从合合信息科创板IPO，看数据合规的十二个问题

潘言厚雪

2024-09-16

导言

扫描全能王、名片全能王、启信宝，这三款知名APP背后的公司——合合信息，其科创板IPO终于成功过会。

作为一家人工智能+大数据公司，合合信息当下登陆A股的意义，不止在于其自身发展将获得资本市场的大力助推，更是给众多大数据应用公司提供了一个指引样本。

而合合信息上市路上所遭遇和解决的种种数据合规问题，对于整个大数据行业的健康发展都有参考价值。

出品 | 厚雪研究

作者 | 潘言

在经历了三次问询，两次中止后，8月4日，上海合合信息科技股份有限公司（简称“合合信息”）科创板IPO终于闯关成功，为大数据类公司在A股上市冲开了一条路。

合合信息一家人工智能及大数据科技企业，主要产品包括面向C端用户的扫描全能王、名片全能王、启信宝，以及面向B端客户的基础技术服务、标准化服务和和场景化解决方案。

早在2021年9月27日，合合信息就提交了科创板招股申请并获得受理，但因其业务的科创属性、经营资质、数据合规等问题，被上海证券交易所开出了三轮审核问询函，也收到了大量媒体的质疑。特别是在2021年第一轮问询函中，交易所提出了高达21个问题，到了第二轮和第三轮，问题降至了9个和2个。

由于中国《数据安全法》和《个人信息保护法》分别在2021年9月1日和11月1日起施行，刚好是在合合信息递交招股书前后，而近两年，数据安全、个人隐私保护等成为监管的重点，数据合规自然是合合信息上市最受关注的问题，也是众多大数据类公司上市的阻碍。

如今，合合信息IPO获得科创板上市委会议审议通过，等于认可了“人工智能+大数据技术”的硬科技属性，对于大数据类公司上市提供了借鉴。在数据作为生产要素的价值日益提升，数据监管逐步明确和完善的当下，数据应用行业也迎来了更多机会。

合合信息在2018年和2019年分别亏损了7871万元和1.96亿元，而在之后的三年疫情之中，合合信息反而均实现盈利，并且利润逐年提升，分别达到1.3亿元、1.44亿元和2.84亿元，其商业模式被持续验证。

合合信息提交给交易所的三次问询回复，以及针对媒体质疑的自查回复，成为其最终过会的重要资料。这些回复中，包括了交易所对数据问题的关注点，以及公司对数据业务和合规问题整改的详细说明，这对于其他大数据公司的业务模式和合规性具有非常重要的参考性。

厚雪根据合合信息的上述资料，梳理出交易所问询的十二个数据合规方面主要问题，以及公司、保荐机构或发行人律师的回复，以供行业参考。

本文为资料梳理，字数近三万字，文内涉及的十二个数据问题如下：

问题一：公司各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形？

问题二：公司向个人供应商采购数据的主要内容、比例及原因，价格公允性，该等个人是否与公司及其客户、其他供应商存在关联关系或利益安排？

问题三：公司来源于供应商采购和自主获取的大数据的区别及报告期内占比，自动化访问获取的企业数据如何确保来源合法性，发行人调查供应商及数据来源合法性的具体方式及有效性

问题四：报告期内公司数据管理不完善的具体情形、影响范围、严重程度，目前公司针对该等不完善情形的具体整改情况及效果，发行人数据合规纠纷的解决机制

问题五：公司关于获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况，是否能够有效保障数据安全及业务合法合规？

问题六：近年关于数据安全、个人信息保护等立法对公司研发、采购、销售等的影响，公司业务开展是否符合该等法律法规规定，是否存在本次发行上市未履行的前置程序或其他障碍，相关风险揭示是否充分？

问题七：公司各项业务中所获取的各类信息数据的具体储存方式及期限、使用方式及用途，是否存在超出数据获取协议或隐私政策的情形？

问题八：公司各项业务中所销售或交换的各类信息数据的内容、来源、加工处理方式、交付产品形态、客户类型

问题九：广告换数据、数据换数据的业务模式是否符合行业惯例，数据交易对手方是否具有获取、使用、销售数据的资质，该等数据来源是否合法，该类业务模式是否合规？

问题十：公司是否取得了从事数据服务所需的全部资质、许可或备案？

问题十一：公司是否从事境外数据业务，是否存在向境外主体提供或销售数据产品及服务的情形，是否合法合规？

问题十二：公司关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性，是否符合相关法律法规和政策文件的规定？

问题一

公司各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形？

（1）发行人开展 C 端及 B 端业务前的数据管理情形

发行人开展 C 端及 B 端业务前，发行人各项业务及研发分别获取、存储、使用的数据以及具体储存方式及期限、使用方式及用途，对应的数据来源、数据权属具体如下表：

（2）发行人开展 C 端业务的数据管理情形

发行人 C 端业务分别获取、存储、使用的数据以及具体储存方式及期限、使用方式及用途，对应的数据来源、数据权属具体如下表：

（3）发行人开展 B 端业务的数据管理情形

发行人 B 端业务分别获取、存储、使用的数据以及具体储存方式及期限、使用方式及用途，对应的数据来源、数据权属具体如下表：

发行人存在销售数据的情形，发行人销售的是对原始数据加工、处理后的标准化产品：

公司的智能文字识别 C 端业务提供智能文字识别，主要用户在“扫描全能王”、“名片全能王”APP，由其自主上传文档、图片以及订单开票数据，利用 APP 进行文字及图像识别。

B 端业务是为客户提供基础数据、标准化服务（名片全能王企业版SaaS 软件服务）、场景化解决方案，主要为 B 端企业用户提供的企业信息或者 SaaS软件。

公司的商业大数据业务 C 端业务方面，C端用户登录启信宝 APP 后，可以通过对按期间收费的 VIP 会员、付费报告等单次付费产品从而获得经公司整理、格式统一、结构化处理及深度清洗加工后的企业经营信息、工商数据等；

B 端业务方面，公司根据 B 端客户需求特点、产品种类、场景化程度、技术复杂度等因素综合对相关数据进行挖掘分析和处理，最终形成给B 端客户的解决方案或标准化 SaaS 软件。

公司开展B 端商业大数据业务、C 端启信宝 APP 的主要数据来源是公司数据中台汇聚的企业数据。公司开展 B 端商业大数据业务不会利用 C 端的用户数据（包括但不限于 C 端用户注册数据、C 端用户上传的文档、名片）。发行人不存在直接将从供应商以及自动化采集获取的原始数据直接销售给第三方的情形。

问题二

公司向个人供应商采购数据的主要内容、比例及原因，价格公允性，该等个人是否与公司及其客户、其他供应商存在关联关系或利益安排？

发行人曾经存在向个人供应商采购数据的情形，采购的性质为公司展业相关，具体情况如下：

1、发行人向个人供应商采购数据的主要内容、比例及原因

（1）公司采购个人供应商提供数据的背景

公司商业大数据业务开展过程中，对外提供包括工商、股权、司法涉诉、失信、舆情、资产等超过1,000 个数据维度。对于工商数据，公司主要以向供应商采购和自动化数据采集的方式获取。

工商数据的供应商主要为上海凭安征信服务有限公司（以下简称“凭安征信”）和人民数据。根据公司与凭安征信签订的合同，公司从 2018 年 12 月开始向凭安征信采购每周新增的重庆和内蒙古个体户工商名录，并从 2019 年 7 月开始采购每周新增的全国个体户工商名录。根据公司与人民数据签订的合同，公司从 2020 年 9 月开始向人民数据采购企业工商大数据（公开数据）综合服务包。

在 2018 年及以前，公司关于数据的自动化采集逻辑是动态采集最新的数据，获取新的数据之后将覆盖原有旧的数据，变更历史未充分留存。但在业务开展过程中，用户仍然存在查询企业变更信息（如企业股权的演变过程、董监高历史变化情况）或个体工商户信息的需求，且公司竞争对手有提供这方面的信息。由于公司的工商历史数据和个体工商户信息的数据有一定缺失，也未能通过已有供应商或自动化采集获取到该等数据，会导致公司的大数据整体业务的竞争力变弱，因此选择对外进行采购。发行人在报告期内不存在向个人供应商采购数据的情形。

（2）向个人供应商采购数据的主要内容、比例及原因

公司曾经存在向自然人采购企业信息数据的情形，采购的主要内容为企业历史工商数据和个体工商户数据，相关数据内容指工商公示的企业和个体工商户的最新工商基本信息，包括公司名称，注册号，社会信用代码，经营范围，股东列表，行政处罚，股权出质情况等，以及该等信息历史变化情况，包括历史名称，历史股权出质记录，历史股东等。该个人供应商具有较强的技术背景，曾经通过自动化采集等手段获取了国家工商公示系统对外公示的工商信息，其中包含公司所需的企业历史工商数据和个体工商户数据，能够满足公司大数据业务发展的需求，因此双方就数据采购达成合作。

公司于 2018 年 4 月向该个人供应商支付 160 万元作为数据采购费用，占 2018 年数据采购金额的比例为 47.13%。此次数据采购完成后，公司安排自有技术团队通过自动化采集的方式采集并留存相关企业工商历史信息和个体工商户信息，并通过向凭安征信和人民数据采购工商信息来对数据库进行完善。因此对于此类信息，公司未再对外进行过其它采购。

