北京市朝阳区新东路首开幸福广场C座五层
5th Floor, Building C,The International Wonderland, Xindong Road, Chaoyang District, Beijing
邮编/Zip Code:100027电话/Tel:86-010-50867666 传真/Fax:86-010-65527227
电子邮箱/E-mail: kangda@kangdalawyers.com
北京 西安 深圳 杭州 海口 上海 广州 沈阳 南京 天津 菏泽 成都 苏州 呼和浩特 香港 武汉
北京市康达律师事务所
关于北京博睿宏远数据科技股份有限公司
首次公开发行股票并在科创板上市的
补充法律意见书(二)
康达股发字【2020】第0090号
二〇二〇年五月北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(二)
康达股发字【2020】第0090号
致:北京博睿宏远数据科技股份有限公司
本所接受发行人的委托,担任发行人申请在中华人民共和国境内首次公开发行股票并在科创板上市的特聘专项法律顾问。
就贵公司本次发行及上市事宜,本所已出具《北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的律师工作报告》(康达股发字【2019】第0241号)、《北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的法律意见书》(康达股发字【2019】第0242号)及《北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(一)》(康达股发字【2020】第0041号)。
根据上海证券交易所于2020年5月13日出具的上证科审(审核)[2020]200号《关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》(以下简称“《问询函》”)的要求,本所律师在核查、验证发行人相关材料的基础上,出具《补充法律意见书(二)》(以下简称“本《补充法律意见书》”)。
本《补充法律意见书》仅供发行人本次发行及上市之目的使用,不得用作任何其他目的。本所律师同意发行人部分或全部在《招股说明书》中自行引用或按上海证券交易所审核要求引用本《补充法律意见书》的内容,但发行人作上述引用时,不得因引用而导致法律上的歧义或曲解。
本所律师根据现行法律法规的要求,按照律师行业公认的业务标准、道德规范和勤勉尽责的精神,现出具补充法律意见如下:
《问询函》问题1.关于被动式监测业务
根据问询回复,在被动式监测过程中,发行人的产品探针程序由客户自行或在客户配合下植入APP应用、网页和服务器的代码中,无法独立于APP应用、网页和服务器而单独运行,且需在客户后端软件平台的统一控制和调配下进行应用性能数据的采集工作;客户可以选择SaaS模式进行数据存储,发行人与客户已签署相关合同,对发行人该等监测业务开展的方式、内容、范围等情形作出约定。根据公开资料,国家正在集中整治APP违法违规收集使用个人信息的情况。
请发行人进一步说明:(1)目前已曝光违法违规收集使用个人信息的APP是否涉及发行人及其客户;(2)结合相关法律法规、被动式监测业务开展过程、发行人与客户之间的协议约定等,分析发行人的产品探针程序植入的APP应用、网页和服务器,若其存在相关违法违规行为,发行人应当承担的法律责任及潜在影响;(3)SaaS模式及其他模式下,发行人是否违反协议规定,是否对第三方商业秘密予以充分有效保护。
请发行人律师对上述问题进行核查并发表明确意见。
答复:
(一)目前已曝光违法违规收集使用个人信息的APP是否涉及发行人及其客户
2019年1月23日,中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
2019年11月6日,工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》,决定组织开展APP侵害用户权益专项整治行动工作。
经本所律师检索中央网信办官方网站(http://www.cac.gov.cn)、工信部官方网站(http://www.miit.gov.cn/)、公安部官方网站(https://www.mps.gov.cn/)、APP 专项治理工作组微信公众号,查阅《工业和信息化部关于电信服务质量的通告》(2017年2号、2017年3号、2017年4号、2018年1号、2018年第2号、2018年第3号、2018年第4号、2019年第1号、2019年第2号、2019年第3号)、《关于10款App存在无隐私政策等问题的通报》(2019年第1号)、《违法收集公民个人信息十大案例发布》、《关于侵害用户权益行为的APP(第一批)通报》、《关于侵害用户权益行为的 APP(第二批)通报》、《关于侵害用户权益行为的APP通报(2020年第一批)》等公告信息,并经本所律师进行适当网络核查,报告期内,已曝光违法违规收集使用个人信息的APP不涉及发行人,亦不涉及发行人被动式业务的客户。
此外,经本所律师查询“裁判文书网”、“全国法院被执行人信息查询系统”、“国家企业信用信息公示系统”、“信用中国”等网站,截至本《补充法律意见书》出具之日,发行人不存在因违法违规收集使用个人信息而产生的重大诉讼、仲裁及行政处罚事项。
综上,经核查,本所律师认为:报告期内,已曝光违法违规收集使用个人信息的APP不涉及发行人,亦不涉及发行人被动式业务的客户。
(二)结合相关法律法规、被动式监测业务开展过程、发行人与客户之间的协议约定等,分析发行人的产品探针程序植入的APP应用、网页和服务器,若其存在相关违法违规行为,发行人应当承担的法律责任及潜在影响
1、被动式业务的基本情况
发行人的被动式产品采用被动式探针技术开展监测业务,包括监控前端手机APP和网页应用的真实用户监测产品(Bonree SDK和Bonree Browser)和监控后端服务器应用的应用发现跟踪诊断产品(Bonree Server),均可支持SaaS和本地化两种产品部署方式。除Bonree SDK、Bonree Browser、Bonree Server三款产品外,Bonree Net和Bonree APP采用主动式数据采集技术,Bonree Zeus、BonreeAnts、Bonree Ressii等其他产品均不涉及被动式探针技术。
报告期内,发行人被动式产品的具体情况如下表所示:
单位:万元
产品类型 部署 2019年度 2018年度 2017年度
方式 金额 占比 金额 占比 金额 占比
真实用户监测 SaaS 116.64 3.19% 100.47 3.84% 114.84 8.96%
产品 本地化 589.87 16.16% 787.24 30.08% 664.88 51.88%
(前端产品) 小计 706.51 19.35% 887.71 33.91% 779.72 60.84%
应用发现跟踪 SaaS 137.89 3.78% 60.49 2.31% 4.68 0.37%
诊断产品 本地化 2,806.33 76.87% 1,669.31 63.77% 497.22 38.80%
(后端产品) 小计 2,944.23 80.65% 1,729.80 66.09% 501.91 39.16%
合 计 3,650.73 100.00% 2,617.52 100.00% 1,281.63 100.00%
由上表可见,发行人被动式产品以后端的应用发现跟踪诊断产品为主,报告期内其金额及占比持续增长。其中,应用发现跟踪诊断产品以本地化部署方式为主,2019 年度,本地化部署的应用发现跟踪诊断产品收入金额占被动式产品总收入金额已达到76.87%。
