关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的
第三轮审核问询函的回复
保荐机构(主承销商)
北京市朝阳区建国门外大街1号国贸大厦2座27层及28层
8-1-3-1
上海证券交易所:
贵所《关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的第三轮审核问询函》(上证科审(审核)〔2022〕224号,以下简称“审核问询函”)已收悉。根据贵所的要求,上海合合信息科技股份有限公司(以下简称“合合信息”、“发行人”或“公司”)会同中国国际金融股份有限公司(以下简称“中金公司”、“保荐机构”)、上海市锦天城律师事务所(以下简称“锦天城”或“发行人律师”)、众华会计师事务所(特殊普通合伙)(以下简称“众华”或“申报会计师”)等中介机构对审核问询函中所提问题逐项核查,具体回复如下,请予审核。
8-1-3-2
说 明
如无特别说明,本回复使用的简称与《上海合合信息科技股份有限公司首次公开发行股票并在科创板上市招股说明书》中的释义相同。
| 审核问询函所列问题 | 黑体 |
| 对审核问询函所列问题的回复 | 宋体 |
| 对招股说明书的修订、补充及反馈回复的更新 | 楷体(加粗) |
在本回复中,若合计数与各分项数值相加之和在尾数上存在差异,均为四舍五入所致。
8-1-3-3
目 录
说 明 ...... 2
目 录 ...... 3
1.关于合规经营 ........................................................................................................................ 4
2.关于启信宝市场地位 .......................................................................................................... 26
8-1-3-4
1.关于合规经营
根据二轮问询回复:(1)发行人相关 APP 产品不存在涉嫌违反反垄断法及反不正当竞争法的情形;(2)发行人已取得了从事数据服务所需的全部资质、许可或备案,已完全整改数据管理不完善的情形。
请发行人说明:(1)近期发行人接受上海市市场监督管理局调查核实的具体情况、进展及影响,该事项是否构成本次发行上市的实质障碍;(2)发行人是否提供互联网信息服务及相关业务开展的具体情况,是否涉及科技伦理敏感领域。发行人关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性,是否符合相关法律法规和政策文件的规定。
请保荐机构、发行人律师对上述事项进行核查并发表明确意见。
回复:
一、请发行人说明:(1)近期发行人接受上海市市场监督管理局调查核实的具体情况、进展及影响,该事项是否构成本次发行上市的实质障碍;(2)发行人是否提供互联网信息服务及相关业务开展的具体情况,是否涉及科技伦理敏感领域。发行人关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性,是否符合相关法律法规和政策文件的规定。
回复:
(一)近期发行人接受上海市市场监督管理局调查核实的具体情况、进展及影响,该事项是否构成本次发行上市的实质障碍
截至本反馈回复出具之日,发行人不存在被市场监督管理部门采取立案调查的记录。国家市场监督管理总局未就调查采取立案等进一步措施,发行人亦未因此受到任何处罚。
因此,发行人接受上海市市场监督管理局调查核实的事项不构成本次发行上市的实质障碍。
8-1-3-5
(二)发行人是否提供互联网信息服务及相关业务开展的具体情况,是否涉及科技伦理敏感领域。发行人关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性,是否符合相关法律法规和政策文件的规定。
1、发行人是否提供互联网信息服务及相关业务开展的具体情况
(1)法律法规的规定
结合目前互联网信息服务相关的法律法规,《互联网信息服务管理办法》(2011年1月8日修订)(以下简称“《管理办法》”)主要规范在境内从事的互联网信息服务活动。《管理办法》第二条规定:“互联网信息服务是指通过互联网向上网用户提供信息的服务活动”;第三条规定:“互联网信息服务分为经营性和非经营性两类。经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动。非经营性互联网信息服务,是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。”
(2)发行人的具体情况
智能文字识别业务:智能文字识别C端业务通过扫描全能王APP、名片全能王APP及相关小程序,为C端用户提供各类文档图像的智能扫描及文字识别服务;智能文字识别B端业务通过SaaS软件、网页、应用程序接口(API),或者通过线下的本地私有化方案等方式,为B端客户提供各类文档图像的智能扫描及文字识别服务。智能扫描及文字识别服务不涉及通过互联网向上网用户有偿提供信息或者网页制作等服务活动,也不涉及通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动,因此,该业务未提供《管理办法》中所定义互联网信息服务。
商业大数据业务:商业大数据C端业务通过启信宝APP及相关小程序,为C端用户提供企业商业信息查询服务;商业大数据B端业务通过SaaS软件、网页、应用程序接口(API),或者通过线下的本地私有化方案等方式,为B端客户提供各类商业大数据服务。商业大数据业务存在通过互联网向上网用户提供信息服务的情形,因此提供了《管理办法》所定义的互联网信息服务。尽管如此,公司在向客户提供该业务时仅利用了互联网作为基础设施的属性,该业务的核心价值是通过大数据挖掘、知识图谱、自然语言处理等核心技术,提供知识图谱的构建与计算、数据分析与挖掘等技术服务,实现风险管理、供应链管理等服务价值。
8-1-3-6
互联网广告推广业务:该业务为B端广告客户提供广告营销服务,以C端APP产品为主要载体展示开屏广告等不同形式的广告,免费用户会看到公开的广告信息,涉及向上网用户无偿提供具有公开性、共享性信息的服务活动,因此该业务提供了《管理办法》中所定义的互联网信息服务。手机厂商技术授权业务:该业务将文字识别技术模块授权给手机厂商、集成在其手机产品中。向手机厂商授权文字识别技术模块不涉及通过互联网向上网用户有偿提供信息或者网页制作等服务活动,也不涉及通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动,因此该业务未提供《管理办法》中所定义互联网信息服务。
(3)发行人不属于互联网企业
1)发行人的智能文字识别或商业大数据服务业务中的部分业务虽基于互联网作为基础设施来开展,但发行人不具有互联网企业的典型特征。
2)从业务模式角度分析,发行人不属于互联网企业
互联网已成为社会发展、企业经营业务的基础设施,与经济社会各领域深度融合,因此公司部分业务在实际经营过程中不可避免会利用互联网基础设施:
在人工智能领域,公司的智能文字识别业务C端业务通过扫描全能王APP、名片全能王APP及相关小程序,为C端用户提供各类文档图像的智能扫描及文字识别服务;除线下本地化交付之外,智能文字识别B端业务也通过SaaS软件、网页、应用程序接口(API)等方式,为B端客户提供智能文字识别服务。
在大数据领域,公司的商业大数据C端业务通过启信宝APP及相关小程序,为C端用户提供企业商业信息查询服务;除线下本地化交付之外,商业大数据B端业务也通过SaaS软件、网页、应用程序接口(API)等方式,为B端客户提供商业大数据服务。尽管该业务提供了《管理办法》定义的互联网信息服务,但其为通过互联网、即利用互联网作为基础设施提供商业信息查询服务。提供互联网信息服务的企业和互联网企业不是同等概念,由于互联网是基础设施,各行业越来越多的企业会采用互联网基础设施开展业务,以软件行业为例,一些软件企业会通过互联网销售、交付软件产品,可能通过互联网向上网用户提供信息服务,但提供互联网信息服务的企业不一定是互联网企业,不具有互联网企业的典型特征。