除上述采购外，公司不存在其他向个人供应商采购数据的情况。

2、发行人向个人供应商采购数据的价格公允性

公司的工商数据供应商主要为凭安征信和人民数据。

2019 年 12 月，公司与凭安征信签订采购合同，约定采购内容为全国工商企业名录，合同有效期为 12 个月，合同金额为 240 万元，其中一半为数据采购费用，一半为数据更新费用；2020 年 9 月，公司与人民数据签订采购合同，约定采购内容为工商大数据（公开数据），合同有效期为 12 个月，合同金额为 450 万元，其中一半为数据采购费用，一半为数据更新费用。公司向个人供应商采购的工商数据价格与前述供应商采购价格对比如下：

由上表可知，2018 年公司向个人供应商数据采购单价与公司向凭安征信及人民数据采购平价单价不存在明显偏离，具备公允性。

3、个人供应商是否与发行人及其客户、其他供应商的存在关联关系或利益安排的问题

该个人供应商系技术领域从业人员，具有较强的技术背景，与发行人及其客户、其他供应商不存在关联关系或利益安排。

问题三

公司来源于供应商采购和自主获取的大数据的区别及报告期内占比，自动化访问获取的企业数据如何确保来源合法性，发行人调查供应商及数据来源合法性的具体方式及有效性

1、发行人来源于供应商采购和自主获取的大数据的区别及报告期内占比

发行人商业大数据业务的数据获取主要有四种途径，分别是向供应商采购的企业数据、数据与数据互换、广告与数据互换、自动化访问获取。四种数据来源方式及区别如下：

（1）数据直接采购：从数据供应商进行直接采购，数据类型包括工商信息、企业经营信息等。

（2）数据与数据互换：指以公司现有的数据换入供应商提供的数据，公司用于互换的数据通常不是公司对外销售的成型数据产品，换出的仅是关于企业公开的工商信息、法院公告、司法诉讼、对外投资等维度的数据。换入的数据类型包括工商信息、企业公开的经营信息（企业招投标、招聘信息等）、舆情、行业等信息。

（3）广告与数据互换：以启信宝 APP或网页版的广告服务换入供应商提供的数据，具体形式是在启信宝页面展示相关数据时列示该供应商作为数据来源方进行宣传，换入的数据类型主要为企业公开经营信息。

（4）自动化访问获取数据：由于数据采购在数据维度的完整性、多元性、及时性等方面无法满足下游客户的需求，因此公司使用自动化访问技术从互联网获取公开数据作为数据来源的重要组成部分。自动化访问获取的数据类型主要包括工商信息、企业公开经营信息、司法诉讼信息等。

另外，从数据供应商获取的数据一般为格式统一、已进行清洗处理过的结构化数据，但数据来源由数据供应商掌控，公司优化的空间有限；与之相比，公司使用自动化访问技术从互联网获取公开数据一般为非结构化数据或半结构化数据，格式多样，需要公司自行进行格式统一、结构化处理，深度清洗加工后才能进行下一步的挖掘分析工作，公司对数据处理过程自主可控，可不断优化提升。

除上述的数据来源外，公司也会将获取的数据信息从不同维度进行深度挖掘，并通过建模等方式进行分析加工处理，最终形成更高质量的数据，作为公司商业大数据业务的数据源之一。

公司数据库存量数据庞大，不同类型数据内容和形式差异较大，数据库处于实时更新状态，无法以报告期末作为截止时点进行期间统计。截至 2023 年 3 月 1 日，发行人的数据库中直接向数据供应商采购、非直接采购（包括数据换数据、广告换数据、自动化访问获取）的数据按类型划分后的数量占比统计如下表：

公司直接向数据供应商采购的数据进入发行人数据库前会进行打标处理，从而统计出直接采购比例。除了最为基础、使用率最高的工商数据之外，公司从其他多种数据供应商获取更多元化种类的企业公开数据以对工商数据进行良好的补充，为用户提供企业关联图谱、舆情监控、风险监控、商标及专利信息、深度报告等多种数据查询、挖掘和智能分析服务。

2、自动化访问获取的企业数据确保来源合法性的具体方式

发行人通过自动化访问采集的数据主要是企业工商、企业经营信息、诉讼等公开的信息。发行人采集的网站主要为全国各工商网站、各省律师事务所信息披露网站、各省社会组织信息网、各级人民银行官网，主要是政府机构等公开信息披露的平台。发行人采取了多重方式确保自动化数据采集的全过程的数据合规性。

（1）数据采集前完成合规评估：发行人会在数据采集前对采集网站做综合评估，包括获取数据的主要类型、被采集网站是否为政府公开信息网站或商业性网站、被采集网站是否具备 Robots 协议或公示条款限制自动化采集、网站是否具备自动化采集限制措施、自动化采集数量及频率是否影响采集对象网站的正常运行等核心因素。在评估数据采集合规之后，发行人才会正式开始数据采集。脚本运行前，数据技术人员结合 Alexa 数据（Alexa 中国免费提供 Alexa 中文排名官方数据查询、网站访问量查询、网站浏览量查询和排名变化趋势数据查询。Alexa 排名数据常用于评价某一网站的访问量）评估目标网站一天的总访问量，以此计算自动化访问程序每秒的访问频率上限，并在自动化访问程序配置阶段对并发数和访问频率进行适当的限制。

（2）关于外部数据自动化获取的新增和修改流程：产品经理在协同办公系统中发起采集需求并添加《需求说明书》作为附件，法务负责人和个人信息保护负责人评估采集目标网站的 Robots 协议、网站声明和目标网站的内容安全。评估完成后，需求部门负责人、需求部门所属事业部负责人、数据采集团队负责人和法务负责人在协同办公系统中完成采集需求的审批。数据开发人员完成自动化访问程序开发并提交测试数据，测试人员测试完成后通过邮件反馈测试结果至数据技术人员。在获取测试结果后，数据技术人员上线自动化访问程序并将新增的目标网站更新至数据采集网站清单中。

（3）定期检查被采集网站的规定是否变化：发行人制定了《数据自动获取源定期审阅制度》，对被采集网站做定期检查，如以上因素发生变化，即做相应调整，确保数据采集符合综合评估。发行人制定了相关的管理制度及流程以管理自动化访问工具。

当新增或者下线自动化访问工具时，须经适当审批后由发行人启信宝数据技术人员负责日常维护自动化访问网站清单。通过对自动化访问工具的代码扫描，以识别是否存在正在运行的自动化访问工具所实际爬取的网站范围超出公司自行维护的自动化访问网站清单的情况。另外，数据技术人员每三个月使用自开发的代码扫描工具对代码中写入的自动化访问网站的 URL 进行扫描，以确保所有自动化访问网站均在公司入册的数据自动化访问网站清单的范围内、且均为公开信息。若发现异常，则由数据技术人员自查流程并完成整改。

根据上海市瑛明律师事务所（成立于 1998 年，具有中国法律业务的资格，为本项目提供企业数据管理及信息系统合规相关的法律服务）出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》，发行人数据采集的评估过程未见异常，合合信息于 2021 年 9 月 30 日在所有重大方面符合《中华人民共和国网络安全法》等所涉法规的相关规定。

根据北京市中伦律师事务所出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》，报告期内发行人数据采集的评估过程未见异常，合合信息于 2022 年 12 月 31 日在所有重大方面符合《中华人民共和国网络安全法》等所涉法规的相关规定。

3、发行人调查供应商及数据来源合法性的具体方式及有效性

（1）内控制度：对于数据供应商采购，发行人制定了《供应商准入制度》《数据采购管理规范》等制度文件并制定了数据采购管理流程。

根据《供应商准入制度》和《数据采购管理规范》的相关规定，发行人在采购前需根据内控要求，①审核评估采购数据类型范围、目的、用途、时间、授权函；②调查数据供应商资质、数据来源的合法性，确认供应商不存在信息、数据权属及知识产权相关重大争议；③调查确定供应商不存在重大违法、违规、行政处罚记录、重大法律纠纷或相关负面报道，并将尽职调查结果记录于《供应商基础信息调查表》。

（2）内部数据采购流程管理：公司对数据供应商进行尽职调查以及评审数据采购合同。经安全与合规部评估后，发行人使用协同办公系统记录和存储与第三方签订的采购合同、廉洁协议以及交易记录（包括对公付款流程和收入合同审批流程等）。报告期内，发行人与第三方数据供应商均签署了协议。

（3）与数据供应商对接合作：发行人会要求数据供应商签署含数据来源合法合规确认条款的数据合同。合同中约定“承诺提供数据均来自于公开、合法渠道，否则由数据提供方承担一切法律责任。承诺其提供的数据信息来源合法有效，且有权就该等数据信息提供对应合同项下的数据服务”等相关条款。

若数据合同中未作出相关约定的，相应数据提供商会提供《数据信息使用确认书》，其中通常会确认提供的数据信息来源合法有效，且有权就该等数据提供合作协议项下的数据服务。向发行人确认其数据来源及开展业务的合法合规性，以进一步保障发行人数据采购的合法合规性。

