[上市]每日互动:北京市万商天勤律师事务所关于公司首次公开发行人民币普通股(A股)股票并在创业板上市的补充法律意见书(四)
说明: 房地产类封面 法律意见书 说明: aa.jpg 目 录 声 明 ................................ ................................ ................................ ........................... 5 正 文 ................................ ................................ ................................ ........................... 7 口头反馈问题一:请发行人补充说明“个推大数据平台”的数据来源及合规 性,包括数据的具体来源及协议,公司取得数据后用来做商业化变现的合规 性。..................................................................................................................................... 7 口头反馈问题二:请发行人补充说明发行人在增值电信业务经营许可证 (ICP)办理过程中涉及VIE股东的合法性 ................................................................. 17 口头反馈问题三:欧盟《通用数据保护法案》(General Data Protection Regulation, GDPR)的颁布实施对于发行人经营业务有什么影响,发行人有 什么整改措施,是否存在被处罚的风险,GDPR对于发行人未来的业务经营 是否存在影响。................................................................................................................ 25 口头反馈问题四:发行人通过APP授权获取的用户信息用于互联网营销或其 他业务是否超过用户对APP的授权范围 ...................................................................... 29 口头反馈问题五:论述红筹架构拆除后,方毅对发行人董事会的控制的有效 性,包括董事会组成,董事提名任免等;沈欣与方毅一致行动协议的期限、 条款。............................................................................................................................... 32 口头反馈问题六:沈欣在报告期中将浙江东冠、梦凯网络转让,请发行人补 充说明相关受让方信息、转让作价及支付情况。........................................................ 36 口头反馈问题七:请补充说明追加亿启网络为关联交易履行的内部决策程 序。................................................................................................................................... 40 口头反馈问题八:SHEN JIAN在境外持股和退出的具体过程,与沈欣之间是 否存在股份代持?退出个推集团后SHEN JIAN从事的主要业务?是否存在 同业竞争?........................................................................................................................ 40 北京市万商天勤律师 事务所 关于浙江每日互动网络科技股份有限公司 首次公开发行人民币普通股( A 股)股票并在创业板上市 的 补充 法律意见书 ( 四 ) 致:浙江每日互动网络科技股份有限公司 本所依据与发行人签署的《法律服务合同》,担任发行人本次发行并上市的 专项法律顾问。本所律师根据《公司法》、《证券法》、《创业板首发管理办法》、 《从业管理办法》、《执业规则》等法律、法规和中国证监会的有关规定,按照 中国证监会《编报规则第12号》的要求,遵照律师行业公认的业务标准、道德规 范和勤勉尽责精神,对发行人已经提供的与本次发行有关的文件和事实进行了核 查和验证,于2017年9月4日出具了《北京市万商天勤律师事务所关于浙江每日互 动网络科技股份有限公司首次公开发行人民币普通股(A股)股票并在创业板上 市的法律意见书》与《北京市万商天勤律师事务所关于浙江每日互动网络科技股 份有限公司首次公开发行人民币普通股(A股)股票并在创业板上市的律师工作 报告》、于2018年2月27日出具了《北京市万商天勤律师事务所关于浙江每日互 动网络科技股份有限公司首次公开发行人民币普通股(A股)股票并在创业板上 市的补充法律意见书(一)》、于2018年3月30日出具了《北京市万商天勤律师 事务所关于浙江每日互动网络科技股份有限公司首次公开发行人民币普通股(A 股)股票并在创业板上市的补充法律意见书(二)》及《北京市万商天勤律师事 务所关于浙江每日互动网络科技股份有限公司首次公开发行人民币普通股(A 股)股票并在创业板上市的补充法律意见书(三)》。 根据《证券法》、《公司法》、《编报规则第12号》、《从业管理办法》等 法律、法规和规范性文件的有关规定,本着律师行业公认的业务标准、道德规范 和勤勉尽责精神,遵照中国证监会的要求,就2018年4月至2018年6月期间的口头 反馈问题及相关事项出具本补充法律意见书。 《法律意见书》、《补充法律意见书(一)》、《补充法律意见书(二)》、 《补充法律意见书(三)》中释义适用于本补充法律意见书,本补充法律意见书 构成对《法律意见书》、《补充法律意见书(一)》、《补充法律意见书(二)》、 《补充法律意见书(三)》的补充,《法律意见书》、《补充法律意见书(一)》、 《补充法律意见书(二)》、《补充法律意见书(三)》未被本补充法律意见书 修改的内容继续有效。 本所律师根据有关法律、法规和规范性文件的规定,按照律师行业公认的业 务标准、道德规范和勤勉尽责的精神,现出具补充法律意见书如下: 声 明 在出具本补充法律意见书之前,本所律师声明如下: 1、本所及本所律师依据《证券法》、《编报规则第12号》、《从业管理办 法》和《执业规则》等规定及本补充法律意见书出具日以前已经发生或者存在的 事实,严格履行了法定职责,遵循了勤勉尽责和诚实信用原则,进行了充分的核 查验证,保证本补充法律意见书所认定的事实真实、准确、完整,所发表的结论 性意见合法、准确,不存在虚假记载、误导性陈述或者重大遗漏,并承担相应法 律责任。 2、发行人已书面承诺,其已向本所律师提供了出具法律意见书和律师工作 报告所必需的全部有关事实材料、批准文件、证书和其他有关文件,有关材料无 任何虚假记载、误导性陈述或重大遗漏,所有书面材料均真实、合法、有效,所 有的复印件或副本均与原件或正本完全一致。 