2、发行人在被动式监测业务开展过程中不存在违法违规行为
发行人被动式监测业务涉及的各产品类型、部署方式均不存在违反《网络安全法》等相关法律法规关于保护个人信息安全规定的情形:
产品类型 部署 涉及的 是否采集终端用 是否需要单独获 是否需要另行获得客
方式 相关方 户的个人信息 得终端用户授权 户其他授权
否,不采集个人 否,发行人已依据服
发行人、 否,仅采集应用 信息的第三方插 务合同获得必要的授
SaaS 客户、终
真实用户 端用户 性能信息 件无需单独获得 权,无需另行获得其
监测产品 终端用户授权 他授权
(前端产 否,不采集个人
品) 本地 发行人、 否,仅采集应用 信息的第三方插 否,发行人在整个过
化 客户、终 性能信息 件无需单独获得 程中均无法获取任何
端用户 终端用户授权 客户数据
否,发行人已依据服
应用发现 发行人、 否,业务不涉及 否,业务不涉及 务合同获得必要的授
跟踪诊断 SaaS 客户 终端用户 终端用户 权,无需另行获得其
产品 他授权
(后端产
品) 本地 发行人、 否,业务不涉及 否,业务不涉及 否,发行人在整个过
化 客户 终端用户 终端用户 程中均无法获取任何
客户数据
(1)发行人被动式监测业务仅采集应用性能数据,未采集终端用户的个人信息或商业秘密,亦无需单独获得终端用户授权
发行人被动式监测业务分为真实用户监测产品(前端产品)、应用发现跟踪诊断产品(后端产品),均仅采集应用性能数据,未采集个人信息或商业秘密,因此无需单独获得终端用户授权,具体说明如下:
①真实用户监测产品(前端产品)
发行人的该等产品探针程序作为第三方插件,需安装在客户前端的浏览器、手机APP应用内,并与其一同运行。在数据的采集过程中,发行人探针程序直接面向客户的终端用户,因此,该等产品业务涉及的相关主体包括客户、终端用户和发行人。
I. 数据采集过程
客户为了实现APP或网页应用的各项业务功能,需要采集各类数据。为了简化代码开发工作,客户可能将某些数据采集功能通过购买安装第三方插件来实现。客户软件应用的主程序及其第三方插件仅可按照已编译好的代码程序,各自采集既定数据。发行人作为客户的第三方插件供应商,仅为其提供具有采集应用性能数据功能的产品。
发行人所开展的被动式业务仅采集客户应用崩溃卡顿、错误请求、网络层传输、代码运行堆栈等应用性能数据信息,不采集姓名、生日、手机号码、地址等个人信息,或其他单独或者与其他信息结合可识别自然人个人身份的信息,并不属于《网络安全法》规定的“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”;亦不属于《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)规定的“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识
别用户的信息以及用户使用服务的时间、地点等信息”;亦不属于最高人民法院、
最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
(法释〔2017〕10 号)规定的“电子或者其他方式记录的能够单独或者与其他
信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。
发行人已聘请了中国软件评测中心(该机构系工业和信息化部直属的科研事业单位)进行采集数据源代码检测,中国软件评测中心认为该等产品仅采集应用性能数据,未发现该等产品存在采集终端用户个人信息的功能。因此,客户的APP 应用或网页应用,即使需要采集终端用户个人信息,也是通过主程序代码或其他第三方插件来实现的,而非通过发行人的探针程序实现,与发行人产品技术无关。
基于上述,发行人的探针程序仅采集应用性能数据,不涉及采集终端用户个人信息,无需单独获得终端用户的授权。
II. 数据存储和分析过程
发行人探针所采集的性能数据,其存储位置由客户决定,可存储于客户的数据库内并完成分析(即本地化部署方式),或回传至发行人的数据库中进行存储和分析(即SaaS部署方式)。
i. 本地化部署方式
在本地化部署方式下,数据的传输、存储和分析均与发行人无任何关联,发行人在整个过程中均无法获取、使用及留存包括应用性能数据在内的任何客户数据。
ii. SaaS部署方式
在SaaS部署方式下,发行人探针程序仅可回传由自身探针程序所采集的应用性能数据,无法回传由客户应用主程序或其他第三方插件所采集的其他数据。因此,回传至发行人数据库进行存储和分析的数据仅为应用性能数据,不涉及终端用户个人信息。
此外,对于回传的应用性能数据,发行人亦采取了数据混淆、通道加密、完整性校验、数据封装、备份及恢复机制等技术防护措施,能够有效保护前述应用性能数据。
②应用发现跟踪诊断产品(后端产品)
该产品探针需安装在客户后端的服务器应用内,并与其一同运行。客户后端服务器所处的内网环境是通过防火墙等安全设备及网络设备与前端互联网用户做了有效隔离。因此,该产品本身仅面向客户,不直接面向客户的终端用户,该产品业务涉及的相关主体仅包括客户和发行人。
基于上述,该产品无论是SaaS部署方式,还是本地化部署方式,均不涉及终端用户,且未采集终端用户的个人信息,无需单独获得终端用户授权。
(2)发行人已依据服务合同获得客户必要的授权,无需另行获得客户其他授权
对于本地化部署方式的真实用户监测产品(前端产品)及应用发现跟踪诊断产品(后端产品),相关应用性能数据回传至客户自己的服务器进行存储和分析,发行人在整个过程中均无法获取、使用及留存包括客户应用性能数据在内的任何客户数据,不涉及相关客户授权情形。
对于SaaS部署方式的真实用户监测产品(前端产品)及应用发现跟踪诊断产品(后端产品),应用性能数据会回传至发行人的服务器中进行数据的存储及分析,发行人与客户为实现应用性能监测目的签署的相关合同中均已对发行人该等监测业务开展的方式、内容、范围等情形作出约定,客户对该等情形系明知或应知,发行人在合同履行过程中亦严格遵守该等约定。同时,客户为实现合同目的获取发行人提供的被动式监测服务行为本身即包含许可及授权发行人获取和使用其应用性能数据的意思表示,发行人已依据服务合同获得必要的授权,无需另行获得其他授权。
3、若发行人的产品探针程序植入的APP应用、网页和服务器存在相关违法违规行为,发行人无需就其提供的探针程序承担相关法律责任,对发行人亦不存在重大不利影响
《网络安全法》等现行法律、法规、规范性文件主要对直接面向最终用户的网络服务提供者或个人信息控制者(一般即为 APP、网站提供者)不得违法获取个人信息、商业秘密作出规定并规定应承担的法律责任。
发行人作为其客户的第三方插件提供商,并非上述法律法规主要规范的网络服务提供者或个人信息控制者,并且将产品探针程序交付给客户后,即不再具有对于上述探针程序的修改、使用等权限,是否嵌入探针程序、是否启用探针程序、何时启用探针程序、采集何种性能数据、采集后性能数据回传到何处均由客户根据自身需求自行决定。即发行人向客户交付产品后即不再具有对相关产品的控制权及使用权,对于客户自身可能存在的相关违法违规行为亦无直接因果关系。因此除下述情形外,发行人无需就客户相关违法违规行为承担责任:
需承担责 具体说明 发行人是否可能涉及
任的情形
《刑法》(强制性法律法规)
第三方插件提供商协助其客户从事
共同犯罪 《刑法》253条规定的侵犯个人信息 不涉及,发行人相关探针程序不具备获
或作为从 罪或《反不正当竞争法》规定的侵犯 取个人信息或商业秘密的功能,且发行
犯 商业秘密等违法行为的,则可能被认 人亦不存在协助客户从事相关违法活
