关于熵基科技股份有限公司首次公开发行股票并在创业板上市发行注册环节反馈意见落实函的回复
保荐机构(主承销商)
北京市西城区金融大街7号英蓝国际金融中心12层、15层
1-1
深圳证券交易所:
贵所于2022年2月15日出具的《发行注册环节反馈意见落实函》(审核函〔2022〕010188号)(以下简称“意见落实函”)收悉,瑞银证券有限责任公司(以下简称“保荐机构”)作为熵基科技股份有限公司(以下简称“熵基科技”、“公司”或“发行人”)首次公开发行股票并在创业板上市的保荐机构(主承销商),会同熵基科技、国浩律师(深圳)事务所(以下简称“发行人律师”)、天职国际会计师事务所(特殊普通合伙)等相关各方对意见落实函相关问题逐项进行了落实,现对意见落实函回复如下,请审核。
除另有说明外,本回复所用简称与招股说明书所用简称一致。
| 意见落实函所列问题 | 黑体(不加粗) |
| 对问题的回答 | 宋体(不加粗) |
| 引用原招股说明书内容 | 宋体(不加粗) |
| 对招股说明书和本回复的修改、补充 | 楷体(加粗) |
1-2
目录
问题1 ...... 3
问题2 ...... 13
1-3
问题1
请发行人:(1)补充说明与汉王科技诉讼相关的9种型号产品无法继续销售对发行人未来业绩的影响,前述产品无法销售是否影响发行人其他产品的销售;(2)发行人前述9种型号产品所用专利与汉王科技相关专利实质差异情况以及发行人败诉风险,相关诉讼的最新进展情况;(3)发行人实际控制人是否具备履行专利诉讼承诺的经济实力。
请保荐机构、发行人律师进行核查并发表明确意见。
回复:
一、发行人回复
(一)补充说明与汉王科技诉讼相关的9种型号产品无法继续销售对发行人未来业绩的影响,前述产品无法销售是否影响发行人其他产品的销售;
1、与汉王科技诉讼相关的9种型号产品无法继续销售对发行人未来业绩的影响
根据汉王科技《关于公司提起诉讼的公告》及发行人收到的《民事起诉状》等相关诉讼材料,本案共涉及IFACE702-P\IFACE102\NFACE102\IFACE702\JDF200\UF100PLUS\UF200\NFACE101\IFACE302等9款产品。
发行人对上述9款产品2018年度至2021年度相应的销售收入及毛利具体数据已申请豁免披露。2018年至2021年,涉及汉王专利侵权诉讼的产品收入及毛利占比较小,且呈现持续下降的趋势,贡献度有限。
2、涉诉产品后续处理的最新进展及若无法销售对其他产品销售的影响
考虑到发行人相关产品的产品周期以及销售情况,且为了避免不必要的纠纷,发行人对涉诉产品做出如下安排:
| 项 目 | 计划 | 最新进展 |
| 生产 | 2022年1月停止生产 | 已停止生产该9款产品 |
| 库存商品的处理 | 2022年1月发行人及其子公司停止线上销售9款商品,线下 | 发行人及其子公司线上已停止销售,线下销售至2022年2月底。截至2022 |
1-4
| 项 目 | 计划 | 最新进展 |
| 销售至2022年2月止,未销售完的库存产品将进行库改后再对外销售 | 年3月31日,上述9款产品的库存商品余额已申请豁免披露 | |
| 后续产品的升级改造 | 预计2022年2月完成升级改造工作并于3月重新上架销售 | 2款产品由于型号偏旧且收入占比极小,不再升级改造,发行人已停产; 6款产品已完成升级改造,并上市销售; 1款产品正在进行升级改造,预计2022年4月完成即可上市销售 |
上述9款产品的停止销售不会对其他产品以及公司整体的营收及盈利能力产生重大影响,主要是因为:一方面,该9款产品大部分为型号较为老旧的产品,其中报告期内上市的型号仅为其中的2款,而发行人在该9款产品涉及的产品领域产品线配置丰富,可替代产品较多,且该9款产品停止销售后,其中,6款产品已完成升级改造,已上市销售,1款产品会有升级改造的相应产品在2022年4月完成升级改造并上市销售;另一方面,上述9款产品均独立销售,发行人其他产品不存在必须与该9款产品搭配销售才能实现相应功能的情形。
汉王科技起诉发行人专利侵权主要在于图像获取装置的斜坡角度,目前发行人升级改造后的相关产品图像获取装置的斜坡角度将不再落在45°至60°之间,或者不再具有斜坡式结构。因此,升级改造后的产品预计不会涉嫌侵犯汉王科技的专利。
(二)发行人前述9种型号产品所用专利与汉王科技相关专利实质差异情况以及发行人败诉风险,相关诉讼的最新进展情况
1、9种型号产品所用专利与汉王科技相关专利实质差异情况
(1)汉王专利的基本情况
根据发行人在国家知识产权局网站查询的公示信息,汉王专利的专利类型为发明专利,权利人为汉王科技,申请日期为2008年6月25日,授权公告日为2016年3月23日,其《权利要求书》载明的具体权利要求如下:
“1、一种斜坡式图像获取装置,其特征在于,所述装置包括斜坡装置和摄像头,所述斜坡装置具有与水平面成一定斜坡角度的界面,所述摄像头的
1-5