3、本所律师对与出具本补充法律意见书有关的事实、批准文件、证书和其 他有关文件进行了核查,但本补充法律意见书仅就与本次发行并上市有关的中国 境内法律问题发表法律意见,本所及本所律师并不具备对有关会计、验资及审计、 资产评估及境外法律事项等专业事项发表专业意见的适当资格。本补充法律意见 书中对有关会计报表、验资及审计报告、评估报告及境外法律事项等文件某些内 容的引述,并不表明本所律师对该等内容的真实性、准确性、合法性作出任何判 断或保证。 4、本补充法律意见书是本所律师基于对本次发行并上市有关事实的了解和 对法律的理解而出具的。对于出具本补充法律意见书至关重要而无独立证据支持 的证明的事实,本所律师依赖于有关政府部门、发行人或者其他有关单位出具的 证明文件作出判断。 5、本所律师同意发行人在其为本次发行并上市编写的招股说明书中自行引 用或按中国证监会审核要求引用本补充法律意见书的内容。但发行人作上述引用 时,不得因引用而导致法律上的歧义或曲解。除本次发行并上市目的之外,非经 本所同意,本补充法律意见书不得用于任何其他目的。 6、本所律师同意将本补充法律意见书作为本次发行并上市申报材料之一, 随其他材料一起报送有关主管部门审核,并依法对发表的法律意见承担相应的法 律责任。 正 文 口头 反馈问题一 : 请发行人补充说明“个推大数据平台”的数据来源 及合规性,包括数据的具体来源及协议,公司取得数据后用来做商业 化变现的合规性。 回复: 一、 个推大数据平台中的数据来源 1 、每日互动与 APP 开发者之间通过协议约定作为共同控制者获取用户数据 信息 根据 公司 与 APP 开发者之间签署的《个推使用协议》等协议, AP P 开发者 将个推信息推送平台软件开发包( “ 个推 SDK ” ) 嵌入 APP 软件,并授权 公司 通 过 APP 软件获取推送所必需的合理用户信息。在 APP 开发者将 “ 个推 SDK ” 与 其移动应用集成后, 公司 可通过且仅通过集成了个推 SDK 的 APP 获取用户数据。 因此, 公司 系通过 APP 开发者获取用户数据信息。 2 、每日互动获取用户数据信息系根据协议约定在授权范围内获取 根据 APP 开发者与 公司 有关《个推使用协议》等协议就 公司 获得用户数据 信息进行明确约定, “ APP 开发者须以适当方式使用户知晓该 APP 产品集成了发 行人推送服务功能模块,并应确保用 户知悉且同意 APP 获取用户相关信息的权 利适当延展至个推使其可以获取实现相关推送功能所必要的合理信息 ” 。 根据《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》 等规定,互联网信息服务提供者收集、使用用户个人信息的,应当明确告知用户 收集、使用信息的目的、方式和范围,并根据双方的约定收集、使用信息。因此, APP 开发者通过《用户协议》、《隐私政策》等协议(统称 “ 《用户协议》 ” )约定 获得用户授权。 3 、 APP 开发者 的用户协议明确了用户信息授权许可的范围及于第三方 公司对截至 2017 年 12 月 31 日当天 设 备日联网数 1前 20 名 的 APP 产品及用 户协议 进行了梳理,其用户协议 约定具体如下: 1 日联网数,又称日活跃用户量,指一日之内登录、使用移动应用的用户 CID 数据(去除重复用户),用户 打开或使 用移动应用时,联网状态下会向发行人服务器发送登录记录,发行人将用户当日的登录记录按照 CID 进行去重,去重后的 CID 即为日活跃用户量。 序 号 客户名称 2017年12 月31日日 联网数 APP 名称 APP用户协议内容 1 北京达佳互联信息技 术有限公司 112,821,174 快手 快手公司收集的您的个人信息,将被用以向您提供正常服务、优化快手公司的服务以及保障您的账号 安全、向您推送展示广告等。快手公司在已取得用户授权或同意的前提下向第三方共享或转让用户和 人信息。 2 墨迹风云(北京)软件 科技发展有限公司 24,784,904 墨迹 天气 墨迹天气需要能识别您身份的信息(个人信息)或者可以与您联系的信息时,会征求用户的同意,并 在用户允许后这些信息与第三方共享。 3 厦门美图之家科技有 限公司 18,749,118 美颜 相机 我们提供的服务可能包括属于我们的服务供应商的第三方追踪工具。该第三方可能会在我们提供的服 务中使用cookies、APIs(应用程序编程接口)及SDKs(软件程序开发包),由此代表我们收集并分 析用户信息。第三方可能会访问诸如您的设备标识符、MAC(媒体访问控制)地址、IMEI(移动设备 国际身份码)、区域(使用给定语言的特定地点)、地理位置信息及IP 地址等信息,旨在实现在其各 自隐私政策下提供服务。 4 湖南快乐阳光互动娱 乐传媒有限公司 15,827,486 芒果 TV 用户知悉并同意,为便于向用户提供更好的服务,快乐阳光公司将在用户自愿选择服务或者提供信息 的情况下收集用户的个人信息,并将这些信息进行整合。在征得用户事先许可后,方可将这些信息对 外披露或向第三方提供。 5 厦门美图之家科技有 限公司 13,578,660 美图 秀秀 我们提供的服务可能包括属于我们的服务供应商的第三方追踪工具。该第三方可能会在我们提供的服 务中使用cookies、APIs(应用程序编程接口)及SDKs(软件程序开发包),由此代表我们收集并分 析用户信息。第三方可能会访问诸如您的设备标识符、MAC(媒体访问控制)地址、IMEI(移动设备 国际身份码)、区域(使用给定语言的特定地点)、地理位置信息及IP地址等信息,旨在实现在其各 自隐私政策下提供服务。我们的隐私政策不会覆盖到第三方追踪工具的使用。我们没有权限访问或控 制这些第三方。如果您想知道更多相应第三方信息,请发送电子邮件至support@meitu.com 或者 legal@meitu.com。 6 北京嘀嘀无线科技发 展有限公司 13,239,499 滴滴 出行 您通过滴滴平台使用第三方服务时,滴滴会按照“个人信息的收集”条款列明的共享内容与提供服务 的第三方共享您的个人信息。 序 号 客户名称 2017年12 月31日日 联网数 APP 名称 APP用户协议内容 7 北京酷我科技有限公 司 11,951,372 酷我 音乐 除以下情形外,未经您同意,我们以及我们的关联公司不会与任何第三方分享您的个人信息:我们以 及我们的关联公司,可能将您的个人信息与我们的关联公司、合作伙伴及第三方服务供应商、承包商 及代理(例如代表我们发出电子邮件或推送通知的通讯服务提供商、为我们提供位置数据的地图服务 供应商)分享(他们可能并非位于您所在的法域),用于向您提供我们的服务; 8 北京京东叁佰陆拾度 电子商务有限公司 11,073,865 京东 商城 我们可能会向合作伙伴等第三方共享您的订单信息、账户信息、设备信息以及位置信息,以保障为您 提供的服务顺利完成。但我们仅会出于合法、正当、必要、特定、明确的目的共享您的个人信息,并 且只会共享提供服务所必要的个人信息。 9 网易传媒科技(北京) 有限公司 10,473,001 网易 新闻 除以下情形外,未经您同意,我们不会与网易之外的任何第三方分享您的信息:……2、维护和改善我 们的服务。我们可能向合作伙伴及其他第三方分享您的信息,以帮助我们为您提供更有针对性、更完 善的服务,例如:代表我们发出电子邮件或推送通知的通讯服务提供商等; 10 广州品唯科软件有限 公司 9,909,903 唯品 会 我们会对我们的产品与/或服务使用情况进行统计,并可能会与公众或第三方共享这些统计信息,以展 示我们的产品与/或服务的整体使用趋势。但这些统计信息不包含您的任何身份识别信息。 