北京市天元律师事务所
关于北京海天瑞声科技股份有限公司
补充法律意见书(二)
北京市天元律师事务所
北京市西城区金融大街 35 号
国际企业大厦 A 座 509 单元
邮编:100033
北京市天元律师事务所
关于北京海天瑞声科技股份有限公司
补充法律意见书(二)
京天股字(2023)第424-7号
致:北京海天瑞声科技股份有限公司(以下简称“发行人”或“公司”):
北京市天元律师事务所(以下简称“本所”)接受发行人委托,担任发行人2023
年度向特定对象发行A股股票(以下简称“本次发行”)的专项法律顾问,本所已为
发行人本次发行出具了京天股字(2023)第424号《北京市天元律师事务所关于北京
海天瑞声科技股份有限公司2023年度向特定对象发行A股股票的法律意见书》(以下
简称“《法律意见书》”)、京天股字(2023)第424-1号《北京市天元律师事务所
关于北京海天瑞声科技股份有限公司2023年度向特定对象发行A股股票的律师工作报
告》(以下简称“《律师工作报告》”)、京天股字(2023)第424-4号《北京市天
元律师事务所关于北京海天瑞声科技股份有限公司2023年度向特定对象发行A股股票
的补充法律意见书(一)》等法律文件,并已作为法定文件随发行人本次发行的其他
申请材料一起上报至上海证券交易所(以下简称“上交所”)。
上交所针对发行人本次发行申请文件出具了上证科审(再融资)[2023]206号《关
于北京海天瑞声科技股份有限公司向特定对象发行股票申请文件的审核问询函》(以
下简称“《问询函》”)。本所律师现就《问询函》要求发行人律师补充核查的有关
问题出具本补充法律意见书。本所律师在《法律意见书》中所作的声明、承诺同样适
用于本补充法律意见书。如无特殊说明,本补充法律意见书使用的简称与《律师工作
报告》使用的简称含义相同。本补充法律意见书仅供发行人为本次发行之目的使用,
不得被任何人用于其他任何目的。本所在此同意,发行人可以将本补充法律意见书作
为本次发行申请所必备的法定文件,随其他申请材料一起上报上交所。
基于上述,本所律师依据相关法律法规规定,按照律师行业公认的业务标准、道
德规范和勤勉尽责精神,出具如下补充法律意见:
一、第 5 项问题:关于数据合规性
“根据申报材料及公开信息,公司所在的细分领域为 AI 基础数据服务领域。2022
年 9 月,国家互联网信息办公室发布实施《数据出境安全评估办法》,对数据出境安
全评估的具体要求、评估程序、监督管理制度、法律责任以及合规整改要求进行规定:
暂行办法》,针对生成式人工智能产品的预训练数据、优化训练数据来源等的合法性
进行了规定。
请发行人说明:(1)上述规定要求对于发行人生产经营、业务发展的影响及发
行人合规情况,说明是否存在因审批程序进度或整改要求影响现有业务及募投项目经
营的情形,对发行人相关影响的风险提示是否充分;(2)结合发行人获取及使用个
人信息的具体流程,说明发行人数据收集及使用是否符合《数据安全法》《个人信息
保护法》等规定要求,是否出现过个人信息隐私泄露事件,是否存在相关行政处罚、
诉讼或潜在纠纷。
请保荐机构及发行人律师核查并发表明确意见。”
(一)上述规定要求对于发行人生产经营、业务发展的影响及发行人合规情况,
说明是否存在因审批程序进度或整改要求影响现有业务及募投项目经营的情形,对发
行人相关影响的风险提示是否充分
(1)《数据出境安全评估办法》(以下简称“《评估办法》”)对于发行人生
产经营、业务发展的影响较小
①发行人作为数据处理者涉及《评估办法》规定的情形之一,向境外提供在中国
境内运营中收集和产生的个人信息需要履行数据出境安全评估申报程序
根据《评估办法》第二条,“数据处理者向境外提供在中华人民共和国境内运营
中收集和产生的重要数据和个人信息的安全评估,适用本办法。”
根据《评估办法》第四条,“数据处理者向境外提供数据,有下列情形之一的,
应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处
理者向境外提供重要数据;(二)关键信息基础设施运营者和处理 100 万人以上个人
信息的数据处理者向境外提供个人信息;(三)自上年 1 月 1 日起累计向境外提供 10
万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息;(四)国
家网信部门规定的其他需要申报数据出境安全评估的情形。”
发行人作为数据处理者涉及上述“(三)自上年 1 月 1 日起累计向境外提供 10 万
人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息”的情形。因
此,发行人向境外提供在中国境内运营中收集和产生的个人信息的,应向国家网信部
门申报数据出境安全评估。
②《评估办法》的实施阶段性影响境外客户部分境外业务的需求,但对于发行人
生产经营、业务开展的影响较小
发行人境外业务主要包括以下三种类型:
A、发行人境外业务中计算机视觉方向中的手写体业务、光学字符识别业务以及
被采集对象为非自然人的物体或场景类业务,智能语音方向中的语音识别转写类业
务,自然语言中的发音词典类业务,上述业务类型涉及的数据不属于《评估办法》所
规定的“个人信息或者重要数据”,因此不属于《评估办法》的适用范围。
B、发行人境外业务中部分原料数据来源为境外采集,主要为外国人语音等个人
信息数据,发行人进行标注、整理等处理后再将原始数据(如需)和标注结果传输至