轴向斜向上固定在所述界面上;其中,所述摄像头的轴向垂直于所述界面,所述摄像头设置在所述界面的下部,在所述界面的上部设置用于显示的屏幕区,其中所述斜坡角度在45°至60°之间。
2、根据权利要求1所述的图像获取装置,其特征在于,所述斜坡角度为53°。
3、一种人脸识别系统,其特征在于,所述系统包括斜坡式图像获取装置、人脸识别单元和输出装置,
所述斜坡式图像获取装置包括斜坡装置和摄像头,所述斜坡装置具有与水平面成一定斜坡角度的界面,所述摄像头的轴向斜向上固定在所述界面上,且所述摄像头的轴向垂直于所述界面,所述摄像头设置在所述界面的下部,在所述界面的上部设置用于显示的屏幕区,其中所述斜坡角度在45°至60°之间;
所述人脸识别单元通过电气连接与所述斜坡式图像获取装置相连,用于接收所获取的人脸图像并对所接收的图像进行人脸识别;
所述输出装置用于输出人脸识别单元的识别结果。
4、根据权利要求3所述的人脸识别系统,其特征在于,所述斜坡装置的斜坡角度为53°。
5、根据权利要求3所述的人脸识别系统,其特征在于,所述人脸识别系统基于PC平台。
6、根据权利要求3所述的人脸识别系统,其特征在于,所述人脸识别系统基于嵌入式平台。”
基于上述核查,以及发行人相关技术人员的沟通确认,并根据北京允天律师事务所出具的法律意见书,从汉王专利的上述权利请求看,汉王专利更多的是涉及产品外壳的角度、摄像头摆放位置等事项,不涉及生物识别算法、光电采集等核心技术。
(2)熵基涉诉型号产品专利基本情况及实质差异
1-6
如上所述,汉王科技的专利的主要权利要求在于其斜坡式图像获取装置的角度及摄像头摆放位置等。根据北京允天律师事务所就该事项出具的法律意见,熵基科技的9款产品未落入涉案专利全部权利要求的保护范围的可能性较大,侵权可能性较低。此外,熵基科技的9款产品都是混合了指纹识别及人脸识别的认证终端,融合了熵基科技核心算法技术、光电采集技术、电路结构、数据处理及门禁功能等多项专利共计35项专利,其中算法专利共计13项。上述9款产品涉及的部分主要核心专利如下:
1-7
| 项 目 | 专 利 | iface 102 | iface 302 | iface 702-P | iface-702 | JDF 200 | nface 101 | nface 102 | UF100plus | UF 200 |
模具结构
| 模具结构 | 内部结构设计 | 201821939928.6 功能模块的固定结构 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
| 算法 | 人脸 | 201710020544.8 一种人脸识别方法及人脸识别设备 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
| 手掌 | 201780001261.7 一种掌静脉的识别方法及装置 | √ | |||||||||
| 201811016906.7 一种手掌及其关键点检测方法、装置和终端设备 | √ | ||||||||||
| 指纹 | 201610059592.3 一种指纹图像处理方法和指纹探测设备 | √ | √ | √ | √ | √ | √ | √ | √ | ||
| 201610472315.5 一种指纹图像的转换方法及装置 | √ | √ | √ | √ | √ | √ | √ | √ | |||
| 混合识别 | 201610253452.X 一种基于多模式生物识别信息的个人识别装置和方法 | √ | |||||||||
| 光电采集 | |||||||||||
| 手掌光电 | 201921245105.8 一种掌纹信息采集装置 | √ | |||||||||
| 人脸光电 | |||||||||||
| 201610701604.8 人脸防伪方法和装置 | √ | √ | √ | √ | √ | √ | √ | √ | √ | ||
| 201721257833.1 一种识别设备 | √ | √ | √ | √ | √ | √ | √ | √ | √ | ||
| 电路结构 | 核心板设计 | 201520108593.3 一种基于JZ4775芯片的工控核心板 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
| 整机抗干扰电路 | 201621014748.8 一种多生物识别装置 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
数据处理及门禁功能等
| 数据处理及门禁功能等 | 数据交互 | 201611108197.6 一种数据交互方法及数据交互系统 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