11 上海基分文化传播有 限公司 9,831,562 趣头 条 为实现本协议之目的,基分文化可能通过使用用户的信息,向用户提供服务,包括但不限于向用户发 送产品和服务信息,或者与基分文化的合作伙伴共享信息(包括但不限于共享用户的帐号、名称、手 机号、电子邮箱地址和出生日期等),以便相关合作伙伴向用户发送有关其产品和服务的信息。 12 珠海金山办公软件有 限公司 8,944,607 WPS Office 授权软件、金山办公在线服务可能包括属于金山办公的服务供应商的第三方追踪工具,该第三方可能 会在授权软件、金山办公在线服务中使用cookies、APIs(应用程序编程接口)及SDKs(软件程序开 发包),由此代表金山办公收集并分析技术信息等。无论是金山办公还是前述第三方收集的该等技术 信息均是出于帮助金山办公更好的了解和改善授权软件、金山办公在线服务之目的,并非用于识别任 何特定的个人。 13 东峡大通(北京)管理 咨询有限公司 8,039,205 OFO 为更好地提供服务和升级产品,ofo 可能会将个人信息数据提供给第三方用于分析和统计。以上第三方 企业或个人,只有在必须的情况下才会接触到您的个人信息,同时ofo 会确保他们受到严格的保密义 务的约束。 序 号 客户名称 2017年12 月31日日 联网数 APP 名称 APP用户协议内容 14 随身云(南京)信息技 术有限公司 8,021,920 中华 万年 历 为了运营和改善随身移动的技术和服务,随身移动将可能会自行收集使用或向第三方提供用户的非个 人隐私信息,这将有助于中华万年历向用户提供更好的用户体验和提高中华万年历的服务质量。 15 北京摩拜科技有限公 司 7,772,304 摩拜 单车 您理解并同意,我们可能会与第三方合作向您提供相关的服务,在此情况下,如该等第三方同意承担 与我们同等的个人信息保护义务,则我们有权将您的注册资料等提供给该等第三方,用于向您提供服 务之目的。 16 深圳市迅雷网络技术 有限公司 7,358,039 迅雷 迅雷公司基于下列原因需要使用到用户的信息资源:(5)因用户使用本软件特定功能或因用户要求迅 雷或合作单位提供特定服务时,迅雷或合作单位则需要把用户的信息提供给与此相关联的第三方。 17 拉扎斯网络科技(上 海)有限公司 7,293,665 饿了 么 我们及我们的关联公司,可能将您的个人信息与我们的关联公司、合作伙伴及第三方服务供应商、承 包商及代理分享,用于以下用途:向您提供我们的服务;实现我们可能如何使用信息部分所述目的; 履行《服务协议》及《隐私协议》中的义务、权利;理解、维护和改善我们的服务。 18 武汉斗鱼网络科技有 限公司 7,266,681 斗鱼 直播 因收集您的信息是为了向您提供服务及提升服务质量的目的,为了实现这一目的,斗鱼会把您的信息 用于下列用途:向您推荐您可能感兴趣的内容,包括但不限于向您发出产品和服务信息,或通过系统 向您展示个性化的第三方推广信息,或者在征得您同意的情况下与斗鱼的合作伙伴共享信息以便他们 向您发送有关其产品和服务的信息。 19 北京五八信息技术有 限公司 7,254,536 58同 城 我们对您的信息承担保密义务,我们仅会在下列情况下才将您的信息与第三方共享:5、向合作伙伴提 供您的信息,前提是58同城旗下相应主体已与该第三方签署了适当的保密条款;8、只有共享您的信 息,才能提供您需要的服务,或处理您与他人的纠纷或争议。13、为更好地向您提供服务所需的其他 情形。因此,请您谨慎考虑通过我们的服务上传、发布和交流的信息内容。在一些情况下,您可通过 我们某些服务的隐私设定来控制有权浏览您共享信息的用户范围。如要求从我们的服务中删除您的相 关信息,请通过该等特别服务条款提供的方式操作。 序 号 客户名称 2017年12 月31日日 联网数 APP 名称 APP用户协议内容 20 宇龙计算机通信科技 (深圳)有限公司 6,354,037 最美 天气 你于此授权,以下情形我们将会向第三方共享你的个人信息而无需通过你的同意:我们将个人信息提 供给我们的子公司、关联公司或其他可信赖的企业或个人,以便其代表我们处理个人信息。我们要求 上述各方同意按照我们的规定、本隐私权政策以及其他任何适用的保密和安全措施来处理这些个人信 息。我们可能会基于经营或保护用户的需要,如为了展示我们产品或服务的整体使用趋势,同公众以 及合作伙伴合理地分享汇总的非个人信息。 根据上述协议,公司合作的头部 APP 均在其用户协议中明确了 用户知晓该 APP 产品集成了 第三方的产品或服务 , 第三方有权基 于用户对该 APP 的授权而获取用户信息,并在用户的授权范围内合法使用用户信息。 因此, 公司 不直接 获取用户信息,而是通过 APP 开发者在获得终端用户授 权后,通过 APP 开发者获得经用户授权的用户数据信息;而且,只有签署了《个 推使用协议》同意上述约定的 APP 开发者, 公司 方通过其 APP 获得经用户授权 的用户数据信息。 公司 不存在未经用户同意和授权获取信息的情形。 二、公司通过 个推 SDK 采集的具体数据信息及信息处理过程 1 、 公司通过 个推 SDK 采集的数据信息及采集目的 公司 通过个推 SDK 采集获取如下信息并用于相关业务,具体如下: ( 1 ) IMEI/IDFA/MAC 2、机型等设备信息 2 IDFA 指 Identifier For Advertising ,是苹果在 iOS 系统中帮助广告主、 App 开发者用以标识设备的 ID 。 MAC 指 Media Access Control 或者 Medium Access Control ,意译为媒体访问控制,或称为物理地址、硬件 地址,用来定义网络设备的位置。 3心跳监测指客户端和服务端之间相互发送报文来告诉对方自己当前的状态,如果在 指定的时间内未收到对 方发送的报文,那么就认为对方失效,这时需进行重新连接以恢复链路。 由于国内大部分安卓手机上 Android ID 缺失,且存在大量非标准的小品牌手 机所导致的 ID 重码现象,单一的手机设备信息无法准确对设备进行分辨,因此 需获取 IMEI 等信息进行组合分析,以免设备重码,从而 确定唯一设备 ID , 用于 对用户进行画像,进行个性化推送等。 ( 2 ) 应用列表( APP List ) 公司采用合并链路技术进行技术推送。当一个设备有多个 APP 的推送链路 同时活跃时,公司会通过投票机制动态决定让多条链路合并成一条链路,因此需 获得移动终端的应用列表。合并链路可以 达到省电省流量的目的,用于 公司的基 础推送、轻推送等业务 。 ( 3 ) 网络信息 为了最大程度 保持网络连接的稳定性,公司的推送 SDK 需要了解设备的网 络状态,包括 WiFi 、基站等网络信息连接状态,以保证最佳的心跳 3和联网策略, 从而实现稳定连续的推送服务。在此基础上,通过分析该等网络信息,可确定用 户场景,实现基于场景的智能推送。 2 、信息处理 公司获取的手机设备信息,用于生成唯一设备 ID ,该 ID 的用途为脱敏和识 别唯一设备,公司在确定设备的唯一性后,对同一个设备上多个 APP 的数据进 行合并。 公司在获取应用列表和网络信息数据后,通过进一步分析形成了用户的线上 行为数据和线下行为数据。 公司对唯一设备 ID 和线上 (下)行为数据进一步进行综合分析,从而生成 标签数据。例如:公司通过挖掘同一个唯一设备 ID 下到访过汽车展会的频次、 日期、驾考类和汽车交易类 APP 的安装日期等数据,将其作为特征数据,通过 逻辑回归等数据挖掘模型,打上“汽车”标签。 