| 证券代码:300168 | 证券简称:万达信息 |
关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函回复
(修订稿)
保荐机构(主承销商)
二零二二年五月
1-1
关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函回复
(修订稿)
深圳证券交易所:
贵所于2022年3月4日出具的《关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函》(审核函〔2022〕020044号)(以下简称“《审核问询函》”)已收悉。万达信息股份有限公司(以下简称“万达信息”“发行人”“公司”)会同太平洋证券股份有限公司(以下简称“保荐机构”“太平洋证券”)、上海市浩信律师事务所(以下简称“律师”)对《审核问询函》所列问题进行了逐项核查和落实,并就《审核问询函》进行了逐项回复。说明:
1、如无特殊说明,本回复中使用的简称或名词释义与《万达信息股份有限公司2021年度向特定对象发行股票募集说明书(三次修订稿)》(以下简称“《募集说明书》”)保持一致;
2、本回复中若出现合计数尾数与所列数值总和尾数不符的情况,均为四舍五入所致;
3、本回复中的字体代表以下含义:
| 问询函所列问题 | 黑体 |
| 问询函所列问题的回复 | 宋体 |
| 对募集说明书的补充披露或修改 | 楷体、加粗 |
1-2
目录
问题1 ...... 3
1-3
问题1根据申报文件及反馈回复,2020年发行人开始转型升级,定位为互联网化科技型公司,主要业务分为智慧政务、医疗卫生、信息技术应用创新、智慧城市(市民云)、健康管理服务(健康云和蛮牛健康业务等)等五大板块。其中部分业务涉及收集、存储、使用个人数据的情形。请发行人补充说明:“健康云—客户端”和“蛮牛健康”两个APP是否存在违法违规收集个人信息的问题。如是,请详细说明相关平台违法违规收集个人信息的起始时间、具体内容、数据所有权、数据存放方式及收集个人信息的用途;是否已完成对相关违法违规问题的整改,并说明整改情况及结果。请保荐人及发行人律师核查并发表明确意见。回复:
一、“健康云—客户端”和“蛮牛健康”两个APP是否存在违法违规收集个人信息的问题。如是,请详细说明相关平台违法违规收集个人信息的起始时间、具体内容、数据所有权、数据存放方式及收集个人信息的用途;是否已完成对相关违法违规问题的整改,并说明整改情况及结果。
(一)APP相关情况
2022年2月,根据发行人整体合规检查安排,发行人对运营的APP进行主动自查。
经核实,“健康云—客户端”从2021年10月18日开始,由于引用存在违规问题的第三方定位软件开发工具包,从而导致“健康云—客户端”存在“虽然告知用户‘医疗地图、预约挂号等功能需要定位’,但在用户实际每次进入APP还未使用相关功能就调用定位权限、获取位置信息”的问题。该等个人位置信息数据所有权属于用户个人(已经取得用户同意授权),发行人在当时场景下获取个人位置信息的用途是便于用户通过位置信息获取最近的医疗机构或接种点,如预约挂号、核酸检测、新冠疫苗接种等。发行人不存储该等场景下获取的个人位置信息,在APP手机端与系统后台服务器中不存储记录任何个人坐标位置的数据。
1-4
经核实,“蛮牛健康”从2021年10月18日开始,由于引用存在违规问题的第三方定位软件开发工具包,从而导致“蛮牛健康”存在“虽然告知用户‘城市定位、商城功能需要定位’,但实际每次进入APP还未使用相关功能就调用定位权限、获取位置信息,且随后APP存在延迟切换城市;在后台静默时获取位置信息”的问题。该等个人位置信息数据所有权属于用户个人(已经取得用户同意授权),发行人在当时场景下获取个人位置信息的用途是便于为用户提供基于位置的当地活动信息及相关服务。发行人不存储该等场景下获取的个人位置信息,在APP手机端与系统后台服务器中不存储记录任何个人坐标位置的数据。因此,“健康云—客户端”APP和“蛮牛健康”APP的上述问题主要由于引用存在违规问题的第三方定位软件开发工具包而导致。发行人出于提供便民服务的目的获取个人位置信息,没有主观故意,不存储该等场景下获取的个人位置信息,在APP手机端与系统后台服务器中不存储记录任何个人坐标位置的数据,客观上未侵害用户信息并造成实际影响。