8-1-3-7
发行人智能文字识别与商业大数据业务为根据客户需求选择不同的技术服务提供方式:C端用户需要随时随地对文档图片进行扫描/文字识别或者查询企业商业信息,所以针对用户需求,公司通过互联网作为媒介提供智能文字识别或商业大数据技术服务;部分B端客户需要通过API方式调取文字识别技术模块或者调用企业数据,所以针对客户需求,公司通过互联网作为媒介提供智能文字识别或者商业大数据技术服务;部分B端客户明确要求在非联网状态下、用线下本地化方式提供智能文字识别或者商业大数据服务,则公司针对客户需求,选择不通过互联网来提供技术服务。结合公司的业务实质,公司提供的产品和服务仅以互联网作为基础设施。公司的业务本质为销售软件和技术服务,即通过销售软件和技术服务来获取收入及利润,与线上交易撮合、互联网社交、互联网搜索引擎等典型互联网企业的商业模式存在实质性差异,公司不属于互联网企业。
3)从行业分类角度分析,发行人不属于互联网企业
报告期内,发行人的业务收入构成如下表所示:
单位:万元
| 项目 | 2022年度 | 2021年度 | 2020年度 | ||||
| 金额 | 占比 | 金额 | 占比 | 金额 | 占比 | ||
| 智能文字识别 | B端服务 | 7,120.43 | 7.20% | 6,782.50 | 8.42% | 5,412.40 | 9.36% |
| C端APP-扫描全能王 | 63,287.86 | 64.03% | 49,325.74 | 61.21% | 33,343.21 | 57.66% | |
| C端APP-名片全能王 | 2,080.95 | 2.11% | 1,883.05 | 2.34% | 1,667.80 | 2.88% | |
| 小计 | 72,489.24 | 73.34% | 57,991.29 | 71.97% | 40,423.41 | 69.91% | |
| 商业大数据 | B端服务 | 9,759.56 | 9.87% | 6,821.29 | 8.47% | 5,028.77 | 8.70% |
| C端APP-启信宝 | 7,635.28 | 7.72% | 7,315.43 | 9.08% | 6,758.80 | 11.69% | |
| 小计 | 17,394.85 | 17.60% | 14,136.72 | 17.54% | 11,787.57 | 20.39% | |
| 互联网广告推广 | 8,224.26 | 8.32% | 7,823.82 | 9.71% | 4,155.71 | 7.19% | |
| 手机厂商技术授权 | 504.84 | 0.51% | 517.29 | 0.64% | 803.32 | 1.39% | |
| 其他业务 | 233.00 | 0.24% | 109.05 | 0.14% | 654.63 | 1.13% | |
| 合计 | 98,846.18 | 100.00% | 80,578.16 | 100.00% | 57,824.64 | 100.00% | |
公司业务所对应的行业分类如下表所示:
8-1-3-8
| 项目 | 《上市公司行业分类指引(2012年修订)》1 | 《战略性新兴产业重点产品和服务指导目录(2016)》 | 《战略性新兴产业分类(2018)》 | |
| 智能文字识别 | B端服务 | I65软件和信息技术服务业 | 1.5.2 人工智能软件 | “1、新一代信息技术产业”之“1.5.1人工智能软件开发” |
| C端APP-扫描全能王 | ||||
| C端APP-名片全能王 | ||||
| 商业大数据 | B端服务 | I65软件和信息技术服务业 | 1.2.3 大数据服务 | “1、新一代信息技术产业”之“1.4.3云计算与大数据服务” |
| C端APP-启信宝 | ||||
| 互联网广告推广 | L72商务服务业 | 8.1.3 数字文化创意内容制作 | “8、数字创意产业”之“8.4.0数字创意与融合服务” | |
| 手机厂商技术授权 | I65软件和信息技术服务业 | 1.5.2 人工智能软件 | “1、新一代信息技术产业”之“1.5.1人工智能软件开发” | |
根据《上市公司行业分类指引(2012年修订)》,当上市公司某类业务的营业收入比重大于或等于50%,则将其划入该业务相对应的行业。智能文字识别业务、商业大数据业务和手机厂商技术授权业务在报告期各期的营业收入之和的比重分别为
91.68%、90.16%和91.44%,均远大于50%。
根据中国证监会颁布的《上市公司行业分类指引(2012年修订)》,前述业务属于“I65软件和信息技术服务业”,不属于“I64互联网和相关服务”;根据国家发改委《战略性新兴产业重点产品和服务指导目录(2016)》,前述业务属于“1、新一代信息技术产业”之“1.5.2人工智能软件”和“1.2.3大数据服务”,不属于“1.2.2‘互联网+’应用服务”;根据国家统计局《战略性新兴产业分类(2018)》,前述业务属于“1、新一代信息技术产业”之“1.5.1人工智能软件开发”和“1.4.3云计算与大数据服务”,不属于“1.4.2互联网平台服务(互联网+)”,因此将发行人划入该等业务相对应的行业。
公司的互联网广告业务采用C端APP产品作为广告媒介,为B端客户提供广告服务,属于《上市公司行业分类指引(2012年修订)》的“L72商务服务业”,不属于“I64互联网和相关服务”,属于《战略性新兴产业重点产品和服务指导目录
中国证监会于2022年8月12日发布了《关于废止部分证券期货规范性文件的决定(2022)》,其中现行《上市公司行业分类指引(2012 年修订)》已被废止,将由新的规则予以规范。截至本反馈回复出具之日,中国证监会暂未发布新的相关指引。
8-1-3-9
(2016)》的“8.1.3 数字文化创意内容制作”,不属于“1.2.2‘互联网+’应用服务”,属于《战略性新兴产业分类(2018)》的“8、数字创意产业”之“8.4.0数字创意与融合服务”,不属于“1.4.2互联网平台服务(互联网+)”。
4)发行人的行业分类与可比公司一致与发行人业务模式相似的可比公司金山办公、福昕软件均在招股书中披露了其根据中国证监会颁布的《上市公司行业分类指引(2012年修订)》,属于“I65 软件和信息技术服务业”,行业分类均与发行人一致:
| 公司名称 | 主营业务的业务模式 | 公司所属行业分类 |
| 金山办公 (688111.SH) | C端产品主要包括:WPS Office办公软件和金山词霸等; B端服务主要包括:基于其产品及相关文档的增值服务以及互联网广告推广服务等 | 根据《上市公司行业分类指引》(2012年修订),公司从事的行业属于“I65 软件和信息技术服务业” |
| 福昕软件 (688095.SH) | 同时面向C端用户和B端客户销售的产品及服务主要包括:PDF编辑器与阅读器产品、开发平台与工具、PDF工具及在线服务; 只面向B端客户销售:企业文档自动化解决方案 | 根据《上市公司行业分类指引》(2012年修订),公司从事的行业属于“I65 软件和信息技术服务业” |
注:金山办公、福昕软件的招股书未披露归属于《战略性新兴产业重点产品和服务指导目录(2016)》、《战略性新兴产业分类(2018)》的具体分类。
从上表可见,金山办公、福昕软件作为软件企业,其销售模式也有通过互联网销售的C端产品,以及由此衍生的互联网广告服务,发行人的销售模式符合软件企业的特点。
公司是人工智能与大数据领域的软件企业,截至2022年12月31日,针对公司的C端APP、B端基础服务、SaaS产品和定制化解决方案等产品或服务,公司及其子公司发行人共取得131件软件著作权证书。