同时, 公司 对于其收集的数据采用通用不可逆的 MD5 加密模式储存,进一 步保证数据的安全性。 三、公司 获取的信息不属于个人信息及个人敏感信息 1 、 公司 用于推送业务所获得的 IMEI/IDFA/MAC 、机型、 APP List 、 WiFi 信 息等用户数据信息并不属于《电信和互联网用户个人信息保护规定》 (工业和信 息化部令第 24 号)规定的: “ 电信业务经营者和互联网信息服务提供者在提供服 务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号 和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时 间、地点等信息 ” 等用户个人信息,亦不属于最高人民法院、最高人民检察院《关 于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔 2017 〕 10 号)规定的: “ 电子或者其他方式记录的能够单独或者与其他信息结合识别特定 自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、 通 信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等 ” 公民个人信息。 2 、个推 SDK 采集的数据信息符合最少够用等原则。最少够用原则指除与个 人信息主体另有约定外,只处理满足个人信息主体授权同意的目的所需的最少个 人信息类型和数量。实际上, 公司 就其基础推送及互联网营销所采用数据,仅限 于 MEI/IDFA/MAC 、机型、 APP List 、 WiFi 信息等设备数据,不存在收集 APP 用户个人信息等超范围获取额外数据等情形。 四、 上述数据信息可用于其他增值服务 1 、轻推送、移动互动网营销 在 APP 开发者与 公司 签署的协议中, A PP 用户已通过用户协议等方式授权 公司 向其推送信息,即在 APP 安装时明确提示用户是否同意向其推送消息,在 同意情况下用户才会接收到消息推送,包括提醒类消息(微信通知等)、功能性 消息(天气情况等)、商业性消息(淘宝、京东的促销广告信息,大众点评、美 团的店铺活动信息)等,因此, 公司 向 APP 用户推送广告等信息未超越 APP 用 户授权的范畴。 2 、用户画像、数据统计 用户画像、数据统计服务指公司为移动应用开发者提供的 APP 使用人群属 性特征画像服务及使用人群数据统计服务,上述服务通过分析指定 APP 收集的 数据为该 APP 开发者分 析其用户的基本特征并出具分析报告。用户画像、数据 统计服务无需额外收集用户其他信息且分析报告为人群指向,不会泄露特定个人 信息,因此未超出用户协议授权范围,也 未 违反个人信息保护的法律规定。 3 、其他数据服务 公司 其他数据服务主要为 DMP ( Data Management Platform )业务,即把分 散的多方数据进行整合纳入统一的技术平台,并对数据进行标准化和细分后形成 的数据管理平台。 公司 通过技术推送等服务积累的海量数据,经脱敏、挖掘、整 合后形成的具有标签化、精细化特征的 “ 数据仓库 ” ,帮助客户其识别虚假流量, 指导 其在程序化广告的采买中进行交易。上述服务 公司 无需另行采集用户信息, 也无需向任何第三方透漏用户数据信息,仅需通过客户提供的信息为客户提供价 值判断,因此未超出用户协议授权范围,也 未 违反个人信息保护的法律规定。 五、公司 数据增值服务不存在违反相应法律法规情形 1 、广告类业务 公司 代理广告均依照《中华人民共和国广告法》及《互联网广告管理暂行办 法》要求显著标明 “ 广告 ” 的规定,在通知栏或落地页显著位置标识了 “ 广告 ” 字样;同时, 公司 受托发送的广告内均经广告主自查, 公司 审核,并经 APP 开 发者终审同意后,方可发送 ,对于医疗美 容等特殊行业,发行人还需要广告主提 供卫生和计划生育委员会专项文件作为广告发送的先决条件 。 此外, 公司 至今为止不存在因违反《中华人民共和国广告法》等相关法律法 规而受到处罚情形。 公司 也获得了工商行政主管部门出具的合法合规证明文件, 证明 公司 在报告期内不存在因违法违规被行政处罚的记录。 2 、基础数据业务 公司 获取的数据信息不属于个人信息及个人敏感信息,也不存在买卖数据信 息的情形,符合《网络安全法》、《电信和互联网用户个人信息保护规定》(工业 和信息化部令第 24 号)、《关于办理侵犯公民个人信息刑事案件适用法律若干问 题的 解释》等法律法规的规定。 3 、合法合规 公司 已取得杭州市公安局网络警察分局出具的证明文件,证明 公司 自 2010 年 12 月 7 日至 2017 年 12 月 31 日,未发现 公司 存在违反互联网信息管理有关法 律、法规和规范性文件的情形,无与互联网信息服务管理有关的行政或刑事处罚 记录。 综上所述,根据发行人的说明,并 通过公开信息及 “ 国家企业信用信息公示 系统 ” 、 “ 中国裁判文书网 ” 、 “ 中国执行信息公开网 ” 、 “ 全国法院被执行人信息查 询系统 ” 、 “ 信用中国 ” 、 “ 浙江法院公开网 ” 等系统及仲裁机构网站查询,截至目 前, 发行人 不存在个人信息、隐私泄露 事件,且其系通过 APP 开发者经用户授 权后在 APP 开发者共同控制情况下收集、使用其业务所需的用户常用设备识别 信息等用户个人信息,不涉及用户个人隐私及敏感信息,不存在侵权风险,亦 不 存在纠纷或潜在纠纷。 经核查, 本所 律师认为: 1 、发行人大数据平台的数据 系通过 APP 开发者经用户授权后 在协议约定的 授权范围内获取; 2 、公司 获取的信息不属于个人信息及个人敏感信息 ; 3 、公司获取的数据在处理过程中 采用通用不可逆的 MD5 加密模式储存 ,进 一步确保了数据的安全性; 4 、公司将获取的数据用于增值服务 未超出用户协议授权范围,也 未 违反个 人信息保护的法律规定 ; 5 、公司 在报告期内不存在因违法违规被行政处罚 或刑事处罚 的记录。 口头 反馈问题 二: 请发行人补充说明发行人 在 增值电信业务经营许可 证( ICP )办理过程中涉及 VIE 股东的合法性 回复: 一、 VIE 架构及公司受到 VIE 控制的股东 ( 一) VIE 定义 1 、 VIE 在美国会计准则中的定义 VIE , 即 Variable Interest Entities ( 可变利益实体 ), 是美国 财务会计准则委 员会解释第 46 号 ( 《 Financial Accounting Standards Board Interp retation No. 46 》 , 以下简称 “ FIN46 ” ) 中关于被投资实体的一个术语 , 是指投资企业持有具有控制 性的利益 , 但该利益并非来自于多数表决权。 VIE 是美国为治理上市公司借助特 殊目的机构( Special Purpose Vehicle )来转嫁债务或损失而创设的全新合并报表 标准,目的是将公司隐藏在财务报表之外的各种风险重新纳入报表当中,用于向 投资人披露企业真实的财务状况。 FIN46 要求投资企业将这类可变利益实体纳入其合并会计报表的范围,根据 FIN46 条款,只要满足以下三个条件中的任一条件的实体即被视作 VIE 4: 4援引自 美国 财务会计准则委员会解释第 46 号 ( 《 Financial Accounting Standards Board Interpretation No. 46 》 ) 英文版 , 系非官方翻译。 ( 1 )如果没有任何其他方(包括股东)的额外财务支持,承担风险的股权 投资额不足以支撑其经营活动的融资需要; ( 2 )股权投资者缺乏控制财务利益的一个或多个基本特征: a. 通过投票权 或类似权利对实体活动作出决定的直接或间接能力; b. 承担实体预期损失的义 务; c. 接收实体预期剩余收益的权利; ( 3 )股权投资者拥有与其经济利益不相称的投票权,并且该实体所有的经 营活动都代表一个只拥有不相称的较少比例投票权的投资人之利益。 综上, VIE 是一个出于财务合并报表需求而产生的财务上的概念,而非一个 法律乃至于公司股权 层面的概念,并表主体并不必然持有或控制 VIE 主体实际 的股权或投票权。 2 、 VIE 在国内实践中的运用及其法律属性 ( 1 )从法律层面上看, VIE 并不意味着被协议控制的一方在股权方面丧失 了所有权 VIE 在国内也称为 “ 协议控制 ” ,其实质是境内主体为实现在境外上市采取 的一种方式。通常由拟在境外上市的外国公司在中国设立外商独资企业,该外商 独资企业并不实际开展业务,而是通过与内资运营公司签订一系列协议,成为内 资公司业务的实际收益人和资产控制人。从本质上来看, VIE 是境外上市实体与 境内运营实体在收益权和股权所有权上的分离, VIE 能够通过一揽子协议的方式 满足境外上市地会计准则关于 “ 并表 ” 的要求,并将境内运营实体的收益转移至境 外上市主体,但并不意味着被协议控制的一方在股权方面丧失了所有权。 ( 2 ) VIE 与股权 “ 代持 ” 存在重大差别,不能混同 VIE 也不意味着有 “ 代持 ” 情形必定存在,协议控制架构下的一揽子协议常见 的股权质押协议、贷款协议、独家服务协议、资产许可协议等, 该等协议与股权 确权的代持协议之间具 有 不同的法律属性。前者是为了将被控制公司的利益转 移,后者才能决定公司所有权的归属,二者不能简单混同。 ( 3 ) 公司股东以 工商行政主管部门 登记 为准,工商登记 的股东信息具备公 示、公信效力 《公司法》、《公司登记管理条例》、《合伙企业法》、《合伙企业登记管理办法》 对于股权 / 合伙份额的外部登记的对抗性和公示性均作出了规定,其中《公司法》 第 32 条规定 “ 记载于股东名册的股东,可以以股东名册主张行使股东权利。公司 应当将股东的姓名或者名称向公司登记机关登记;登记事项发生变更的,应当办 理变更登记。未经登记或者变更登记的,不得对抗第三人。 ” 第三人基于诚实信 赖而相信登记机关的公示效力并与之发生法律行为的,法律优先保护善意第三人 的利益,以维护交易秩序。 在未有证据 证明股权存在代持的情况下,工商行政主管部门登记的股东备案 信息具备公示效力,是第三人可依赖可信任的判断基础。股权持有状态反应的是 所有权人对其财产的物权控制力,而 VIE 架构下的权益控制转移 (仅利益收益 等转移) 并不能达到 权属上的 占有、使用、处分、收益 等权利 的转移, VIE 架构 下对于被控制公司工商登记备案信息的公示效力并不能形成法律上的变更和对 抗。 综上所述, VIE 架构可以实现将境内运营实体的收益并入境外上市主体的合 并报表中,但不能对境内实际运营主体的股权归属和股权性质产生影响,更不能 对境内实际运营主体的工商备案信息 之公示效力形成对抗。 (二)公司存在部分受到协议控制的股东不影响公司股东性质及股权稳定性 公司股东受到境外主体协议控制的共有 4 家,分别为禾裕创投、鼎鹿中原、 信天商务及西藏唯品会。四家基本情况如下: 1 、禾裕创投持有每日互动 11.4527% 的股权。禾裕创投的普通合伙人为刘运 利,有限合伙人为金卓恒邦科技(北京)有限公司。金卓恒邦科技(北京)有限 公司由新浪最终控制,系新浪的经营实体,新浪系在美国纳斯达克交易市场的上 市公司。 2 、鼎鹿中原持有每日互动 10.9060% 的股权,其股东为梁志祥、王晓东。鼎 鹿中原 由百度最终 控制,系百度的经营实体,百度系在美国纳斯达克交易市场的 上市公司。 3 、信天商务持有每日互动 2.6240% 的股权,其股东为北京趣拿信息技术有 限公司。北京趣拿信息技术有限公司由去哪儿网控制,系去哪儿网的经营实体, 去哪儿网曾为在美国纳斯达克交易市场的上市公司( 2017 年 5 月完成私有化并 退市)。 4 、西藏唯品会持有每日互动 2.4600% 的股权,其股东为广州唯品会信息科 技有限公司。广州唯品会信息科技有限公司由唯品会控制,系唯品会的经营实体, 唯品会为美国纳斯达克交易市场的上市公司。 禾裕创投、鼎鹿中原、信天商务及西藏唯 品会目前持有公司的股权比例分别 为 11.4527% 、 10.9060% 、 2.6240% 、 2.4600% ,上述 4 家 主体 均为公司参股股东, 并出具了 不存在委托持股 、信托持股 等 情形的承诺 以及 不谋求控制权 的 承诺 ,不 存在影响 公司 股权结构稳定的情形。 上述四家公司合计持有公司 27.442 7% 股权, 所持比例 未超过 30% , 且上述 4 家 主体 之间不存在关联关系或一致行动协议 ,即 使认定为外资, 也 不存在 《外商投资电信企业管理规定》经营增值电信业务的外 商投资电信企业的外方投资者在企业中的出资比例 超过 50% 的情形 。因此 , 上述 4 家 主体 的持股及其自 身可能存在的 VIE 架构不会对公司取得增值电信业务许可 证造成实质性影响。 根据上述 4 家 主体 提供的营业执照、公司章程、合伙协议及出具的承诺函文 件, 4 家均系根据中华人民共和国法律设立并存续的有限责任公司或有限合伙企 业、各层级股东 / 合伙人均不存在外资成分,其各层级股东 / 合伙人实际持有其股 权,不存在委托持股、信托持股等情形。 禾裕创投、鼎鹿中原、信天商务及西藏唯品会等 4 家 主体 仅通过协议方式向 境外主体转让收益,上述企业股东的股权信息已向工商行政主管部门登记备案, 其取得禾裕创投、鼎鹿中原、信天商务及西藏唯品会等 4 家 主体 股 权 / 合伙份额 的程序符合法律规定,其对于上述 4 家股权 / 合伙份额享有所有权。 综上,禾裕创投、鼎鹿中原、信天商务及西藏唯品会系境内设立的合法主体, 其各层级股东 / 合伙人均不存在外资成分,上述 4 家 主体 的股东 / 合伙人享有其股 权 / 合伙份额的所有权,不存在委托持股、信托持股等情形,因此,公司不存在 外资持股的情况。 二、公司申请 ICP 证书的程序及提交资料符合规定 ( 一) 行政主管部门对申请 ICP 证书的相关要求 根据浙江省通信管理局办理《增值电信业务经营许可证》 ( “ICP 证书 ” ) 的 说明以及 全国统一的电信业务许可证办理系统 ( 电信 业务市场综合管理信息系统 https://tsm.miit.gov.cn ) 的相关要求 , 申请 ICP 证书需要提交公司股东股权结构图 及各层级股东证明材料 , 具体包括 : 1 、一级股东为自然人的,需上传其二代身份证原件彩色扫描件; 2 、一级股东为企业法人的,需上传企业法人营业执照副本原件彩色扫描件 和加盖工商局档案查询章的公司章程原件彩色扫描件; 3 、二级及二级以上股东中的法人股东 , 还应上传该法人股东的全国企业信 用信息公示系统 ( http://gsxt.saic.gov.cn ) 查询出的能够体现最新 “ 股东信息 ” 的工 商公示信息截 图 ; 4 、任何一级的法人股东是上市公司时 , 还应上传上市公司的巨潮资讯网 ( http://www.cninfo.com.cn ) 或全国中小企业股份转让系统 ( http://www.neep.com.cn ) 中最新一期披露的十大股东截图 , 其中新三板上市公 司还需上传最近 30 内查询的《证券持有人名册》。 