| 数据处理 | 201910386333.5 数据处理方法、系统、装置及终端设备 | √ | √ | √ | √ | √ | √ | √ | √ | √ |
1-8
由上表可知,熵基科技围绕生物识别领域,特别是人脸识别及混合人脸指纹识别等产品布局了多项具有核心技术的专利,涉诉9款产品在生物识别算法、光电采集器技术等部件上广泛使用了上述核心专利,而汉王科技的该项专利在于斜坡结构,不涉及核心技术。
2、发行人败诉风险
(1)构成侵权的可能性较低
根据北京允天律师事务所就该事项出具的法律意见书,发行人的相关产品是否侵权的分析内容及结论摘录如下:
“(三)分析结论
……
由于熵基产品未落入权利要求
和
的保护范围,权利要求
引用权利要求
,权利要求4-6引用权利要求
,因此,熵基产品同样未落入涉案专利权利要求
、4-6的保护范围。
综上,熵基产品未落入涉案专利全部权利要求的保护范围的可能性较大,侵权可能性较低。”
(2)若构成侵权赔偿金额的预计
根据北京允天律师事务所就该事项出具的法律意见书,发行人的相关产品假若侵权涉及的赔偿金额分析内容及结论摘录如下:
(
)熵基涉诉产品近三年所获利润可能的最高理论上限计算
假设熵基需要承担侵权赔偿责任的情况下,为分析确定侵权赔偿对熵基可能造成的最大影响,在此对熵基涉诉产品近三年所获利润按最高的假定情况进行计算。
司法实践中,被诉侵权产品利润常采用的计算公式为:
涉诉产品利润=相关产品的营业收入×涉诉产品利润率。
……
(
)近三年侵权赔偿最高理论上限计算
1-9
……
而汉王公司起诉的
个案件主张的侵权赔偿共计
1.09
亿元,明显大幅度高于熵基公司涉诉产品的利润。因此,汉王公司主张的诉讼请求金额明显超出合理范围,即使在假定构成侵权的情况下,得到法院全额支持的概率很低。”
(3)公司控股股东及实际控制人已作出相关承诺
控股股东中控时代与实际控制人车全宏就该项专利侵权诉讼事宜出具以下承诺:
“一、如熵基科技(含熵基科技前身)及其控股子公司因与汉王科技股份有限公司、北京京东世纪信息技术有限公司之间的该9项专利侵权诉讼,而遭受或承担该等案件项下任何的经济损失、维权合理支出公证服务费、侵权产品购买成本以及承担案件的诉讼费、遭受相关政府主管机关处罚,本公司/本人将无条件、自愿承担该等全部罚款或经济损失,保证熵基科技及其控股子公司不因该等事宜遭受任何经济损失。本公司/本人因上述事项承担全部罚款或经济损失后,不以任何方式向熵基科技及其控股子公司追偿。
二、前述承诺是无条件且不可撤销的。
三、本公司/本人违反前述承诺将承担利益相关方因此所受到的任何损失。”
3、诉讼的最新进展情况
发行人于2022年1月20日收到北京知识产权法院出具的《民事案件应诉通知书》及(2021)京73民初1674号、(2021)京73民初1675号、(2021)京73民初1676号、(2021)京73民初1677号、(2021)京73民初1678号、(2021)京73民初1679号、(2021)京73民初1673号、(2021)京73民初1617号和(2021)京73民初1616号9份《民事起诉状》等资料。发行人已委托诉讼律师启动该等案件的应诉准备工作,截至本回复出具日,相关案件已在北京知识产权法院立案,发行人2022年1月20日已经取得《民事案件应诉通知书》及相关起诉状,目前正处于准备相关答辩材料阶段。
同时,就汉王科技ZL200810115547号专利发行人向国家知识产权局提起无效宣告的请求,并于2022年2月9日收到国家知识产权局出具的《无效宣告请求受理通知书》。
1-10
(三)发行人实际控制人是否具备履行专利诉讼承诺的经济实力发行人实际控制人具备履行专利诉讼承诺的经济实力,具体理由如下:
1、对外投资情况
报告期内,除发行人及其附属公司外,实际控制人通过宁波宇平间接对外投资的其他企业为上海含泰创业投资合伙企业(有限合伙)(以下简称“上海含泰”),实际控制人持有宁波宇平97.5%的份额比例,宁波宇平持有上海含泰
9.6386%的份额比例,因此实际控制人合计持有上海含泰9.3975%的份额比例。上海含泰于2021年末的净资产(未经审计)为44,611.75万元,实际控制人按照持有份额比例计算对应的金额为4,193.50万元。该合伙企业对外投资了多家公司股权,其中上市公司及对应市值如下:
| 序号 | 股票代码 | 股票简称 | 股价 (元/股) | 上海含泰持股数量(股) | 间接持股市值(万元) |
| 1 | 688131 | 皓元医药 | 173.99 | 456,829 | 747.15 |
| 2 | 301166 | 优宁维 | 75.83 | 1,250,000 | 891.00 |
| 3 | 688133 | 泰坦科技 | 161.86 | 250,000 | 380.37 |
注1:股价以各自标的2022年2月21日收盘价为准;注2:间接持股市值=上海含泰持有标的股票数量×股价×9.40%。