报告期内，发行人的主要供应商有凭安征信和人民数据，均为行业内权威性较高的数据供应商。凭安征信是经人行上海分行备案的企业征信机构，2016 年正式成为国家发改委电子商务行业信用建设官方合作征信机构，同年与国家公共信用信息中心数据实现互联互通。可及时性地提供工商信息发生新增和变更的企业名称列表，公司利用此列表通过自动化访问技术从全国各工商网站获取公开的企业工商数据，此种模式可以保证工商数据的完整性和时效性。

人民数据由人民网舆情数据中心（北京人民在线网络有限公司）与工信云（中卫）科技有限公司共同成立，以承建国家大数据灾备中心、国家应急数据中心、智慧党建数据中心等国家大数据项目为契机，打造安全、高效、开放、共享的国家级大数据平台，并致力于做好各级党政机关、央国企、民企等大数据的“存、管、用”工作。公司 2020 年 9 月 30 日与人民数据签署系列协议，就“人民金融大数据中心”项目进行合作，同时向人民数据采购企业工商大数据。2020 年 11 月 28 日，公司与国家公共信用信息中心签订《信用修复结果信息安全共享保密协议》，将“信用中国”对行政处罚后信用修复结果数据与公司进行共享。

（4）数据供应商后续审核：公司安全与合规部组织每年一次审核供应商是否按照合同及相关协议内容进行数据处理。若发生因数据导致的相关合法合规事件，未按要求进行处理或未能有效履行数据安全保护责任，或者发现供应商未按要求进行处理、或未能有效履行数据安全保护责任，则发行人要求供应商停止相关行为，并采取有效的补救措施控制或消除可能存在的数据安全风险和影响。发行人已建立相应机制以保障供应商提供数据的合法合规性。截至本回复出具之日，发行人不存在因数据采购产生的诉讼、行政处罚及纠纷的情形。

问题四

报告期内公司数据管理不完善的具体情形、影响范围、严重程度，目前公司针对该等不完善情形的具体整改情况及效果，发行人数据合规纠纷的解决机制

1、数据管理不完善的具体情形及相关影响

整改前，发行人在数据管理、数据合规方面已有较为完善的内控制度以及数据采集、使用、存储的管理流程，如对自动化访问数据采集方面提前进行合法、合理性评估；对与第三方数据供应商签署合同中已规范数据来源合法及保密等相关责任等。但严格对标《网络安全法》《数据安全法》《个人信息保护法》等数据相关法律法规，报告期内曾经存在少许不完善的情形。发行人曾经存在的数据管理不完善情形及整改措施的对应关系如下：

就上述事项，发行人已根据自身的实际情况及业务发展需要完成了整改。根据上海市瑛明律师事务所、北京市中伦律师事务所分别出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》，根据《网络安全法》《数据安全法》《个人信息保护法》及其他上述报告中所列明的尽职调查中所对标的所涉法律法规和相关指南，截至评估基准日 2021 年 9 月 30 日、2022 年 12 月 31 日，发行人在所有重大方面符合了尽职调查所涉法律法规的相关规定。

此外，公司对扫描全能王、名片全能王等 APP 产品进行了检测和整改。公司发现相关 APP 的部分版本中存在违反必要原则，收集与其提供的服务无关的用户权限等待整改的情况。

就上述情形，公司比对《App 违法违规收集使用个人信息行为认定方法》（国信办秘字〔2019〕191 号，以下简称“《认定方法》”），对扫描全能王、名片全能王等 APP 产品存在的问题进行了整改并重新上架、及对其他部分产品采取主动下架并终止提供相关 APP 的网络服务等措施。公司整改完成后不存在《认定方法》所认定的APP 违法违规收集使用个人信息行为。前述事项不构成公司重大违法违规行为，不构成发行人本次发行上市的障碍。

中国电子技术标准化研究院赛西实验室于 2022 年 12 月 28 日出具了《数据安全保护能力自评估报告》，经对合合信息旗下产品及业务系统进行的全方位评估，合合信息已根据标准要求，在个人信息保护影响评估（PIA）的执行周期、以及对接口安全规范的鉴权信息传输方面的低风险问题进行了整改，并建立了完整的覆盖数据全生命周期的数据安全管理制度规范体系；已开展了数据分级分类工作，明确各类数据的敏感程度与安全保护需求，已配备了数据加密、数据脱敏等数据安全保护技术，以保障合合信息各个系统在数据全生命周期的安全；定期对数据安全风险进行检测，对数据接口采取了严格的保护措施，在接口口令认证、数据暴露面、访问权限、高危操作方面暂未发现安全风险。

2、是否存在侵权行为、纠纷、潜在纠纷或可能被处罚的情形。（略）

3、发行人针对该等不完善情形的具体整改情况及效果，发行人数据合规纠纷的解决机制

公司根据自身的实际情况及业务发展需要，在数据管理方面进行了相应的整改：

（1）在制度制定方面，根据上海市瑛明律师事务所、北京市中伦律师事务所分别出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》，截至整改评估基准日 2021 年 9 月 30 日、2022 年 12 月 31 日，发行人已制定并完善了覆盖全部数据生命周期的数据合规管理制度，包括数据采集、数据使用、数据访问权限控制、数据导出和数据删除相关的制度，并设计了相应的管理流程，实现全数据生命周期的管理。

（2）在数据采集方面，对于用户自主输入的数据采集，公司获取用户勾选并授权同意隐私政策后，方可主动采集用户的数据。对于自动化访问获取的数据，公司设计了外部数据的采集管理流程，使用监控平台对自动化访问的运行进行监测和告警，并定期检查自动化访问目标网站的 Robots 协议、网站声明和内容安全。对于数据采购，公司制定了数据采购的管理流程，包括数据供应方的尽职调查和数据采购合同的评审流程。同时，与数据供应商补充签署了《数据信息使用确认书》，确认数据来源合法合规性。

（3）在数据使用方面，公司制定了用户个人信息的使用限制以及数据分析需求的处理流程，制定了访问授权流程，在权限管理中遵循职责分离原则。公司通过权限管理对扫描全能王、名片全能王、启信宝 APP 的应用系统及后台支撑系统的访问权限进行限制，以保护用户个人信息免受未经授权访问、公开披露、使用、修改、损坏或丢失。公司制定了数据资源的申请审批流程，并限制了数据库的访问授权。

（4）在数据存储与销毁方面，公司定义了个人信息的存储方式、存储期限，以及个人信息的到期删除或匿名化处理标准。公司制定了个人信息的删除流程，在接收用户注销申请后，扫描全能王、名片全能王、启信宝 APP 的数据库和后台支持系统对用户个人信息进行物理删除。

（5）在数据安全方面，公司制定了数据安全相关的管理制度，明确了数据分级分类的标准和不同类型数据的保护要求，并定期实施所有数据资产的分级分类梳理及标注。公司制定了个人信息安全评估流程，其中明确了个人信息安全评估的适应场景、评估内容以及定期审阅机制。公司规范了不同安全等级的数据在传输和存储中的加密要求以及密钥的全生命周期管理机制，对扫描全能王、名片全能王、启信宝 APP 等产品涉及的个人信息均使用了加密算法进行去标识化处理，并制定了内容安全相关的审核机制，规范了内容安全人工审核的标准流程和审阅标准，以及违法有害信息的应急响应流程和处置程序。

（6）在数据合规纠纷的解决机制方面：

1）自动化数据采集方面：发行人制定了《通过自动化访问获取数据操作规范》，在数据采集前会做综合评估，评估因素包括爬取数据的主要类型、被采集网站是否为政府公开信息网站或商业性网站、被采集网站是否具备 Robots 协议或公示条款限制自动化采集、网站是否具备自动化采集限制措施、自动化采集数量及频率是否影响采集对象网站的正常运行等核心因素。在评估通过之后，发行人才会正式开始数据采集。

同时，发行人会对被采集网站做定期检查，如以上因素发生变化，即做相应调整，确保数据采集符合综合评估。发行人制定了相关的管理制度及流程以管理自动化访问获取数据的工具。当新增或者下线数据源时，须经适当审批后由发行人启信宝数据技术人员负责日常维护数据源网站清单。通过对自动化访问获取数据工具的代码扫描，以识别是否存在正在运行的自动化访问获取数据工具所实际获取数据的网站范围超出公司自行维护的数据源网站清单的情况。若存在不一致的情形，评估该类网站是否为合法合规的信息披露平台，从而降低因数据信息不准确而产生诉讼纠纷的可能。

2）数据采购方面：数据采购方面，发行人对数据供应商进行了尽职调查，确保数据来源合法，不存在任何信息、数据权属及知识产权争议，不存在与数据获取相关的争议、纠纷或相关负面报道，并且在采购合同中约定数据合规事宜和纠纷解决、实施的数据安全措施条款和数据处理（包括数据类型、频率、处理方法等）等相关条款；

