)告內(nèi)容均為除中國外的全球企業(yè)的企業(yè)概況、財(cái)務(wù)信息、股東及董事會(huì)等公開信息，不涉及向境外主體提供或銷售境內(nèi)數(shù)據(jù)產(chǎn)品或服務(wù)的情形。

此外，發(fā)行人在歐美、東亞等主要國家與地區(qū)，針對(duì)境外客戶的不同偏好與需求進(jìn)行 C 端產(chǎn)品及 B 端服務(wù)的銷售。發(fā)行人的 C 端產(chǎn)品中，啟信寶 APP 不存在境外版本，存在境外版本的為名片全能王 APP（境外版）、掃描全能王 APP（境外版），相關(guān) APP 境外版本中存在的數(shù)據(jù)均為在獲取用戶通過彈窗方式明示同意隱私政策后，用戶自主輸入或通過第三方組件采集的數(shù)據(jù)，不涉及銷售數(shù)據(jù)，因此不涉及向境外主體提供或銷售境內(nèi)數(shù)據(jù)產(chǎn)品或服務(wù)的情形。B 端境外業(yè)務(wù)主要為客戶提供互聯(lián)網(wǎng)廣告推廣服務(wù)、手機(jī)廠商技術(shù)授權(quán)業(yè)務(wù)的服務(wù)，不涉及數(shù)據(jù)業(yè)務(wù)，不存在向境外主體提供或銷售數(shù)據(jù)產(chǎn)品或服務(wù)的情形。

3、發(fā)行人從事的境外數(shù)據(jù)業(yè)務(wù)合法合規(guī)

根據(jù)北京煒衡（東京）律師事務(wù)所出具的《法律意見書》，發(fā)行人向日本本土名片全能王 APP（境外版）用戶提供除中國外的全球企業(yè)數(shù)據(jù)報(bào)告服務(wù)的業(yè)務(wù)模式在日本合法合規(guī)。鑒于現(xiàn)行日本法下對(duì)信息提供者沒有強(qiáng)行性的資質(zhì)或準(zhǔn)入要求，發(fā)行人提供數(shù)據(jù)服務(wù)中的信息均屬于企業(yè)公開信息，因此發(fā)行人可以進(jìn)行收集、處理、分析、提供等活動(dòng)，更不涉及將中國境內(nèi)數(shù)據(jù)跨境傳輸至境外的情形。

根據(jù)美國律師事務(wù)所 Yao Legal Group LLC 出具的《法律意見書》，發(fā)行人向美國本土名片全能王 APP（境外版）用戶提供除中國外的全球企業(yè)數(shù)據(jù)報(bào)告服務(wù)的業(yè)務(wù)模式在美國合法合規(guī)。鑒于發(fā)行人提供數(shù)據(jù)服務(wù)中的信息均屬于公共信息或可通過適當(dāng)渠道獲得的業(yè)務(wù)公開信息，因此發(fā)行人不需要從美國聯(lián)邦或任何州政府獲得任何全國性或全州范圍的許可，更不涉及將中國境內(nèi)數(shù)據(jù)跨境傳輸至境外的情形。

另外，為避免發(fā)行人未來在從事境外業(yè)務(wù)時(shí)或出現(xiàn)數(shù)據(jù)流出的情況，在業(yè)務(wù)管控方面，公司通過用戶的登錄 IP 地址判斷用戶分組（中國大陸，歐盟地區(qū)，境外（含港澳臺(tái)）非歐盟地區(qū)），并根據(jù)分組路由流量至對(duì)應(yīng)服務(wù)器，以確保境內(nèi)用戶訪問境內(nèi)互聯(lián)網(wǎng)時(shí)，其流量不被路由到境外。在內(nèi)控制度方面，公司根據(jù)《個(gè)人信息安全規(guī)范》，制定了《數(shù)據(jù)管理規(guī)定》，規(guī)定若境外機(jī)構(gòu)向發(fā)行人要求調(diào)取存儲(chǔ)于中華人民共和國境內(nèi)的數(shù)據(jù)，公司的安全與合規(guī)部必須嚴(yán)格向公安機(jī)關(guān)、網(wǎng)信部門等主管機(jī)關(guān)報(bào)告，只有獲得審批后方可按主管機(jī)關(guān)的要求提供。