综上所述,实际控制人通过上海含泰间接持有上市公司的股票市值截至2022年2月21日的市值合计约为2,018.52万元;除上述上市公司外,上海含泰还对外投资了多家拟上市公司的股权。
2、不动产的持有情况
实际控制人及其配偶裴芳在北京、深圳、厦门等核心城市拥有多处房产。
就前述房产,实际控制人配偶裴芳已出具同意函,同意以上述夫妻共同财产与实际控制人共同连带承担熵基科技及其控股子公司因该9项专利侵权诉讼导致的全部罚款或经济损失。
3、控股股东、实际控制人信用状况良好,不存在大额债务
控股股东、实际控制人不存在大额未偿还债务。
1-11
控股股东、实际控制人信用状况正常,未发生到期未偿还或逾期偿还债务的情形。
二、中介机构回复
(一)核查程序
针对上述事项,保荐机构和发行人律师履行了以下核查程序:
1、查阅了汉王科技关于提起专利侵权诉讼的公告文件;
2、查阅了北京知识产权法院出具的《民事案件应诉通知书》及(2021)京73民初1674号、(2021)京73民初1675号、(2021)京73民初1676号、(2021)京73民初1677号、(2021)京73民初1678号、(2021)京73民初1679号、(2021)京73民初1673号、(2021)京73民初1617号和(2021)京73民初1616号等9份《民事起诉状》;
3、登录国家知识产权局官网查询汉王专利“一种斜坡式图像获取装置及人脸识别系统”的公示信息;
4、核查了发行人IFACE102/302/702/702-P等9种型号产品的产品彩页及使用手册,取得了上述型号产品的销售收入和毛利等财务数据,并对发行人相关技术人员进行了访谈;
5、对发行人委托的诉讼律师进行访谈,了解专利侵权诉讼案件的相关情况,并查阅了诉讼律师出具的法律意见;
6、就专利侵权诉讼的相关情况以及发行人进一步的计划安排取得了发行人出具的书面文件;
7、取得了实际控制人及控股股东就本次专利诉讼出具的相关承诺函;
8、查阅了上海含泰的对外投资情况及其持有的上市公司股价等相关资料,从而估计实际控制人相关金融资产的市场价值情况;
9、取得了实际控制人及其配偶部分不动产权属证明文件,通过公开途径查询了上述不动产的状态及公开市场报价情况,从而估计实际控制人相关不动产的市场价值情况;
1-12
10、取得了控股股东及实际控制人的信用报告,了解其信用状况,是否发生到期未偿还或逾期偿还债务的情形;
11、查阅涉诉9款产品截至2022年3月31日的存货余额统计表;
12、查阅了发行人就汉王科技相关专利向国家知识产权局提起无效宣告请求的相关资料。
(二)核查意见
经核查,保荐机构认为:
1、发行人涉诉9款产品报告期内的收入及毛利占比较小,并呈现持续下降的趋势,且发行人已根据相关产品的具体情况分别做出升级改造、停止销售等安排,不会对发行人未来业绩产生重大影响;相关产品所涉及的业务领域内,发行人拥有多种可替代的产品,且涉诉9款产品均为独立销售,不存在其他产品需要与该9款产品搭配销售的情形,因此,前述产品无法销售不会影响发行人其他相关产品的销售。
2、根据诉讼律师关于发行人涉诉产品的分析意见,汉王科技的专利更多地涉及产品外壳角度、摄像头摆放位置等方面,而发行人涉诉9款产品的专利集中在生物识别算法、光电采集器技术等核心领域。根据诉讼律师关于发行人涉诉产品的分析意见,发行人相关产品的结构与汉王专利权利要求中所描述的产品结构不同,未包含汉王专利权利要求记载的全部技术特征或者相等同的技术特征,因此,该等相关产品构成专利侵权的可能性较低;根据诉讼律师出具的法律意见书中对汉王科技主张的专利侵权赔偿金额的测算,即便最终经法院认定相关产品构成侵权,所涉及的侵权赔偿金额也较低,汉王科技所主张的侵权赔偿金额得到法院全额支持的概率较低,且发行人控股股东及实际控制人已对该事项做出相关承诺。
3、发行人实际控制人通过上海含泰间接持有多家已上市公司及拟上市公司的股权,实际控制人及其配偶在北京、深圳、厦门等核心城市拥有多处房产,且控股股东、实际控制人不存在大额未偿还债务,未发生到期未偿还或逾期偿还债务的情形,基于上述,控股股东、实际控制人具备履行专利诉讼承诺的经济实力。
1-13
经核查,发行人律师认为:
1、发行人相关产品的收入及毛利占比较小,并呈现持续下降的趋势,且发行人已根据相关产品的具体情况分别做出升级改造、停止销售等安排,不会对发行人未来业绩产生重大影响;相关产品所涉及的业务领域内,发行人拥有多种可替代的产品,且该等相关产品均为独立销售,不存在其他产品需要与该等相关产品搭配销售的情形,因此,不会影响发行人其他相关产品的销售。
2、发行人相关产品的结构与汉王专利权利要求中所描述的产品结构不同,未包含汉王专利权利要求记载的全部技术特征或者相等同的技术特征,因此,该等相关产品构成专利侵权的可能性较低;且即便最终经法院认定相关产品构成侵权,所涉及的侵权赔偿金额也较低,汉王科技所主张的侵权赔偿金额得到法院全额支持的概率很低,且发行人控股股东及实际控制人已作出兜底赔偿的承诺。