如某级股东含有外资成分,需对外方资本做简要说明,审批机关将按照外商 投资经营电信业务相关政策进行审核。 公司各层级均不存在外资成分,根据境内公司申请经营电信业务审核。公司 申请及历次 ICP 证书变更均通过 全国统一的电信业务许可证 办理系统(电信业务 市场综合管理信息系统 https://tsm.miit.gov.cn ) 进行,并根据系统填报及现场提 交材料要求履行申报及历次变更流程,并经浙江省通信管理局审核通过后取得 ICP 证书,公司申请 ICP 证书的程序及提交资料符合规定。 (二) 浙江省通信管理局认为公司依法取得 ICP 证书 ,且历次 变更的程序 及提交资料均符合规定 本所 律师向浙江省通信管理局进行了访谈,浙江省通信管理局网络安全管理 处办事工作人员就下列事项进行了确认: 1 、 浙江省通信管理局 依据《中华人民共和国电信条例》、《电信业务经营许 可管理办法》 、《电信业务分类目录 ( 2015 年版)》的具体申请要求审核公司是否 具备申请上述资质证书的条件; 2 、 浙江省通信管理局 要求申请办证单位提交其股东股权结构图及各层级股 东证明材料,具体要求与 全国统一的电信业务许可证办理系统 ( 电信业务市场综 合管理信息系统 https://tsm.miit.gov.cn ) 的相关要求 一致 ; 3 、 公司申请及历次 ICP 证书变更均通过全国统一的电信业务许可证办理系 统进行,并根据系统填报及现场提交材料要求履行申报及历次变更流程,最终经 浙江省通信管理局 审核通过后取得 ICP 证书。公司历次 ICP 证书变更 的程序及提 交资料均符合规定,目前持有的 ICP 证书也是通过合法程序取得的; 4 、 浙江省通信管理局 知晓公司部分股东存在 VIE 架构的情形, 浙江省通信 管理局 对公司及其各层级股东中自然人股东按照 其 身份证信息进行判断,对法人 股东的审核以其工商登记备案信息以及公司章程为准,对上市公司则审查该上市 公司通过法定公开披露渠道披露的前十大股东 , 最终穿透至自然人或国有独资企 业为止。按照 公司 提供的各层级穿透后的股东信息, 公司 的 VIE 架构协议控制 股东均为在工商行政主管部门或国家企业信用信息公示系统登记的境内法人,其 工商登记备案的股东经 穿透后仍然为境内自然人,均符合工信部和 浙江省通信管 理局 对于办理增值电信业务经营许可证的相关要求。存在 VIE 架构协议控制股 东的情形不影响公司取得 ICP 证书的合法性 , 亦不会影响到公司的经营活动 。 此外, 浙江省通信管理局 于 2018 年 6 月 11 日出具《情况说明》: 1 、公司依法 取得 由 浙江省通信管理局颁发的增值电信业务经营许可证 。许 可证 编号为浙 B2 - 20150245 , 业务种类为 互联网 信息服务业务(仅限于互联网信 息服务),有效期至 2020 年 7 月 13 日 ; 2 、公司从事增值电信业务的经营行为没有因违反国家法律、法规规定而受 到 浙江省通信管理局 的行政处罚的情况。 三、公司股东的关联方及旗下其他 VIE 架构境内主体增值电信 业务经营许可证取得情况 经通过电信业务市场综合管理信息系统 ( https://tsm.miit.gov.cn/pages/home.aspx ) 等公开方式查询 , 新浪、百度、唯品会、 去哪儿等作为公司上述股东的关联方 , 其 VIE 架构境内主体或其投资的企业增 值电信业务经营许可证取得情况如下 : 序号 主体名称 许可证号 VIE 控制方 1 北京微梦创科网络技术有限公司 京 ICP 证 100780 号 Weibo Corporation 2 北京新浪互联信息服务有限公司 京 ICP 证 000007 号 Sina Corporation 3 北京百度网讯科技有限公司 京 ICP 证 030173 号 Baidu, Inc 4 北京小度互娱科技有限公司 京 ICP 证 161073 号 Baidu, Inc 5 北京鼎鹿中原科技有限公司 京 ICP 证 060522 号 Baidu, Inc 6 北京趣拿信息技术有限公司 京 ICP 证 060856 号 Qunar Cayman Islands Limited 7 广州唯品会电子商务有限公司 粤 B2 - 20170777 Vipshop Holdings Ltd 综上,新浪、百度、唯品会、去哪儿等作为公司部分股东的关联方,也合法 取得了增值电信业务的相关资质许可证书,并在互联网领域合法运营多年。 四、 IPO 审核中的案例 —— 掌趣科技 根据 掌趣科技( 300315.SZ ) 2012 年 1 月披露的招股说明书,掌趣科技持有 编号为 “B2 - 20100017” 的《增值电信业务经营许可证》,业务种类为 “ 第二类增值 电信业务中的信息服务业务(不含固定网电话信息服务和互联网信息服务) ” , 覆盖范围为全国,有效期为 2011 年 12 月 9 日至 2015 年 1 月 7 日 ,发证机关为 工信部;还持有编号为 “ 京 ICP 证 100306 号 ” 的《电信与信息服务业务经营许可 证》,业务种类为因特网信息服务业务,服务项目为除新闻、教育、医疗保健、 药品、医疗器械以外的内容,有效期限为 2011 年 10 月 31 日至 2015 年 3 月 29 日,发证机关为北京市通信管理局。 根据掌趣科技的招股说明书(招股说明书签署日 2011 年 12 月 29 日),在发 行前其前十名股东情况如下: 序号 股东名称 持股比例 1 姚文彬 37.60% 2 华谊兄弟 20.97% 3 叶颖涛 12.15% 4 金渊投资 8.94% 5 邓攀 5.55% 6 赵锦明 3.94% 7 杨闿 2.34% 8 金石投资 2.00% 9 刘晓伟 1.96% 10 红杉资本 1.96% 由上表可见,华谊兄弟为掌趣科技第二大股东,持股比例 20.97% 。根据掌 趣科技的招股说明书,华谊兄弟是于 2010 年 6 月通过股权转让的方式,受让取 得掌趣科技的股权,成为掌趣科技的股东。 根据华谊兄弟披露的 2011 年半年度报告,截至 2011 年 6 月 30 日,其前十 大股东持股情况如下表所示: 序号 股东名称 持股比例 1 王忠军 26.14% 2 王忠磊 8 .27% 3 马云 5.50% 4 深圳市腾讯计算机系统有限公司 4.60% 5 鲁伟鼎 3.51% 6 中国建设银行 - 银华核心价值优选股票型证券投资基金 2.98% 7 虞锋 2.21% 8 江南春 1.46% 9 张纪中 1.29% 10 中国银行 - 大成财富管理 2020 生命周期证券投资基金 1.16% 根据华谊兄弟公开披露的公告显示,深圳市腾讯计算机系统有限公司于 2011 年 5 月 6 日通过大宗交易购买华谊兄弟 2,780 万股,持股比例 4.60% 。 根据腾讯控股( 0700.HK )的公开披露 信息,深圳市腾讯计算机系统有限公 司受腾讯控股有限公司协议控制,为腾讯控股有限公司在中国境内从事互联网与 移动增值服务及其他电信增值服务的运营主体之一。 因此,根据上述掌趣科技的许可证的有效期限来看,其在取得许可证前,掌 趣科技的二级股东中的 “ 深圳市腾讯计算机系统有限公司 ” 存在 VIE 情形, 与每日 互动的情形相似 。 