問題十二

公司關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)的具體制度、流程措施、內(nèi)部控制執(zhí)行情況及有效性，是否符合相關(guān)法律法規(guī)和政策文件的規(guī)定？

（1）發(fā)行人關(guān)于數(shù)據(jù)安全、個(gè)人信息保護(hù)的具體制度、流程措施、內(nèi)部控制執(zhí)行情況及有效性

1）發(fā)行人已建立并完善一系列的數(shù)據(jù)安全、個(gè)人信息保護(hù)內(nèi)部控制制度

發(fā)行人制定了覆蓋整個(gè)數(shù)據(jù)生命周期管理的數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)制度，并設(shè)計(jì)了相應(yīng)的管理流程，實(shí)現(xiàn)全數(shù)據(jù)生命周期的管理。具體如下：

發(fā)行人制定的《安全與合規(guī)管理制度》中，規(guī)定了公司合規(guī)與信息安全的組織架構(gòu)，明確了安全與合規(guī)管理委員會(huì)在數(shù)據(jù)安全和用戶個(gè)人信息保護(hù)等方面的責(zé)任以及安全與合規(guī)部和各事業(yè)部、項(xiàng)目組的職責(zé)，并規(guī)定了數(shù)據(jù)安全和個(gè)人信息保護(hù)等相關(guān)責(zé)任機(jī)構(gòu)的匯報(bào)層級(jí)要求。如下圖所示：

安全與合規(guī)管理委員會(huì)下設(shè)安全與合規(guī)部，負(fù)責(zé)公司合規(guī)與信息安全日常管理工作，貫徹安全與合規(guī)管理委員會(huì)的相關(guān)決議，監(jiān)督、協(xié)調(diào)和規(guī)范公司的合規(guī)與信息安全工作。各事業(yè)部、項(xiàng)目組是合規(guī)與信息安全的執(zhí)行機(jī)構(gòu)，負(fù)責(zé)執(zhí)行相關(guān)管理要求，落實(shí)具體工作。

2）發(fā)行人已針對(duì)數(shù)據(jù)安全、個(gè)人信息保護(hù)采取了一系列的流程措施

對(duì)于數(shù)據(jù)安全和個(gè)人隱私的保護(hù)措施與手段，發(fā)行人采取了一系列流程措施。發(fā)行人在數(shù)據(jù)來源、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用和數(shù)據(jù)持續(xù)管理四大流程方面與主營業(yè)務(wù)的對(duì)應(yīng)關(guān)系具體如下：

①數(shù)據(jù)來源方面的流程及內(nèi)控措施

發(fā)行人在開展 C 端及 B 端業(yè)務(wù)前通過數(shù)據(jù)供應(yīng)商采購、互換和自動(dòng)化訪問獲取的方式獲取數(shù)據(jù)。具體流程為數(shù)據(jù)采購、自動(dòng)化訪問獲?。粩?shù)據(jù)清洗及數(shù)據(jù)打標(biāo)處理及數(shù)據(jù)入庫?；谇笆鰳I(yè)務(wù)流程，發(fā)行人在開展 C 端及 B 端業(yè)務(wù)前獲取的數(shù)據(jù)及相應(yīng)的內(nèi)控措施如下：

發(fā)行人在開展 C 端及 B 端業(yè)務(wù)前獲取的數(shù)據(jù)均按照《數(shù)據(jù)采購管理規(guī)范》《通過自動(dòng)化訪問獲取數(shù)據(jù)操作規(guī)范》進(jìn)行管理，相關(guān)流程及內(nèi)控措施得到有效執(zhí)行。

②C端數(shù)據(jù)存儲(chǔ)方面的內(nèi)控及流程措施

發(fā)行人在開展 C 端業(yè)務(wù)過程中，C 端業(yè)務(wù)主要為掃描全能王、名片全能王、啟信寶 3 款核心產(chǎn)品，對(duì)于掃描全能王和名片全能王，主要的流程包括用戶注冊(cè)；用戶登錄；上傳、掃描文檔及圖片；購買付費(fèi)產(chǎn)品或服務(wù)等。對(duì)于啟信寶，主要的業(yè)務(wù)流程包括用戶注冊(cè)、登錄、查詢、購買付費(fèi)產(chǎn)品或服務(wù)等。基于前述業(yè)務(wù)流程，C 端業(yè)務(wù)獲取的數(shù)據(jù)及相應(yīng)的內(nèi)控措施如下：

