万达信息:关于万达信息2021年度向特定对象发行股票的补充法律意见书(五)2022-05-31
上海市浩信律师事务所
关于万达信息股份有限公司
2021年度向特定对象发行股票的
补充法律意见书(五)
___________________________________________________________________________
地址:上海市徐汇区龙华中路600号绿地中心B座9楼
电话:021-33632298 传真:021-33632359
3-1
� 上海市浩信律师事务所
关于万达信息股份有限公司
2021 年度向特定对象发行股票的
补充法律意见书(五)
(2022)沪浩律专字第093-6号
致:万达信息股份有限公司
上海市浩信律师事务所(以下简称“本所”)接受万达信息股份有限公司(以
下简称“发行人”或“公司”或“万达信息”)的委托,作为发行人本次向特定
对象发行股票的专项法律顾问。
本所律师已为发行人本次向特定对象发行股票出具了《上海市浩信律师事务
所关于万达信息股份有限公司 2021 年度向特定对象发行股票的法律意见书》《上
海市浩信律师事务所关于万达信息股份有限公司 2021 年度向特定对象发行股票
的补充法律意见书(一)》《上海市浩信律师事务所关于万达信息股份有限公司
2021 年度向特定对象发行股票的补充法律意见书(二)》《上海市浩信律师事
务所关于万达信息股份有限公司 2021 年度向特定对象发行股票的补充法律意见
书(三)》《上海市浩信律师事务所关于万达信息股份有限公司 2021 年度向特
定对象发行股票的补充法律意见书(四)》(以下合称“原法律意见书”)以及
《上海市浩信律师事务所关于万达信息股份有限公司 2021 年度向特定对象发行
股票的律师工作报告》《上海市浩信律师事务所关于万达信息股份有限公司 2021
年度向特定对象发行股票的补充律师工作报告(一)》(以下合称“律师工作报
告”)。
2022 年 3 月 4 日,深圳证券交易所向发行人下发了《关于万达信息股份有
限公司申请向特定对象发行股票的第三轮审核问询函》(审核函〔2022〕020044
号)(以下简称“三轮问询函”),本所律师现就三轮问询函中的相关问题再次
进行了补充核查,并出具《上海市浩信律师事务所关于万达信息股份有限公司向
3-2
�特定对象发行股票的补充法律意见书(五)》(以下简称“本补充法律意见书”)。
本补充法律意见书是原法律意见书、律师工作报告的补充性文件,为不可分
割的组成部分,不一致之处以本补充法律意见书为准。
本补充法律意见书中所使用的术语、名称、缩略语,除特别说明者外,与其
在本所出具的原法律意见书、律师工作报告中的含义相同。本所律师在原法律意
见书中所作的各项声明和承诺,适用于本补充法律意见书。
基于上述,本所律师根据有关法律、法规和规范性文件,按照律师行业公认
的业务标准、道德规范和勤勉尽责精神出具补充法律意见如下:
3-3
� 问题 1
根据申报文件及反馈回复,2020 年发行人开始转型升级,定位为互联网化
科技型公司,主要业务分为智慧政务、医疗卫生、信息技术应用创新、智慧城
市(市民云)、健康管理服务(健康云和蛮牛健康业务等)等五大板块。其中
部分业务涉及收集、存储、使用个人数据的情形。
请发行人补充说明:“健康云—客户端”和“蛮牛健康”两个 APP 是否存在违
法违规收集个人信息的问题。如是,请详细说明相关平台违法违规收集个人信
息的起始时间、具体内容、数据所有权、数据存放方式及收集个人信息的用途;
是否已完成对相关违法违规问题的整改,并说明整改情况及结果。
请保荐人及发行人律师核查并发表明确意见。
回复:
一、“健康云—客户端”和“蛮牛健康”两个 APP 是否存在违法违规收集
个人信息的问题。如是,请详细说明相关平台违法违规收集个人信息的起始时
间、具体内容、数据所有权、数据存放方式及收集个人信息的用途;是否已完
成对相关违法违规问题的整改,并说明整改情况及结果。
(一)APP 相关情况
2022 年 2 月,根据发行人整体合规检查安排,发行人对运营的 APP 进行主
动自查。
经核实,“健康云—客户端”从 2021 年 10 月 18 日开始,由于引用存在违
规问题的第三方定位软件开发工具包,从而导致“健康云—客户端”存在“虽然
告知用户‘医疗地图、预约挂号等功能需要定位’,但在用户实际每次进入 APP
还未使用相关功能就调用定位权限、获取位置信息”的问题。该等个人位置信息
数据所有权属于用户个人(已经取得用户同意授权),发行人在当时场景下获取
个人位置信息的用途是便于用户通过位置信息获取最近的医疗机构或接种点,如