境外,发行人并不在中国境内运营过程中收集产生个人信息或重要数据,该业务类型
涉及的数据不属于《评估办法》所规定的“在中华人民共和国境内运营中收集和产生
的重要数据和个人信息”,因此不属于《评估办法》的适用范围。
C、发行人其他境外业务,涉及出境数据为在中国境内运营中收集产生的个人语
音等涉及个人信息的数据集,属于《评估办法》的适用范围。《评估办法》于 2022
年 9 月 1 日施行后,该类业务发行人应经国家网信部门安全评估审核通过后方能将数
据提供至境外。
《评估办法》施行后,符合规定情形的数据处理者向境外提供涉及境内运营中收
集产生的个人信息的数据集应履行数据出境安全评估申报程序,受申报文件准备、申
报程序及审核周期的影响,同时出于合规性及审慎性考虑,发行人与境外客户就该部
分业务普遍处于观望状态,同时叠加境外客户阶段性裁员或业务方向调整,导致其预
算释放进度放缓,从而减少了该部分业务需求,发行人与境外客户就该类业务的联系
洽谈及预期订单相应减少。
目前数据出境安全评估申报审核政策已明晰,预计境外客户也将逐渐根据业务需
求安排采购该部分业务数据集,且客户要求订单交付时间也将相应考虑审核周期进行
调整,发行人结合境外客户订单需求情况已申报或将增加申报数据出境安全评估,发
行人对数据出境安全评估审核要求逐渐熟悉,申报材料质量将进一步完善,申报材料
准备时间更为可控。
《评估办法》自 2022 年 9 月 1 日施行,根据发行人 2021 年及 2022 年 1-8 月的
境外收入业务构成情况,2021 年及 2022 年 1-8 月,发行人属于《评估办法》限制范
围内的境外业务收入总计占发行人 2021 年及 2022 年 1-8 月的整体业务收入总额的比
例为 4.57%,因此对发行人未来整体生产经营、业务发展的影响较小。
综上,发行人作为数据处理者具备《评估办法》规定的情形之一,向境外提供境
内运营中收集产生的涉及个人信息的数据集需要申报数据出境安全评估;
《评估办法》
的实施对发行人的生产经营、业务开展产生的影响较小。
(2)《生成式人工智能服务管理暂行办法》对于发行人生产经营、业务发展无
不利影响
①发行人不属于《生成式人工智能服务管理暂行办法》
(以下简称“《管理办法》”)
中规定的生成式人工智能服务提供者,不直接适用其中对“提供者”的具体要求
根据《管理办法》第二条,“利用生成式人工智能技术向中华人民共和国境内公
众提供生成文本、图片、音频、视频等内容的服务(以下称生成式人工智能服务),
适用本办法。”
发行人的主营业务为 AI 训练数据的研发设计、生产及销售业务,数据种类涵盖
智能语音(语音识别、语音合成等)、计算机视觉、自然语言等领域,所销售的训练
数据主要由下游客户用于数据预训练、优化训练等数据训练使用。
截至目前,发行人业务并不涉及《管理办法》所规定的“利用生成式人工智能技
术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务”, 因
此发行人不属于生成式人工智能服务提供者,不直接适用《管理办法》中对“提供者”
的具体要求。
②发行人向相关客户提供的训练数据产品满足《管理办法》对训练数据的相关要
求
根据《管理办法》第七条,“生成式人工智能服务提供者(指利用生成式人工智
能技术提供生成式人工智能服务(包括通过提供可编程接口等方式提供生成式人工智
能服务)的组织、个人)应当依法开展预训练、优化训练等训练数据处理活动,遵守
以下规定:
(一)使用具有合法来源的数据和基础模型;
(二)涉及知识产权的,不得侵害他人依法享有的知识产权;
(三)涉及个人信息的,应当取得个人同意或者符合法律、行政法规规定的其他
情形;
(四)采取有效措施提高训练数据质量,增强训练数据的真实性、准确性、客观
性、多样性;
(五)《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中
华人民共和国个人信息保护法》等法律、行政法规的其他有关规定和有关主管部门的
相关监管要求。”
发行人涉及向《管理办法》规定的“提供者”销售训练数据用于其算法预训练、
优化训练。发行人业务经营过程中注重遵守数据安全、网络安全、个人信息保护相关
法律法规,涉及个人信息采集的已取得个人或法定监护人同意,相关数据产品由发行
人或客户根据约定享有知识产权,不存在侵犯他人的知识产权的情形;个人数据采集
后直接上传至发行人一体化数据处理技术支撑平台,发行人通过采取数据安全技术手
段能够保障采集数据的真实性、准确性;同时,数据的客观性和多样性是客户对训练
数据普遍存在的需求,发行人在训练数据的采集和处理中严格规范筛选数据来源,加
强产品和服务的质量控制,也保证实现了数据的客观性和多样性。因此发行人向生成
式人工智能服务提供者销售的训练数据产品或提供的定制服务符合上述《管理办法》
第七条对“预训练数据、优化训练数据”的具体要求。
综上,发行人不属于《管理办法》规定的生成式人工智能服务提供者,不直接适
用其中对“提供者”的具体要求,发行人向相关客户提供的训练数据产品满足《管理
办法》对训练数据的相关要求,《管理办法》对于发行人生产经营、业务发展无不利
影响。同时《管理办法》的实施使得训练数据行业尤其是下游客户对于训练数据的合
规性及质量等的重视程度进一步加强,将有利于发行人业务的开展。
(3)发行人合规情况
发行人一直注重遵守数据安全相关法律法规,自 2022 年 9 月 1 日《评估办法》