發(fā)行人在開展 C 端業(yè)務(wù)時(shí)獲取的用戶相關(guān)數(shù)據(jù)均按照《用戶個(gè)人信息安全管理規(guī)定》和《數(shù)據(jù)庫安全管理規(guī)范》進(jìn)行管理。數(shù)據(jù)安全部分，發(fā)行人嚴(yán)格管理存儲(chǔ)用戶數(shù)據(jù)的本地服務(wù)器數(shù)據(jù)庫、大數(shù)據(jù)平臺(tái)以及存儲(chǔ)用戶訂單支付、開票數(shù)據(jù)的第三方云平臺(tái)。境內(nèi)用戶數(shù)據(jù)全部存儲(chǔ)于中國境內(nèi)，不存在將境內(nèi)數(shù)據(jù)流轉(zhuǎn)至境外的情形。境外用戶數(shù)據(jù)按照《通用數(shù)據(jù)保護(hù)條例》存儲(chǔ)在公司的第三方云平臺(tái)在境外的數(shù)據(jù)中心，并實(shí)行異地備份。C 端數(shù)據(jù)存儲(chǔ)相關(guān)流程及內(nèi)控措施得到有效執(zhí)行。

③B端數(shù)據(jù)存儲(chǔ)方面的流程及內(nèi)控措施

發(fā)行人在開展 B 端業(yè)務(wù)過程中，B 端業(yè)務(wù)主要為智能文字識(shí)別 B 端業(yè)務(wù)和商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)，對(duì)于智能文字識(shí)別 B 端業(yè)務(wù)，主要的流程為用戶使用公司的智能文字識(shí)別的產(chǎn)品掃描后上傳證照、票據(jù)、名片等樣本圖片。對(duì)于商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)，用戶需要進(jìn)行注冊(cè)及登錄（若有）、調(diào)用數(shù)據(jù)/上傳信息/查詢信息等。基于前述業(yè)務(wù)流程，B 端業(yè)務(wù)獲取的數(shù)據(jù)及相應(yīng)的內(nèi)控措施如下：

發(fā)行人在開展 B 端業(yè)務(wù)時(shí)獲取的用戶相關(guān)數(shù)據(jù)均按照《數(shù)據(jù)管理規(guī)定》《數(shù)據(jù)庫安全管理規(guī)范》進(jìn)行管理，嚴(yán)格按照與 B 端用戶簽署的協(xié)議獲取相關(guān)數(shù)據(jù)，不存在超出協(xié)議范圍的情形。B 端境內(nèi)用戶數(shù)據(jù)全部存儲(chǔ)于中國境內(nèi)，不存在將境內(nèi)數(shù)據(jù)流轉(zhuǎn)至境外的情形。B 端境外用戶數(shù)據(jù)按照《通用數(shù)據(jù)保護(hù)條例》存儲(chǔ)在公司的第三方云平臺(tái)在境外的數(shù)據(jù)中心，并實(shí)行異地備份。B 端數(shù)據(jù)存儲(chǔ)相關(guān)流程及內(nèi)控措施得到有效執(zhí)行。

④數(shù)據(jù)使用

發(fā)行人在對(duì)商業(yè)大數(shù)據(jù)進(jìn)行數(shù)據(jù)使用方面均按照內(nèi)控制度及措施進(jìn)行管理。對(duì)于數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行定期檢查和綜合評(píng)估，確保數(shù)據(jù)均為公開信息，不存在個(gè)人信息及個(gè)人隱私數(shù)據(jù)。數(shù)據(jù)使用相關(guān)流程及內(nèi)控措施得到有效執(zhí)行。