(二)整改情况及结果
针对上述问题,发行人组织有关部门进行评审,制定整改方案,选定技术路线,明确责任部门和责任人,确定时间节点进行整改,并积极寻求第三方专业机构的支持,具体整改情况如下:
“健康云”APP整改情况为:关闭第三方定位软件开发工具包。
“蛮牛健康”APP整改情况为:使用纯净版的第三方定位软件开发工具包,同时关闭第三方定位软件开发工具包在后台获取用户位置信息的权限。
2022年3月,中国电子技术标准化研究院赛西实验室(中国电子技术标准化研究院属于工业和信息化部直属事业单位,是国家从事电子信息技术领域标准化的基础性、公益性、综合性研究机构,拥有新一代信息安全与隐私保护标准化技术工业和信息化部重点实验室等资质。赛西实验室具有工业和信息化部关于工业电子信息及软件产品质量控制和技术评价资质)对“健康云”和“蛮牛健康”APP进行了个人信息安全的评估,评估项包括:1、未公开收集使用规则;2、隐私政策内容未做到完整、准确、真实;3、未明示收集个人信息的目的、方式和范围;4、未经用户同意收集使用个人信息;5、违反必要原则,收
1-5
集与其提供的服务无关的个人信息;6、未经同意向他人提供个人信息;7、未按规定提供删除或更正个人信息的功能;8、未公布投诉、举报方式信息等信息。评估的具体情况如下:
1、“健康云”APP
中国电子技术标准化研究院赛西实验室于2022年3月14日及2022年3月16日分别获取了健康云Android版5.3.10和iOS版5.3.10的样本,于2022年3月17日及2022年3月24日分别出具《健康云Android版APP个人信息安全评估报告》及《健康云iOS版APP个人信息安全评估报告》,上述报告摘要如下:
(1)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实验室于2022年3月11日至2022年3月17日,对健康云Android版APP5.3.10进行了个人信息安全的评估。主要评估结果如下:依据《APP违法违规收集使用个人信息行为认定办法》的评估要点进行评估,未发现APP存在违法违规收集使用个人信息的问题。”
(2)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实验室于2022年3月16日至2022年3月24日,对健康云iOS版APP5.3.10进行了个人信息安全的评估。主要评估结果如下:依据《APP违法违规收集使用个人信息行为认定办法》的评估要点进行评估,未发现APP存在违法违规收集使用个人信息的问题。”
2、“蛮牛健康”APP
中国电子技术标准化研究院赛西实验室于2022年3月14日及2022年3月16日分别获取了蛮牛健康Android版2.1.5和iOS版2.1.50的样本,于2022年3月17日及2022年3月24日分别出具《蛮牛健康Android版APP个人信息安全评估报告》及《蛮牛健康iOS版APP个人信息安全评估报告》,上述报告摘要如下:
(1)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实验室于2022年3月11日至2022年3月17日,对蛮牛健康Android版APP2.1.5进行了个人信息安全的评估。主要评估结果如下:依据《APP违法违
1-6
规收集使用个人信息行为认定办法》的评估要点进行评估,未发现APP存在违法违规收集使用个人信息的问题。”
(2)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实验室于2022年3月16日至2022年3月24日,对蛮牛健康iOS版APP2.1.50进行了个人信息安全的评估。主要评估结果如下:依据《APP违法违规收集使用个人信息行为认定办法》的评估要点进行评估,未发现APP存在违法违规收集使用个人信息的问题。”