施行后,受申报文件准备、申报程序及审核周期的影响,同时出于合规性及审慎性考
虑,发行人及境外客户对根据《评估办法》应履行数据出境安全评估申报程序的该类
境外业务处于观望状态,境外客户该部分业务需求以及相应发行人该部分业务开展相
应减少。就发行人和境外客户经沟通拟开展的该类业务,发行人已进行或将进行数据
出境安全评估申报,境外客户相应予以配合。
经核查发行人 2022 年 9 月 1 日后新签署的境外业务合同及其履行交付情况,发
行人不存在新签合同涉及在中国境内运营中收集和产生的个人信息或重要数据出境
的情形;发行人已就拟开展的需要履行数据出境安全评估申报程序的交易向国家互联
网信息办公室进行申报并处于审核过程中,发行人不存在根据《评估办法》应进行数
据出境安全评估申报而未进行申报的情形。
根 据 发 行 人 确 认 , 并 经 查 询 国 家 企 业 信 用 信 息 公 示 系 统
(https://www.gsxt.gov.cn/index.html)、信用中国(https://www.creditchina.gov.cn/)、
国家互联网信息办公室网站(http://www.cac.gov.cn/),发行人不存在因违反《评估办
法》《管理办法》等数据安全相关法律法规而受到处罚的情况。
综上,本所律师认为,发行人作为数据处理者涉及《评估办法》规定的情形之一,
部分境外业务涉及向境外提供境内运营中收集产生的个人信息需要申报数据出境安
全评估;该部分境外业务因《评估办法》的实施受到阶段性影响,属于《评估办法》
限制范围内的境外业务的收入占比较小,《评估办法》对发行人生产经营、业务发展
的影响较小;发行人不属于《管理办法》中规定的生成式人工智能服务提供者,不直
接适用于《管理办法》中对“提供者”的具体要求,发行人向相关客户提供的训练数据
产品满足《管理办法》对训练数据的相关要求,《管理办法》对于发行人生产经营、
业务发展无不利影响;发行人已就拟开展的需要履行数据出境安全评估申报程序的交
易向国家互联网信息办公室进行申报并处于审核过程中,发行人不存在根据《评估办
法》应进行数据出境安全评估申报而未进行申报的情形,不存在因违反《评估办法》
《管理办法》等而受到处罚的情况。
形
发行人作为数据处理者具备《评估办法》规定的情形之一,向境外提供境内运营
中收集产生的涉及个人信息的数据集需要履行数据出境安全评估申报的审批程序。发
行人不属于《管理办法》中规定的生成式人工智能服务提供者,不直接适用《管理办
法》中对“提供者”的具体要求,不涉及相应审批程序或整改要求。
数据出境安全评估申报审批程序对发行人现有业务及募投项目经营的影响具体
如下:
(1)发行人就拟开展交易申报的数据出境安全评估正在审理中
因拟向某境外客户销售语音产品/数据集涉及境内运营中收集产生的个人信息数
据出境,发行人已通过北京市互联网信息办公室向国家互联网信息办公室申报上述数
据出境安全评估,并于 2023 年 7 月 12 日由国家互联网信息办公室受理,目前正在审
理过程中,期间已按照国家互联网信息办公室要求提交补充说明或文件。
(2)上述数据出境安全评估审批过程中,国家互联网信息办公室未提出整改要
求
发行人在申报上述数据出境安全评估的过程中,仅被国家互联网信息办公室要求
提供补充说明或文件等,不存在被要求进行整改的情形。
(3)数据出境安全评估审批程序进度对现有业务的影响较小
涉及境内运营中收集产生个人信息的数据集出境的部分境外业务属于《评估办
法》限制范围,发行人开展该类业务需通过数据出境安全评估审核后方可交付出境。
如本补充法律意见书第“(一)、1、(1)、②”部分所述,从发行人 2021 年度、
较小。
另外,《评估办法》实施后,受申报文件准备、申报程序及审核周期的影响,同
时出于合规性及审慎性考虑,发行人及存在该类业务需求的境外客户普遍处于观望状
态,同时叠加境外客户阶段性裁员或业务方向调整,导致其预算释放进度放缓,从而
境外客户该部分业务需求以及相应发行人该部分业务开展也相应减少。目前数据出境
安全评估申报审核政策已明晰,预计境外客户将逐渐根据业务需求安排采购该部分业
务数据集,且客户要求订单交付时间也将相应考虑审核周期进行调整,发行人已结合
境外客户订单需求情况申报或将增加申报数据出境安全评估,且发行人对数据出境安
全评估审核要求逐渐熟悉,申报材料质量进一步完善,申报材料准备时间更为可控。
因此,数据出境安全评估审核对发行人现有业务的影响较小。
(4)按照当前募集资金投资项目的经营规划,数据出境安全评估审批程序进度
对募投项目不产生影响
本次发行的募集资金投资项目为 AI 大模型训练数据集建设项目、数据生产垂直
大模型研发项目。
①AI 大模型训练数据集建设项目系生产用于通用型及各种垂直领域大模型训练
的海量、高品质数据集项目的数据集产品,具体可分为三大类:
A、通用及特定垂直领域的大语言模型训练数据集,包括但不限于:中文大模型
预训练语料数据集(含通用场景、特定场景、对话场景、指令集等),多语言大模型
预训练语料数据集(含通用场景、对话场景、指令集等)。
B、多模态大模型训练数据集:可应用于多语言图文大模型训练、多模态数字人
训练、多语种语音大模型训练、全场景自动驾驶大模型训练等场景的跨模态数据集。
C、大模型评测数据集:可应用于大模型的能力、任务、指标等方面的评测。
上述训练数据集涉及部分在《评估办法》限定范围内的涉及境内运营中收集产生
的个人信息的中文数据集,系主要为解决境内大模型训练中优质中文数据集不足的问