口头 反馈问题 三: 欧盟《通用数据保护法案》( General Data Protection Regulation, GDPR )的颁布实施对于发行人经营业务有什么影响,发 行人有什么整改措施,是否存在被处罚的 风险, GDPR 对于发行人未 来的业务经营是否存在影响。 回复: 一、欧盟《通用数据保护法案》( GDPR )的适用范围 欧盟 GDPR 于 2018 年 5 月 25 日起正式施行。该法案旨在加强欧盟境内居 民的个人数据和隐私保护,此外,它还将通过统一数据和隐私条例来简化对跨国 企业的监管框架。 欧盟 GDPR 取代了 1995 年颁布的《数据保护指令》,欧盟国 家对其规定并无选择权,必须保证完整实施该法案。 欧盟 GDPR 在保护对象及管辖范围的主要内容如下: ( 一 ) 保护对象 GDPR 保护的仅是“个人数据”( personal data ),不涉及 个人数据以外的其 他数据。 根据 GDPR 第 4 条的规定,个人数据是指任何指向一个已识别或可识别的 自然人(数据主体)的信息。可识别的自然人信息是指可以通过参照如姓名、身 份证号码、定位数据、在线识别信息等,或通过一个或多个具体的物理的、生理 的、基因的、精神的、经济的、文化的或社会的特征,直接或间接的识别自然人 的信息。 ( 二 ) 管辖范围 根据 GDPR 第 3 条的规定,除了适用于在欧盟内部设立的数据控制者或处 理者对个人数据的处理(不论其实际数据处理行为是否在欧盟内进行外),如果 存在以下几种情况,即使控制者和处理者没有设立在欧 盟内, GDPR 同样适用于 其对欧盟内的数据主体的个人数据处理: 1 、向欧盟境内数据主体提供商品和服务的(不论该商品或服务是否需要支 付对价); 2 、监控数据主体在欧盟境内行为的; 3 、对个人数据的处理由欧盟外控制者进行,但根据欧盟成员国法律可以通 过国际公法适用于该控制者所在地的。 二、 GDPR 实施对发行人业务经营不存在影响 ( 一 ) 发行人在报告期内的境外业务不涉及收集欧盟地区人员数据 报告期内,发行人境外收入明细如下: 单位:人民币、元 客户公司名称 收入类别 2015年 2016年 2017年 Cosmose Limited 品牌广告 - - 10,516.98 COSMOSE INC 品牌广告 - - 26,415.09 其他数据服务 - 33,608.40 461,255.09 CUEBIQ INC 其他数据服务 - 1,333,449.50 1,199,355.99 HQG , Limited 效果广告 - 45,100.19 94,339.62 IPROSPECT HONG KONG LIMITED 品牌广告 - 280,410.20 - MEDIAEDGE: CIA HONG K ONG PTE LIMITED 品牌广告 - 220,780.67 249,399.13 莎莎网有限公司 品牌广告 - 10,377.36 - 胜义科技股份有限公司 品牌广告 9,600.00 178,337.92 15,261.16 经查, Cosmose Limited 、 HQG , Limited 、 IPROSPECT HONG KONG LIMITED 、 MEDIAEDGE: CIA HONG KONG PTE LIMITED 及莎莎网有限公司 注册地为香港特别行政区, CUEBIQ INC 及 COSMOSE INC 注册地为美国,胜义 科技股份有限公司注册地为台湾地区,均非欧盟范围内的公司。发行人与上述客 户签署的业务协议内容主要为广告推广及数据画像等非推送类业务,不涉及从客 户处获取或从终端用户采集信息的情形。 根据 GDPR 中第 2 条及第 3 条关于“适用范围”及“地域范围”的规定, 发行人目前不属于 GDPR 管辖的范畴。因此, GDPR 的施行,对发行人当前业务 经营不存在影响。 ( 二 ) GDPR 施行后,发行人的应对措施 自 GDPR 发布后,公司在积极熟悉法案的基础上,相应调整了境外业务拓 展策略。 一方面,根据 发行人提供的信息及业务拓展情况,发行人在报告期内未与任 何欧盟地区客户签署服务协议,发行人已通过 IP 设别等技术手段最大限度过滤 出来自欧盟地区的终端设备,一旦终端设备被判定为来自欧盟地区,则发行人不 会收集该终端设备数据,从而避免了获取来自 GDPR 管辖范围内的个人数据。 另一方面,为帮助部分 APP 开发者满足其在欧盟地区业务开展的要求,发 行人对该部分业务拓展有需求的 APP 开发者有针对性的研发出“欧盟地区适用 的专用版 SDK ”,该版本的 SDK 仅实现最基本的推送功能,同时不收集任何终 端设备数据,主动规避 GDPR 监管风险。 ( 三 ) 发行人的未来经营活动不会受到 GDPR 的实质性影响 自 GDPR 发布后,发行人在积极熟悉法案的基础上,不断审视和完善自身 内部控制制度。对于基础推送类需要采集终端用户信息的服务进行了调整,通过 识别终端 IP 地址的方式判断设备及用户来源,对于出自欧盟范围内的终端数据 不做采集,主动规避 GDPR 监管风险。发行人一贯对于信息的采集和使用严格 遵守相关法律规范要求,并定期对潜在风险进行评估。 GDPR 实施后,发行人主 动与相关 APP 开发者,以及工信部、司法审判机关等相关权威机构保持沟通, 以便就个人数据收集、使用、存储、监管 等政策法规的监管和应对做到合法合规。 因此, GDPR 的施行,对发行人未来经营活动不存在实质性影响。 三、结论 综上, GDPR 仅作为欧盟出台的针对欧盟地区个人数据保护的法案,对于其 他地区立法存在一定的借鉴意义,而对于公司,因公司原本就不存在欧盟地区客 户及供应商,且公司已通过技术手段对于 GDPR 管辖范围的数据进行了最大可 能性的规避,因此 GDPR 的实施不会对于公司产生实质性影响。 公司的主要经营业务及收入来源均在国内产生,我国在互联网信息服务领域 以及网络安全领域的立法也在近年不断完善,《网络安全法( 2017 年现行 有效)》、 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释( 2017 年现行 有效)》、《国家网络安全事件应急预案( 2017 年现行有效)》、《电信条例( 2016 年现行有效)》、《电信业务经营许可管理办法( 2017 年现行有效)》等主要法律 规范均在近期颁布施行。作为成文法系国家,在不断借鉴和吸收国际上立法趋势 的前提下,我国的法律需要在运行相当一段时间后从具体实践中不断修订和完 善。因此在可预见在短时间内,我国关于互联网信息服务领域以及网络安全领域 的相关法律规范不会发生颠覆性变化,这对于公司经营带来一个相对稳定 的外部 环境,有利于公司的健康成长。因此 GDPR 的实施也不会对公司的外部司法环 境产生实质性影响。 口头反馈问题四 :发行人通过 APP 授权获取的用户信息用于互联网 营销或其他业务是否超过用户对 APP 的授权范围 回复: 一、发行人信息获取和使用已取得 APP 用户授权 根据APP开发者与发行人有关《个推使用协议》等协议就发行人获得用户数 据信息进行明确约定,“APP开发者须以适当方式使用户知晓该APP产品集成 了发行人推送服务功能模块,并应确保用户知悉且同意APP获取用户相关信息 的权利适当延展至个推使其可以获取实现相关推送功能所必要的合理信息”。 根据《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规 定》等规定,互联网信息服务提供者收集、使用用户个人信息的,应当明确告知 用户收集、使用信息的目的、方式和范围,并根据双方的约定收集、使用信息。 