定为实施共同犯罪或被认定为从犯, 动的行为
需承担相应法律责任。
《信息安全 技术个人信息安全规范》(推荐性国家标准,不具备法律强制力)
不涉及
(1)发行人相关探针程序不具备获取
第三方插件提供商提供的插件本身即 个人信息的功能,客户亦不与发行人共
具有获取个人信息的功能,则依据《信
息安全技术个人信息安全规范》9.6 享其获得的个人信息,发行人无法获得
条,其被视为共同个人信息控制者, 或控制任何个人信息,发行人不属于共
被视为共 需与个人信息控制者(即客户)约定 同个人信息控制者。
(2)即使第三方插件提供商被认定为
同个人信 分别应承担的权利义务,在客户存在
息控制者 违法违规行为时可能依约定需要承担 共同个人信息控制者,亦需由个人信息
相应法律责任。但是,个人信息控制 控制者(即其客户)向终端用户告知第
者未向终端用户告知第三方身份及其 三方身份及其与第三方间责任承担约
定,否则个人信息控制者应承担因第三
与第三方间责任承担约定的,应承担 方引起的个人信息安全责任。发行人与
因第三方引起的个人信息安全责任。
客户签署的合同中不存在应由发行人
在涉及终端用户个人信息安全方面承
担责任的约定。
注:《信息安全技术个人信息安全规范》系推荐性国家标准,不属于《中华人民共和国标准化法实施条例》规定的食品、药品等国家需要控制的重要产品的强制性标准,不具备法律强制力。
由上可知,发行人作为第三方插件提供商,其提供的相关探针程序不具备获取个人信息或商业秘密的功能,客户亦无法通过发行人的产品或服务从事侵犯个人信息的行为;发行人并非《网络安全法》《信息安全技术个人信息安全规范》等文件主要规范的网络服务提供者、个人信息控制者或共同个人信息控制者;且发行人亦不存在协助客户从事违法活动的行为,不涉及共同犯罪或作为从犯的情形。故对于发行人客户自身可能存在的违法行为,发行人无需就其提供的探针程序承担相关法律责任,对发行人亦不存在潜在重大不利影响。
综上,经核查,本所律师认为:
发行人在被动式监测业务开展过程中不存在违法违规行为;发行人被动式监测业务仅采集应用性能数据,未采集终端用户的个人信息或商业秘密,若发行人的产品探针程序植入的APP应用、网页和服务器存在违法违规行为,发行人无需就其提供的探针程序承担相关法律责任,对发行人亦不存在潜在重大不利影响。
(三)SaaS模式及其他模式下,发行人是否违反协议规定,是否对第三方商业秘密予以充分有效保护
根据上述被动式产品业务开展过程中的表述,无论是SaaS模式还是本地化部署模式,业务开展过程中均只涉及应用性能数据,不涉及第三方商业秘密。在本地化部署模式下,采集的性能数据由客户进行储存,发行人无法获取这些数据;在SaaS模式下,数据存储在发行人服务器内,该等数据仅为性能数据。
为保证客户的合法权益,发行人已建立和实施了完善的信息安全管理体系,数据安全保障措施已满足ISO 27001信息安全管理要求,并已获得相关认证。对于SaaS模式下客户回传的性能信息的传输及存储过程采取了如下技术防护措施:
涉及环节 采取的技术防护措施
数据混淆:对数据标题进行编码混淆,确保数据的机密性。
传输环节
通道加密:采用可靠的数据传输方式,启用SSL(Secure SocketsLayer 安全
套接层),对传输通道进行加密。
完整性校验:采用完整性校验算法,确保数据的完整性和可用性。
数据封装:数据封装能够尽可能屏蔽内部的具体细节,避免受到外界的干扰和
误用,从而确保了数据安全。数据封装主要有两种方法:a.依据面向对象编程
中的概念,把数据和操作数据的函数捆绑封装;b.封装数据处理引擎,避免内
部系统或者外部系统都直接访问源数据库,或者在遭受攻击时数据库服务器信
存储环节 息直接泄露。
备份及恢复:应用了双数据中心技术,将数据在两个不同的机房内互为备份。
同时,发行人的数据平台使用自研的文件系统BRFS,具备三副本备份功能,
为客户提供完备的数据备份和恢复机制来保障数据的可用性和完整性。
在发行人与客户签署的业务合同中,双方就发行人所开展的监测业务做出明确约定,具体包括服务内容、价格及结算方式、双方权利义务、违约责任、保密条款、知识产权、合同期限、争议解决、技术标准等条款。发行人按照合同约定向客户提供应用性能管理服务,所采集的数据仅为应用性能数据,不涉及商业秘密或个人信息。
综上,经核查,本所律师认为:SaaS 模式及其他模式下,发行人不存在违反协议规定的情形,未涉及第三方的商业秘密,不存在纠纷或潜在纠纷。
《问询函》问题6.3
请发行人进一步说明:公司海外会员招募、运营、管理、奖励及付款是否符合境内外相关规定,相关争议解决方式与法律适用如何,是否存在潜在不利影响,如存在,请进行风险揭示。
另请发行人律师核查并发表明确意见。
答复:
(一)公司海外会员招募、运营、管理、奖励及付款是否符合境内外相关规定
报告期内,发行人主要通过招募拥有海外监测节点资源的境内主体作为国外直付会员,并与该等国外直付会员合作开展海外监测业务。报告期内,国外直付会员主要有临沂超钱网络服务有限公司、临沂市挂宝网络科技有限公司、太原嘉航科技有限公司、泰安市泰山区百里溪电脑服务中心、北京盈嘉双维文化传播有限公司、鄄城县花小生网络服务中心、巨野县董官屯镇三郎网络服务中心、桂林辰嘉景腾网络科技有限公司、北京急速狮子网络工作室等境内企业。
公司国外直付会员的招募、运营、管理、奖励及付款的主要情况如下:
发行人主要通过在现有会员中挖掘具有海外资源的会员,将其发展为
招募 国外直付会员,或者通过官网、论坛途径发放招募信息及会员相互推
荐等方式进行招募。
运营管理 发行人主要通过电话、QQ方式与相关国外直付会员直接联系,沟通
付款等相关事宜,与此同时也设有QQ群便于集中日常管理。
奖励及付款 通过境内银行转账的方式支付会员费用
如前所述,发行人招募的国外直付会员为境内主体,发行人对该等会员的招募及合同签署、运营管理、奖励及付款等行为均发生于境内,并未与境外主体发生直接交易。发行人海外会员招募、运营、管理、奖励及付款适用境内法律法规,不存在违反境内外相关规定的情形。
(二)相关争议解决方式与法律适用如何,是否存在潜在不利影响
根据发行人与会员签订的服务合同,如合同履行过程中发生争议,双方应本着友好协商精神,共同商议有关事项,如果协商不成,应将争议提交北京仲裁委员会仲裁解决。
会员注册账户时需点击同意的用户协议亦约定,该协议适用中华人民共和国法律;如双方就本协议内容或其执行发生任何争议,双方应尽量友好协商解决,协商不成时,任何一方均可提交北京仲裁委员会仲裁,其仲裁裁决是终局的。
此外,上述用户协议中,发行人已经明确约定,会员在使用发行人提供的监测软件时,不得有违反法律、危害网络安全或损害第三方合法权益的行为,否则由此产生的后果均由会员自己承担,发行人对会员不承担任何责任。
综上,发行人已与相关会员约定境内仲裁机构北京仲裁委员会作为争议解决机构并适用中国法律,并约定不承担会员违反法律、危害网络安全或损害第三方合法权益的行为导致的任何责任,采取了必要的风险隔离措施,不存在潜在不利影响。
综上,经核查,本所律师认为:
1、公司海外会员招募、运营、管理、奖励及付款适用境内法律法规,不存在违反境内外相关规定的情形。
2、发行人已与相关会员约定境内仲裁机构北京仲裁委员会作为争议解决机构并适用中国法律,并约定不承担会员违反法律、危害网络安全或损害第三方合法权益的行为导致的任何责任,采取了必要的风险隔离措施,不存在潜在不利影响。
《问询函》问题6.7