题,发行人预计该类数据集主要向境内头部人工智能大模型科技企业销售,不涉及数
据出境因此无需办理数据出境安全评估。其他多语种语音数据集、多语种多模态数据
集等,主要涉及境外采集的外国人个人信息数据,不涉及境内运营中收集产生的个人
信息,以及其他场景类、评测类等数据集不涉及个人信息或重要数据,根据《评估办
法》规定无需办理数据出境安全评估。
目前,AI 大模型训练数据集建设项目处于已完成前期调研及可行性论证阶段,
未涉及数据出境情形,按照上述当前经营规划,数据出境安全评估申报审批程序对募
集资金投资项目不造成影响。如后续项目开展过程中相关数据集确有需销售至境外应
履行数据出境安全评估申报的情形的,发行人将按照《评估办法》的规定,切实履行
数据出境安全评估申报程序。
②数据生产垂直大模型研发项目系研发发行人数据生产垂直大模型,并以发行人
数据生产垂直大模型为核心,升级一体化数据处理技术支撑平台,不涉及向客户销售
及数据出境的情况,无需申报数据出境安全评估,因此不会受到数据出境安全评估审
批程序的影响。
因此,按照当前募集资金投资项目的经营规划,数据出境安全评估审批程序进度
对发行人募集资金投资项目的经营不产生影响;如后续项目开展过程中相关数据集确
有需销售至境外应履行数据出境安全评估申报的情形的,发行人将按照《评估办法》
的规定,切实履行数据出境安全评估申报程序。
综上,本所律师认为,发行人就拟进行交易已申报的数据出境安全评估事项目前
正在国家互联网信息办公室审核中,国家互联网信息办公室在审核过程中无要求发行
人整改的情形;数据出境安全评估申报审批程序进度对现有业务的影响较小,按照募
集资金投资项目当前经营规划对募集资金投资项目经营不产生影响;发行人不涉及根
据《管理办法》规定需要履行审批程序或进行整改的情形。
发行人已在《募集说明书》“第七节与本次发行相关的风险因素”就上述规定对
发行人相关影响风险提示如下:
“七、数据安全相关风险
公司主要从事训练数据的研发设计、生产及销售业务,所提供的产品和服务主要
以数据的形式体现。一方面,随着公司业务的快速发展和规模的持续扩张,原料数据
采集与数据加工的数量持续增长;另外一方面,包括《数据安全法》、《个人信息保
护法》、《生成式人工智能服务管理暂行办法》等在内的与数据安全、个人信息保护
相关的法律规章体系正逐步完善。公司如果未能按照法律规章或客户的更新要求及时
调整现行业务开展方式、公司的数据安全管理体系研发升级未能跟上业务发展的需
要、或客户未能遵守训练数据产品保护相关商业约定,则公司可能产生诉讼纠纷或面
临生产经营不符合法律规章的要求、训练数据产品被泄露、盗版等数据安全相关风险。
同时,《数据出境安全评估办法》等法律法规加强了对境内收集或产生的涉及个
人信息数据的跨境行为的规制。如果将来公司未能根据《数据出境安全评估办法》的
要求及时履行相应的安全评估申请程序或审批进度不达预期,公司开展的属于该办法
限定范围内的境外业务将受到一定程度的影响。”
综上,本所律师认为,发行人已在《募集说明书》中进行了充分的风险提示。
(二)结合发行人获取及使用个人信息的具体流程,说明发行人数据收集及使用
是否符合《数据安全法》《个人信息保护法》等规定要求,是否出现过个人信息隐私
泄露事件,是否存在相关行政处罚、诉讼或潜在纠纷
否符合《数据安全法》《个人信息保护法》等规定要求
(1)发行人获取及使用个人信息的具体流程
①根据客户项目需求确定需采集的个人信息的范围
发行人业务经营中涉及收集、使用的个人信息按照业务用途主要分为个人基本信
息、个人资格信息(辅助信息)和项目数据三类。其中:
A、个人基本信息用于项目管理、核查被采集人身份以及与其取得联系,主要包
括必要信息和选填信息两部分。必要信息为手机号码、姓名、性别、生日、年龄、所
在地(国家/省份/城市)等;选填信息为身份证号码、电子邮箱等。
B、个人资格信息(辅助信息)用于确认被采集人是否符合参与项目的资格,所
涉及的个人信息种类依不同项目需要而有所不同,例如,智能语音业务中,可能会收
集被采集人的语种/口音信息。个人资格信息为被采集人参与特定项目的必要信息。
C、项目数据为发行人生产的数据产品、数据服务成果的主体部分,用于向客户
交付,主要包括语音、人像、人物视频等。
发行人将结合客户项目需求按照最小化的原则收集必要的个人信息。
②发行人向个人信息主体告知相关事项并获得授权同意后自行收集个人信息,或
从原料数据采集供应商或客户获取数据
A、发行人经个人信息主体授权同意后自行收集个人信息
发行人收集个人信息的方式包括线上、线下两种,具体情况如下:
线上方式:被采集人通过发行人自行研发应用的终端人管理系统注册登录及参与
护政策》等文件,上述文件向被采集人明确告知授权内容、范围、期限、处理目的、
行使法定权利的方式和方法等事项。终端人管理系统也设置了授权许可管理模块,对
被采集人采集前的授权程序进行控制,被采集人明确进行授权同意,具体包括勾选并
同意《用户协议》《个人信息保护政策》以及以手写签名方式签署《授权书》,授权
同意后才能开始采集;涉及个人敏感信息的还会取得单独同意。
线下方式:对于需要线下进行数据采集的被采集人,发行人通过事先提供书面《授
权书》向其明确告知授权内容、范围、期限、数据处理目的等法律法规要求的必备信
息(其中包括个人敏感信息的提示),被采集人亲笔签署《授权书》表示同意后再开
始进行信息采集。发行人通过线下方式采集的,仍是通过使用发行人研发的技术、平
台、工具等进行数据采集。