预约挂号、核酸检测、新冠疫苗接种等。发行人不存储该等场景下获取的个人位
置信息,在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数据。
3-4
� 经核实,“蛮牛健康”从 2021 年 10 月 18 日开始,由于引用存在违规问题
的第三方定位软件开发工具包,从而导致“蛮牛健康”存在“虽然告知用户‘城
市定位、商城功能需要定位’,但实际每次进入 APP 还未使用相关功能就调用定
位权限、获取位置信息,且随后 APP 存在延迟切换城市;在后台静默时获取位置
信息”的问题。该等个人位置信息数据所有权属于用户个人(已经取得用户同意
授权),发行人在当时场景下获取个人位置信息的用途是便于为用户提供基于位
置的当地活动信息及相关服务。发行人不存储该等场景下获取的个人位置信息,
在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数据。
因此,“健康云—客户端”APP 和“蛮牛健康”APP 的上述问题主要由于引
用存在违规问题的第三方定位软件开发工具包而导致。发行人出于提供便民服务
的目的获取个人位置信息,没有主观故意,不存储该等场景下获取的个人位置信
息,在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数据,客
观上未侵害用户信息并造成实际影响。
(二)整改情况及结果
针对上述问题,发行人组织有关部门进行评审,制定整改方案,选定技术路
线,明确责任部门和责任人,确定时间节点进行整改,并积极寻求第三方专业机
构的支持,具体整改情况如下:
“健康云”APP 整改情况为:关闭第三方定位软件开发工具包。
“蛮牛健康”APP 整改情况为:使用纯净版的第三方定位软件开发工具包,
同时关闭第三方定位软件开发工具包在后台获取用户位置信息的权限。
2022 年 3 月,中国电子技术标准化研究院赛西实验室(中国电子技术标准
化研究院属于工业和信息化部直属事业单位,是国家从事电子信息技术领域标准
化的基础性、公益性、综合性研究机构,拥有新一代信息安全与隐私保护标准化
技术工业和信息化部重点实验室等资质。赛西实验室具有工业和信息化部关于工
业电子信息及软件产品质量控制和技术评价资质)对“健康云”和“蛮牛健康”
APP 进行了个人信息安全的评估,评估项包括:1、未公开收集使用规则;2、隐
私政策内容未做到完整、准确、真实;3、未明示收集个人信息的目的、方式和
范围;4、未经用户同意收集使用个人信息;5、违反必要原则,收集与其提供的
3-5
�服务无关的个人信息;6、未经同意向他人提供个人信息;7、未按规定提供删除
或更正个人信息的功能;8、未公布投诉、举报方式信息等。评估的具体情况如
下:
1、“健康云”APP
中国电子技术标准化研究院赛西实验室于 2022 年 3 月 14 日及 2022 年 3 月
16 日分别获取了健康云 Android 版 5.3.10 和 iOS 版 5.3.10 的样本,于 2022 年
3 月 17 日及 2022 年 3 月 24 日分别出具《健康云 Android 版 APP 个人信息安全
评估报告》及《健康云 iOS 版 APP 个人信息安全评估报告》,上述报告摘要如下:
(1)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实
验室于 2022 年 3 月 11 日至 2022 年 3 月 17 日,对健康云 Android 版 APP5.3.10
进行了个人信息安全的评估。主要评估结果如下:依据《APP 违法违规收集使用
个人信息行为认定办法》的评估要点进行评估,未发现 APP 存在违法违规收集使
用个人信息的问题。”
(2)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实
验室于 2022 年 3 月 16 日至 2022 年 3 月 24 日,对健康云 iOS 版 APP5.3.10 进行
了个人信息安全的评估。主要评估结果如下:依据《APP 违法违规收集使用个人
信息行为认定办法》的评估要点进行评估,未发现 APP 存在违法违规收集使用个
人信息的问题。”
2、“蛮牛健康”APP
中国电子技术标准化研究院赛西实验室于 2022 年 3 月 14 日及 2022 年 3 月
16 日分别获取了蛮牛健康 Android 版 2.1.5 和 iOS 版 2.1.50 的样本,于 2022