3）个人信息安全及网络安全方面：根据公司制定的《网络安全事件应急预案》《个人信息安全事件应急预案》，当发生网络安全或个人信息安全相关纠纷或诉讼时，该事件涉及的系统产品团队负责人、研发负责人、运营负责人，以及公司法务、安全、公共关系处理团队将临时组成应急响应团队，根据事件的四个级别（特别重大、重大、较大、一般）于 2 至 24 小时内制定应急方案并实施，尽可能在规定时间内解决纠纷、减少对用户和产品的影响。

根据上海市瑛明律师事务所、北京市中伦律师事务所分别出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》，截至整改评估基准日 2021 年9 月 30 日、2022 年 12 月 31 日，发行人上述数据合规瑕疵均已整改完毕，且已制定并完善了《安全与合规管理制度》《用户个人信息安全管理规定》《隐私政策管理规范》《数据采购管理规范》等贯穿业务全流程、覆盖数据全生命周期的内控机制，符合相关法律法规的要求。

问题五

公司关于获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况，是否能够有效保障数据安全及业务合法合规？

自 2016 年至今，发行人关于数据合规管理的意识和能力逐步提升，在此期间多次对数据内部管理机制进行更新和升级，并于 2020 年 11 月建立了覆盖整个数据生命周期管理的相关制度。具体制度设立的时间节点如下：

为确保将数据合规管理落到实处，发行人制定了覆盖整个数据生命周期管理的相关制度，包括数据采集、数据使用、数据访问权限控制、数据导出和数据删除相关的制度。并设计了相应的管理流程，实现全数据生命周期的管理。发行人制定的数据获取、使用、处理等过程的内部控制制度如下：

发行人制定的《安全与合规管理制度》中，规定了公司合规与信息安全的组织架构，明确了安全与合规管理委员会在业务合规、网络安全、数据安全和用户个人信息保护等方面的责任以及安全与合规部和各事业部、项目组的职责，并规定网络安全、数据安全和个人信息保护等相关责任机构的汇报层级要求。如下图所示：

发行人设立安全与合规管理委员会，为公司内合规与信息安全相关事务的最高决策机构。安全与合规管理委员会由董事长担任委员会主席，由大数据技术负责人、AI技术负责人等组成委员会委员。董事长为安全与合规管理委员会第一负责人。安全与合规管理委员会对公司产品的用户个人信息安全负有全面的领导责任。安全与合规管理委员会下设安全与合规部，负责公司合规与信息安全日常管理工作，贯彻安全与合规管理委员会的相关决议，监督、协调和规范公司的合规与信息安全工作。各事业部、项目组是合规与信息安全的执行机构，负责执行相关管理要求，落实具体工作。

数据获取、使用、处理、信息安全等过程工作开展及相关数据制度执行过程中，发行人按照“谁主管、谁负责”的原则，根据国家的法律法规，明确数据获取、使用、处理等环节的第一责任人，实施覆盖整个数据生命周期管理的责任管理制。

问题六

近年关于数据安全、个人信息保护等立法对公司研发、采购、销售等的影响，公司业务开展是否符合该等法律法规规定，是否存在本次发行上市未履行的前置程序或其他障碍，相关风险揭示是否充分？

近年来，国家及有关部门陆续颁布了《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《信息安全技术—个人信息安全规范》《App 违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展 APP 侵害用户权益专项整治工作的通知》《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》等一系列的法规和政策，为行业的规范发展提供了政策指引和法律保障。

出于对个人信息的重视，监管部门日益加强了数据行业的监管及个人隐私保护，并出台一系列相关的法律、法规政策。截至本回复出具之日，发行人的业务从数据来源和业务推广方面，不存在违反上述法律法规的情形。同时，发行人在企业数据相关业务中，已取得了人行上海分行关于企业征信机构的备案。

对于日益加强的个人隐私保护政策，发行人依据相关法律、法规制定了《隐私政策管理规范》，以规范隐私政策的制定流程、标准和展示方式，并明确了产品隐私政策编制和修订的场景，包括新产品发布、产品功能变更、集成的第三方业务或功能变更、产品隐私政策所载明的事项变化、法律法规和政策的变化以及业务模式、信息系统或运行环境的变化。

发行人在业务开展过程中获取的数据依据适用的法律法规及监管规定进行管理和运用。发行人制定了《安全与合规管理制度》《用户个人信息安全管理规定》《隐私政策管理规范》《数据采购管理规范》等贯穿业务全流程的信息安全管理制度，覆盖数据全生命周期的各项合规要求。

对于未来可能加强的数据行业监管及个人隐私保护政策，发行人采取了以下措施：

（1）对于行业政策，持续关注国家、行业政策的更新发展，及时响应有关部门的要求，明确在合规和信息安全方面的战略、方针、目标；

（2）发行人内部的安全与合规管理委员会根据不断更新的数据行业监管、个人隐私保护政策，统筹规划合规与信息安全管理制度体系的维护与持续运作；安全与合规部根据行业与公司业务发展和监管环境变化情况，牵头开展研究工作，包括国内外法律法规研究、行业形势研究、政策研究、趋势研判等，基于研究工作成果，对公司相关经营管理制度、流程、方案及计划中的数据安全、隐私保护等方面的合规性进行评估和管理，积极提升公司数据安全与合规管理能力；

（3）安全与合规部组织与推动对公司员工的安全与合规意识教育，牵头开展公司内部安全与合规相关培训工作，内容包括但不限于行业相关法律法规普及、信息安全知识、数据安全红线、用户隐私保护、信息安全技能、内部相关管理制度、内部相关流程等；公司及各级管理人员强化国家相关法律法规的学习，对员工定期进行有关合规培训，加强各级管理人员和普通员工的数据合规意识。

发行人已于招股说明书“第三节风险因素”之“二、与行业相关的风险”之“（三）政策变化的风险”披露如下内容：

公司所处行业属于软件和信息技术服务业，具体细分领域为人工智能及大数据软件领域。人工智能和大数据作为“新基建”重大发展战略的重要内容，近年来得到我国政府的重点支持，我国中央和地方政府推出一系列针对人工智能和大数据利好政策。

同时，国家颁布了《App 违法违规收集使用个人信息行为认定方法》等多项法律法规及产业政策，为行业的规范发展提供了政策指引和法律保障。公司在人工智能及大数据领域的业务发展直接或间接地受到当前国家产业政策的鼓励与支持，若未来行业监管政策发生变化，而公司不能及时适应或满足未来可能出台的监管政策标准，将对公司的持续经营产生不利影响。

综上，发行人的业务开展符合《中华人民共和国网络安全法》等法律法规规定，不存在本次发行上市未履行的前置程序或其他障碍，相关风险揭示已在招股说明书中充分披露。

问题七

公司各项业务中所获取的各类信息数据的具体储存方式及期限、使用方式及用途，是否存在超出数据获取协议或隐私政策的情形？

发行人开展 C 端和 B 端业务前，通过数据供应商采购/互换、自动化访问的方式获取各类信息数据。发行人在开展 C 端业务时，通过扫描全能王 APP、名片全能王APP、启信宝 APP3 款核心产品获取各类信息数据；发行人开展 B 端业务时，通过智能文字识别和商业大数据 B 端业务获取各类信息数据。下文将按此分类进行阐述。

1、发行人开展 C 端及 B 端业务前所获取的各类信息数据的具体储存方式及期限、使用方式及用途，是否存在超出数据获取协议或隐私政策的情形

（1）发行人开展 C 端及 B 端业务前所获取、使用的各类信息数据的具体储存方式及期限、使用方式及用途

发行人开展智能文字识别业务前无需获取数据，开展商业大数据业务前需获取数据。该类数据的来源系从数据供应商采购/互换、或通过自动化访问获取。具体如下：

该类数据主要用于商业大数据的 C 端及B 端服务，即：为 C 端用户提供启信宝APP 上的企业信息查询服务；为 B 端客户提供数据查询或推送的期间段服务。该类数据存储在发行人的第三方云平台数据库中并永久保存。

（2）发行人开展 C 端及 B 端业务前所获取、使用的各类信息数据的主要来源及合规性对于直接采购的数据，发行人对数据进行清洗、处理后在数据库中进行标记。截至 2023 年 3 月 1 日，发行人的数据库中直接向数据供应商采购、数据换数据、广告换数据、自动化访问获取的数据按类型划分后的数量占比统计如下表：

发行人在开展 C 端及 B 端业务前所获取、使用的各类信息数据的来源主要为自动化访问、数据直接采购、数据换数据和广告换数据，其中数据直接采购、数据换数据和广告换数据的重要性不断凸显：报告期内计入营业成本的数据直接采购、互换的金额分别为 643.36 万元、1,036.20 万元及 814.30 万元。

报告期内，公司主要从东方财富信息股份有限公司、上海凭安征信服务有限公司、人民数据管理（北京）有限公司等行业内权威性较高的供应商获取数据，从而保证及时准确的提供企业的相关信息。从数据供应商采购、互换成为发行人数据获取、使用数据的日益重要的来源。

发行人主要通过如下措施确保数据供应商提供数据的合法合规性：

1）在与数据供应商洽谈过程中，发行人要求数据供应商签署含数据来源合法合规确认条款的数据合同。该等合同中较多约定“承诺提供数据均来自于公开、合法渠道，否则由数据提供方承担一切法律责任”、承诺其“提供的数据信息来源合法有效，且有权就该等数据信息提供对应合同项下的数据服务”等类似条款。