被采集人如为未成年人,则由其法定监护人完成上述授权同意程序。
另外,发行人也在其网站公开了个人信息保护政策,以公开方式告知公众,并便
于公众查阅。根据个人信息保护政策,被采集人享有查询、更正、删除等权利,并公
布投诉联系方式;发行人收到投诉后将分析原因、积极与客户沟通、提出解决方案,
并及时将解决方案告知投诉人。
B、发行人从原料数据采集供应商获取数据、由客户自行提供数据
原料数据采集供应商按照发行人的采集要求寻找匹配的终端人员,组织终端人员
使用发行人研发的技术、平台、工具等进行数据采集。原料数据采集供应商的采集过
程和方式与发行人收集个人信息的过程和方式相同。发行人对原料数据采集供应商进
行规范管理,通过制定《数据安全管理制度》、与相关供应商签署数据处理协议和保
密协议以及在采集前对供应商进行培训等方式,明确要求供应商采集个人信息数据不
得侵犯第三方权益,规定保证数据来源合法及保密等相关责任。
发行人向客户提供数据转写、标注等纯加工定制服务时,是由客户向发行人提供
个人信息数据并委托发行人进行标注处理。客户仅向发行人提供语音、图像、视频等
业务数据,不提供涉及的个人基本信息。客户向发行人提供数据,主要通过加密传输
等方式提供,部分情形客户要求发行人委派人员在客户工作场所的工作平台上直接进
行加工。发行人不参与客户数据收集过程,仅经客户授权许可对数据进行加工。发行
人主要客户为阿里巴巴、三星、腾讯、微软等人工智能产业链上知名大型企业,该等
企业均制定有隐私政策等相关个人信息保护制度,重视业务经营中涉及的个人信息数
据来源和使用的合法性。
③将获取的个人信息上传至自主研发平台进行存储、处理
除特定项目需要外,大部分终端采集的个人数据通过发行人自行研发的采集软
件、工具直接上传至发行人一体化数据处理技术支撑平台进行存储及标注等处理,该
平台整合了采集、加工、质检环节所需的软件工具和模块,融入业务过程中的数据安
全管理需求,能够防范未经授权的个人私自对数据进行处理。
发行人对数据存储采取了严格的内部控制措施保障数据安全,避免发生数据泄露
等情形:个人基本信息数据和其他数据分开存储;数据加密、个人基本信息去标识化
处理;设置保存期限,按照客户协议约定及管理需要及时进行删除;访问权限、人员
设置及内部审批;定期对业务系统进行漏洞扫描,及时对业务系统漏洞进行修复;网
络环境中部署 IPS、IDS 等安全设备。
特定项目中,按照个别大客户要求,发行人向客户提供数据转写、标注等纯加工
定制服务时,发行人人员直接在客户的工作平台上对客户提供的个人数据进行标注处
理,并不留存相关数据。发行人该等客户为人工智能产业链上知名大型企业,该等企
业均重视个人信息保护事项,采用技术手段保障工作平台的安全性,能够保障数据安
全。
④将最终形成的数据集交付给客户
发行人在被采集人签署的授权声明或协议中约定的使用范围、期限、目的等限制
范围内使用个人信息,项目数据和个人资格信息(辅助信息)提供给客户用于训练数
据产品的算法模型,个人基本信息仅用于确定被采集人是否符合项目要求以及由发行
人留存数据采集记录以保障被采集人依法行使撤回授权、删除等个人信息权利。发行
人对数据传输采用加密方式以保护数据安全。发行人与客户的协议也约定相关个人信
息数据安全义务和责任。
⑤发行人已制定相关制度建立个人信息保护、数据安全管理规范和流程
发行人已制定《数据安全管理制度》《IT 安全管理制度》《存储服务器使用管
理制度》《网络安全管理制度》《数据备份制度》《数据分级分类指引》《应急响应
管理制度》《个人信息出境管理制度》等制度,建立了个人信息保护、数据安全管理
规范和流程。发行人设立数据保护官负责全面统筹个人信息数据保护制度的落实,已
建立针对各部门所持有的包含个人信息在内的各类数据类型的授权访问策略,定期开
展个人信息安全影响评估和合规审计,建立个人数据泄露等应急处理机制。
发行人已取得《信息系统安全等级保护备案证明》(证书编号:
理体系认证证书》(证书编号:01122IS20102R1M)等认证证明文件,证明发行人信
息安全管理体系符合相关等级和标准要求。
(2)发行人个人信息数据收集及使用符合《数据安全法》规定要求
《中华人民共和国数据安全法》(以下简称“《数据安全法》”)中涉及发行人
进行个人信息数据收集及使用的主要规定和发行人的符合情况如下:
个人信息收集及使用
法条序号 主要内容
方式是否符合规定
开展数据活动应当依照法律、行政法规的规定和国家标 符合
准的强制性要求,建立健全全流程数据安全管理制度, 发行人业务经营不涉
第二十七条
组织开展数据安全教育培训,采取相应的技术措施和其 及重要数据,但仍设置
他必要措施,保障数据安全。 数据保护官和管理机
重要数据的处理者应当设立数据安全负责人和管理机 构
构,落实数据安全保护责任。
开展数据处理活动应当加强风险监测,发现数据安全缺
陷、漏洞等风险时,应当立即采取补救措施;发生数据
第二十九条 符合
安全事件时,应当立即采取处置措施,按照规定及时告
知用户并向有关主管部门报告。
重要数据的处理者应当按照规定对其数据处理活动定
期开展风险评估,并向有关主管部门报送风险评估报
告。 发行人业务经营不涉
第三十条
风险评估报告应当包括处理的重要数据的种类、数量, 及重要数据,不适用
开展数据处理活动的情况,面临的数据安全风险及其应
对措施等。
关键信息基础设施的运营者在中华人民共和国境内运
营中收集和产生的重要数据的出境安全管理,适用《中 发行人不属于关键信
华人民共和国网络安全法》的规定;其他数据处理者在 息基础设施的运营者,