⑤數(shù)據(jù)持續(xù)管理

此外，發(fā)行人在開展 C 端和 B 端業(yè)務(wù)時(shí)持續(xù)對(duì)數(shù)據(jù)安全及個(gè)人信息保護(hù)進(jìn)行管理。數(shù)據(jù)安全方面，對(duì)于 C 端業(yè)務(wù)，發(fā)行人依據(jù)相關(guān)法律、法規(guī)制定了《隱私政策管理規(guī)范》，以規(guī)范隱私政策的制定流程、標(biāo)準(zhǔn)和展示方式，并明確了產(chǎn)品隱私政策編制和修訂的場(chǎng)景，包括新產(chǎn)品發(fā)布、產(chǎn)品功能變更、集成的第三方業(yè)務(wù)或功能變更、產(chǎn)品隱私政策所載明的事項(xiàng)變化、法律法規(guī)和政策的變化以及業(yè)務(wù)模式、信息系統(tǒng)或運(yùn)行環(huán)境的變化，并持續(xù)對(duì)涉及三款 APP 的隱私政策依照法律法規(guī)進(jìn)行更新和編制。

對(duì)于 B 端業(yè)務(wù)，公司制定了《數(shù)據(jù)管理規(guī)定》《數(shù)據(jù)庫安全管理規(guī)范》，規(guī)定每年至少對(duì)業(yè)務(wù)數(shù)據(jù)庫的庫表、字段及數(shù)據(jù)示例進(jìn)行一次分類分級(jí)篩選，確保數(shù)據(jù)庫的數(shù)據(jù)符合與數(shù)據(jù)供應(yīng)商、B 端用戶簽署的協(xié)議和網(wǎng)站 Robots 協(xié)議。

個(gè)人信息保護(hù)方面，公司制定了《用戶個(gè)人信息安全管理規(guī)定》，其中規(guī)定安全與合規(guī)部須定期（至少每年一次）對(duì)屬于個(gè)人信息敏感崗位的相關(guān)人員開展個(gè)人信息安全的專業(yè)化培訓(xùn)和考核，其內(nèi)容包含個(gè)人信息安全職責(zé)，以確保相關(guān)人員熟練掌握個(gè)人信息保護(hù)政策和相關(guān)規(guī)程。被培訓(xùn)人員在培訓(xùn)完成后均須通過培訓(xùn)考核。公司還定期開展數(shù)據(jù)保護(hù)及隱私合規(guī)培訓(xùn)。

（2）發(fā)行人符合數(shù)據(jù)安全、數(shù)據(jù)合規(guī)相關(guān)法律法規(guī)和政策文件的規(guī)定

1）發(fā)行人不屬于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，發(fā)行人的主營業(yè)務(wù)無需按規(guī)定進(jìn)行安全背景審查和網(wǎng)絡(luò)安全審查

①法律法規(guī)規(guī)定

②公司基本情況

公司的主營業(yè)務(wù)中，智能文字識(shí)別業(yè)務(wù)為 C 端和 B 端客戶提供基于自客戶渠道獲取的各類文檔圖像的智能掃描及文字識(shí)別服務(wù)，商業(yè)大數(shù)據(jù)業(yè)務(wù)為 C 端和 B 端客戶提供基于公開或客戶渠道獲取的企業(yè)數(shù)據(jù)而提供大數(shù)據(jù)挖掘及分析服務(wù)，互聯(lián)網(wǎng)廣告推廣業(yè)務(wù)為 B 端廣告客戶提供廣告營銷服務(wù)，手機(jī)廠商技術(shù)授權(quán)業(yè)務(wù)為手機(jī)廠商提供文字識(shí)別技術(shù)模塊授權(quán)服務(wù)。

公司的主營業(yè)務(wù)不屬于《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》所提的“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域”，也不屬于“其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”領(lǐng)域，因此公司不屬于關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，無需按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定進(jìn)行安全背景審查，也無需按照《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》規(guī)定主動(dòng)進(jìn)行安全審查。

2）發(fā)行人符合數(shù)據(jù)安全、數(shù)據(jù)合規(guī)相關(guān)法律法規(guī)和政策文件的規(guī)定

根據(jù)上海市瑛明律師事務(wù)所、北京市中倫律師事務(wù)所分別出具的《關(guān)于上海合合信息科技股份有限公司數(shù)據(jù)安全管理的盡職調(diào)查報(bào)告》，截至評(píng)估基準(zhǔn)日 2021 年 9 月30 日、2022 年 12 月 31 日，發(fā)行人在所有重大方面符合了《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等盡職調(diào)查所涉的法律法規(guī)和相關(guān)指南的規(guī)定。