请发行人说明:(1)疫情对发行人近期生产经营和财务状况的影响程度,包括具体影响面、停工及开工复工程度、日常订单或重大合同的履行是否存在障碍、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化;(2)如疫情对发行人有较大或重大影响,该影响是否为暂时性或阶段性,是否已采取必要的解决措施,未来期间是否能够逆转并恢复正常状态,是否会对全年经营业绩情况产生重大负面影响,对发行人持续经营能力及发行条件是否有重大不利影响;(3)请在重大事项提示中补充披露上述重大信息,并提供2020年一季度经审阅财务信息。
请保荐机构、发行人律师、申报会计师核查上述事项,说明判断依据和结论,并发表明确意见。
答复:
(一)疫情对发行人近期生产经营和财务状况的影响程度,包括具体影响面、停工及开工复工程度、日常订单或重大合同的履行是否存在障碍、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化
1、具体影响面
公司主营业务为应用性能管理(APM),属软件和信息技术服务业,非受疫情直接影响的行业,但由于疫情导致延期复工,公司及其客户、供应商的生产经营受到一定影响,具体情况如下:
(1)销售方面
由于新冠疫情导致春节假期后发行人客户延期复工及交替复工,加上复工后仍存在交通管制及隔离措施等限制,客户制定采购方案、询价、确定供应商、合同签署、POC测试、项目实施部署和验收等活动均被延缓,同时客户付款流程也存在滞后的现象。公司主要客户不在湖北及境外地区,随着下游客户复工及交通管制、隔离措施的逐步解除,疫情对公司销售的影响将逐步减弱。
(2)采购方面
公司对外采购主要是会员完成任务产生的监测费用、为满足公司日常经营管理所需的网络运营成本、电子设备、办公设备、耗材等。会员监测任务系通过在会员终端设备(手机、电脑)上运行博睿监测软件,进而通过该软件自动开展数据采集工作,上述数据采集活动、会员管理活动等均为线上模式,受疫情影响较小。网络资源采购主要为购买服务器托管、虚拟机租用服务,疫情期间原服务器托管商及虚拟机服务提供商可继续正常向公司提供相关服务,公司在疫情期间除原合同续约外未大量新增或变动采购需求,服务器托管、虚拟机租用服务未受影响。电子设备、办公设备及耗材等市场供应充足,通过线上采购方式亦可以满足公司需求。综合以上,公司采购方面受疫情影响较小。
(3)生产方面
公司属于软件及信息技术服务业,不涉及生产环节。
(4)研发方面
疫情期间,公司遵守所在地区关于疫情防控的相关规定,采取员工居家办公的模式,研发人员可在家远程访问公司软件开发环境,同时通过企业微信、视频会议系统等方式沟通交流,并远程进行项目研发。随着各地疫情防控相关规定的调整,公司于2020年2月陆续恢复现场办公,公司研发活动受疫情影响较小。
2、停工及开工复工程度
公司于2020年1月24日春节休假,原定于2020年1月31日复工,春节假期后,公司受疫情及当地政府管控措施影响,复工时间延后。公司于2月上旬开始部分复工,开工率逐步上升;2月下旬,通过现场及远程方式,公司的复工率达到70%;3月9日以后,除武汉研发中心外,公司已实现全员复工。武汉研发中心员工采取居家办公方式开展工作,伴随武汉封城结束,武汉研发中心开始恢复办公。
公司制定了严密的防控工作方案和复工实施方案,落实全体员工信息排查、疫情宣传教育,做好办公室消毒和防控物资储备。截至本《补充法律意见书》出具之日,公司无员工被确诊为新型冠状病毒肺炎,相关防控措施保障复工平稳有序进行。
3、日常订单或重大合同的履行是否存在障碍
由于疫情影响,复工时间延后,同时复工后受疫情防控要求以及公司出于安全考虑人员流动受到一定控制,在订单或合同履行时存在公司人员无法进入客户办公场所进行部署安装调试的问题,导致产品交付、验收有所延迟,但公司与客户一直保持良好沟通,公司未发生因订单未能及时交付、履行导致诉讼纠纷的情形。
随着国内疫情逐步得到控制,影响产品部署安装调试、交付和验收的相关履行障碍将得到消除。公司将积极在后续期间加快部署安装进度,保证后续交付计划落实,保障日常订单及重大合同的后续履行。
4、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化
疫情发生于2020年春节前后,对一季度收入产生一定程度的影响,公司一季度收入、净利润等较上年同期有所减少,具体如下表所示:
单位:万元
项 目 2020年一季度 上年同期 同期对比
营业收入 2,866.35 3,115.01 -7.98%
净利润 353.43 722.87 -51.11%
如上表所示,受疫情影响,公司2020年一季度营业收入及净利润较上年同期分别下降7.98%、51.11%。伴随着国内疫情的缓和,2020年上半年公司营业收入预计可恢复至去年同期水平,营业收入预计在6,800万元至7,880万元之间,较去年同期变动幅度为-5.05%至10.03%。此外,由于公司收入具有一定的季节性,下半年特别是第四季度收入占比较高,根据新冠肺炎疫情目前的形势,在疫情不发生反复的情况下,预计公司未来相关经营指标将不会发生重大变化。
(二)如疫情对发行人有较大或重大影响,该影响是否为暂时性或阶段性,是否已采取必要的解决措施,未来期间是否能够逆转并恢复正常状态,是否会对全年经营业绩情况产生重大负面影响,对发行人持续经营能力及发行条件是否有重大不利影响
如本问题回复之“(一)疫情对发行人近期生产经营和财务状况的影响程度,包括具体影响面、停工及开工复工程度、日常订单或重大合同的履行是否存在障碍、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化”所述,虽然疫情对公司短期经营产生一定影响,但总体而言影响可控,不构成重大影响,且仅为暂时性的影响。
公司采取积极措施应对疫情,公司高度重视并成立了疫情防控工作组,采取了延迟复工、外地返回人员隔离观察十四天、防疫物资储备、内部防疫消毒、防控宣传、扩大工位间隔、现场办公与远程办公相结合等措施,公司防疫物资准备充足,目前公司未发现感染病例。同时,公司通过扩充视频会议系统来提升远程办公能力,梳理和优化公司内部管理流程,开展线上员工培训活动,利用疫情期间进行流程优化和能力积淀,为后续更好的发展奠定基础。
此外,公司积极增强线上营销推广力度,开设直播课程,并邀请客户参加线上交流活动;对于软件销售业务,公司制作软件实施指导手册并优化部署方案,针对无法到现场部署实施的客户,探索远程指导客户自行安装部署的模式;同时积极加强对在线教育、线上政务、在线医疗等疫情期间重点保障行业客户,以及游戏、视频、电商等疫情期间活跃行业客户的拓展,以给公司带来更广阔的发展空间。
综合以上,随着疫情的好转,未来期间公司能够恢复正常状态,不会对全年经营业绩情况产生重大负面影响,亦不会对公司持续经营能力及发行条件构成重大不利影响。
(三)核查程序
本所律师履行了包括但不限于如下核查工作:
1、与公司管理层进行访谈,了解新冠疫情对公司生产经营的影响情况及公司的应对措施;
2、查阅发行人所在地政府部门关于企业复工的相关规定,获取发行人下达复工通知的相关资料;
3、实地查看公司对疫情采取的防范措施;
4、获取发行人2020年第一季度审阅报告及半年度业绩预测数据,了解与公司产品相关市场的发展趋势,分析复核公司经营业绩预计情况的准确性、充分性。
(四)核查意见
经核查,本所律师认为:
1、新冠疫情对发行人近期生产经营和财务状况造成一定影响,公司已全面复工,日常订单或重大合同履行不存在障碍;
2、疫情对发行人的生产经营不构成重大影响,仅为暂时性影响,发行人已采取必要的解决措施,不会对全年经营业绩产生重大负面影响,对公司持续经营能力及发行条件无重大不利影响。
3、发行人已在招股说明书重大事项提示中补充披露相关重大信息,并已提供2020年一季度经审阅财务信息。
(以下无正文)
北京市朝阳区新东路首开幸福广场C座五层