第三十一条
中华人民共和国境内运营中收集和产生的重要数据的 业务经营不涉及重要
出境安全管理办法,由国家网信部门会同国务院有关部 数据,不适用
门制定。
任何组织、个人收集数据,应当采取合法、正当的方式,
不得窃取或者以其他非法方式获取数据。
第三十二条 法律、行政法规对收集、使用数据的目的、范围有规定 符合
的,应当在法律、行政法规规定的目的和范围内收集、
使用数据。
经核查,发行人获取和使用个人信息符合《数据安全法》的相关要求。
(3)发行人个人信息数据收集及使用符合《个人信息保护法》规定要求
《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)中涉
及发行人进行个人信息数据收集及使用的主要规定和发行人的符合情况如下:
个人信息获
取及使用方
法条序号 主要内容
式是否符合
规定
处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误
第五条 符合
导、欺诈、胁迫等方式处理个人信息。
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接
相关,采取对个人权益影响最小的方式。
第六条 符合
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集
个人信息。
处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,
第七条 符合
明示处理的目的、方式和范围。
第九条 个人信息处理者应当对其个人信息处理活动负责,并采取必要措施 符合
个人信息获
取及使用方
法条序号 主要内容
式是否符合
规定
保障所处理的个人信息的安全。
任何组织、个人不得非法收集、使用、加工、传输他人个人信息,
第十条 不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安 符合
全、公共利益的个人信息处理活动。
符合下列情形之一的,个人信息处理者方可处理个人信息:
第十三条 (一)取得个人的同意; 符合
……
基于个人同意处理个人信息的,该同意应当由个人在充分知情的前
提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得
第十四条 个人单独同意或者书面同意的,从其规定。 符合
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,
应当重新取得个人同意。
基于个人同意处理个人信息的,个人有权撤回其同意。个人信息处
理者应当提供便捷的撤回同意的方式。
第十五条 符合
个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理
活动的效力。
个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的
语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)个人信息的处理目的、处理方式,处理的个人信息种类、保
存期限;
第十七条 符合
(三)个人行使本法规定权利的方式和程序;
(四)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
个人信息处理者通过制定个人信息处理规则的方式告知第一款规定
事项的,处理规则应当公开,并且便于查阅和保存。
除法律、行政法规另有规定外,个人信息的保存期限应当为实现处
第十九条 符合
理目的所必要的最短时间。
个人信息处理者委托处理个人信息的,应当与受托人约定委托处理
的目的、期限、处理方式、个人信息的种类、保护措施以及双方的
权利和义务等,并对受托人的个人信息处理活动进行监督。
第二十一 受托人应当按照约定处理个人信息,不得超出约定的处理目的、处
符合
条 理方式等处理个人信息;委托合同不生效、无效、被撤销或者终止
的,受托人应当将个人信息返还个人信息处理者或者予以删除,不
得保留。
未经个人信息处理者同意,受托人不得转委托他人处理个人信息。
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,
第二十三 应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处
符合
条 理方式和个人信息的种类,并取得个人的单独同意。接收方应当在
上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。
个人信息获
取及使用方
法条序号 主要内容
式是否符合
规定
接收方变更原先的处理目的、处理方式的,应当依照本法规定重新
取得个人同意。
第二十五 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的
符合
条 除外。
第二十九 处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定
符合
条 处理敏感个人信息应当取得书面同意的,从其规定。
个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定
第三十条 的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个 符合