综上所述,公司属于软件和信息技术服务业,不属于互联网和相关服务行业。公司为C端用户和B端客户提供技术服务,因此发行人不属于互联网企业。
5)从核心技术角度分析,发行人不属于互联网企业
公司核心技术为智能图像处理、复杂场景文字识别、NLP、大数据挖掘与知识图谱等技术,报告期内核心技术相关业务收入占营业收入比例达90%以上,前述核心技
8-1-3-10
术的形成及研发不依赖互联网,发行人系凭借长期积累的核心技术实现线上及线下多种方式向客户提供基于软件的技术服务,互联网仅为公司向部分客户输出智能文字识别或商业大数据技术服务的媒介。6)提供互联网信息服务的企业与互联网企业不是同等概念综上,结合互联网企业的典型特征,从核心技术、业务模式、行业分类及可比公司角度综合分析,发行人不属于互联网企业。
2、发行人是否涉及科技伦理敏感领域
(1)法律法规的规定
| 法律法规 规定 | 具体条款 |
| 《关于加强科技伦理治理的意见》(以下简称“《意见》”) | 指导思想:坚持促进创新与防范风险相统一、制度规范与自我约束相结合,强化底线思维和风险意识,建立完善符合我国国情、与国际接轨的科技伦理制度,塑造科技向善的文化理念和保障机制,努力实现科技创新高质量发展与高水平安全良性互动,促进我国科技事业健康发展,为增进人类福祉、推动构建人类命运共同体提供有力科技支撑 |
| 健全科技伦理治理体制:压实创新主体科技伦理管理主体责任。高等学校、科研机构、医疗卫生机构、企业等单位要履行科技伦理管理主体责任,建立常态化工作机制,加强科技伦理日常管理,主动研判、及时化解本单位科技活动中存在的伦理风险;根据实际情况设立本单位的科技伦理(审查)委员会,并为其独立开展工作提供必要条件。从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应设立科技伦理(审查)委员会 | |
| 严肃查处科技伦理违法违规行为:任何单位、组织和个人开展科技活动不得危害社会安全、公共安全、生物安全和生态安全,不得侵害人的生命安全、身心健康、人格尊严,不得侵犯科技活动参与者的知情权和选择权,不得资助违背科技伦理要求的科技活动 | |
| 中华人民共和国科技部对《意见》的解读2 | 科研单位和科技人员在开展科技活动前首先要主动进行科技伦理的风险评估,对于涉及科技伦理风险的,达到了科技伦理审查规范要求的,必须及时开展科技伦理审查; 科技部选定了一些高风险的科技伦理领域,目前重点关注的主要是生命科学领域、医药健康领域、人工智能领域等 |
(2)发行人的具体情况
发行人所处行业是人工智能产业中的智能文字识别细分行业、大数据产业中的商业大数据细分行业,其中人工智能产业虽属于《意见》提到的重点领域,但是发行人智能文字识别业务的核心技术及提供的产品服务主要是将多语言、多版式、多样式等复杂场景下的文档和图片进行文字识别,涉及C端或B端客户提供的文档及图片,并
中华人民共和国科技部于2022年3月23日举行《关于加强科技伦理治理的意见》新闻发布会
8-1-3-11
不涉及对人类的声音、指纹、脸部特征等敏感的生物信息的识别,不需要按照《意见》设立科技伦理(审查)委员会。另外,发行人开展的业务活动不存在危害社会安全、公共安全、生物安全和生态安全的情形,也不存在侵害人的生命安全、身心健康、人格尊严、侵犯科技活动参与者的知情权和选择权,以及资助违背科技伦理要求的科技活动的情形。
综上,发行人的业务不涉及科技伦理敏感领域。
3、发行人关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性,是否符合相关法律法规和政策文件的规定
(1)发行人关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性
1)发行人已建立并完善一系列的数据安全、个人信息保护内部控制制度
发行人制定了覆盖整个数据生命周期管理的数据安全、个人信息保护相关制度,并设计了相应的管理流程,实现全数据生命周期的管理。具体如下:
| 上海合合信息科技股份有限公司现行数据制度 | |
| 制度级别 | 制度名称 |
| 第一级:制度大纲 | 大纲:《安全与合规管理制度》 |
| 第二级:管理规定 | 数据管理:《数据管理规定》 个人信息保护管理:《用户个人信息安全管理规定》 信息安全管理:《信息保密管理规定》《信息资产安全管理规定》《办公场所信息安全管理规定》《人员信息安全管理规定》《信息安全奖惩管理规定》《IT系统信息安全管理规定》 |
| 第三级:操作层面的规范文件 | 数据来源、采购规范:《数据采购管理规范》《通过自动化访问获取数据操作规范》 数据使用、安全规范:《网络安全事件应急预案》《数据库安全管理规范》《密钥变更管理规范》《数据资源申请规范》 个人信息保护规范:《隐私政策管理规范》《个人信息安全事件应急预案》《用户个人权利响应管理规范》 系统开发管理规范:《产品开发与设计流程合规规范》《第三方组件引入流程规范》《系统日志管理规范》《安全漏洞运营管理规范》 其他管理规范:《违法和不良信息管理规范》《运营推广管理规范》《内容安全指南》 |
发行人制定的《安全与合规管理制度》中,规定了公司合规与信息安全的组织架构,明确了安全与合规管理委员会在数据安全和用户个人信息保护等方面的责任以及安全与合规部和各事业部、项目组的职责,并规定了数据安全和个人信息保护等相关
8-1-3-12
责任机构的汇报层级要求。如下图所示:
发行人设立安全与合规管理委员会,为公司内合规与信息安全相关事务的最高决策机构。安全与合规管理委员会由董事长担任委员会主席,由大数据技术负责人、AI技术负责人等组成委员会委员。董事长为安全与合规管理委员会第一负责人。安全与合规管理委员会对公司产品的用户个人信息安全负有全面的领导责任。安全与合规管理委员会下设安全与合规部,负责公司合规与信息安全日常管理工作,贯彻安全与合规管理委员会的相关决议,监督、协调和规范公司的合规与信息安全工作。各事业部、项目组是合规与信息安全的执行机构,负责执行相关管理要求,落实具体工作。数据获取、使用、处理、信息安全等过程工作开展及相关数据制度执行过程中,发行人按照“谁主管、谁负责”的原则,根据国家的法律法规,明确数据获取、使用、处理等环节的第一责任人,实施覆盖整个数据生命周期管理的责任管理制。2)发行人已针对数据安全、个人信息保护采取了一系列的流程措施对于数据安全和个人隐私的保护措施与手段,发行人采取了一系列流程措施。发行人在数据来源、数据存储、数据使用和数据持续管理四大流程方面与主营业务的对
8-1-3-13
应关系具体如下:
①数据来源方面的流程及内控措施
发行人在开展C端及B端业务前通过数据供应商采购、互换和自动化访问获取的方式获取数据。具体流程为数据采购、自动化访问获取;数据清洗及数据打标处理及数据入库。基于前述业务流程,发行人在开展C端及B端业务前获取的数据及相应的内控措施如下:
| 发行人各项业务 | 具体 流程 | 具体数据 | 数据供应商采购/数据互换 | 自动化访问获取 | 内控是否有效 | |
| 商业大数据 | C端APP (启信宝) | (1)数据采购、自动化访问获取; (2)数据清洗及数据打标处理;(3)数据入库 | 工商信息、司法诉讼、法院公告、经营信息、行政及环保处罚、新闻舆情、知识产权、许可认证以及招投标数据、知识产权数据以及企业关系挖掘数据 | (1)内控制度:建立《数据采购管理规范》,审核评估采购数据类型范围、目的、用途、时间、授权函;调查数据供应商资质、数据来源的合法性,调查供应商不存在任何信息、数据权属及知识产权争议,调查供应商不存在违法、违规、行政处罚记录、重大法律纠纷或相关负面报道 (2)内控措施:发行人在与数据供应商洽谈过程中,要求数据供应商通过签署协议条款或者出具确认书等方式,向发行人确认其数据来源的合法合规性、开展业务的合规性等,以进一步保障发行人数据采购的合法合规性 | (1)内控制度:建立《通过自动化访问获取数据操作规范》,法务负责人和个人信息保护负责人评估采集目标网站的Robots协议、网站声明和目标网站的内容安全,评估完成后,相关负责人在协同办公系统中完成采集需求的审批,数据开发人员完成自动化访问程序开发并提交测试数据,获取测试结果后,将新增的目标网站更新至数据采集网站清单中 (2)内控措施:数据开发人员完成自动化访问程序开发并提交测试数据,测试人员测试完成后通过邮件反馈测试结果至数据技术人员。在获取测试结果后,数据技术人员上线自动化访问程序并将新增的目标网站更新至数据采集网站清单中,并对对被采集网站做定期检查,以确保所有自动化访问网站均在公司入册的数据自动化访问网站清单的范围内、且均为公开信息 | 是 |