5th Floor, Building C,The International Wonderland, Xindong Road, Chaoyang District, Beijing
邮编/Zip Code:100027电话/Tel:86-010-50867666 传真/Fax:86-010-65527227
电子邮箱/E-mail: kangda@kangdalawyers.com
北京 西安 深圳 杭州 海口 上海 广州 沈阳 南京 天津 菏泽 成都 苏州 呼和浩特 香港 武汉
北京市康达律师事务所
关于北京博睿宏远数据科技股份有限公司
首次公开发行股票并在科创板上市的
补充法律意见书(二)
康达股发字【2020】第0090号
二〇二〇年五月北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(二)
康达股发字【2020】第0090号
致:北京博睿宏远数据科技股份有限公司
本所接受发行人的委托,担任发行人申请在中华人民共和国境内首次公开发行股票并在科创板上市的特聘专项法律顾问。
就贵公司本次发行及上市事宜,本所已出具《北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的律师工作报告》(康达股发字【2019】第0241号)、《北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的法律意见书》(康达股发字【2019】第0242号)及《北京市康达律师事务所关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(一)》(康达股发字【2020】第0041号)。
根据上海证券交易所于2020年5月13日出具的上证科审(审核)[2020]200号《关于北京博睿宏远数据科技股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》(以下简称“《问询函》”)的要求,本所律师在核查、验证发行人相关材料的基础上,出具《补充法律意见书(二)》(以下简称“本《补充法律意见书》”)。
本《补充法律意见书》仅供发行人本次发行及上市之目的使用,不得用作任何其他目的。本所律师同意发行人部分或全部在《招股说明书》中自行引用或按上海证券交易所审核要求引用本《补充法律意见书》的内容,但发行人作上述引用时,不得因引用而导致法律上的歧义或曲解。
本所律师根据现行法律法规的要求,按照律师行业公认的业务标准、道德规范和勤勉尽责的精神,现出具补充法律意见如下:
《问询函》问题1.关于被动式监测业务
根据问询回复,在被动式监测过程中,发行人的产品探针程序由客户自行或在客户配合下植入APP应用、网页和服务器的代码中,无法独立于APP应用、网页和服务器而单独运行,且需在客户后端软件平台的统一控制和调配下进行应用性能数据的采集工作;客户可以选择SaaS模式进行数据存储,发行人与客户已签署相关合同,对发行人该等监测业务开展的方式、内容、范围等情形作出约定。根据公开资料,国家正在集中整治APP违法违规收集使用个人信息的情况。
请发行人进一步说明:(1)目前已曝光违法违规收集使用个人信息的APP是否涉及发行人及其客户;(2)结合相关法律法规、被动式监测业务开展过程、发行人与客户之间的协议约定等,分析发行人的产品探针程序植入的APP应用、网页和服务器,若其存在相关违法违规行为,发行人应当承担的法律责任及潜在影响;(3)SaaS模式及其他模式下,发行人是否违反协议规定,是否对第三方商业秘密予以充分有效保护。
请发行人律师对上述问题进行核查并发表明确意见。
答复:
(一)目前已曝光违法违规收集使用个人信息的APP是否涉及发行人及其客户
2019年1月23日,中央网信办、工业和信息化部、公安部、市场监管总局发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。
2019年11月6日,工业和信息化部发布《关于开展APP侵害用户权益专项整治工作的通知》,决定组织开展APP侵害用户权益专项整治行动工作。
经本所律师检索中央网信办官方网站(http://www.cac.gov.cn)、工信部官方网站(http://www.miit.gov.cn/)、公安部官方网站(https://www.mps.gov.cn/)、APP 专项治理工作组微信公众号,查阅《工业和信息化部关于电信服务质量的通告》(2017年2号、2017年3号、2017年4号、2018年1号、2018年第2号、2018年第3号、2018年第4号、2019年第1号、2019年第2号、2019年第3号)、《关于10款App存在无隐私政策等问题的通报》(2019年第1号)、《违法收集公民个人信息十大案例发布》、《关于侵害用户权益行为的APP(第一批)通报》、《关于侵害用户权益行为的 APP(第二批)通报》、《关于侵害用户权益行为的APP通报(2020年第一批)》等公告信息,并经本所律师进行适当网络核查,报告期内,已曝光违法违规收集使用个人信息的APP不涉及发行人,亦不涉及发行人被动式业务的客户。
此外,经本所律师查询“裁判文书网”、“全国法院被执行人信息查询系统”、“国家企业信用信息公示系统”、“信用中国”等网站,截至本《补充法律意见书》出具之日,发行人不存在因违法违规收集使用个人信息而产生的重大诉讼、仲裁及行政处罚事项。
综上,经核查,本所律师认为:报告期内,已曝光违法违规收集使用个人信息的APP不涉及发行人,亦不涉及发行人被动式业务的客户。
(二)结合相关法律法规、被动式监测业务开展过程、发行人与客户之间的协议约定等,分析发行人的产品探针程序植入的APP应用、网页和服务器,若其存在相关违法违规行为,发行人应当承担的法律责任及潜在影响
1、被动式业务的基本情况
发行人的被动式产品采用被动式探针技术开展监测业务,包括监控前端手机APP和网页应用的真实用户监测产品(Bonree SDK和Bonree Browser)和监控后端服务器应用的应用发现跟踪诊断产品(Bonree Server),均可支持SaaS和本地化两种产品部署方式。除Bonree SDK、Bonree Browser、Bonree Server三款产品外,Bonree Net和Bonree APP采用主动式数据采集技术,Bonree Zeus、BonreeAnts、Bonree Ressii等其他产品均不涉及被动式探针技术。
报告期内,发行人被动式产品的具体情况如下表所示:
单位:万元
产品类型 部署 2019年度 2018年度 2017年度
方式 金额 占比 金额 占比 金额 占比
真实用户监测 SaaS 116.64 3.19% 100.47 3.84% 114.84 8.96%
产品 本地化 589.87 16.16% 787.24 30.08% 664.88 51.88%
(前端产品) 小计 706.51 19.35% 887.71 33.91% 779.72 60.84%
应用发现跟踪 SaaS 137.89 3.78% 60.49 2.31% 4.68 0.37%
诊断产品 本地化 2,806.33 76.87% 1,669.31 63.77% 497.22 38.80%
(后端产品) 小计 2,944.23 80.65% 1,729.80 66.09% 501.91 39.16%
合 计 3,650.73 100.00% 2,617.52 100.00% 1,281.63 100.00%
由上表可见,发行人被动式产品以后端的应用发现跟踪诊断产品为主,报告期内其金额及占比持续增长。其中,应用发现跟踪诊断产品以本地化部署方式为主,2019 年度,本地化部署的应用发现跟踪诊断产品收入金额占被动式产品总收入金额已达到76.87%。