人权益的影响;依照本法规定可以不向个人告知的除外。
个人信息处理者处理不满十四周岁未成年人个人信息的,应当取得
第三十一 未成年人的父母或者其他监护人的同意。
符合
条 个人信息处理者处理不满十四周岁未成年人个人信息的,应当制定
专门的个人信息处理规则。
个人信息处理者因业务等需要,确需向中华人民共和国境外提供个
人信息的,应当具备下列条件之一:
(一)依照本法第四十条的规定通过国家网信部门组织的安全评估;
发行人已按
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
照《评估办
(三)按照国家网信部门制定的标准合同与境外接收方订立合同,
第三十八 法》对拟开展
约定双方的权利和义务;
条 的所涉业务
(四)法律、行政法规或者国家网信部门规定的其他条件。
申报数据出
中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和
境安全评估
国境外提供个人信息的条件等有规定的,可以按照其规定执行。
个人信息处理者应当采取必要措施,保障境外接收方处理个人信息
的活动达到本法规定的个人信息保护标准。
个人信息处理者向中华人民共和国境外提供个人信息的,应当向个
第三十九 人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方
符合
条 式、个人信息的种类以及个人向境外接收方行使本法规定权利的方
式和程序等事项,并取得个人的单独同意。
个人信息处理者应当根据个人信息的处理目的、处理方式、个人信
息的种类以及对个人权益的影响、可能存在的安全风险等,采取下
列措施确保个人信息处理活动符合法律、行政法规的规定,并防止
未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
第五十一
(二)对个人信息实行分类管理; 符合
条
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行
安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
第五十二 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指 符合
个人信息获
取及使用方
法条序号 主要内容
式是否符合
规定
条 定个人信息保护负责人,负责对个人信息处理活动以及采取的保护
措施等进行监督。
个人信息处理者应当公开个人信息保护负责人的联系方式,并将个
人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责
的部门。
第五十四 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的
符合
条 情况进行合规审计。
有下列情形之一的,个人信息处理者应当事前进行个人信息保护影
响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
第五十五 (二)利用个人信息进行自动化决策;
符合
条 (三)委托处理个人信息、向其他个人信息处理者提供个人信息、
公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
经核查,发行人获取和使用个人信息符合《个人信息保护法》的相关要求。
综上,本所律师认为,发行人数据收集及使用符合《数据安全法》《个人信息保
护法》等规定要求。
纷
根据发行人确认及中国裁判文书网(http://wenshu.court.gov.cn/)、中国执行信息
公开网(http://zxgk.court.gov.cn/)、信用中国(https://www.creditchina.gov.cn/)、国
家互联网信息办公室网站(http://www.cac.gov.cn/)、百度(www.baidu.com)等公开
信息查询检索,发行人未出现过个人信息隐私泄露事件,不存在相关行政处罚、诉讼
或潜在纠纷。
综上,本所律师认为,发行人未出现过个人信息隐私泄露事件,不存在相关行政
处罚、诉讼或潜在纠纷。
(三)核查程序
本所律师会同保荐机构履行了以下核查程序:
展的限制范围;对发行人业务负责人员进行访谈,了解发行人境外业务的分类及《评
估办法》《管理办法》对发行人生产经营、业务发展的影响,了解发行人保证训练数
据真实性、准确性、客观性、多样性的措施;核查发行人境外收入对应的业务分类情
况,核查 2021 年度、2022 年 1-8 月《评估办法》限制范围内境外业务的收入占比;
核查 2022 年 9 月 1 日后发行人新签署境外业务合同及履行情况;查询国家企业信用
信 息 公 示 系 统 ( https://www.gsxt.gov.cn/index.html ) 、 信 用 中 国
( https://www.creditchina.gov.cn/ ) 、 国 家 互 联 网 信 息 办 公 室 网 站
(http://www.cac.gov.cn/)并取得发行人的确认函,核查发行人是否受到相关处罚;
核查发行人数据出境安全评估申报的受理及审核情况;取得并查阅国家互联网信息办
公室与发行人安全评估申报负责人的往来邮件,核查国家互联网信息办公室在审核数
据出境安全评估事项中对发行人的补充意见和要求;对发行人业务负责人员进行访