| B端基础数据服务 | 是 | |||||
| B端标准化服务 | 是 | |||||
| B端场景化解决方案 | 是 | |||||
| 智能文字识别 | 发行人开展智能文字识别业务前无需获取数据 | |||||
发行人在开展C端及B端业务前获取的数据均按照《数据采购管理规范》《通过自动化访问获取数据操作规范》进行管理,相关流程及内控措施得到有效执行。
8-1-3-14
②C端数据存储方面的内控及流程措施
发行人在开展C端业务过程中,C端业务主要为扫描全能王、名片全能王、启信宝3款核心产品,对于扫描全能王和名片全能王,主要的流程包括用户注册;用户登录;上传、扫描文档及图片;购买付费产品或服务等。对于启信宝,主要的业务流程包括用户注册、登录、查询、购买付费产品或服务等。基于前述业务流程,C端业务获取的数据及相应的内控措施如下:
8-1-3-15
| 发行人的各项业务 | 具体流程 | 获取、使用的数据 | 存储方式 | 内控措施 | 内控是否有效 | |
| 智能文字识别C端业务 | C端APP (扫描全能王、名片全能王) | 用户 注册 | 用户的注册信息及用户的第三方注册信息 | 存储于发行人的本地服务器数据库、第三方云平台数据库 | (1)内控制度:发行人制了《用户个人信息安全管理规定》和《数据库安全管理规范》,确定安全与合规部为个人信息保护负责人岗位,组织制定个人信息保护计划并督促落实、开展个人信息安全影响评估,并向安全与合规管理委员会报告 (2)数据权限管理:公司获取用户勾选并授权同意隐私政策后,方可主动采集用户的数据 (3)数据存储管理:制定了《数据库安全管理规范》,个人数据在传输、存储和使用过程中的保密机制,规定了应用系统中个人数据应加密存储,并且不与其他应用系统、外部系统进行共享和交换,对数据库中存储的应用系统的账户口令、密钥、鉴别信息进行加密存储。公司通过权限管理对扫描全能王、名片全能王、启信宝APP的应用系统及后台支撑系统的访问权限进行限制,以保护用户个人信息免受未经授权访问、公开披露、使用、修改、损坏或丢失。公司制定了数据资源的申请审批流程,并限制了数据库的访问授权。境内用户数据全部存储于中国 | 是 |
| 用户的实名认证数据3 | 存储于发行人的本地服务器数据库 | 是 | ||||
| 用户 登录 | 用户的登录信息及用户的第三方登录信息 | 存储于发行人的本地服务器数据库和第三方云平台数据库 | 是 | |||
| 用户的联系方式、设备信息 | 存储于发行人的本地服务器数据库、大数据平台、第三方云平台数据库 | 是 | ||||
| 用户的一键登录信息、设备信息、日志信息、联系方式 | 存储于发行人的本地服务器数据库 | 是 | ||||
| 上传、扫描文档及图片 | 用户自主上传文档、自主上传图片等数据 | 存储于发行人的第三方云平台文件存储服务器 | 是 | |||
| 购买付费产品或服务 | 用户的订单开票数据 | 存储于发行人的第三方云平台文件存储服务器 | 是 | |||
| 用户的订单支付数据 | 存储于发行人的本地服务器数据库和第三方云平台数据库 | 是 | ||||
| 其他 | 用户的网络状态数据 | 存储于发行人的本地服务器数据库、大数据平台 | 是 | |||
| 商业大数据C端业务 | C端APP (启信宝) | 用户注册 | 用户的注册信息及用户的第三方注册信息 | 存储于发行人的本地服务器数据库、第三方云平台数据库 | 是 | |
| 用户的实名认证数据4 | 存储于发行人的本地服务器数据库 | 是 | ||||
国家互联网信息办公室发布的《移动互联网应用程序信息服务管理规定》(2022年8月1日起施行)中第六条规定:“应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。”发行人按要求对C端APP(属应用程序)中的用户进行后台实名认证并收集相关数据
国家互联网信息办公室发布的《移动互联网应用程序信息服务管理规定》(2022年8月1日起施行)中第六条规定:“应用程序提供者为用户提供信息发布、即时通讯等服务的,应当对申请注册的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。”发行人按要求对C端APP(属应用程序)中的用户进行后台实名认证并收集相关数据
8-1-3-16
| 发行人的各项业务 | 具体流程 | 获取、使用的数据 | 存储方式 | 内控措施 | 内控是否有效 |
| 用户登录 | 用户的登录信息及用户的第三方登录信息 | 存储于发行人的本地服务器数据库和第三方云平台数据库 | 境内,境外的用户数据按照《通用数据保护条例》存储在公司的云服务商亚马逊公司在美国的数据中心,并实行异地备份 (4)严格管理存储用户数据的本地服务器数据库、大数据平台:本地服务器数据库设置安全员,定期对数据库运行状态进行巡检、日志分析和权限管理;大数据平台权限申请需通过邮件获取大数据平台负责人的审批,仅有大数据管理平台内部团队可以访问报表数据,且仅有部分大数据平台管理员具备下载报表数据权限并被日志记录;其他人员不能下载报表数据,不可以直接访问元数据 (5)严格管理存储用户订单支付、开票数据的第三方云平台:安全与合规管理委员会负责每年会对云服务商的SOC 安全资质报告进行审查,以检验云服务商的数据安全能力;云平台的数据进行严格保密 | 是 | |
| 用户的联系方式、设备信息 | 存储于发行人的本地服务器数据库、大数据平台、第三方云平台数据库 | 是 | |||
| 用户的一键登录信息、设备信息、日志信息、联系方式 | 存储于发行人的本地服务器数据库 | 是 | |||
| 查询 | 用户使用产品时的查询记录 | 存储于发行人的本地服务器数据库、大数据平台 | 是 | ||
| 购买付费产品或服务 | 用户的订单开票数据 | 存储于发行人的第三方云平台文件存储服务器 | 是 | ||
| 用户的订单支付数据 | 存储于发行人的本地服务器数据库和第三方云平台数据库 | 是 | |||
| 其他 | 用户的网络状态数据 | 存储于发行人的本地服务器数据库、大数据平台 | 是 |
8-1-3-17
发行人在开展C端业务时获取的用户相关数据均按照《用户个人信息安全管理规定》和《数据库安全管理规范》进行管理。数据安全部分,发行人严格管理存储用户数据的本地服务器数据库、大数据平台以及存储用户订单支付、开票数据的第三方云平台。境内用户数据全部存储于中国境内,不存在将境内数据流转至境外的情形。境外用户数据按照《通用数据保护条例》存储在公司的第三方云平台在境外的数据中心,并实行异地备份。C端数据存储相关流程及内控措施得到有效执行。
③B端数据存储方面的流程及内控措施
发行人在开展B端业务过程中,B端业务主要为智能文字识别B端业务和商业大数据B端业务,对于智能文字识别B端业务,主要的流程为用户使用公司的智能文字识别的产品扫描后上传证照、票据、名片等样本图片。对于商业大数据B端业务,用户需要进行注册及登录(若有)、调用数据/上传信息/查询信息等。基于前述业务流程,B端业务获取的数据及相应的内控措施如下:
| 发行人各项业务 | 具体流程 | 从客户获取、使用的各类数据 | 存储方式 | 内控及流程措施 | 内控是否有效 | |