2）若数据合同中未特意作出相关约定的，相应数据提供商提供《数据信息使用确认书》，确认提供的数据信息来源合法有效，且有权就该等数据提供合作协议项下的数据服务。从而向发行人确认其数据来源及开展业务的合法合规性，保障发行人数据采购、互换的合法合规性。

根据《关于上海合合信息科技股份有限公司科创板上市审核中重要关注问题的专题会议纪要》，市经信委确认，“除征信业务外，其他数据业务没有资质、许可或备案要求。”因此，从上述数据供应商采购、互换而来的数据不涉及企业征信业务，相关数据供应商无需取得资质、许可或备案。报告期内，发行人与数据供应商进行数据采购、互换过程中也未出现任何法律纠纷或潜在纠纷，也不存在违反数据安全相关法律法规的情形。

（3）发行人已对历史上存在的数据合规瑕疵进行了整改。截至本回复出具之日，发行人开展 C 端及 B 端业务前所获取、使用的各类信息数据不存在超出数据获取协议的情形，也不存在违反相关法律法规的情形

1）对于通过与数据供应商签署数据采购/互换协议获取、使用的数据：采购前，发行人根据《供应商准入制度》《数据采购管理规范》，审核评估采购数据的类型、范围、目的、用途等。发行人已与数据供应商在合同及确认书中明确约定数据供应商提供的数据具体类型、范围、确认数据来源的合法合规性等条款，签署合同后，数据供应商通过 API 接口或数据包的形式为发行人提供数据。发行人不存在获取、使用的数据超出相关协议或条款约定的情形，与数据供应商不存在纠纷或潜在纠纷。

2）对于通过自动化访问获取、使用的数据：发行人在自动化访问前对被采集网站进行综合评估，包括拟自动化访问获取数据的类型、范围、目的、用途等；被采集网站是否为政府公开网站、是否具备 Robots 协议或公示条款限制自动化访问；被采集网站是否具备自动化访问限制措施等。发行人完成自动化访问的评估后，严格按照Robots 协议或公示条款正式开始数据采集。另外，发行人会对被采集网站定期检查，如以上因素发生变化，及时进行相应调整，确保自动化访问符合被采集网站的 Robots协议或公示条款。发行人不存在获取、使用的数据超出相关协议或条款约定的情形，与被采集网站及相关主体不存在纠纷或潜在纠纷。

2、发行人开展 C 端业务中所获取的各类信息数据的具体储存方式及期限、使用方式及用途，是否存在超出数据获取协议或隐私政策的情形

（1）发行人 C 端业务中所获取、使用的各类信息数据的具体储存方式及期限、使用方式及用途

C 端业务主要为扫描全能王 APP、名片全能王 APP、启信宝 APP3 款核心产品，C端业务中所获取、使用的各类信息数据的具体储存方式及期限、使用方式及用途如下表所示：

（2）发行人已对历史上存在的数据合规瑕疵进行了整改。截至本回复出具之日，发行人 C 端业务中所获取、使用的各类信息数据不存在超出隐私政策的情形，也不存在违反相关法律法规的情形

发行人的 C 端业务三款 APP 获取、使用的数据均为用户自主输入或通过第三方组件采集。对于用户自主输入的注册信息、自主上传文档、自主上传图片信息、订单支付数据、一键登录信息、联系方式、设备信息等数据，前述数据均在 C 端 APP 的《个人信息收集清单》《第三方信息数据共享清单》《隐私政策》《儿童隐私保护指引》《用户协议》《应用权限说明》（以下统称“隐私政策”）中明确列示，发行人在用户勾选并授权同意隐私政策后方可采集。

1）内控制度方面，发行人制定了《隐私政策管理规范》以规范隐私政策的制定流程、标准和展示方式内控方面，发行人依据相关法律、法规制定了《隐私政策管理规范》，以规范隐私政策的制定流程、标准和展示方式，并明确了产品隐私政策编制和修订的场景，包括新产品发布、产品功能变更、集成的第三方业务或功能变更、产品隐私政策所载明的事项变化、法律法规和政策的变化以及业务模式、信息系统或运行环境的变化。公司在各产品的隐私政策中声明了公司在履行法律法规的义务时须配合公安机关处理与个人信息相关的执法需求。

2）业务开展方面，发行人已在隐私政策中明确数据采集的内容及用户授权方式

C 端业务开展过程中，发行人分别在扫描全能王、名片全能王、启信宝 APP 产品的隐私政策中明示了对用户个人信息的收集和处理、个人信息的传输与共享、个人信息的存储和销毁、个人信息主体权利的实现机制以及个人信息安全保护措施等相关内容。发行人已对历史上存在的数据合规瑕疵进行了整改。截至本回复出具之日，发行人获取、使用的数据类型不存在超出隐私政策的情形。

发行人基于合法、正当、必要的原则在各产品的隐私政策中列示了个人信息主体的规则，其中包括：收集和使用个人信息的目的、业务功能和类型、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况、关于儿童隐私保护指引和第三方服务商清单。各产品的隐私政策等协议中设置了目录摘要，对协议内容进行了概述，以确保用户能够快速了解个人信息保护政策的主要组成部分和个人信息控制者所作声明的核心要旨。

根据三款 APP 的隐私政策，扫描全能王、名片全能王和启信宝 APP 的业务功能分为基本业务功能和扩展业务功能。基本业务功能是 APP 必备的业务功能，扩展业务功能是基于 APP 基本业务扩展的相关服务及其他第三方服务。具体如下表：

在启用不同业务功能前，公司要求用户分别授权。

①对于 C 端 APP 的基本业务功能：对于扫描全能王、名片全能王和启信宝三款APP，公司在各版本产品的用户注册流程中嵌入了隐私政策和用户、服务协议勾选确认的机制。若用户不主动勾选并接受隐私政策和用户、服务协议，则无法完成用户注册流程。

对于扫描全能王、名片全能王和启信宝 APP 的 OCR 识别功能，公司提供单张授权或全集授权机制，用户授权后，APP 才可访问相关内容，扫描全能王、名片全能王和启信宝 APP 不会读取图片库中其他图片信息。对于名片全能王和启信宝 APP 的通讯录信息导入功能，产品提供了通讯录信息的单个联系人授权或全集授权机制，用户授权后，APP 才可访问相关内容，名片全能王和启信宝 APP 不会读取通讯录中其他联系人信息。

②对于 C 端 APP 的扩展业务功能：公司提供了隐私政策授权、手机权限设置和第三方隐私政策弹窗授权这三种方式，以供用户接受并授权同意扩展业务功能收集个人信息的请求。若用户不主动勾选并接受隐私政策，则无法使用对应的扩展业务功能。同时，针对扩展业务功能所收集的个人信息建立了限制处理措施，当数据主体拒绝信息收集时，公司会立即停止对相关数据的收集和处理。

3）对 C 端 APP 的隐私政策进行专项评估

发行人分别聘请了上海市瑛明律师事务所、北京市中伦律师事务所对发行人的三款产品扫描全能王、名片全能王和启信宝 APP 的隐私政策进行了专项评估。

①对于 C 端境内产品：将全国信息安全标准化技术委员会制定的《个人信息安全规范》，以及中国信息通信研究院、电信终端产业协会（TAF）制定的《APP 用户权益保护测评规范》，电信终端产业协会发布的《APP 收集使用个人信息最小必要评估规范》作为对标，梳理报告期内扫描全能王、名片全能王和启信宝 APP 所使用的隐私政策与作为对标依据的法律法规和国家标准之间的合规对标关系。

②对于 C 端境外产品：基于《通用数据保护条例》（General Data ProtectionRegulation, （EU）2016/679 号法规，以下简称“GDPR”）的要求，参考国际信息系统审计协会（ISACA）于 2019 年发布的《GDPR审计矩阵》，针对境外产品扫描全能王（境外版）、名片全能王（境外版）的数据保护及隐私管理制度进行高阶评估，上海市瑛明律师事务所、北京市中伦律师事务所分别出具了《关于上海合合信息科技股份有限公司数据保护及隐私管理的尽职调查报告》。根据 GDPR 的相关规定，公司在截至 2021 年 9 月 30 日、2022 年 12 月 31 日的数据保护及隐私管理制度经高阶评估没有整改建议。

4）发行人采取了一系列措施应对不断调整、日益变化的行业政策

2021 年 11 月 3 日，工信部信息通信管理局通报 38 款 APP 超范围索取权限、过度收集用户个人信息等问题，启信宝 APP 在华为应用市场的 8.1.1.0 版本被指超范围收集个人信息。具体请见本回复“1.关于合规经营”之“三、请保荐机构、发行人律师说明”之“（三）对发行人报告期内所有存在的不合规情形是否构成重大违法违规、是否构成发行上市障碍逐一发表明确核查意见”之“5、启信宝 APP 超范围收集信息”。

用户勾选并同意隐私政策后，发行人通过使用 IMEI 对用户账号和设备进行匹配，该信息收集并未超出启信宝 APP 在华为应用市场的 8.1.1.0 版本的隐私政策的范围。但由于 APP 数据合规相关的行业标准及执行口径不断调整、日益变化，使得发行人未能及时跟上行业检测标准在实践中的应用。为此，发行人进一步采取了如下措施：