2、发行人在被动式监测业务开展过程中不存在违法违规行为
发行人被动式监测业务涉及的各产品类型、部署方式均不存在违反《网络安全法》等相关法律法规关于保护个人信息安全规定的情形:
产品类型 部署 涉及的 是否采集终端用 是否需要单独获 是否需要另行获得客
方式 相关方 户的个人信息 得终端用户授权 户其他授权
否,不采集个人 否,发行人已依据服
发行人、 否,仅采集应用 信息的第三方插 务合同获得必要的授
SaaS 客户、终
真实用户 端用户 性能信息 件无需单独获得 权,无需另行获得其
监测产品 终端用户授权 他授权
(前端产 否,不采集个人
品) 本地 发行人、 否,仅采集应用 信息的第三方插 否,发行人在整个过
化 客户、终 性能信息 件无需单独获得 程中均无法获取任何
端用户 终端用户授权 客户数据
否,发行人已依据服
应用发现 发行人、 否,业务不涉及 否,业务不涉及 务合同获得必要的授
跟踪诊断 SaaS 客户 终端用户 终端用户 权,无需另行获得其
产品 他授权
(后端产
品) 本地 发行人、 否,业务不涉及 否,业务不涉及 否,发行人在整个过
化 客户 终端用户 终端用户 程中均无法获取任何
客户数据
(1)发行人被动式监测业务仅采集应用性能数据,未采集终端用户的个人信息或商业秘密,亦无需单独获得终端用户授权
发行人被动式监测业务分为真实用户监测产品(前端产品)、应用发现跟踪诊断产品(后端产品),均仅采集应用性能数据,未采集个人信息或商业秘密,因此无需单独获得终端用户授权,具体说明如下:
①真实用户监测产品(前端产品)
发行人的该等产品探针程序作为第三方插件,需安装在客户前端的浏览器、手机APP应用内,并与其一同运行。在数据的采集过程中,发行人探针程序直接面向客户的终端用户,因此,该等产品业务涉及的相关主体包括客户、终端用户和发行人。
I. 数据采集过程
客户为了实现APP或网页应用的各项业务功能,需要采集各类数据。为了简化代码开发工作,客户可能将某些数据采集功能通过购买安装第三方插件来实现。客户软件应用的主程序及其第三方插件仅可按照已编译好的代码程序,各自采集既定数据。发行人作为客户的第三方插件供应商,仅为其提供具有采集应用性能数据功能的产品。
发行人所开展的被动式业务仅采集客户应用崩溃卡顿、错误请求、网络层传输、代码运行堆栈等应用性能数据信息,不采集姓名、生日、手机号码、地址等个人信息,或其他单独或者与其他信息结合可识别自然人个人身份的信息,并不属于《网络安全法》规定的“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”;亦不属于《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)规定的“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识
别用户的信息以及用户使用服务的时间、地点等信息”;亦不属于最高人民法院、
最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》
(法释〔2017〕10 号)规定的“电子或者其他方式记录的能够单独或者与其他
信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。
发行人已聘请了中国软件评测中心(该机构系工业和信息化部直属的科研事业单位)进行采集数据源代码检测,中国软件评测中心认为该等产品仅采集应用性能数据,未发现该等产品存在采集终端用户个人信息的功能。因此,客户的APP 应用或网页应用,即使需要采集终端用户个人信息,也是通过主程序代码或其他第三方插件来实现的,而非通过发行人的探针程序实现,与发行人产品技术无关。
基于上述,发行人的探针程序仅采集应用性能数据,不涉及采集终端用户个人信息,无需单独获得终端用户的授权。
II. 数据存储和分析过程
发行人探针所采集的性能数据,其存储位置由客户决定,可存储于客户的数据库内并完成分析(即本地化部署方式),或回传至发行人的数据库中进行存储和分析(即SaaS部署方式)。
i. 本地化部署方式
在本地化部署方式下,数据的传输、存储和分析均与发行人无任何关联,发行人在整个过程中均无法获取、使用及留存包括应用性能数据在内的任何客户数据。
ii. SaaS部署方式
在SaaS部署方式下,发行人探针程序仅可回传由自身探针程序所采集的应用性能数据,无法回传由客户应用主程序或其他第三方插件所采集的其他数据。因此,回传至发行人数据库进行存储和分析的数据仅为应用性能数据,不涉及终端用户个人信息。
此外,对于回传的应用性能数据,发行人亦采取了数据混淆、通道加密、完整性校验、数据封装、备份及恢复机制等技术防护措施,能够有效保护前述应用性能数据。
②应用发现跟踪诊断产品(后端产品)
该产品探针需安装在客户后端的服务器应用内,并与其一同运行。客户后端服务器所处的内网环境是通过防火墙等安全设备及网络设备与前端互联网用户做了有效隔离。因此,该产品本身仅面向客户,不直接面向客户的终端用户,该产品业务涉及的相关主体仅包括客户和发行人。
基于上述,该产品无论是SaaS部署方式,还是本地化部署方式,均不涉及终端用户,且未采集终端用户的个人信息,无需单独获得终端用户授权。
(2)发行人已依据服务合同获得客户必要的授权,无需另行获得客户其他授权
对于本地化部署方式的真实用户监测产品(前端产品)及应用发现跟踪诊断产品(后端产品),相关应用性能数据回传至客户自己的服务器进行存储和分析,发行人在整个过程中均无法获取、使用及留存包括客户应用性能数据在内的任何客户数据,不涉及相关客户授权情形。
对于SaaS部署方式的真实用户监测产品(前端产品)及应用发现跟踪诊断产品(后端产品),应用性能数据会回传至发行人的服务器中进行数据的存储及分析,发行人与客户为实现应用性能监测目的签署的相关合同中均已对发行人该等监测业务开展的方式、内容、范围等情形作出约定,客户对该等情形系明知或应知,发行人在合同履行过程中亦严格遵守该等约定。同时,客户为实现合同目的获取发行人提供的被动式监测服务行为本身即包含许可及授权发行人获取和使用其应用性能数据的意思表示,发行人已依据服务合同获得必要的授权,无需另行获得其他授权。
3、若发行人的产品探针程序植入的APP应用、网页和服务器存在相关违法违规行为,发行人无需就其提供的探针程序承担相关法律责任,对发行人亦不存在重大不利影响
《网络安全法》等现行法律、法规、规范性文件主要对直接面向最终用户的网络服务提供者或个人信息控制者(一般即为 APP、网站提供者)不得违法获取个人信息、商业秘密作出规定并规定应承担的法律责任。
发行人作为其客户的第三方插件提供商,并非上述法律法规主要规范的网络服务提供者或个人信息控制者,并且将产品探针程序交付给客户后,即不再具有对于上述探针程序的修改、使用等权限,是否嵌入探针程序、是否启用探针程序、何时启用探针程序、采集何种性能数据、采集后性能数据回传到何处均由客户根据自身需求自行决定。即发行人向客户交付产品后即不再具有对相关产品的控制权及使用权,对于客户自身可能存在的相关违法违规行为亦无直接因果关系。因此除下述情形外,发行人无需就客户相关违法违规行为承担责任:
需承担责 具体说明 发行人是否可能涉及
任的情形
《刑法》(强制性法律法规)
第三方插件提供商协助其客户从事
共同犯罪 《刑法》253条规定的侵犯个人信息 不涉及,发行人相关探针程序不具备获
或作为从 罪或《反不正当竞争法》规定的侵犯 取个人信息或商业秘密的功能,且发行