| 智能文字识别B端业务 | 基础技术 服务 | 用户自主上传证照、票据、名片等样本图片 | 企业用户自主上传的证照、票据等样本图片 | 若客户使用发行人提供的公有云服务:存储于发行人的本地服务器数据库和第三方云平台数据库 | (1)内控制度:制定了《数据库安全管理规范》,确定安全与合规部为个人信息保护负责人岗位,组织制定个人信息保护计划并督促落实、开展个人信息安全影响评估,并向安全与合规管理委员会报告 (2)对于智能文字识别B端业务:协议中已列明B端企业客户提供的企业数据、业务资料,以及发行人提供的技术内容、形式及要求。同时,协议中也明确约定了发行人及B端企业客户双方的保密义务 (3)对于商业大数据B端业务:协议中已列明发行人提供的技术内容、形式及要求,并明确为B端企业客户提供的自身企业的相关数据、信息和资料。 | 是 |
| 若客户使用发行人提供的私有化部署服务:数据存储于客户自己的数据库 | 是 | |||||
| 标准化服务(名片全能王企业版SaaS软件服务) | 企业用户自主上传的名片样本图片 | 存储于发行人的本地服务器数据库和第三方云平台数据库 | 是 | |||
| 场景化解决方案 | 企业用户自主上传的证照、票据等样本图片 | 若客户使用发行人提供的公有云服务:存储于发行人的本地服务器数据库和第三方云平台数据库 | 是 | |||
| 若客户使用发行人提供的私有化部署服务:数据存储于客户自己的数据库 | 是 | |||||
8-1-3-18
| 发行人各项业务 | 具体流程 | 从客户获取、使用的各类数据 | 存储方式 | 内控及流程措施 | 内控是否有效 | |
| 商业大数据B端业务 | 基础数据 服务 | 用户注册 | 企业客户的注册信息 | 存储于发行人的本地大数据平台、第三方云平台数据库、文件存储服务器 | 同时,协议中也明确约定了发行人及B端企业客户双方的保密义务 | 是 |
| 用户登录 | 企业客户的登录信息 | 是 | ||||
| 调用数据API接口或数据包 | 企业客户的调用接口或数据包记录 | 是 | ||||
| 标准化服务(启信宝SaaS软件服务) | 用户注册 | 企业客户的注册信息 | 存储于发行人的本地大数据平台、第三方云平台数据库、文件存储服务器 | 是 | ||
| 用户登录 | 企业客户的登录信息 | 是 | ||||
| 用户查询 | 企业客户的查询记录 | 是 | ||||
| 场景化解决方案 | 用户上传 | 企业用户使用企业知识图谱时上传和产生的信息 | 存储于客户自己的数据库 | 是 | ||
发行人在开展B端业务时获取的用户相关数据均按照《数据管理规定》《数据库安全管理规范》进行管理,严格按照与B端用户签署的协议获取相关数据,不存在超出协议范围的情形。B端境内用户数据全部存储于中国境内,不存在将境内数据流转至境外的情形。B端境外用户数据按照《通用数据保护条例》存储在公司的第三方云平台在境外的数据中心,并实行异地备份。B端数据存储相关流程及内控措施得到有效执行。
④数据使用
| 发行人主营业务 | 具体流程 | 使用的数据 | 内控及流程措施 | 内控是否有效 | |
| 智能文字识别 | C端APP (扫描全能王、名片全能王) | 不涉及销售或交换的信息数据内容 | |||
| B端基础技术服务、标准化服务(名片全能王企业版SaaS软件服务)、场景化解决方案 | 不涉及销售或交换的信息数据内容 | ||||
| 商业 大数据 | C端APP (启信宝) | 用户注册;用户登录;用户查询 | 工商信息、司法诉讼、法院公告、经营信 | (1)从数据供应商获取数据:制定《供应商准入制度》,规定供应商的尽职调查流程,以及涉及数据交 | 是 |
8-1-3-19
| 发行人主营业务 | 具体流程 | 使用的数据 | 内控及流程措施 | 内控是否有效 | |
| B端基础数据服务、标准化服务、场景化解决方案 | 用户注册;用户登录;用户查询 | 息、行政及环保处罚、新闻舆情、知识产权、许可认证以及招投标数据、知识产权数据以及企业关系挖掘数据 | 互和个人信息处理的供应商管理流程,并对涉及数据交互和个人信息处理的供应商的违规场景及相应采取的措施进行了定义及说明 (2)自动化访问获取的数据:以政府公开信息平台为主,不存在恶意爬取并侵犯第三方著作权、个人隐私、商业秘密等情形 (3)定期核查:对相关数据及数据库进行定期检查和综合评估,确保数据均为公开信息、不存在个人信息及个人隐私数据 | 是 | |
发行人在对商业大数据进行数据使用方面均按照内控制度及措施进行管理。对于数据库中的数据进行定期检查和综合评估,确保数据均为公开信息,不存在个人信息及个人隐私数据。数据使用相关流程及内控措施得到有效执行。
⑤数据持续管理
此外,发行人在开展C端和B端业务时持续对数据安全及个人信息保护进行管理。数据安全方面,对于C端业务,发行人依据相关法律、法规制定了《隐私政策管理规范》,以规范隐私政策的制定流程、标准和展示方式,并明确了产品隐私政策编制和修订的场景,包括新产品发布、产品功能变更、集成的第三方业务或功能变更、产品隐私政策所载明的事项变化、法律法规和政策的变化以及业务模式、信息系统或运行环境的变化,并持续对涉及三款APP的隐私政策依照法律法规进行更新和编制。对于B端业务,公司制定了《数据管理规定》《数据库安全管理规范》,规定每年至少对业务数据库的库表、字段及数据示例进行一次分类分级筛选,确保数据库的数据符合与数据供应商、B端用户签署的协议和网站Robots协议。
个人信息保护方面,公司制定了《用户个人信息安全管理规定》,其中规定安全与合规部须定期(至少每年一次)对属于个人信息敏感岗位的相关人员开展个人信息安全的专业化培训和考核,其内容包含个人信息安全职责,以确保相关人员熟练掌握个人信息保护政策和相关规程。被培训人员在培训完成后均须通过培训考核。公司还定期开展数据保护及隐私合规培训。
8-1-3-20
(2)发行人符合数据安全、数据合规相关法律法规和政策文件的规定1)发行人不属于关键信息基础设施的运营者,发行人的主营业务无需按规定进行安全背景审查和网络安全审查
①法律法规规定
| 法律法规规定 | 具体条款 |
| 《中华人民共和国数据安全法》(2021年9月1日起施行) |
第二十四条:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查
| 《中华人民共和国网络安全法》(2017年6月1日起施行) | 第三十五条:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查 |
| 《关键信息基础设施安全保护条例》(2021年9月1日起施行) | 第二条:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等 |
| 第十四条:运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助 | |
| 《网络安全审查办法》(2022年2月15日起施行) | 第一条:为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法 |
| 第二条:关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查 |
②公司基本情况
公司的主营业务中,智能文字识别业务为C端和B端客户提供基于自客户渠道获取的各类文档图像的智能扫描及文字识别服务,商业大数据业务为C端和B端客户提供基于公开或客户渠道获取的企业数据而提供大数据挖掘及分析服务,互联网广告推广业务为B端广告客户提供广告营销服务,手机厂商技术授权业务为手机厂商提供文字识别技术模块授权服务。公司的主营业务不属于《关键信息基础设施安全保护条例》所提的“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域”,也不属于“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害
8-1-3-21
国家安全、国计民生、公共利益的重要网络设施、信息系统等”领域,因此公司不属于关键信息基础设施的运营者,无需按照《关键信息基础设施安全保护条例》规定进行安全背景审查,也无需按照《数据安全法》《网络安全法》《网络安全审查办法》规定主动进行安全审查。