①与从事信息安全评估检测服务的权威机构合作，定期进行数据合规安全检测评估：发行人与相关从事信息安全评估检测服务的单位签署了服务合同，定期对发行人的扫描全能王、名片全能王、启信宝 APP 产品进行安全及个人信息合规检测，根据评估及检测结果不断更新 APP 版本，满足不断调整、日益变化的行业政策及行业标准：

②持续关注行业政策的变化，不断加强数据合规相关的内控体系建设：发行人的安全与合规管理委员根据不断更新的数据行业监管、个人隐私保护政策，统筹规划合规与信息安全管理制度体系的维护与持续运作；安全与合规部根据行业与公司业务发展和监管环境变化情况，牵头开展研究工作，包括法律法规、行业政策标准等，基于工作成果，对公司相关经营管理制度中的数据安全、隐私保护等方面的合规性持续进行评估和更新，从内控层面提升公司数据安全与合规管理能力；

③不断加强员工的安全与合规意识教育：安全与合规部组织推动对员工的安全与合规意识教育，牵头定期开展公司内部安全与合规培训工作，内容包括但不限于行业法律法规、政策标准、信息安全知识、用户隐私保护等，加强各级管理人员和员工的数据合规意识。

因此，发行人已对历史上存在的数据合规瑕疵进行了整改。截至本回复出具之日，发行人在 C 端业务中所获取、使用的各类信息数据不存在超出隐私政策的情形，也不存在违反相关法律法规的情形。

5）完善招股书风险提示

发行人已在招股说明书“第三节风险因素”之“二、与行业相关的风险”之“（三）政策变化的风险”中对该风险提示内容进行了更新：公司所处行业具体细分领域为人工智能及大数据软件领域，国家颁布了《个人信息保护法》《数据安全法》《App 违法违规收集使用个人信息行为认定方法》《关于加强科技伦理治理的意见》等多项法律法规及产业政策，不断加强对数据安全、人工智能领域科技伦理治理的规范要求并提升对个人隐私的保护力度。虽然目前发行人的主营业务不涉及科技伦理敏感领域，若未来行业监管政策发生变化，或已有的行业政策及标准发生更新，而公司不能及时适应或满足未来可能更新或出台的监管政策标准，将对公司的持续经营及业务合规性产生不利影响。

3、发行人开展 B 端业务中所获取的各类信息数据的具体储存方式及期限、使用方式及用途，是否存在超出数据获取协议或隐私政策的情形

（1）发行人 B 端业务中所获取、使用的各类信息数据的具体储存方式及期限、使用方式及用途发行人 B 端业务中所获取、使用的各类信息数据的具体储存方式及期限、使用方式及用途具体如下表：

（2）发行人 B 端业务中所获取、使用的各类信息数据不存在超出相关协议的情形

1）截至本回复出具之日，智能文字识别B 端业务获取、使用的各类信息数据不存在超出相关协议的情形，也不存在违反相关法律法规的情形发行人在智能文字识别B 端业务中，与 B 端企业客户签订相关协议后，根据协议具体内容，由 B 端企业客户自主提供证照、票据、名片等样本图片，以便发行人提供证照、银行卡、名片、通用文本、表格等智能文字识别的基础技术服务，名片全能王企业版 SaaS 软件服务及场景化解决方案服务。

智能文字识别 B 端业务的协议中已列明B 端企业客户提供的企业数据、业务资料，以及发行人提供的技术内容、形式及要求。同时，协议中也明确约定了发行人及B端企业客户双方的保密义务。因此发行人在智能文字识别 B 端业务获取、使用的数据不存在超出与 B 端企业客户签署协议范围外的情形，发行人按相关协议要求履行合同，与智能文字识别 B 端客户不存在纠纷或潜在纠纷。

2）截至本回复出具之日，商业大数据 B端业务获取、使用的各类信息数据不存在超出相关协议或隐私政策的情形，也不存在违反相关法律法规的情形

发行人商业大数据 B 端业务中，与 B端企业客户签订相关协议后，根据协议具体内容提供基础数据服务、标准化服务（启信宝 SaaS 软件服务）及场景化解决方案。商业大数据 B 端业务获取、使用的是 B 端企业用户的注册、登录信息以及使用服务时留存的查询记录。该信息仅作为 B 端企业用户注册及登录账号使用、便于发行人为客户定向提供具体的基础数据及标准化服务。商业大数据 B 端业务中的协议中已列明发行人提供的技术内容、形式及要求，并明确为 B 端企业客户提供的自身企业的相关数据、信息和资料。同时，协议中也明确约定了发行人及 B 端企业客户双方的保密义务。因此，截至本回复出具之日，发行人在商业大数据 B 端业务获取、使用的数据不存在超出与 B 端企业客户签署协议范围的情形，发行人按相关协议要求履行合同，与商业大数据 B 端客户不存在纠纷或潜在纠纷，也不存在违反相关法律法规的情形。

问题八

公司各项业务中所销售或交换的各类信息数据的内容、来源、加工处理方式、交付产品形态、客户类型

发行人各项业务中所销售或交换的各类信息数据的内容、来源、加工处理方式、交付产品形态、客户类型如下表所示：

公司智能文字识别业务为 C 端用户和B 端客户提供的服务主要为文档扫描与文字、图片识别服务，不涉及销售数据。

智能文字识别 C 端业务为扫描全能王与名片全能王 APP，所获取、使用的各类信息数据均为在获取用户通过弹窗方式明示同意隐私政策后，用户自主输入或通过第三方组件采集，并根据用户自主上传的文档、图片等数据从而提供文字、图像识别服务，不涉及交换信息数据。智能文字识别 B 端所获取、使用的各类信息数据为根据协议具体内容、由 B 端企业客户自主提供企业信息，以便发行人提供文档扫描与文字识别服务，不涉及交换信息数据。

公司的商业大数据 C 端和 B 端业务涉及的销售或交换的信息数据内容主要为工商信息、司法诉讼、法院公告、经营信息等企业数据，不涉及个人数据。数据的具体来源为发行人向供应商采购或互换和从法院官网、政府部门官网等公开网站自动化访问获取。待发行人对前述数据进行数据挖掘、数据清洗、数据结构化处理等加工后，分别在 C 端形成按期收费的 VIP 会员、付费报告产品，以及在 B 端形成给企业客户提供基础数据服务、标准化服务、场景化解决方案。发行人不存在将从供应商采购/互换的以及自动化访问获取、使用的原始数据直接销售给第三方的情形，前述数据均符合供应商合作协议及网站公开数据处理规范。

问题九

广告换数据、数据换数据的业务模式是否符合行业惯例，数据交易对手方是否具有获取、使用、销售数据的资质，该等数据来源是否合法，该类业务模式是否合规？

1、广告换数据、数据换数据的业务模式是否符合行业惯例

公司在商业大数据业务开展过程中，对外提供包括工商、股权、司法涉诉、失信、舆情、资产等超过 1,000 个数据维度。公司通过购买、自动化访问获取、数据互换等方式获取原始数据，并对原始数据进行加工、处理，形成标准化产品或解决方案后对外出售。公司广告换数据和数据换数据业务的数据供应商大部分不直接对外销售公司所需要的原始数据，因此双方采取互换的形式进行合作，根据对方的需求提供公司的数据或广告服务。换入数据维度主要有经营信息如招投标、招聘、投融资等，该类信息细分维度多且缺乏统一的数据来源，故用互换的方式来获取相关数据。公司在选择互换数据供应商时，一般选择行业内规模较大、资质较好的公司进行合作，确保数据的准确性。

根据公开渠道检索，查询到案例公司与第三方进行战略合作或数据互换情况如下：

综上，数据互换的业务模式符合行业惯例。

2、数据交易对手方是否具有获取、使用、销售数据的资质，该等数据来源是否合法，该类业务模式是否合规

1）数据交易对手方无需具备获取、使用、销售数据的资质

《网络安全法》《中华人民共和国数据安全法》（以下简称 “ 《数据安全法》”）《个人信息保护法》等数据相关法律法规中，对广告换数据、数据换数据业务模式的数据交易对手方并没有明确规定其在获取、使用、销售数据的资质要求。

为进一步明确该数据交易对手方的资质问题，2022 年 3 月 28 日，上海市静安区金融服务办公室组织召开关于合合信息科创板上市审核中重要关注问题的专题会议，市经信委、上海数据交易所、发行人及保荐机构、发行人律师参会。根据《关于上海合合信息科技股份有限公司科创板上市审核中重要关注问题的专题会议纪要》，市经信委认为，“除此类受到中国人民银行直接监管的征信业务外，监管层面对应其他数据业务没有涉及资质、许可或备案要求”，且“根据《上海市数据条例》第十五条规定，自然人、法人和非法人组织可以依法开展数据交易活动。法律、行政法规另有规定的除外。因此，自然人、法人和非法人组织（以下简称“相关主体”）均可从事数据类服务、数据交易，不存在法律法规禁止相关主体从事数据交易活动的情况。”