谈,了解发行人现有业务的合规性及审核程序进度对发行人现有业务的影响;查阅发
行人募集资金投资项目的主要内容并对发行人业务负责人员进行访谈,了解募集资金
投资项目的经营规划、业务内容以及审核程序进度对发行人募集资金投资项目经营的
影响;
下载并使用发行人线上数据采集软件,核查线上采集的告知程序、告知内容、获得授
权的方式等;抽查发行人线下采集签署的授权书或采集合同;查阅发行人官网披露的
《个人信息保护政策》;查看发行人数据处理一体化数据处理技术支撑平台及其中数
据处理过程的数据保护等措施;取得并查阅发行人《数据安全管理制度》《IT 安全
管理制度》《存储服务器使用管理制度》《网络安全管理制度》《数据备份制度》《数
据分级分类指引》《应急响应管理制度》《个人信息出境管理制度》等管理制度、发
行人信息系统安全等级保护及管理体系认证证书等认证证明文件;查阅发行人与供应
商、客户签署的业务协议和保密协议等,核查发行人对供应商、客户的数据安全要求;
查阅《数据安全法》《个人信息保护法》中涉及发行人个人信息数据收集及使用的相
关内容,对照核查发行人获取及使用个人信息的合规性;
(http://zxgk.court.gov.cn/)、信用中国(https://www.creditchina.gov.cn/)、国家互联
网信息办公室网站(http://www.cac.gov.cn/)、百度(www.baidu.com)等公开信息查
询网站并取得发行人的确认函,核查发行人是否存在出现过个人信息、隐私泄露事件,
是否发生过数据安全引发的诉讼、纠纷或行政处罚。
二、第 8 项问题:关于其他
“根据申报材料,发行人控股子公司安徽瑞天数智科技有限公司业务中包括组织
文化艺术交流活动、网络文化经营,互联网信息服务;控股子公司山西瑞天数智科技
有限公司业务中包括组织文化艺术交流活动,非居住房地产租赁。
请发行人说明:公司是否存在文化传媒业务、互联网平台业务和房地产业务,若
是,请说明相关业务的具体内容、经营模式收入利润占比等情况,以及后续业务开展
的规划安排。请保荐机构和发行人律师核查并发表意见。”
(一)发行人不存在文化传媒业务、互联网平台业务和房地产业务
业务、互联网平台业务和房地产业务
发行人主要从事 AI 训练数据的研发设计、生产及销售业务,不存在文化传媒业
务、互联网平台业务和房地产业务。根据《审计报告》、半年度报告及发行人确认,
报告期内,发行人营业收入全部为主营业务收入,具体情况如下:
单位:万元
项目
金额 比例 金额 比例 金额 比例 金额 比例
主营业
务收入
其他业
- - - - - - - -
务收入
合计 7,446.09 100.00% 26,288.79 100.00% 20,647.65 100.00% 23,337.40 100.00%
务,不涉及开展文化传媒业务、互联网平台业务和房地产业务,发行人子公司已变更
经营范围
发行人子公司安徽瑞天数智、山西瑞天数智的原经营范围和主营业务情况如下表
所示:
公司名称 原经营范围 主营业务
一般项目:技术服务、技术开发、技术咨询、技术
交流、技术转让、技术推广;组织文化艺术交流活
动;信息系统集成服务;软件销售;计算机软硬件
及辅助设备零售;人工智能公共数据平台;大数据
安徽瑞天 服务;数据处理和存储支持服务;卫星遥感数据处
训练数据产品及服务
数智 理;数据处理服务;工业互联网数据服务;会议及
展览服务;租赁服务(不含许可类租赁服务)(除
许可业务外,可自主依法经营法律法规非禁止或限
制的项目)许可项目:网络文化经营;互联网信息
服务;测绘服务。
一般项目:技术服务、技术开发、技术咨询、技术交
流、技术转让、技术推广;计算机软硬件及辅助设
山西瑞天 训练数据产品及服务,目前尚
备批发;数据处理服务;人工智能公共数据平台;
数智 未实际开展业务
信息系统集成服务;组织文化艺术交流活动;会议
及展览服务;非居住房地产租赁。
安徽瑞天数智系发行人设立于安徽蚌埠的数据标注产业基地,其原经营范围中包
含“组织文化艺术交流活动、网络文化经营,互联网信息服务”,但并未开展文化传
媒业务、互联网平台业务和房地产业务。安徽瑞天数智已办理经营范围变更,删除了
上述经营范围中“组织文化艺术交流活动、网络文化经营,互联网信息服务”的内容。
山西瑞天数智系发行人设立于山西大同的数据标注产业基地,目前尚未实际开展
业务,其原经营范围中包含“组织文化艺术交流活动,非居住房地产租赁”,但不会
开展文化传媒业务、互联网平台业务和房地产业务。山西瑞天数智已办理经营范围变
更,删除了“组织文化艺术交流活动,非居住房地产租赁”的内容。
综上,本所律师认为,发行人不存在文化传媒业务、互联网平台业务和房地产业
务。
(二)核查程序
本所律师会同保荐机构履行了以下核查程序:
主营业务及收入情况;
核查发行人及其子公司的经营范围和主营业务情况;
核查其经营范围变更情况。
(本页以下无正文)
(本页无正文,为《北京市天元律师事务所关于北京海天瑞声科技股份有限公司 2023
年度向特定对象发行 A 股股票的补充法律意见书(二)》的签字盖章页)
北京市天元律师事务所(盖章)
负责人:______________
朱小辉
经办律师(签字):____________
周世君
____________
王韶华
____________
顾鼎鼎
本所地址:北京市西城区金融大街 35 号
国际企业大厦 A 座 509 单元
邮编:100033
年 月 日
首页
微信公众号
证券之星APP