2)发行人符合数据安全、数据合规相关法律法规和政策文件的规定根据上海市瑛明律师事务所、北京市中伦律师事务所分别出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》,截至评估基准日2021年9月30日、2022年12月31日,发行人在所有重大方面符合了《网络安全法》《个人信息保护法》《数据安全法》等尽职调查所涉的法律法规和相关指南的规定。
发行人的C端业务三款APP获取、使用的数据均为用户自主输入或通过第三方组件采集。对于用户自主输入的注册信息、自主上传文档、自主上传图片信息、订单支付数据、一键登录信息、联系方式、设备信息等数据,前述数据均在C端APP的《个人信息收集清单》《第三方信息数据共享清单》《隐私政策》《儿童隐私保护指引》《用户协议》《应用权限说明》(以下统称“隐私政策”)中明确列示,发行人在用户勾选并授权同意隐私政策后方可采集。
2021年11月3日工信部信息通信管理局通报38款APP超范围索取权限、过度收集用户个人信息等问题,启信宝APP在华为应用市场的8.1.1.0版本被指超范围收集个人信息。用户勾选并同意隐私政策后,发行人通过使用IMEI对用户账号和设备进行匹配,该信息收集并未超出启信宝APP在华为应用市场的8.1.1.0版本的隐私政策的范围。但由于APP数据合规相关的行业标准及执行口径不断调整、日益变化,使得发行人未能及时跟上行业检测标准在实践中的应用。因此,截至本回复出具之日,发行人在C端业务中所获取、使用的各类信息数据不存在超出隐私政策的情形,也不存在违反相关法律法规的情形。
就上述事宜,公司已根据工信部信息通信管理局的整改要求在全国APP技术检测平台提交了APP复测版本;启信宝APP业务的运营主体上海生腾已按照要求出具《企业自律承诺函》,承诺定期进行APP的个人信息保护合规自查、保障用户权益、规范APP内共享信息的情况、严格上架审核等。发行人已于2021年11月8日通过全国APP技术检测平台提交《整改报告》,并于2021年12月10日收到《启信宝APP复
8-1-3-22
测问题列表》。根据《启信宝APP复测问题列表》,复测结果为“整改完成”,即通过全国APP技术检测平台的复测,发行人已在工信部信息通信管理局的规定期限内完成整改。此外,公司对扫描全能王、名片全能王等APP产品进行了检测和整改。公司发现相关APP的部分版本中存在违反必要原则,收集与其提供的服务无关的用户权限等待整改的情况。
就上述情形,公司比对《App违法违规收集使用个人信息行为认定方法》(国信办秘字〔2019〕191号,以下简称“《认定方法》”),对扫描全能王、名片全能王等APP产品存在的问题进行了整改并重新上架、及对其他部分产品采取主动下架并终止提供相关APP的网络服务等措施。公司整改完成后不存在《认定方法》所认定的APP违法违规收集使用个人信息行为。前述事项不构成公司重大违法违规行为,不构成发行人本次发行上市的障碍。
中国电子技术标准化研究院赛西实验室于2022年12月28日出具了《数据安全保护能力自评估报告》,经对合合信息旗下产品及业务系统进行的全方位评估,合合信息已根据标准要求,在个人信息保护影响评估(PIA)的执行周期、以及对接口安全规范的鉴权信息传输方面的低风险问题进行了整改,并建立了完整的覆盖数据全生命周期的数据安全管理制度规范体系;已开展了数据分级分类工作,明确各类数据的敏感程度与安全保护需求,已配备了数据加密、数据脱敏等数据安全保护技术,以保障合合信息各个系统在数据全生命周期的安全;定期对数据安全风险进行检测,对数据接口采取了严格的保护措施,在接口口令认证、数据暴露面、访问权限、高危操作方面暂未发现安全风险。
发行人在智能文字识别B端业务中,与B端企业客户签订相关协议后,根据协议具体内容,由B端企业客户自主提供各类文档样本图片,以便发行人提供各类文档智能文字识别的基础技术服务、名片全能王企业版SaaS软件服务及场景化解决方案服务。
发行人商业大数据B端业务中,与B端企业客户签订相关协议后,根据协议具体内容基于公开或客户渠道获取的企业数据提供基础数据服务、标准化服务(启信宝SaaS软件服务)及场景化解决方案。商业大数据B端业务获取、使用的是B端企业用
8-1-3-23
户的注册、登录信息以及使用服务时留存的查询记录。该信息仅作为B端企业用户注册及登录账号使用、便于发行人为客户定向提供具体的基础数据及标准化服务。
发行人的智能文字识别和商业大数据B端业务的协议中已列明B端企业客户提供的企业数据、业务资料,以及发行人提供的技术内容、形式及要求。同时,协议中也明确约定了发行人及B端企业客户双方的保密义务。因此发行人在B端业务获取、使用的数据不存在超出与B端企业客户签署协议范围外的情形,发行人按相关协议要求履行合同,与B端客户不存在纠纷或潜在纠纷。
保荐机构、发行人律师已访谈上海市公安局静安分局网络安全保卫支队,其已确认发行人在报告期内不存在因数据采集、购买、保管、使用、销售等事宜违反网络信息安全相关的法律、法规和规范性文件的情形,不存在因网络信息安全方面的违法违规行为而受到行政处罚或因涉嫌违法违规而被立案调查。发行人符合数据安全、数据合规相关法律法规和政策文件的规定,发行人已对历史上存在的数据合规瑕疵进行了整改。截至本回复出具之日,发行人在C端业务中所获取、使用的各类信息数据不存在超出隐私政策的情形、发行人在B端业务中所获取、使用的各类信息数据不存在超出相关协议的情形,C端和B端业务均不存在违反相关法律法规的情形。
发行人已在招股说明书“第三节 风险因素”之“二、与行业相关的风险”之“(三)政策变化的风险”补充披露如下:
公司所处行业具体细分领域为人工智能及大数据软件领域,国家颁布了《个人信息保护法》《数据安全法》《App违法违规收集使用个人信息行为认定方法》《关于加强科技伦理治理的意见》等多项法律法规及产业政策,不断加强对数据安全、人工智能领域科技伦理治理的规范要求并提升对个人隐私的保护力度。虽然目前发行人的主营业务不涉及科技伦理敏感领域,若未来行业监管政策发生变化,或已有的行业政策及标准发生更新,而公司不能及时适应或满足未来可能更新或出台的监管政策标准,将对公司的持续经营及业务合规性产生不利影响。
8-1-3-24
二、请保荐机构、发行人律师对上述事项进行核查并发表明确意见。
(一)对上述事项进行核查并发表明确意见
1、核查程序
保荐机构、发行人律师执行了如下核查程序:
(1)查阅《中华人民共和国行政处罚法》《市场监督管理行政处罚程序规定》《中华人民共和国反垄断法》等法律法规的规定。
(2)查阅《网络安全法》《数据安全法》《个人信息保护法》等法律法规的规定及要求,并与发行人的数据管理情况进行对比。
(3)查阅《互联网信息服务管理办法》,确认发行人的商业大数据业务、互联网广告推广业务提供了互联网信息服务。
(4)查阅《上市公司行业分类指引(2012年修订)》《战略性新兴产业重点产品和服务指导目录(2016)》《战略性新兴产业分类(2018)》,确认发行人的行业分类情况。
(5)查阅《关于加强科技伦理治理的意见》及中华人民共和国科技部《关于加强科技伦理治理的意见》的解读。
(6)获取并查阅发行人《用户个人信息安全管理规定》《数据库安全管理规范》《安全与合规管理制度》《数据安全管理规定》《通过自动化访问获取数据操作规范》等相关内控制度。
(7)获取并查阅公司数据安全管理的总结报告、信息安全培训资料、内部控制等相关底稿材料。
(8)获取并查阅上海市瑛明律师事务所出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》,以及北京市中伦律师事务所出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》。
(9)获取并查阅发行人C端APP中的《个人信息收集清单》《第三方信息数据共享清单》《隐私政策》《儿童隐私保护指引》《用户协议》《应用权限说明》。