3、发行人实际控制人通过上海含泰间接持有多家已上市公司及拟上市公司的股权,实际控制人及其配偶在北京、深圳、厦门等核心城市拥有多处房产,且控股股东、实际控制人不存在大额未偿还债务,未发生到期未偿还或逾期偿还债务的情形,因此,发行人控股股东、实际控制人具备履行专利诉讼承诺的经济实力。
问题2
请发行人:(1)按照创业板招股说明书格式准则要求,清晰、准确、客观说明终端产品与发行人平台之间关系、两者是否必须搭配销售、平台运营方式及最终运营方;(2)结合产品生产及使用的方式、过程等,说明在产品研发、使用、维护环节涉及个人信息采集情况,发行人获取及使用个人信息的合规性,发行人产品是否需要通过网络安全审查及通过情况,并就个人信息保护、数据保护相关行业监管政策对发行人经营的影响进行风险揭示(如需)。
请保荐机构、发行人律师进行核查并发表明确意见。
回复:
1-14
一、发行人回复
(一)按照创业板招股说明书格式准则要求,清晰、准确、客观说明终端产品与发行人平台之间关系、两者是否必须搭配销售、平台运营方式及最终运营方
1、发行人终端产品与应用软件及平台的运行流程说明
发行人所销售的终端产品与应用软件及平台均系在用户本地安装及部署,发行人不提供运营服务。其中,发行人的终端设备产品大多可视为一个独立的业务逻辑单元,可承担数据采集、处理、比对和存储职能。其亦内嵌系统固件,可实现基本的用户管理、权限管理、记录管理、参数配置等功能,可独立于发行人的应用软件及平台产品使用。而发行人的应用软件及平台产品主要应用于出入口管理、身份核验与办公场景的综合管理场景。应用软件及平台可通过本地局域网的网络传输协议获取终端设备上传的数据流,进行软件业务逻辑处理,并反馈给终端设备。应用软件及平台一方面可实现多设备场景的协同管理,另一方面也集成了门禁、考勤等单一或多种业务模块,可以实现较为复杂的数据统计与设备管理等功能。此外,用户通过软件管理设备一般也可获得较为便捷、直观的操作体验。上述终端产品及应用软件及平台均系在用户本地安装、部署及运行,发行人不提供运营服务,而仅根据销售合同约定提供必要的售后服务。产品使用阶段所涉及的用户个人信息的采集、处理、比对与存储等流程,均由用户在本地自行处理,发行人没有访问或调取相关数据的客观条件及权限。
1-15
2、发行人在招股说明书中的补充披露
发行人已在招股说明书之“第六节 业务与技术”之“一、发行人主营业务及主要产品情况”之“(二)公司主要产品情况”中补充披露如下:
“
(4)发行人终端产品与应用软件与平台的关系
发行人的应用软件与平台主要应用于智慧出入口、智慧身份核验及智慧办公场景的综合管理。应用软件与平台可集成门禁、考勤等单一或多种业务模块,实现较为复杂的数据统计与设备管理等功能(如智能报表统计、全局反潜回、全局联动等),可满足不同应用场景的用户需求,具有覆盖设备数量多、功能综合性与精细化程度高、管理便利性强、安全性高等特点。
1-16
除应用软件及平台外,发行人终端硬件设备中还一般内嵌系统固件,可用于终端设备基本的用户管理、权限管理、记录管理、参数配置等。发行人所销售的终端设备可仅使用自带系统固件直接独立使用,也可通过系统固件的接口接入发行人应用软件及平台以满足更大更多场景的使用需求。因此,发行人终端产品与应用软件及平台之间不存在必须搭配销售的关系。”发行人已在招股说明书之“第六节 业务与技术”之“一、发行人主营业务及主要产品情况”之“(三)公司主要经营模式”之“2、生产模式”中补充披露如下:
“
公司应用软件与平台产品在开发成功并经过测试验证后,通过光盘或者网站分发下载的方式交付给用户。基础版本的软件无需客户激活即可使用;高级版本的软件与平台需要激活,其中基础参数配置下无需客户付费即可免费激活使用,升级参数配置的情况下需要用户在支付软件许可费后方可激活使用。对于大型工程项目,公司将指派工程人员到用户现场进行安装、调试与培训服务。公司所发布的应用软件及平台由用户进行本地化部署、使用及管理,发行人不提供运营服务,仅根据销售合同约定提供必要的售后服务。
”
(二)结合产品生产及使用的方式、过程等,说明在产品研发、使用、维护环节涉及个人信息采集情况,发行人获取及使用个人信息的合规性,发行人产品是否需要通过网络安全审查及通过情况,并就个人信息保护、数据保护相关行业监管政策对发行人经营的影响进行风险揭示(如需)
1、发行人在产品研发、使用、维护环节涉及个人信息采集情况
(1)在产品的研发阶段,发行人如果涉及采集内部员工的个人信息以进行产品的性能验证测试,需经相关员工明确同意并签署《员工个人信息隐私声明》后,开发测试人员按照《产品测试用员工个人信息安全管理细则》合规采集并使用员工的个人信息。产品测试完成后立即销毁上述个人信息数据。
1-17
(2)鉴于发行人所销售的终端产品与应用软件及平台均系在用户本地化进行部署,因此产品使用阶段所涉及的用户个人信息的采集、处理、比对与存储等流程,均由用户在本地自行处理。发行人没有访问或调取相关数据的客观条件及权限。