因此,APP开发者通过《用户协议》、《隐私政策》等协议约定获得用户授权。 二、发行人并不直接使用获取的用户数据信息开展业务,不会超 越用户授权许可范围 (一)用户的授权与发行人的业务开展不存在冲突关系 中介机构对发行人头部APP产品及其《用户协议》、《隐私政策》进行了初 步梳理,鉴于行业主管部门或是行业协会并未要求APP开发者对《用户协议》、 《隐私政策》进行格式化定制,因此不同APP开发者出具的《用户协议》、《隐 私政策》在行文表述上均存在较大差异。发行人合作的头部APP均在其用户协 议中明确了用户知晓该APP产品集成了第三方的产品或服务,第三方有权基于 用户对该APP的授权而获取用户信息,并在用户的授权范围内合法使用用户信 息。在抽样的头部APP产品出具的《用户协议》、《隐私政策》中,部分表述 为基于提升本APP服务之目的而收集用户数据并向第三方共享该数据。该等表 述与发行人收集用户数据并开展业务之间不存在冲突关系,主要原因为: 发行人通过基础推送业务收集终端用户信息,主要包括:IMEI/IDFA/MAC、 机型等设备信息、APP List(应用列表)、网络信息等。发行人收集终端用户信 息后,并非直接将原始数据通过对外出售方式获取收益,发行人推送业务、互联 网营销业务及其他数据服务业务的开展均是在对用户个人数据匿名化之后,利用 自身的技术优势,对数据进行再加工。 在数据处理和流通方面,发行人对收集到的具有唯一识别性的原始数据(例 如IMEI)使用MD5加密、自定义用户标识、用户特性模糊化标签化、数据使用 群体化等技术手段使其脱敏,脱敏后的数据无法单独或者与其他信息结合识别至 特定个人且不能复原。发行人通过对数据脱敏、筛选、清洗、整理,并经深度挖 掘后建模,最终构建出自己的“个推大数据平台”。 (二)发行人个推大数据平台的形成过程是对信息进行匿名化和去标识化处 理的过程 个推大数据平台的具体形成过程如下: 1、数据获取 在数据获取阶段,通过发行人与移动应用开发者之间签署的《个推使用协议》 及终端用户使用相关APP之前同意的《用户协议》、《隐私政策》,发行人获 取了用户IMEI/IDFA/MAC、机型等设备信息、APP List(应用列表)、网络信 息等。 2、数据处理 在数据处理过程中,公司对于关键ID比如IMEI设备号进行MD5算法5脱敏 转换,加密处理,在广告业务中通过算法生产匿名的推送CID,由于MD5处理 是不可逆加密,推送CID生成后已实现数据的完全脱敏。通俗来说,MD5算法 是通过特定的方法将文本信息转换成简短的信息摘要,相当于生成了一个“数字 指纹”,CID即为发行人为每一个APP用户生成的“指纹身份证”。该种去标 识化的处理已经将“个推大数据平台”的数据与用户个人信息明显区分开来。服 5 MD5 算法即 Message Digest Algorithm 5 ,是国际计算机安全领域广泛使用的一种散列算法, MD5 算法将 信息不可逆地压缩成十六进制数字串,用于确保信息传输完整一致, MD5 值可以认为是信息文件的数字指 纹。 务器对上述脱敏数据进行脏数据清洗、数据格式转换、加密和存储后,变成中间 层数据存储到数据仓库中。 3、数据建模 数据分析模型专家利用逻辑回归模型、随机森林模型、聚类模型等机器学习 算法,对中间层数据进行建模处理,建模处理后输出的是特定标签(如性别,年 龄等)的概率评分值,即每个设备可能符合某个标签的概率值,模型评分值高于 一定值的设备会打上该标签。发行人最终将带有标签的数据汇总至个推大数据平 台,用于公司其他数据增值服务。 进入到个推大数据平台中的数据信息为脱敏加密后的标签数据,在整个数据 的处理过程中,可实现对获取数据的保密且不可逆。同时,发行人对于数据安全 及保密有严格的内控措施,进一步确保脱敏加密后的标签数据在存储和使用方面 的安全性。 综上,发行人将移动应用用户生成唯一标识符CID的过程实际上实现了《信 息安全技术 个人信息安全规范》中要求的匿名化的过程,即通过对个人信息的 技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程, 个人信息经匿名化处理后所得的信息不属于个人信息。 (三)发行人使用脱敏加密后的 CID 从事经营业务无需终端用户授权 参照《信息安全技术 个人信息安全规范》8.2条之规定“共享、转让个人信 息,应遵守以下要求:……b)向个人信息主体告知共享、转让个人信息的目的、 数据接收方的类型,并事先征得个人信息主体的授权同意。共享、转让经去标识 化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的除外。” 发行人个推大数据平台的数据为经过脱敏加密后的非用户信息,经过匿名化 和去标识化处理后,其他方无法重新识别个人信息主体,该类数据已不属于个人 信息的范畴。根据《信息安全技术 个人信息安全规范》的相关规定,发行人使 用脱敏加密后的数据从事经营业务无需终端用户授权,因此也不会存在超越用户 授权许可范围的情形。 三、结论 综上,发行人经合法授 权通过 APP 间接获取用户信息,获取内容未超出 APP 用户授权范围及与 APP 开发者之间的协议;发行人取得 APP 用户信息后,通过 MD 5 加密的技术手段将取得的用户信息匿名化和去标识化、使其脱离个人信息 的范畴,成为个推大数据平台中的数据;发行人通过利用个推大数据平台数据开 展推送、移动互联网营销等服务实质上是使用加密后的非个人数据 CID ,不存在 需要 APP 用户授权使用的问题;因此,发行人通过 APP 授权获取的用户信息在 通过脱敏、加密后形成 CID 并用于互联网营销或其他业务不存在超过用户对 APP 授权范围的情形。 口头反馈问题 五 :论述红筹架构拆除后,方毅对发行人董事会的控制 的有效性,包括董事会组成,董事提名任免等;沈欣与方毅一致行动 协议的期限、条款。 回复: 红筹架构 拆除后,方毅 通过 其一致行动人 对 董事会 实施有效 控制 ,具体 包括: 一 、董事会组成 及 决策 自红筹架构拆除后至 2016 年 9 月,发行人 7 名董事会成员中,方毅及其一 致行动人沈欣在 7 名董事中占 2 席,其他投资人股东提名的董事各自独立且不存 在一致行动关系。 2016 年 8 月发行人选举独立董事后,董事会成员增至 11 人, 4 名独立董事均为方毅提名,方毅及其一致行动人沈欣在 7 名非独立董事中占 2 席,其他投资人股东提名的董事各自独立且不存在一致行动关系。从董事会运行 的实际情况来看,公司董事均能支持方毅及其一致行动人决策,不存在联合对抗 董事会决议或反对方毅及其一致行动人提案的情形,发行人董事会能够做出有效 决策。 二 、 发行人董事提名 及选举 情况 序号 股东名称 持股 / 控制表决权 比例 提名董事 1 方毅 25.1658% 方毅、 金祥荣 (独立董事) 、凌春华 (独 立董事)、 潘纲 (独立董事) 、吕晓红 (独立董事) 沈欣 (方毅之一致行动人) 沈欣 2 北京禾裕创业投资中心 (有限合伙) 11 . 4527 % 陈天 (王高飞已离任) 3 北京鼎鹿中原科技有限 公司 10 . 9060 % 方益民 4 厦门赛富股权投资合伙 企业(有限合伙) 4 . 9200 % 阎焱 5 海通开元投资有限公司 2 . 2778 % 田鹰 6 深圳海通创新元睿投资 管理中心(有限合伙) 0 . 4556 % 7 重庆海通创新临云股权 投资基金合伙企业(有限 合伙) 0 .(未完)  |