犯 商业秘密等违法行为的,则可能被认 人亦不存在协助客户从事相关违法活
定为实施共同犯罪或被认定为从犯, 动的行为
需承担相应法律责任。
《信息安全 技术个人信息安全规范》(推荐性国家标准,不具备法律强制力)
不涉及
(1)发行人相关探针程序不具备获取
第三方插件提供商提供的插件本身即 个人信息的功能,客户亦不与发行人共
具有获取个人信息的功能,则依据《信
息安全技术个人信息安全规范》9.6 享其获得的个人信息,发行人无法获得
条,其被视为共同个人信息控制者, 或控制任何个人信息,发行人不属于共
被视为共 需与个人信息控制者(即客户)约定 同个人信息控制者。
(2)即使第三方插件提供商被认定为
同个人信 分别应承担的权利义务,在客户存在
息控制者 违法违规行为时可能依约定需要承担 共同个人信息控制者,亦需由个人信息
相应法律责任。但是,个人信息控制 控制者(即其客户)向终端用户告知第
者未向终端用户告知第三方身份及其 三方身份及其与第三方间责任承担约
定,否则个人信息控制者应承担因第三
与第三方间责任承担约定的,应承担 方引起的个人信息安全责任。发行人与
因第三方引起的个人信息安全责任。
客户签署的合同中不存在应由发行人
在涉及终端用户个人信息安全方面承
担责任的约定。
注:《信息安全技术个人信息安全规范》系推荐性国家标准,不属于《中华人民共和国标准化法实施条例》规定的食品、药品等国家需要控制的重要产品的强制性标准,不具备法律强制力。
由上可知,发行人作为第三方插件提供商,其提供的相关探针程序不具备获取个人信息或商业秘密的功能,客户亦无法通过发行人的产品或服务从事侵犯个人信息的行为;发行人并非《网络安全法》《信息安全技术个人信息安全规范》等文件主要规范的网络服务提供者、个人信息控制者或共同个人信息控制者;且发行人亦不存在协助客户从事违法活动的行为,不涉及共同犯罪或作为从犯的情形。故对于发行人客户自身可能存在的违法行为,发行人无需就其提供的探针程序承担相关法律责任,对发行人亦不存在潜在重大不利影响。
综上,经核查,本所律师认为:
发行人在被动式监测业务开展过程中不存在违法违规行为;发行人被动式监测业务仅采集应用性能数据,未采集终端用户的个人信息或商业秘密,若发行人的产品探针程序植入的APP应用、网页和服务器存在违法违规行为,发行人无需就其提供的探针程序承担相关法律责任,对发行人亦不存在潜在重大不利影响。
(三)SaaS模式及其他模式下,发行人是否违反协议规定,是否对第三方商业秘密予以充分有效保护
根据上述被动式产品业务开展过程中的表述,无论是SaaS模式还是本地化部署模式,业务开展过程中均只涉及应用性能数据,不涉及第三方商业秘密。在本地化部署模式下,采集的性能数据由客户进行储存,发行人无法获取这些数据;在SaaS模式下,数据存储在发行人服务器内,该等数据仅为性能数据。
为保证客户的合法权益,发行人已建立和实施了完善的信息安全管理体系,数据安全保障措施已满足ISO 27001信息安全管理要求,并已获得相关认证。对于SaaS模式下客户回传的性能信息的传输及存储过程采取了如下技术防护措施:
涉及环节 采取的技术防护措施
数据混淆:对数据标题进行编码混淆,确保数据的机密性。
传输环节
通道加密:采用可靠的数据传输方式,启用SSL(Secure SocketsLayer 安全
套接层),对传输通道进行加密。
完整性校验:采用完整性校验算法,确保数据的完整性和可用性。
数据封装:数据封装能够尽可能屏蔽内部的具体细节,避免受到外界的干扰和
误用,从而确保了数据安全。数据封装主要有两种方法:a.依据面向对象编程
中的概念,把数据和操作数据的函数捆绑封装;b.封装数据处理引擎,避免内
部系统或者外部系统都直接访问源数据库,或者在遭受攻击时数据库服务器信
存储环节 息直接泄露。
备份及恢复:应用了双数据中心技术,将数据在两个不同的机房内互为备份。
同时,发行人的数据平台使用自研的文件系统BRFS,具备三副本备份功能,
为客户提供完备的数据备份和恢复机制来保障数据的可用性和完整性。
在发行人与客户签署的业务合同中,双方就发行人所开展的监测业务做出明确约定,具体包括服务内容、价格及结算方式、双方权利义务、违约责任、保密条款、知识产权、合同期限、争议解决、技术标准等条款。发行人按照合同约定向客户提供应用性能管理服务,所采集的数据仅为应用性能数据,不涉及商业秘密或个人信息。
综上,经核查,本所律师认为:SaaS 模式及其他模式下,发行人不存在违反协议规定的情形,未涉及第三方的商业秘密,不存在纠纷或潜在纠纷。
《问询函》问题6.3
请发行人进一步说明:公司海外会员招募、运营、管理、奖励及付款是否符合境内外相关规定,相关争议解决方式与法律适用如何,是否存在潜在不利影响,如存在,请进行风险揭示。
另请发行人律师核查并发表明确意见。
答复:
(一)公司海外会员招募、运营、管理、奖励及付款是否符合境内外相关规定
报告期内,发行人主要通过招募拥有海外监测节点资源的境内主体作为国外直付会员,并与该等国外直付会员合作开展海外监测业务。报告期内,国外直付会员主要有临沂超钱网络服务有限公司、临沂市挂宝网络科技有限公司、太原嘉航科技有限公司、泰安市泰山区百里溪电脑服务中心、北京盈嘉双维文化传播有限公司、鄄城县花小生网络服务中心、巨野县董官屯镇三郎网络服务中心、桂林辰嘉景腾网络科技有限公司、北京急速狮子网络工作室等境内企业。
公司国外直付会员的招募、运营、管理、奖励及付款的主要情况如下:
发行人主要通过在现有会员中挖掘具有海外资源的会员,将其发展为
招募 国外直付会员,或者通过官网、论坛途径发放招募信息及会员相互推
荐等方式进行招募。
运营管理 发行人主要通过电话、QQ方式与相关国外直付会员直接联系,沟通
付款等相关事宜,与此同时也设有QQ群便于集中日常管理。
奖励及付款 通过境内银行转账的方式支付会员费用
如前所述,发行人招募的国外直付会员为境内主体,发行人对该等会员的招募及合同签署、运营管理、奖励及付款等行为均发生于境内,并未与境外主体发生直接交易。发行人海外会员招募、运营、管理、奖励及付款适用境内法律法规,不存在违反境内外相关规定的情形。
(二)相关争议解决方式与法律适用如何,是否存在潜在不利影响
根据发行人与会员签订的服务合同,如合同履行过程中发生争议,双方应本着友好协商精神,共同商议有关事项,如果协商不成,应将争议提交北京仲裁委员会仲裁解决。
会员注册账户时需点击同意的用户协议亦约定,该协议适用中华人民共和国法律;如双方就本协议内容或其执行发生任何争议,双方应尽量友好协商解决,协商不成时,任何一方均可提交北京仲裁委员会仲裁,其仲裁裁决是终局的。
此外,上述用户协议中,发行人已经明确约定,会员在使用发行人提供的监测软件时,不得有违反法律、危害网络安全或损害第三方合法权益的行为,否则由此产生的后果均由会员自己承担,发行人对会员不承担任何责任。
综上,发行人已与相关会员约定境内仲裁机构北京仲裁委员会作为争议解决机构并适用中国法律,并约定不承担会员违反法律、危害网络安全或损害第三方合法权益的行为导致的任何责任,采取了必要的风险隔离措施,不存在潜在不利影响。
综上,经核查,本所律师认为:
1、公司海外会员招募、运营、管理、奖励及付款适用境内法律法规,不存在违反境内外相关规定的情形。
2、发行人已与相关会员约定境内仲裁机构北京仲裁委员会作为争议解决机构并适用中国法律,并约定不承担会员违反法律、危害网络安全或损害第三方合法权益的行为导致的任何责任,采取了必要的风险隔离措施,不存在潜在不利影响。
《问询函》问题6.7