2021 年 11 月 3 日工信部信息通信管理局通報(bào) 38 款 APP 超范圍索取權(quán)限、過度收集用戶個(gè)人信息等問題，啟信寶 APP 在華為應(yīng)用市場(chǎng)的 8.1.1.0 版本被指超范圍收集個(gè)人信息。用戶勾選并同意隱私政策后，發(fā)行人通過使用IMEI 對(duì)用戶賬號(hào)和設(shè)備進(jìn)行匹配，該信息收集并未超出啟信寶 APP 在華為應(yīng)用市場(chǎng)的 8.1.1.0 版本的隱私政策的范圍。但由于 APP 數(shù)據(jù)合規(guī)相關(guān)的行業(yè)標(biāo)準(zhǔn)及執(zhí)行口徑不斷調(diào)整、日益變化，使得發(fā)行人未能及時(shí)跟上行業(yè)檢測(cè)標(biāo)準(zhǔn)在實(shí)踐中的應(yīng)用。因此，截至本回復(fù)出具之日，發(fā)行人在 C 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)不存在超出隱私政策的情形，也不存在違反相關(guān)法律法規(guī)的情形。

就上述事宜，公司已根據(jù)工信部信息通信管理局的整改要求在全國 APP 技術(shù)檢測(cè)平臺(tái)提交了 APP 復(fù)測(cè)版本；啟信寶 APP 業(yè)務(wù)的運(yùn)營主體上海生騰已按照要求出具《企業(yè)自律承諾函》，承諾定期進(jìn)行 APP 的個(gè)人信息保護(hù)合規(guī)自查、保障用戶權(quán)益、規(guī)范APP 內(nèi)共享信息的情況、嚴(yán)格上架審核等。發(fā)行人已于 2021 年 11 月 8 日通過全國APP 技術(shù)檢測(cè)平臺(tái)提交《整改報(bào)告》，并于 2021 年 12 月 10 日收到《啟信寶 APP復(fù)測(cè)問題列表》。根據(jù)《啟信寶 APP 復(fù)測(cè)問題列表》，復(fù)測(cè)結(jié)果為“整改完成”，即通過全國 APP 技術(shù)檢測(cè)平臺(tái)的復(fù)測(cè)，發(fā)行人已在工信部信息通信管理局的規(guī)定期限內(nèi)完成整改。

發(fā)行人在智能文字識(shí)別 B 端業(yè)務(wù)中，與B 端企業(yè)客戶簽訂相關(guān)協(xié)議后，根據(jù)協(xié)議具體內(nèi)容，由 B 端企業(yè)客戶自主提供各類文檔樣本圖片，以便發(fā)行人提供各類文檔智能文字識(shí)別的基礎(chǔ)技術(shù)服務(wù)、名片全能王企業(yè)版 SaaS 軟件服務(wù)及場(chǎng)景化解決方案服務(wù)。

發(fā)行人商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)中，與 B端企業(yè)客戶簽訂相關(guān)協(xié)議后，根據(jù)協(xié)議具體內(nèi)容基于公開或客戶渠道獲取的企業(yè)數(shù)據(jù)提供基礎(chǔ)數(shù)據(jù)服務(wù)、標(biāo)準(zhǔn)化服務(wù)（啟信寶SaaS軟件服務(wù)）及場(chǎng)景化解決方案。商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)獲取、使用的是 B 端企業(yè)用戶的注冊(cè)、登錄信息以及使用服務(wù)時(shí)留存的查詢記錄。該信息僅作為 B 端企業(yè)用戶注冊(cè)及登錄賬號(hào)使用、便于發(fā)行人為客戶定向提供具體的基礎(chǔ)數(shù)據(jù)及標(biāo)準(zhǔn)化服務(wù)。