(3)发行人在处理用户返修的终端设备时,需向用户明确发行人不会主动收集用户的个人信息,并与用户签署《技术支持服务隐私保护声明》。同时,发行人会事先要求用户在返修终端设备前对设备里储存的相关个人信息数据进行主动备份并删除。如因特殊情况需发行人服务人员对相关数据进行处理,发行人还制定了《技术支持服务客户数据隐私管理细则》,用于规范相关操作流程及控制风险。
2、发行人获取及使用个人信息的合规性
发行人主要从制度层面、技术层面和经营管理层面规范获取及使用个人信息的操作流程,并降低相关数据安全风险。
(1)制度层面
结合《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《GB/T 35273-2017 信息安全技术 个人信息安全规范》、《General Data Protection Regulation》(即欧盟《通用数据保护条例》)等法律法规和规范要求,发行人制定了《个人信息管理制度》、《产品测试用员工个人信息安全管理细则》、《技术支持服务客户数据隐私管理细则》、《熵基科技产品安全基线》、《隐私保护政策》、《数据处理协议》等内控制度及面向用户的政策及协议,对可能涉及的个人信息,从采集、使用、销毁等环节进行安全管控,列举具体措施如下:
| 类别 | 具体措施 |
| 个人信息收集 | 1、所有个人信息收集行为,须征得个人信息主体同意,并限定在收集目的最小范围内。通知形式包括:以书面、网页等形式通知个人信息主体;以可见证的、有规范记录的非书面形式通知个人信息主体。 |
| 个人信息管理 | 1、收集个人信息后,收集人员或部门立即进行去标识化处理,将可用于恢复识别个人的信息与去标识化后的信息分开存储,明确与个人信息相关人员的权限、责任,加强相关人员的检查和管理,防止未经授权的个人信息接触。 2、对被授权访问个人信息的人员,执行《访问控制管理规程》,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所 |
1-18
| 需的最少的数据操作权限。 3、对安全管理人员、数据操作人员、内部审计人员的职责进行分离。 | |
| 个人信息使用 | 1、在处理个人信息之前,必须征得个人信息主体同意;或履行与个人信息主体达成的合法协议。 2、个人信息的用途发生变化时,处理部门及时通知所涉个人同意。 3、个人信息使用服务期限结束,必须对所持有的个人信息进行销毁或退还,并保留有效的销毁证明。 |
| 产品测试用员工个人信息的具体执行要求 | 1、信息收集前,由研发中心管理部邮件通知收集对象,说明所收集的个人数据信息只用于内部测试,严禁用于其他用途,严禁泄露相关数据。 2、收集时,测试工程师应向员工出示《员工个人信息隐私声明》及《测试采集信息表单》,员工确认并签字。 3、员工个人信息在使用过程中,由测试工程师负责保管。 4、测试完成后,由测试工程师负责删除员工个人信息;若删除是可恢复的,需对产品重新烧写映像;由测试部主管进行确认员工个人信息的彻底清除,记录在《产品测试用员工个人信息清除确认表》中。 |
| 为客户提供技术服务支持的特殊执行要求 | 1、发行人在处理用户返修的终端设备时,需向用户明确发行人不会主动收集用户的个人信息,并与用户签署《技术支持服务隐私保护声明》。 2、客户应当在返修前做好数据的主动备份及删除,并对数据的安全性负责。如有特殊原因,需要保留数据的,客户需在《售后技术服务单》中注明。技术支持工程师在提取数据后,将以压缩加密的方式通过即时通讯工具或邮件发送客户,文件和口令通过不同方式发送。 3、问题处理完毕后立即清除设备、电脑数据,并做好记录《客户数据清除记录表》,控制数据泄露风险。技术支持工程师不得私自将设备数据资料转他人使用或批露给第三方。 |
| 产品开发设计的特殊要求 | 1、禁止绕过系统安全机制的功能(如后门登录方法等)。禁止存在未文档化的命令/参数、端口等。 2、认证凭据(如口令/私钥等)不允许明文存储在系统中,应该加密保护。对于认证凭据的安全存储,在不需要还原明文的场景,必须使用不可逆算法加密。 3、涉及个人数据采集/处理的功能须提供安全保护机制(如访问控制、加密、日志审计等),并在资料中公开个人数据类型、目的、安全保护机制。 |
(2)技术层面
发行人为保障产品处理个人信息的安全性,主要从数据安全、网络安全、产品及应用安全三个维度提供了技术层面支持,具体采取了以下措施:
| 类别 | 具体措施 |
| 数据安全 | 1、采用数据摘要计算技术对个人敏感数据进行摘要处理; 2、采用高安全加密算法加密敏感数据,确定数据的存储安全; 3、仅采集必要的个人基本信息和生物识别信息,同时提供替代生物识别技术的方案,如射频卡、密码等。 |
| 网络安全 | 1、采用网络安全传输协议,保证数据传输的安全性; 2、采用漏洞扫描和代码安全评估机制,及时更新产品所使用的第三 |