请发行人说明:(1)疫情对发行人近期生产经营和财务状况的影响程度,包括具体影响面、停工及开工复工程度、日常订单或重大合同的履行是否存在障碍、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化;(2)如疫情对发行人有较大或重大影响,该影响是否为暂时性或阶段性,是否已采取必要的解决措施,未来期间是否能够逆转并恢复正常状态,是否会对全年经营业绩情况产生重大负面影响,对发行人持续经营能力及发行条件是否有重大不利影响;(3)请在重大事项提示中补充披露上述重大信息,并提供2020年一季度经审阅财务信息。
请保荐机构、发行人律师、申报会计师核查上述事项,说明判断依据和结论,并发表明确意见。
答复:
(一)疫情对发行人近期生产经营和财务状况的影响程度,包括具体影响面、停工及开工复工程度、日常订单或重大合同的履行是否存在障碍、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化
1、具体影响面
公司主营业务为应用性能管理(APM),属软件和信息技术服务业,非受疫情直接影响的行业,但由于疫情导致延期复工,公司及其客户、供应商的生产经营受到一定影响,具体情况如下:
(1)销售方面
由于新冠疫情导致春节假期后发行人客户延期复工及交替复工,加上复工后仍存在交通管制及隔离措施等限制,客户制定采购方案、询价、确定供应商、合同签署、POC测试、项目实施部署和验收等活动均被延缓,同时客户付款流程也存在滞后的现象。公司主要客户不在湖北及境外地区,随着下游客户复工及交通管制、隔离措施的逐步解除,疫情对公司销售的影响将逐步减弱。
(2)采购方面
公司对外采购主要是会员完成任务产生的监测费用、为满足公司日常经营管理所需的网络运营成本、电子设备、办公设备、耗材等。会员监测任务系通过在会员终端设备(手机、电脑)上运行博睿监测软件,进而通过该软件自动开展数据采集工作,上述数据采集活动、会员管理活动等均为线上模式,受疫情影响较小。网络资源采购主要为购买服务器托管、虚拟机租用服务,疫情期间原服务器托管商及虚拟机服务提供商可继续正常向公司提供相关服务,公司在疫情期间除原合同续约外未大量新增或变动采购需求,服务器托管、虚拟机租用服务未受影响。电子设备、办公设备及耗材等市场供应充足,通过线上采购方式亦可以满足公司需求。综合以上,公司采购方面受疫情影响较小。
(3)生产方面
公司属于软件及信息技术服务业,不涉及生产环节。
(4)研发方面
疫情期间,公司遵守所在地区关于疫情防控的相关规定,采取员工居家办公的模式,研发人员可在家远程访问公司软件开发环境,同时通过企业微信、视频会议系统等方式沟通交流,并远程进行项目研发。随着各地疫情防控相关规定的调整,公司于2020年2月陆续恢复现场办公,公司研发活动受疫情影响较小。
2、停工及开工复工程度
公司于2020年1月24日春节休假,原定于2020年1月31日复工,春节假期后,公司受疫情及当地政府管控措施影响,复工时间延后。公司于2月上旬开始部分复工,开工率逐步上升;2月下旬,通过现场及远程方式,公司的复工率达到70%;3月9日以后,除武汉研发中心外,公司已实现全员复工。武汉研发中心员工采取居家办公方式开展工作,伴随武汉封城结束,武汉研发中心开始恢复办公。
公司制定了严密的防控工作方案和复工实施方案,落实全体员工信息排查、疫情宣传教育,做好办公室消毒和防控物资储备。截至本《补充法律意见书》出具之日,公司无员工被确诊为新型冠状病毒肺炎,相关防控措施保障复工平稳有序进行。
3、日常订单或重大合同的履行是否存在障碍
由于疫情影响,复工时间延后,同时复工后受疫情防控要求以及公司出于安全考虑人员流动受到一定控制,在订单或合同履行时存在公司人员无法进入客户办公场所进行部署安装调试的问题,导致产品交付、验收有所延迟,但公司与客户一直保持良好沟通,公司未发生因订单未能及时交付、履行导致诉讼纠纷的情形。
随着国内疫情逐步得到控制,影响产品部署安装调试、交付和验收的相关履行障碍将得到消除。公司将积极在后续期间加快部署安装进度,保证后续交付计划落实,保障日常订单及重大合同的后续履行。
4、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化
疫情发生于2020年春节前后,对一季度收入产生一定程度的影响,公司一季度收入、净利润等较上年同期有所减少,具体如下表所示:
单位:万元
项 目 2020年一季度 上年同期 同期对比
营业收入 2,866.35 3,115.01 -7.98%
净利润 353.43 722.87 -51.11%
如上表所示,受疫情影响,公司2020年一季度营业收入及净利润较上年同期分别下降7.98%、51.11%。伴随着国内疫情的缓和,2020年上半年公司营业收入预计可恢复至去年同期水平,营业收入预计在6,800万元至7,880万元之间,较去年同期变动幅度为-5.05%至10.03%。此外,由于公司收入具有一定的季节性,下半年特别是第四季度收入占比较高,根据新冠肺炎疫情目前的形势,在疫情不发生反复的情况下,预计公司未来相关经营指标将不会发生重大变化。
(二)如疫情对发行人有较大或重大影响,该影响是否为暂时性或阶段性,是否已采取必要的解决措施,未来期间是否能够逆转并恢复正常状态,是否会对全年经营业绩情况产生重大负面影响,对发行人持续经营能力及发行条件是否有重大不利影响
如本问题回复之“(一)疫情对发行人近期生产经营和财务状况的影响程度,包括具体影响面、停工及开工复工程度、日常订单或重大合同的履行是否存在障碍、预计一季度及上半年产能产量销量等业务指标情况及是否发生重大变化”所述,虽然疫情对公司短期经营产生一定影响,但总体而言影响可控,不构成重大影响,且仅为暂时性的影响。
公司采取积极措施应对疫情,公司高度重视并成立了疫情防控工作组,采取了延迟复工、外地返回人员隔离观察十四天、防疫物资储备、内部防疫消毒、防控宣传、扩大工位间隔、现场办公与远程办公相结合等措施,公司防疫物资准备充足,目前公司未发现感染病例。同时,公司通过扩充视频会议系统来提升远程办公能力,梳理和优化公司内部管理流程,开展线上员工培训活动,利用疫情期间进行流程优化和能力积淀,为后续更好的发展奠定基础。
此外,公司积极增强线上营销推广力度,开设直播课程,并邀请客户参加线上交流活动;对于软件销售业务,公司制作软件实施指导手册并优化部署方案,针对无法到现场部署实施的客户,探索远程指导客户自行安装部署的模式;同时积极加强对在线教育、线上政务、在线医疗等疫情期间重点保障行业客户,以及游戏、视频、电商等疫情期间活跃行业客户的拓展,以给公司带来更广阔的发展空间。
综合以上,随着疫情的好转,未来期间公司能够恢复正常状态,不会对全年经营业绩情况产生重大负面影响,亦不会对公司持续经营能力及发行条件构成重大不利影响。
(三)核查程序
本所律师履行了包括但不限于如下核查工作:
1、与公司管理层进行访谈,了解新冠疫情对公司生产经营的影响情况及公司的应对措施;
2、查阅发行人所在地政府部门关于企业复工的相关规定,获取发行人下达复工通知的相关资料;
3、实地查看公司对疫情采取的防范措施;
4、获取发行人2020年第一季度审阅报告及半年度业绩预测数据,了解与公司产品相关市场的发展趋势,分析复核公司经营业绩预计情况的准确性、充分性。
(四)核查意见
经核查,本所律师认为:
1、新冠疫情对发行人近期生产经营和财务状况造成一定影响,公司已全面复工,日常订单或重大合同履行不存在障碍;
2、疫情对发行人的生产经营不构成重大影响,仅为暂时性影响,发行人已采取必要的解决措施,不会对全年经营业绩产生重大负面影响,对公司持续经营能力及发行条件无重大不利影响。
3、发行人已在招股说明书重大事项提示中补充披露相关重大信息,并已提供2020年一季度经审阅财务信息。
(以下无正文)
查看公告原文
首页
微信公众号
证券之星APP