(10)获取并查阅发行人与报告期内前十大B端企业客户签署的相关合同及协
8-1-3-25
议。
(11)获取并查阅工信部信息通信管理局《关于APP超范围索取权限、过度收集用户个人信息等问题“回头看”的通报》及发行人提交的《整改报告》。
2、核查结论
经核查,保荐机构、发行人律师认为:
(1)发行人接受上海市市场监督管理局调查核实的事项不构成本次发行上市的实质障碍。
(2)发行人主营业务中的商业大数据和互联网广告推广业务提供了互联网信息服务,智能文字识别业务、手机厂商技术授权业务未提供互联网信息服务,发行人不属于互联网企业。发行人的业务及核心技术均不涉及科技伦理敏感领域。发行人关于数据安全、个人信息保护的具体制度、流程措施、内部控制进行了有效的执行,符合数据安全、个人信息保护等相关法律法规和政策文件的规定。发行人已对历史上存在的数据合规瑕疵进行了整改。截至本回复出具之日,发行人在C端业务中所获取、使用的各类信息数据不存在超出隐私政策的情形、发行人在B端业务中所获取、使用的各类信息数据不存在超出相关协议的情形,C端和B端业务均不存在违反相关法律法规的情形。
8-1-3-26
2.关于启信宝市场地位
根据二轮问询回复:商业大数据 C 端 APP 市场存在一定的同质化竞争情况,主要竞争对手天眼查与企查查近几年在广告宣传方面投入了较大力度的资源,竞争激烈,百度上线了自有的企业查询平台“爱企查”,进一步加剧了行业竞争。请发行人披露:结合启信宝的市场占有率,与同类产品的功能、性能对比情况等,客观披露启信宝的市场地位和竞争劣势,完善相关风险揭示内容。回复:
一、请发行人披露:结合启信宝的市场占有率,与同类产品的功能、性能对比情况等,客观披露启信宝的市场地位和竞争劣势,完善相关风险揭示内容。
(一)结合启信宝的市场占有率,与同类产品的功能、性能对比情况等,客观披露启信宝的市场地位和竞争劣势
1、启信宝APP的市场占有率、市场地位
根据灼识咨询,2022年中国商业大数据C端产品市场规模为33.9亿元,可进一步分为一级市场商业信息查询C端APP(以企查查、天眼查、启信宝、爱企查等企业为主,以下简称为“商业信息查询C端市场”)与二级市场大数据查询C端APP(以同花顺、大智慧、东方财富等企业为主)两个细分市场,其中中国商业信息查询C端APP按照已实现收入角度统计,2022年的市场规模已达到11.3亿元,预计2022至2027年年复合增速为14.7%。近几年我国政府愈加重视第三方征信在社会信用体系建设的重要作用,随着社会整体信用意识的提升,个人用户在商业谈判、产品营销、求职、投资、采购等多种场景均对查询企业商业大数据具有需求,商业信息查询C端企业利用大数据挖掘技术,带来更丰富、深入的商业信息分析维度,商业信息查询APP的用户群体逐渐扩大,覆盖行业包括金融、律师、媒体、工业、零售等。根据灼识咨询研究,中国商业信息查询C端市场的用户规模正不断扩大,付费率正逐步提升,预估未来长期内的可触达市场(Total addressable market)接近80亿元
。
由于商业大数据行业的大数据挖掘、知识图谱等技术壁垒较高,且数据采集投入较高,并且商业大数据企业如果涉足商业信息查询C端领域,需要通过一定的营销推
基于2022年市场总月活约4亿、预计未来长期可达到的月活付费率5.5%、平均客单价为360元/年而估算
8-1-3-27
广和用户积累树立公正、可信赖、具有知名度的品牌形象,因此商业信息查询C端市场竞争格局相对集中。根据灼识咨询,APP市场集中度较高,2022年中国商业信息查询C端市场中市场占有率前三名分别为企查查、天眼查、启信宝三家,三家合计的市场占有率超过85%,其中启信宝的市场占有率约为7%。中国商业信息查询C端APP领域其他参与者收入规模均较小(百度旗下的爱企查于2022年5月上线付费会员,之前以免费策略为主),其余单个最大企业的市场占有率不超过2%。
2、启信宝APP与同类产品的功能、性能等方面的对比情况
| 业务模式 | 技术路线 | |
| 启信宝 | C端与B端业务的营收相对均衡,C端APP产品以VIP会员费为主,在B端基础技术服务、标准化服务和场景化解决方案已积累了近30个行业的客户案例,已经在B端业务方面探索出了成熟的路径,头部客户资源丰富 |
多源异构的超大规模动态知识图谱构建技术、超大规模知识图谱推理与挖掘技术、大数据搜索与分析技术等
| 企查查 | 营收以C端APP产品的VIP会员费为主,同时也在布局B端服务,提供数据API、定制数据等服务 | 大数据挖掘、深度学习、特征抽取和图构建、NLP等技术 |
| 天眼查 | 营收以C端APP产品的VIP会员费为主,同时也在布局B端服务,提供数据API、企业版、金融领域定制化解决方案等服务 |
通过NLP、统计学习等方法,对企业数据进行实体抽取、消歧、对齐与推理,将分散的商业信息实现统一表征
| 爱企查 | 主营业务以C端APP为主,2022年5月之前未采用VIP付费模式,定位为“专业免费的企业信息查询平台”,2022年5月上线VIP付费会员 | 依托百度的人工智能和大数据技术 |
注:上述信息来自企业官网、百度百科等公开渠道查询信息
如上表所示,除了在B端业务方面有一定差别之外,企查查、天眼查、爱企查在C端业务的业务模式、技术路线等方面相较启信宝具有可比性,因此将企查查、天眼查、爱企查的C端业务作为启信宝APP的同类产品进行具体的横向对比。
在性能方面,数据覆盖度、数据准确性、数据查询速度是影响商业信息查询APP使用体验与服务质量的重要因素,但由于各家企业未公开披露口径一致的信息,所以发行人仅可通过公开信息横向比较启信宝与同类企业的数据覆盖度,如下表所示,各家企业的统计口径有一定差异:
| C端产品的数据覆盖度 | |
| 启信宝 | 汇集境内2.3亿家企业等组织机构的超过1,000亿条实时动态数据,提供包括工商、股权、司法涉诉、失信、舆情、资产等超过 |
8-1-3-28
| C端产品的数据覆盖度 | |
| 1,000个数据特征标签 | |
| 企查查 | 根据新京报2020年初报道,企查查已涵盖2亿家企业数据,汇集了目前国内市场中的80个产业链,8,000个行业,6,000个市场以及4亿的全球企业数据 |
| 天眼查 | 根据官网,天眼查已覆盖300余种数据维度,涵盖企业背景、实际控制人、对外投资、融资历史、股权结构、法律诉讼等角度,汇集了2.8亿家社会实体(含企业、事业单位、基金会、学校、律所等) |
| 爱企查 | 共覆盖2亿+主体,130+项数据维度 |
注:上述信息来自企业官网、百度百科等公开渠道查询信息,各家企业对数据覆盖度的统计口径有一定差异,发行人仅可通过公开信息横向比较。
在功能方面,多元维度的数据查询功能与增值服务功能是影响商业信息查询APP使用体验与服务质量的重要因素,前述APP产品付费会员可使用的主要功能比较如下:
| C端产品的主要功能比较 | 启信宝 | 企查查 | 天眼查 | 爱企查 |
| 查询关联企业 | √ | √ | √ | √ |
| 查询股权穿透信息 | √ | √ | √ | √ |
| 查询最终受益人 | √ | √ | √ | √ |
| 查询所属集团信息 | √ | √ | √ | √ |
| 查询疑似实控人 | √ | √ | √ | √ |
| 查询司法案件 | √ | √ | √ | √ |
| 查询招投标信息 | √ | √ | √ | √ |
| 查询融资信息 | √ | √ | √ | √ |
| 查询知识产权信息 | √ | √ | √ | √ |
| 查供应链信息 | √ | √ | √ | √ |
| 高级搜索 | √ | √ | √ | √ |
| 企业风险扫描 | √ | √ | √ | √ |
| 持续监控公司信息 | √ | √ | √ | √ |
| 批量导出企业信息 | √ | √ | √ | √ |
| 导出企业深度报告 | √ | √ | √ | √ |
| 同行竞品分析 | √ | √ | √ | √ |
注:上述信息来自四款APP产品2022年6月初的公开信息
8-1-3-29