1-19
| 方开源软件,杜绝软件产品的编码安全问题; 3、采用端口扫描软件扫描具备网络功能的产品,发现并关闭非必须开放的端口。 | |
| 产品及应用安全 | 1、采用关键技术点评审机制,保证产品的设计和开发符合产品安全基线要求; 2、采用关键功能提醒设置,保证用户合理、安全管控个人信息。 |
(3)经营管理层面
发行人于2018年3月成立信息安全委员会,负责公司整体信息安全相关工作,建立了信息安全管理体系。发行人于2020年3月成立PSIRT(产品安全事故响应小组),并明确了产品安全相关工作流程和责任主体。截至本回复出具之日,发行人已通过ISO/IEC 27001:2013信息安全管理体系认证及ISO/IEC27701:2019隐私信息管理体系认证。
此外,发行人还通过与供应商和客户签署《保密协议》、《供应商产品及服务安全协议》,严格保障发行人接受或提供的产品及服务符合信息安全管理体系要求。
3、发行人产品是否需要通过网络安全审查及通过情况
(1)相关规则
| 规则名称 | 具体内容 |
| 《网络安全审查办法》 | 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。 |
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
| 网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。 | |
| 《关键信息基础设施安全保护条例》 | 关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危及国家安全、国计民生、公共利益的重要网络设施、信息系统等。 |
| 《数据安全法》 | 数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。 |
(2)网络安全审查适用范围及分析
根据《网络安全审查办法》,涉及进行网络安全审查的主体及行为如下:
①关键信息基础设施运营者采购网络产品和服务;
1-20
②网络平台运营者开展数据处理活动;
③掌握超过100万用户个人信息的网络平台运营者赴国外上市。发行人系专业提供智慧出入口管理、智慧身份核验、智慧办公产品及解决方案的公司,主要产品的具体情况如下:
| 应用场景 | 主要产品 |
| 智慧出入口管理 | 门禁产品(门禁机、门禁控制器、射频读头)、人行通道(人行通道闸机)、安检产品(安检门、安检机)、车行通道(车牌识别一体机)、视频监控(出入口视频设备)、智能锁(生物识别智能锁)、智能出入口综合管理平台(百傲瑞达智能安防综合管理平台V5000) |
| 智慧身份核验 | 生物识别传感器(指纹模块、指纹采集器、居民身份证指纹采集器、指静脉采集器、手掌信息采集器、生物识别读头)、证卡产品(身份证阅读机具、人证核验终端)、身份核验的设备与数据管理平台(人证魔方身份认证管理系统)、身份认证服务平台(百傲慧识可信身份认证平台) |
| 智慧办公 | 考勤产品(考勤智能终端)、消费产品(消费智能终端)、智能终端(E-ZKEco Pro时间及安全精细化服务平台)、考勤管理软件平台(BioTime 8.0)等 |
发行人应用软件及平台产品开发完成后,通过光盘或者网站下载的方式提供给客户,应用软件及平台由客户自行管理,发行人不参与对所涉及的数据信息进行处理。
因此,发行人不属于关键信息基础设施运营者,且不参与客户使用应用软件及平台所涉及的数据信息处理,因此,发行人产品不需要通过网络安全审查。
4、发行人就个人信息保护、数据保护相关行业监管政策对发行人经营的影响进行风险揭示
发行人已在招股说明书之“第四节 风险因素”之“一、经营风险”之“(十六)个人信息保护、数据保护相关行业监管政策对发行人经营的影响的法律风险”中补充披露如下:
“
《中华人民共和国民法典》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》以及《General DataProtection Regulation》(即欧盟《通用数据保护条例》)等法律法规和行业规范均对公民个人信息收集使用、个人信息控制者的合规义务等作出规定,强化了违反个人信息保护、数据安全的法律责任,《最高人民法院关于审理使用人
1-21
脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释[2021]15号)对信息处理者违规处理人脸信息侵害自然人人格权益的行为及其民事责任做出了较为细致的规定。近年来,个人信息保护及数据安全已成为世界各国监管重点,与之相关的监管政策日趋强化,如在公司未来业务开展中未能对相关政策法规作出及时、有效调整和应对,则存在因立法或监管政策的发展变化而引发数据合规等方面的潜在法律风险。同时,若公司未来无法严格遵守上述相关法律法规及行业规范,如公司员工违反公司内部相关制度,或数据合作方、客户等违反协议约定或基于其他自身原因造成数据不当使用或泄露,则可能受到有关部门的行政处罚或被用户投诉,甚至导致诉讼或仲裁等纠纷,并可能对公司声誉、业务产生不利影响。