因此,“健康云”和“蛮牛健康”两个APP已经全部整改完成。
为降低合规风险,发行人进一步完善了合规制度和机制建设,主要体现在三个方面:
(1)在安全管理体系建设合规遵循方面
发行人依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,设置了安全管理工作机构,明确了安全管理组织架构中各级部门安全责任人职责,制定了配套的信息安全管理制度。涵盖了安全管理机构、人员安全管理、系统安全建设管理、安全运维管理、数据安全管理、安全绩效考核管理、应急响应管理等。
(2)在互联网应用上线运行合规遵循方面
发行人制定了应用安全风险评估和管理流程,规定了应用系统上线前必须进行安全性评估,评估内容包括APP包安全、业务安全、传输安全、数据安全等,通过安全评估后方可申请应用对外发布。发行人遵循国家网络安全等级保护相关规范要求,对互联网应用系统落实等级保护定级备案,按期开展等级保护测评。
(3)在个人信息数据收集使用合规遵循方面
发行人采用了周期性检测与非周期性专项检测相结合的管控方式。一方面是定向采购第三方专业安全厂商的“APP违法违规收集使用个人信息合规评估服务”,周期性对APP中的隐私政策、涉及个人信息的权限、SDK安全等内容合规性进行评估,通过评估后方可申请对外发布;另一方面是及时关注国家各
1-7
主管部门发布的互联网安全漏洞预警、互联网APP业内安全检测情况通报等公开信息,举一反三自查自纠,不定期采购第三方专业安全评估机构的专项安全评估检测服务,提高响应频度和针对性。综上,“健康云”APP和“蛮牛健康”APP由于引用存在违规问题的第三方定位软件开发工具包而导致产生相关问题。目前,发行人已经整改完毕;经第三方专业机构评估,其未发现目前版本“健康云”APP和“蛮牛健康”APP违法违规收集使用个人信息的情形。因此,目前“健康云”和“蛮牛健康”两个APP不存在违法违规收集个人信息的情况。发行人在严格遵循信息安全合规制度和机制的基础上,持续强化完善信息安全技术和管理措施,努力降低业务合规风险。
二、请保荐人及发行人律师核查并发表明确意见。
(一)核查程序
保荐机构主要履行了以下核查程序:
1、获取发行人整改报告;
2、查阅中国电子技术标准化研究院赛西实验室出具的评估报告;
3、查看相关APP功能;
4、查阅发行人有关信息安全管理相关的制度;
5、访谈发行人高管;
6、公开查询了解相关APP合规情况。
(二)核查意见
经核查,保荐机构认为:
1、发行人已对“健康云”和“蛮牛健康”两个APP存在的问题及相关问题起始时间、具体内容、数据所有权、数据存放方式、收集个人信息的用途进行了必要说明。
1-8
2、根据发行人的说明及中国电子技术标准化研究院赛西实验室出具的评估报告,发行人已完成对相关问题的整改,目前“健康云”和“蛮牛健康”两个APP不存在违法违规收集个人信息的情况。
发行人律师的核查情况和核查意见详见《上海市浩信律师事务所关于万达信息股份有限公司2021年度向特定对象发行股票的补充法律意见书(五)》
1-9
(此页无正文,为《关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函回复》之发行人签字盖章页)
万达信息股份有限公司
年 月 日
1-10
(此页无正文,为《关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函回复》之保荐机构签字盖章页)
保荐代表人:
| 欧阳凌 | 敬启志 |
太平洋证券股份有限公司
年 月 日
1-11
保荐机构总经理声明
本人已认真阅读《关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函回复》的全部内容,了解回复涉及问题的核查过程、本公司的内核和风险控制流程,确认本公司按照勤勉尽责原则履行核查程序,审核问询函回复不存在虚假记载、误导性陈述或重大遗漏,并对上述文件的真实性、准确性、完整性承担相应的法律责任。
保荐机构总经理:
太平洋证券股份有限公司
年 月 日
| 李长伟 |