因此，根据《上海市数据条例》及市经信委的确认，与发行人进行数据采购、数据互换（包括广告换数据、数据换数据）的交易对手方无需具备获取、使用、销售数据的资质。

2）该等数据来源是否合法，该类业务模式是否合规

从数据来源来看，经保荐机构、发行人律师查阅发行人与数据供应商签署的合同及《数据信息使用确认书》，发行人已要求数据供应商通过签署协议条款或者出具《数据信息使用确认书》等方式，从而保障发行人数据采购的合法合规性，并且发行人换入的数据类型都是工商、企业等公开信息，不存在获取个人隐私、敏感信息或非公开信息的情形。

从该等业务模式来看，根据《关于上海合合信息科技股份有限公司科创板上市审核中重要关注问题的专题会议纪要》，市经信委及上海数据交易所认为，数据日常交易中，常见的是数据采购、数据互换或以其他资源与数据进行互换的商业模式。目前国家鼓励倡导数据交易，除在数据交易所进行场内数据交易外，场外数据交易允许对公开渠道获得的数据进行加工，加工所形成的数据产品或服务可进行交易。合合信息通过数据采购或者数据互换等方式获取数据后经过加工对外销售，符合法律法规规定和行业惯例。

因此，广告换数据、数据换数据的业务模式符合行业惯例，数据交易对手方无需具有获取、使用、销售数据的资质，该等数据来源合法，该类业务模式合规。

问题十

公司是否取得了从事数据服务所需的全部资质、许可或备案

发行人从事的数据业务分为企业征信业务及其他数据类业务。对于企业征信业务，上海生腾已取得企业征信机构备案；对于其他数据类业务，发行人无需取得相关资质、许可或备案

发行人的 C 端业务主要为通过扫描全能王、名片全能王、启信宝 APP 三款核心产品为个人用户提供 C 端服务；发行人的 B 端业务主要为面向企业客户提供以智能文字识别、商业大数据为核心的服务。其中，智能文字识别业务主要为将用户所需的文件内容进行识别、处理，不涉及企业征信类业务。

对于不属于征信类业务的数据业务，《网络安全法》《数据安全法》《个人信息保护法》等数据相关法律法规中，未明确数据业务经营者的资质要求。根据《关于上海合合信息科技股份有限公司科创板上市审核中重要关注问题的专题会议纪要》，市经信委确认，“除征信业务外，其他数据业务没有资质、许可或备案要求。”因此，发行人其他不涉及企业征信业务的数据类业务，无需取得资质、许可或备案。发行人从事的数据业务中涉及企业征信业务的，由发行人全资子公司上海生腾开展。上海生腾已于 2020 年 7 月 24 日获得企业征信机构备案，符合《征信业管理条例》《征信业务管理办法》等法规的规定。

问题十一

公司是否从事境外数据业务，是否存在向境外主体提供或销售数据产品及服务的情形，是否合法合规？

1、发行人为日本、美国的 C 端用户提供除中国外的全球企业数据报告服务

2021 年 11 月和 2022 年 3 月，发行人的名片全能王 APP（境外版）分别在日本、美国上线数据报告服务，为 C 端客户提供数据报告，该业务属于境外数据业务。具体业务模式为：名片全能王 APP（境外版）通过 Company Search Incorporated（美国企业，主要提供企业数据库及数据报告，以下简称“CSI”）提供的数据报告接口服务（API），向日本、美国本土的 C 端用户提供除中国外的全球企业数据报告。

报告内容为除中国外的全球企业的概况、财务信息、股东及董事会等公开信息。截至本反馈回复出具之日，该等业务仍处于用户测试阶段。

2、发行人不存在向境外主体提供或销售境内数据相关产品及服务的情形

发行人为日本、美国的 C 端用户提供数据报告的服务，报告内容均为除中国外的全球企业的企业概况、财务信息、股东及董事会等公开信息，不涉及向境外主体提供或销售境内数据产品或服务的情形。

此外，发行人在欧美、东亚等主要国家与地区，针对境外客户的不同偏好与需求进行 C 端产品及 B 端服务的销售。发行人的 C 端产品中，启信宝 APP 不存在境外版本，存在境外版本的为名片全能王 APP（境外版）、扫描全能王 APP（境外版），相关 APP 境外版本中存在的数据均为在获取用户通过弹窗方式明示同意隐私政策后，用户自主输入或通过第三方组件采集的数据，不涉及销售数据，因此不涉及向境外主体提供或销售境内数据产品或服务的情形。B 端境外业务主要为客户提供互联网广告推广服务、手机厂商技术授权业务的服务，不涉及数据业务，不存在向境外主体提供或销售数据产品或服务的情形。

3、发行人从事的境外数据业务合法合规

根据北京炜衡（东京）律师事务所出具的《法律意见书》，发行人向日本本土名片全能王 APP（境外版）用户提供除中国外的全球企业数据报告服务的业务模式在日本合法合规。鉴于现行日本法下对信息提供者没有强行性的资质或准入要求，发行人提供数据服务中的信息均属于企业公开信息，因此发行人可以进行收集、处理、分析、提供等活动，更不涉及将中国境内数据跨境传输至境外的情形。

根据美国律师事务所 Yao Legal Group LLC 出具的《法律意见书》，发行人向美国本土名片全能王 APP（境外版）用户提供除中国外的全球企业数据报告服务的业务模式在美国合法合规。鉴于发行人提供数据服务中的信息均属于公共信息或可通过适当渠道获得的业务公开信息，因此发行人不需要从美国联邦或任何州政府获得任何全国性或全州范围的许可，更不涉及将中国境内数据跨境传输至境外的情形。

另外，为避免发行人未来在从事境外业务时或出现数据流出的情况，在业务管控方面，公司通过用户的登录 IP 地址判断用户分组（中国大陆，欧盟地区，境外（含港澳台）非欧盟地区），并根据分组路由流量至对应服务器，以确保境内用户访问境内互联网时，其流量不被路由到境外。在内控制度方面，公司根据《个人信息安全规范》，制定了《数据管理规定》，规定若境外机构向发行人要求调取存储于中华人民共和国境内的数据，公司的安全与合规部必须严格向公安机关、网信部门等主管机关报告，只有获得审批后方可按主管机关的要求提供。

问题十二

公司关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性，是否符合相关法律法规和政策文件的规定？

（1）发行人关于数据安全、个人信息保护的具体制度、流程措施、内部控制执行情况及有效性

1）发行人已建立并完善一系列的数据安全、个人信息保护内部控制制度

发行人制定了覆盖整个数据生命周期管理的数据安全、个人信息保护相关制度，并设计了相应的管理流程，实现全数据生命周期的管理。具体如下：

发行人制定的《安全与合规管理制度》中，规定了公司合规与信息安全的组织架构，明确了安全与合规管理委员会在数据安全和用户个人信息保护等方面的责任以及安全与合规部和各事业部、项目组的职责，并规定了数据安全和个人信息保护等相关责任机构的汇报层级要求。如下图所示：

发行人设立安全与合规管理委员会，为公司内合规与信息安全相关事务的最高决策机构。安全与合规管理委员会由董事长担任委员会主席，由大数据技术负责人、AI技术负责人等组成委员会委员。董事长为安全与合规管理委员会第一负责人。安全与合规管理委员会对公司产品的用户个人信息安全负有全面的领导责任。

安全与合规管理委员会下设安全与合规部，负责公司合规与信息安全日常管理工作，贯彻安全与合规管理委员会的相关决议，监督、协调和规范公司的合规与信息安全工作。各事业部、项目组是合规与信息安全的执行机构，负责执行相关管理要求，落实具体工作。

2）发行人已针对数据安全、个人信息保护采取了一系列的流程措施

对于数据安全和个人隐私的保护措施与手段，发行人采取了一系列流程措施。发行人在数据来源、数据存储、数据使用和数据持续管理四大流程方面与主营业务的对应关系具体如下：

①数据来源方面的流程及内控措施

发行人在开展 C 端及 B 端业务前通过数据供应商采购、互换和自动化访问获取的方式获取数据。具体流程为数据采购、自动化访问获取；数据清洗及数据打标处理及数据入库。基于前述业务流程，发行人在开展 C 端及 B 端业务前获取的数据及相应的内控措施如下：

发行人在开展 C 端及 B 端业务前获取的数据均按照《数据采购管理规范》《通过自动化访问获取数据操作规范》进行管理，相关流程及内控措施得到有效执行。

②C端数据存储方面的内控及流程措施

发行人在开展 C 端业务过程中，C 端业务主要为扫描全能王、名片全能王、启信宝 3 款核心产品，对于扫描全能王和名片全能王，主要的流程包括用户注册；用户登录；上传、扫描文档及图片；购买付费产品或服务等。对于启信宝，主要的业务流程包括用户注册、登录、查询、购买付费产品或服务等。基于前述业务流程，C 端业务获取的数据及相应的内控措施如下：

发行人在开展 C 端业务时获取的用户相关数据均按照《用户个人信息安全管理规定》和《数据库安全管理规范》进行管理。数据安全部分，发行人严格管理存储用户数据的本地服务器数据库、大数据平台以及存储用户订单支付、开票数据的第三方云平台。境内用户数据全部存储于中国境内，不存在将境内数据流转至境外的情形。境外用户数据按照《通用数据保护条例》存储在公司的第三方云平台在境外的数据中心，并实行异地备份。C 端数据存储相关流程及内控措施得到有效执行。