”
二、中介机构回复
(一)核查程序
针对上述事项,保荐机构和发行人律师履行了以下核查程序:
1、对发行人销售业务负责人、核心技术人员进行访谈,了解发行人终端产品与发行人平台之间关系、运行流程,了解发行人可能获取个人信息的相关业务流程环节及采取的主要控制措施;
2、从制度层面、技术层面和经营管理层面,了解发行人关于获取及使用个人信息采取的具体措施,并取得了发行人《产品测试用员工个人信息安全管理细则》、《技术支持服务客户数据隐私管理细》、《熵基科技产品安全基线》、《隐私保护政策》、《数据处理协议》、《个人信息管理制度》等制度文件,查阅了与供应商及客户签署的文件模板、信息安全管理体系认证及隐私信息管理体系认证证书等;
3、取得了发行人就终端产品与平台的关系、平台运营方式以及产品生产及使用过程中涉及的个人信息采集情况出具的书面说明;
4、登录发行人官网查询了发行人应用软件及平台的使用指南;
1-22
5、取得发行人关于报告期内向客户销售的相关产品过程中未收到采购方、监管机构对发行人或发行人的产品提出涉及网络安全审查的要求的说明;
6、查阅国家相关法律法规和规范要求,评估个人信息保护、数据保护相关行业监管政策对发行人经营影响的风险。
(二)核查意见
经核查,保荐机构认为:
1、发行人已在招股说明书中补充披露终端产品与发行人平台之间关系,发行人终端产品与应用软件及平台之间不存在必须搭配销售的关系。发行人所发布的应用软件及平台由用户进行本地化部署、使用及管理,发行人不提供运营服务,仅根据销售合同约定提供必要的售后服务。
2、发行人在产品研发、使用、维护环节对个人信息采集进行了较为有效的内部控制,并从制度层面、技术层面和经营管理层面对可能获取的用户个人信息进行保障。
3、发行人不属于关键信息基础设施运营者,不属于网络安全审查当事人,且不参与客户使用应用软件及平台所涉及的数据信息处理,发行人报告期内向客户销售的相关产品过程中未收到采购方、监管机构对发行人或发行人的产品提出涉及网络安全审查的要求。因此,发行人产品不需要通过网络安全审查。
4、发行人已在招股说明书中就个人信息保护、数据保护相关行业监管政策对发行人经营的影响进行风险揭示。
经核查,发行人律师认为:
1、发行人已在招股说明书中补充披露了终端产品与发行人平台之间关系,发行人终端产品与应用软件及平台之间不存在必须搭配销售的关系。发行人所发布的应用软件及平台由用户进行本地化部署、使用及管理,发行人不提供运营服务,仅根据销售合同约定提供必要的售后服务。
2、发行人制定了个人信息安全保护相关的内控制度,建立了信息安全内部管理机构,在获取及使用个人信息的业务活动中遵守了信息安全相关的法律法规、规范性文件以及发行人内部制度,并采取了必要的技术措施确保个人信息
1-23
安全,符合《网络安全法》《民法典》《个人信息安全规范》的规定。
3、发行人不属于关键信息基础设施运营者,不属于网络安全审查主体,发行人相关业务活动不涉及向关键信息基础设施运营者提供网络产品和服务,且不参与客户使用应用软件及平台所涉及的数据信息处理,发行人报告期内向客户销售的相关产品过程中未收到采购方、监管机构对发行人或发行人的产品提出涉及网络安全审查的要求。因此,发行人产品不需要通过网络安全审查。
4、发行人已在招股说明书中就个人信息保护、数据保护相关行业监管政策对发行人经营的影响进行了风险揭示。
(以下无正文)
1-24
(本页无正文,为《关于熵基科技股份有限公司首次公开发行股票并在创业板上市发行注册环节反馈意见落实函的回复》之签章页)
熵基科技股份有限公司
年 月 日
1-25
发行人董事长声明
本人已认真阅读熵基科技股份有限公司本次意见落实函回复的全部内容,确认本次意见落实函回复不存在虚假记载、误导性陈述或者重大遗漏,并对上述文件的真实性、准确性、完整性承担相应法律责任。
| 董事长: | ||
| 车全宏 |
熵基科技股份有限公司
年 月 日
1-26
(本页无正文,为《关于熵基科技股份有限公司首次公开发行股票并在创业板上市发行注册环节反馈意见落实函的回复》之签章页)
| 保荐代表人: | |||
| 罗 勇 | 陈 川 |
瑞银证券有限责任公司
年 月 日
1-27
保荐机构董事长声明
本人已认真阅读熵基科技股份有限公司本次意见落实函回复的全部内容,了解报告涉及问题的核查过程、本公司的内核和风险控制流程,确认本公司按照勤勉尽责原则履行核查程序,本次意见落实函回复不存在虚假记载、误导性陈述或者重大遗漏,并对上述文件的真实性、准确性、完整性、及时性承担相应法律责任。
| 董事长: | ||
| 钱于军 |
瑞银证券有限责任公司
年 月 日