發(fā)行人的智能文字識(shí)別和商業(yè)大數(shù)據(jù) B 端業(yè)務(wù)的協(xié)議中已列明 B 端企業(yè)客戶提供的企業(yè)數(shù)據(jù)、業(yè)務(wù)資料，以及發(fā)行人提供的技術(shù)內(nèi)容、形式及要求。同時(shí)，協(xié)議中也明確約定了發(fā)行人及 B 端企業(yè)客戶雙方的保密義務(wù)。因此發(fā)行人在 B 端業(yè)務(wù)獲取、使用的數(shù)據(jù)不存在超出與 B 端企業(yè)客戶簽署協(xié)議范圍外的情形，發(fā)行人按相關(guān)協(xié)議要求履行合同，與 B 端客戶不存在糾紛或潛在糾紛。

保薦機(jī)構(gòu)、發(fā)行人律師已訪談上海市公安局靜安分局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)，其已確認(rèn)發(fā)行人在報(bào)告期內(nèi)不存在因數(shù)據(jù)采集、購買、保管、使用、銷售等事宜違反網(wǎng)絡(luò)信息安全相關(guān)的法律、法規(guī)和規(guī)范性文件的情形，不存在因網(wǎng)絡(luò)信息安全方面的違法違規(guī)行為而受到行政處罰或因涉嫌違法違規(guī)而被立案調(diào)查。發(fā)行人符合數(shù)據(jù)安全、數(shù)據(jù)合規(guī)相關(guān)法律法規(guī)和政策文件的規(guī)定，發(fā)行人已對(duì)歷史上存在的數(shù)據(jù)合規(guī)瑕疵進(jìn)行了整改。截至本回復(fù)出具之日，發(fā)行人在 C 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)不存在超出隱私政策的情形、發(fā)行人在 B 端業(yè)務(wù)中所獲取、使用的各類信息數(shù)據(jù)不存在超出相關(guān)協(xié)議的情形，C 端和 B 端業(yè)務(wù)均不存在違反相關(guān)法律法規(guī)的情形。

發(fā)行人已在招股說明書“第三節(jié) 風(fēng)險(xiǎn)因素”之“二、與行業(yè)相關(guān)的風(fēng)險(xiǎn)”之“（三）政策變化的風(fēng)險(xiǎn)”補(bǔ)充披露如下：

公司所處行業(yè)具體細(xì)分領(lǐng)域?yàn)槿斯ぶ悄芗按髷?shù)據(jù)軟件領(lǐng)域，國家頒布了《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》《關(guān)于加強(qiáng)科技倫理治理的意見》等多項(xiàng)法律法規(guī)及產(chǎn)業(yè)政策，不斷加強(qiáng)對(duì)數(shù)據(jù)安全、人工智能領(lǐng)域科技倫理治理的規(guī)范要求并提升對(duì)個(gè)人隱私的保護(hù)力度。雖然目前發(fā)行人的主營業(yè)務(wù)不涉及科技倫理敏感領(lǐng)域，若未來行業(yè)監(jiān)管政策發(fā)生變化，或已有的行業(yè)政策及標(biāo)準(zhǔn)發(fā)生更新，而公司不能及時(shí)適應(yīng)或滿足未來可能更新或出臺(tái)的監(jiān)管政策標(biāo)準(zhǔn)，將對(duì)公司的持續(xù)經(jīng)營及業(yè)務(wù)合規(guī)性產(chǎn)生不利影響。

參考資料：

合合信息公告，包括：

上海合合信息科技股份有限公司科創(chuàng)板首次公開發(fā)行股票招股說明書

8-1發(fā)行人及保薦機(jī)構(gòu)關(guān)于審核中心意見落實(shí)函的回復(fù)

8-1-3發(fā)行人及保薦機(jī)構(gòu)關(guān)于第三輪審核問詢函的回復(fù)(2022年年報(bào)財(cái)務(wù)數(shù)據(jù)更新版)

8-1-2發(fā)行人及保薦機(jī)構(gòu)關(guān)于第二輪審核問詢函的回復(fù)(2022年年報(bào)財(cái)務(wù)數(shù)據(jù)更新版)

8-1-1發(fā)行人及保薦機(jī)構(gòu)關(guān)于審核問詢函的回復(fù)(2022年年報(bào)財(cái)務(wù)數(shù)據(jù)更新版)

本文基于公開資料撰寫，僅作為信息交流之用，不構(gòu)成任何投資建議。

特別聲明：以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布，本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.