③B端数据存储方面的流程及内控措施

发行人在开展 B 端业务过程中，B 端业务主要为智能文字识别 B 端业务和商业大数据 B 端业务，对于智能文字识别 B 端业务，主要的流程为用户使用公司的智能文字识别的产品扫描后上传证照、票据、名片等样本图片。对于商业大数据 B 端业务，用户需要进行注册及登录（若有）、调用数据/上传信息/查询信息等。基于前述业务流程，B 端业务获取的数据及相应的内控措施如下：

发行人在开展 B 端业务时获取的用户相关数据均按照《数据管理规定》《数据库安全管理规范》进行管理，严格按照与 B 端用户签署的协议获取相关数据，不存在超出协议范围的情形。B 端境内用户数据全部存储于中国境内，不存在将境内数据流转至境外的情形。B 端境外用户数据按照《通用数据保护条例》存储在公司的第三方云平台在境外的数据中心，并实行异地备份。B 端数据存储相关流程及内控措施得到有效执行。

④数据使用

发行人在对商业大数据进行数据使用方面均按照内控制度及措施进行管理。对于数据库中的数据进行定期检查和综合评估，确保数据均为公开信息，不存在个人信息及个人隐私数据。数据使用相关流程及内控措施得到有效执行。

⑤数据持续管理

此外，发行人在开展 C 端和 B 端业务时持续对数据安全及个人信息保护进行管理。数据安全方面，对于 C 端业务，发行人依据相关法律、法规制定了《隐私政策管理规范》，以规范隐私政策的制定流程、标准和展示方式，并明确了产品隐私政策编制和修订的场景，包括新产品发布、产品功能变更、集成的第三方业务或功能变更、产品隐私政策所载明的事项变化、法律法规和政策的变化以及业务模式、信息系统或运行环境的变化，并持续对涉及三款 APP 的隐私政策依照法律法规进行更新和编制。

对于 B 端业务，公司制定了《数据管理规定》《数据库安全管理规范》，规定每年至少对业务数据库的库表、字段及数据示例进行一次分类分级筛选，确保数据库的数据符合与数据供应商、B 端用户签署的协议和网站 Robots 协议。

个人信息保护方面，公司制定了《用户个人信息安全管理规定》，其中规定安全与合规部须定期（至少每年一次）对属于个人信息敏感岗位的相关人员开展个人信息安全的专业化培训和考核，其内容包含个人信息安全职责，以确保相关人员熟练掌握个人信息保护政策和相关规程。被培训人员在培训完成后均须通过培训考核。公司还定期开展数据保护及隐私合规培训。

（2）发行人符合数据安全、数据合规相关法律法规和政策文件的规定

1）发行人不属于关键信息基础设施的运营者，发行人的主营业务无需按规定进行安全背景审查和网络安全审查

①法律法规规定

②公司基本情况

公司的主营业务中，智能文字识别业务为 C 端和 B 端客户提供基于自客户渠道获取的各类文档图像的智能扫描及文字识别服务，商业大数据业务为 C 端和 B 端客户提供基于公开或客户渠道获取的企业数据而提供大数据挖掘及分析服务，互联网广告推广业务为 B 端广告客户提供广告营销服务，手机厂商技术授权业务为手机厂商提供文字识别技术模块授权服务。

公司的主营业务不属于《关键信息基础设施安全保护条例》所提的“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域”，也不属于“其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”领域，因此公司不属于关键信息基础设施的运营者，无需按照《关键信息基础设施安全保护条例》规定进行安全背景审查，也无需按照《数据安全法》《网络安全法》《网络安全审查办法》规定主动进行安全审查。

2）发行人符合数据安全、数据合规相关法律法规和政策文件的规定

根据上海市瑛明律师事务所、北京市中伦律师事务所分别出具的《关于上海合合信息科技股份有限公司数据安全管理的尽职调查报告》，截至评估基准日 2021 年 9 月30 日、2022 年 12 月 31 日，发行人在所有重大方面符合了《网络安全法》《个人信息保护法》《数据安全法》等尽职调查所涉的法律法规和相关指南的规定。

2021 年 11 月 3 日工信部信息通信管理局通报 38 款 APP 超范围索取权限、过度收集用户个人信息等问题，启信宝 APP 在华为应用市场的 8.1.1.0 版本被指超范围收集个人信息。用户勾选并同意隐私政策后，发行人通过使用IMEI 对用户账号和设备进行匹配，该信息收集并未超出启信宝 APP 在华为应用市场的 8.1.1.0 版本的隐私政策的范围。但由于 APP 数据合规相关的行业标准及执行口径不断调整、日益变化，使得发行人未能及时跟上行业检测标准在实践中的应用。因此，截至本回复出具之日，发行人在 C 端业务中所获取、使用的各类信息数据不存在超出隐私政策的情形，也不存在违反相关法律法规的情形。

就上述事宜，公司已根据工信部信息通信管理局的整改要求在全国 APP 技术检测平台提交了 APP 复测版本；启信宝 APP 业务的运营主体上海生腾已按照要求出具《企业自律承诺函》，承诺定期进行 APP 的个人信息保护合规自查、保障用户权益、规范APP 内共享信息的情况、严格上架审核等。发行人已于 2021 年 11 月 8 日通过全国APP 技术检测平台提交《整改报告》，并于 2021 年 12 月 10 日收到《启信宝 APP复测问题列表》。根据《启信宝 APP 复测问题列表》，复测结果为“整改完成”，即通过全国 APP 技术检测平台的复测，发行人已在工信部信息通信管理局的规定期限内完成整改。

发行人在智能文字识别 B 端业务中，与B 端企业客户签订相关协议后，根据协议具体内容，由 B 端企业客户自主提供各类文档样本图片，以便发行人提供各类文档智能文字识别的基础技术服务、名片全能王企业版 SaaS 软件服务及场景化解决方案服务。

发行人商业大数据 B 端业务中，与 B端企业客户签订相关协议后，根据协议具体内容基于公开或客户渠道获取的企业数据提供基础数据服务、标准化服务（启信宝SaaS软件服务）及场景化解决方案。商业大数据 B 端业务获取、使用的是 B 端企业用户的注册、登录信息以及使用服务时留存的查询记录。该信息仅作为 B 端企业用户注册及登录账号使用、便于发行人为客户定向提供具体的基础数据及标准化服务。

发行人的智能文字识别和商业大数据 B 端业务的协议中已列明 B 端企业客户提供的企业数据、业务资料，以及发行人提供的技术内容、形式及要求。同时，协议中也明确约定了发行人及 B 端企业客户双方的保密义务。因此发行人在 B 端业务获取、使用的数据不存在超出与 B 端企业客户签署协议范围外的情形，发行人按相关协议要求履行合同，与 B 端客户不存在纠纷或潜在纠纷。

保荐机构、发行人律师已访谈上海市公安局静安分局网络安全保卫支队，其已确认发行人在报告期内不存在因数据采集、购买、保管、使用、销售等事宜违反网络信息安全相关的法律、法规和规范性文件的情形，不存在因网络信息安全方面的违法违规行为而受到行政处罚或因涉嫌违法违规而被立案调查。发行人符合数据安全、数据合规相关法律法规和政策文件的规定，发行人已对历史上存在的数据合规瑕疵进行了整改。截至本回复出具之日，发行人在 C 端业务中所获取、使用的各类信息数据不存在超出隐私政策的情形、发行人在 B 端业务中所获取、使用的各类信息数据不存在超出相关协议的情形，C 端和 B 端业务均不存在违反相关法律法规的情形。

发行人已在招股说明书“第三节风险因素”之“二、与行业相关的风险”之“（三）政策变化的风险”补充披露如下：

公司所处行业具体细分领域为人工智能及大数据软件领域，国家颁布了《个人信息保护法》《数据安全法》《App 违法违规收集使用个人信息行为认定方法》《关于加强科技伦理治理的意见》等多项法律法规及产业政策，不断加强对数据安全、人工智能领域科技伦理治理的规范要求并提升对个人隐私的保护力度。虽然目前发行人的主营业务不涉及科技伦理敏感领域，若未来行业监管政策发生变化，或已有的行业政策及标准发生更新，而公司不能及时适应或满足未来可能更新或出台的监管政策标准，将对公司的持续经营及业务合规性产生不利影响。

参考资料：

合合信息公告，包括：

上海合合信息科技股份有限公司科创板首次公开发行股票招股说明书

8-1发行人及保荐机构关于审核中心意见落实函的回复

8-1-3发行人及保荐机构关于第三轮审核问询函的回复(2022年年报财务数据更新版)

8-1-2发行人及保荐机构关于第二轮审核问询函的回复(2022年年报财务数据更新版)

8-1-1发行人及保荐机构关于审核问询函的回复(2022年年报财务数据更新版)

本文基于公开资料撰写，仅作为信息交流之用，不构成任何投资建议。

欢迎分享，留言交流。转载请注明出处。

— END —

往期推荐