如前述表格所示,中国商业信息查询C端APP市场存在一定的同质化竞争情况,前述企业的主体数据来源均采取工商司法等公开披露的企业信息,虽然在数据覆盖度、特色数据库、APP技术路线方面存在差异化的细节,但从用户感知角度来说,在产品功能方面的相似度较高,均为用户提供多元维度数据查询、挖掘和分析服务,用户切换成本相对较低,市场竞争激烈。
3、启信宝APP面临的市场竞争及主要竞争劣势
中国商业信息查询C端市场竞争激烈,因此行业内企业需要通过加大推广的方式提高用户影响力、品牌认知度来保持用户规模和市场份额,如下表所示:
| 产品名称 | 市场营销投入 |
| 启信宝 | 启信宝未聘请代言人,主要采取流量推广等方式进行宣传推广,2017年、2018年、2019年、2020年、2021年、2022年各期启信宝广告宣传费分别为525.93万元、930.29万元、5,925.35万元、7,095.48万元、6,384.77万元和2,204.43万元 |
| 企查查 | 企查查近几年在广告宣传方面投入了较大力度的资源,比如聘请了代言人、电梯广告投放等 |
| 天眼查 | 天眼查近几年在广告宣传方面投入了较大力度的资源,比如聘请了代言人、地铁广告投放等。根据公开信息检索,天眼查在2017年至2019年期间在全国各地投入近2亿元资金通过地铁广告、微信推送、影视植入等线上、线下方式大范围宣传和推广天眼查 |
8-1-3-30
| 产品名称 | 市场营销投入 |
| 爱企查 | 2020年8月百度上线了自有的企业查询平台“爱企查”,面向C端用户提供企业信息查询服务。在“百度搜索”中搜索某家企业的全称,爱企查的导流链接一般位于搜索结果的前列,基于百度在网页版搜索引擎的流量优势,爱企查用户的发展速度较快;另外爱企查也在地铁站等位置投放了线下广告 |
尽管启信宝在市场中起步较早,产品经过多年打磨用户体验优良,位居中国商业信息查询C端APP市场第三名,建立了一定用户规模和品牌效应,但其主要竞争对手或在近年不断加大市场营销投入、或凭借大型互联网搜索平台的用户流量优势因此获客成本较低,启信宝相比主要竞争对手的主要竞争劣势是:
(1)启信宝在商业信息查询C端市场的市场占有率与行业前两名存在一定差距,主要是由于启信宝C端APP收入占发行人比重较小,且未能在确定竞争格局的早期阶段大规模进行营销推广,与之相比,商业信息查询C端业务是企查查、天眼查的核心业务,在营销资金的投入方面最为优先,其在发展早期阶段在广告宣传方面投入了大量资金。报告期内启信宝APP仅为公司多元化业务矩阵中的一项业务(2020年度、2021年度、2022年度启信宝C端APP收入占公司总收入比重约为11.69%、9.08%、
7.72%),在营销资金投入的优先级方面公司需要综合考虑其他业务的资金需要。启信
8-1-3-31
宝2015年上线后,在商业信息查询C端市场逐步确定竞争格局的关键时期(2017-2019年),启信宝市场营销投入与企查查、天眼查存在较大差距(2017-2019年启信宝广告宣传费用合计为7,381.57万元,根据公开信息检索,天眼查在2017-2019年期间在全国各地投入近2亿元资金进行宣传推广),导致启信宝在初期用户积累方面存在一定劣势,市场占有率位居行业第三名且与行业前两名存在一定差距,报告期月活水平、新增付费转化率及付费用户比例呈下降趋势,未来存在品牌知名度下降、用户流失或转移至其他竞品的风险;
(2)启信宝在用户流量获取方面相较爱企查具有劣势,爱企查具有百度搜索引擎的导流优势,同时也在地铁站等位置投放了线下广告。考虑到启信宝的上述竞争劣势,且市场的同质化竞争预计将短期内持续存在,因此启信宝APP存在短期内无法盈利的风险。
尽管启信宝APP存在一定竞争劣势,且存在短期无法盈利的风险,但考虑到启信宝C端与B端业务的协同性,启信宝C端业务在发行人业务矩阵中具有重要意义:
(1)在研发投入方面,启信宝APP以商业大数据技术为核心,在算法打磨、实际应用场景的落地方面均形成深厚积累,为后续发展B端企业服务、将大数据技术在不同行业场景上实现真正的商业落地奠定了技术基础;(2)在营销方面,启信宝APP用户是公司商业大数据业务口碑的重要传播者,启信宝APP的忠诚用户可能是商业大数据B端客户的关键决策者,其在使用启信宝APP时可通过优质且流畅的用户体验对公司的技术能力、服务质量产生良好的印象,例如公司在启信宝企业版SaaS软件客户开发的过程中会遇到公司启信宝APP的忠实用户,而启信宝APP与企业版在底层技术、功能设计方面具有一定相似之处,因此B端客户可以迅速理解启信宝企业版的技术优势和服务价值。
发行人已将上述关于启信宝的市场占有率、市场地位、与同类产品的功能及性能对比情况、竞争劣势分析在招股说明书“第五节 业务和技术”之“二、公司所处行业的基本情况及公司竞争地位”之“(四)行业竞争格局、公司在行业中的竞争地位及主要竞争对手”之“2、商业大数据行业”进行补充披露。
发行人已将上述关于启信宝的竞争劣势分析在招股说明书“第五节业务和技术”之“二、公司所处行业的基本情况及公司竞争地位”之“(四)行业竞争格局、公司
8-1-3-32
在行业中的竞争地位及主要竞争对手”之“3、竞争优势与劣势”进行补充披露。
(二)完善相关风险揭示内容
发行人已在招股说明书“第二节 概览”之“一、重大事项提示”之 “(一)、
1、市场竞争加剧的风险”及“第三节 风险因素”之“二、与行业相关的风险”之“(一)市场竞争加剧的风险”中完善相关风险揭示内容:
在商业大数据业务方面,启信宝所处的C端APP市场存在一定的同质化竞争,报告期内启信宝付费用户比例以及新增付费转化率持续下降主要系与主要竞争对手相比发行人营销推广投入较低,报告期内启信宝的广告宣传费分别为7,095.48万元、6,384.77万元和2,204.43万元。主要竞争对手天眼查、企查查近几年通过聘请代言人、线下广告等方式在广告宣传方面投入了较大力度的资源。2020年百度上线了自有的企业查询平台“爱企查”,主要面向C端用户提供企业信息免费查询服务,并于2022年5月上线付费会员,结合线下硬广等其他广告营销方式,凭借其互联网搜索平台的用户流量优势,进一步加剧了行业竞争。启信宝相比主要竞争对手的竞争劣势是:未聘请代言人,上线至今市场营销投入有限,在早期用户积累、后续用户流量获取方面存在劣势,市场占有率与行业前两名存在一定差距,考虑到市场的同质化竞争将短期内持续存在,未来启信宝APP存在品牌知名度下降、用户流失或转移至其他竞品、收入下降、短期内无法盈利的风险。
8-1-3-33
(此页无正文,为《关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的第三轮审核问询函的回复》之盖章页)
上海合合信息科技股份有限公司
年 月 日
8-1-3-34
发行人董事长声明
本人已认真阅读《关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的第三轮审核问询函的回复》的全部内容,确认本审核问询函回复的内容真实、准确、完整,不存在虚假记录、误导性陈述或者重大遗漏、并对上述文件的真实性、准确性、完整性、及时性承担相应法律责任。
董事长、法定代表人:________________
镇立新
上海合合信息科技股份有限公司
年 月 日
8-1-3-35
(此页无正文,为《关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的第三轮审核问询函的回复》之签章页)
保荐代表人:
______________ ______________冷小茂 刘文博
中国国际金融股份有限公司年 月 日
8-1-3-36
保荐人法定代表人声明
本人已认真阅读上海合合信息科技股份有限公司第三轮审核问询函回复的全部内容,了解报告涉及问题的核查过程、本公司的内核和风险控制流程,确认本公司按照勤勉尽责原则履行核查程序,审核问询函回复不存在虚假记载、误导性陈述或重大遗漏,并对上述文件的真实性、准确性、完整性、及时性承担相应法律责任。
法定代表人:
沈如军
中国国际金融股份有限公司
年 月 日