年 3 月 17 日及 2022 年 3 月 24 日分别出具《蛮牛健康 Android 版 APP 个人信息
安全评估报告》及《蛮牛健康 iOS 版 APP 个人信息安全评估报告》,上述报告摘
要如下:
3-6
� (1)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实
验室于 2022 年 3 月 11 日至 2022 年 3 月 17 日,对蛮牛健康 Android 版 APP2.1.5
进行了个人信息安全的评估。主要评估结果如下:依据《APP 违法违规收集使用
个人信息行为认定办法》的评估要点进行评估,未发现 APP 存在违法违规收集使
用个人信息的问题。”
(2)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西实
验室于 2022 年 3 月 16 日至 2022 年 3 月 24 日,对蛮牛健康 iOS 版 APP2.1.50 进
行了个人信息安全的评估。主要评估结果如下:依据《APP 违法违规收集使用个
人信息行为认定办法》的评估要点进行评估,未发现 APP 存在违法违规收集使用
个人信息的问题。”
因此,“健康云”和“蛮牛健康”两个 APP 已经全部整改完成。
为降低合规风险,发行人进一步完善了合规制度和机制建设,主要体现在三
个方面:
(1)在安全管理体系建设合规遵循方面
发行人依据《中华人民共和国网络安全法》 中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》等法律法规,设置了安全管理工作机构,
明确了安全管理组织架构中各级部门安全责任人职责,制定了配套的信息安全
管理制度。涵盖了安全管理机构、人员安全管理、系统安全建设管理、安全运
维管理、数据安全管理、安全绩效考核管理、应急响应管理等。
(2)在互联网应用上线运行合规遵循方面
发行人制定了应用安全风险评估和管理流程,规定了应用系统上线前必须
进行安全性评估,评估内容包括 APP 包安全、业务安全、传输安全、数据安全
等,通过安全评估后方可申请应用对外发布。发行人遵循国家网络安全等级保
护相关规范要求,对互联网应用系统落实等级保护定级备案,按期开展等级保
护测评。
(3)在个人信息数据收集使用合规遵循方面
发行人采用了周期性检测与非周期性专项检测相结合的管控方式。一方面是
3-7
�定向采购第三方专业安全厂商的“APP 违法违规收集使用个人信息合规评估服
务”,周期性对 APP 中的隐私政策、涉及个人信息的权限、SDK 安全等内容合规
性进行评估,通过评估后方可申请对外发布;另一方面是及时关注国家各主管部
门发布的互联网安全漏洞预警、互联网 APP 业内安全检测情况通报等公开信息,
举一反三自查自纠,不定期采购第三方专业安全评估机构的专项安全评估检测服
务,提高响应频度和针对性。
综上,“健康云”APP 和“蛮牛健康”APP 由于引用存在违规问题的第三方
定位软件开发工具包而导致产生相关问题。目前,发行人已经整改完毕;经第三
方专业机构评估,其未发现目前版本“健康云”APP 和“蛮牛健康”APP 违法违
规收集使用个人信息的情形。因此,目前“健康云”和“蛮牛健康”两个 APP 不
存在违法违规收集个人信息的情况。发行人在严格遵循信息安全合规制度和机制
的基础上,持续强化完善信息安全技术和管理措施,努力降低业务合规风险。
二、发行人律师核查并发表明确意见。
(一)核查程序
本所律师主要履行了以下核查程序:
1、获取发行人整改报告;
2、查阅中国电子技术标准化研究院赛西实验室出具的评估报告;
3、查看相关 APP 功能;
4、查阅发行人有关信息安全管理相关的制度;
5、访谈发行人高管;
6、公开查询了解相关 APP 合规情况。
(二)核查意见
经核查,本所律师认为:
1、发行人已对“健康云”和“蛮牛健康”两个 APP 存在的问题及相关问题
起始时间、具体内容、数据所有权、数据存放方式、收集个人信息的用途进行了
3-8
�必要说明。
2、根据发行人的说明及中国电子技术标准化研究院赛西实验室出具的评估
报告,发行人已完成对相关问题的整改,目前“健康云”和“蛮牛健康”两个
APP 不存在违法违规收集个人信息的情况。
(以下无正文)
3-9
� (本页无正文,为《上海市浩信律师事务所关于万达信息股份有限公司2021
年度向特定对象发行股票的补充法律意见书(五)》之签署页)
上海市浩信律师事务所
单位负责人: 杨波 __________
经办律师: 陈育芳 __________
王宗琦 __________
李克俭 __________
年 月 日
3-10
�
