万达信息:关于向特定对象发行股票的第三轮审核问询函回复(修订稿)2022-05-31
证券代码:300168 证券简称:万达信息
关于万达信息股份有限公司
申请向特定对象发行股票的
第三轮审核问询函回复
(修订稿)
保荐机构(主承销商)
二零二二年五月
�关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函回复
(修订稿)
深圳证券交易所:
贵所于 2022 年 3 月 4 日出具的《关于万达信息股份有限公司申请向特定对
象发行股票的第三轮审核问询函》(审核函〔2022〕020044 号)(以下简称
“《审核问询函》”)已收悉。万达信息股份有限公司(以下简称“万达信
息”“发行人”“公司”)会同太平洋证券股份有限公司(以下简称“保荐机
构”“太平洋证券”)、上海市浩信律师事务所(以下简称“律师”)对《审
核问询函》所列问题进行了逐项核查和落实,并就《审核问询函》进行了逐项
回复。
说明:
1、如无特殊说明,本回复中使用的简称或名词释义与《万达信息股份有限
公司 2021 年度向特定对象发行股票募集说明书(三次修订稿)》(以下简称
“《募集说明书》”)保持一致;
2、本回复中若出现合计数尾数与所列数值总和尾数不符的情况,均为四舍
五入所致;
3、本回复中的字体代表以下含义:
问询函所列问题 黑体
问询函所列问题的回复 宋体
对募集说明书的补充披露或修改 楷体、加粗
1-1
� 目录
问题 1............................................................................................................................. 3
1-2
� 问题 1
根据申报文件及反馈回复,2020 年发行人开始转型升级,定位为互联网化
科技型公司,主要业务分为智慧政务、医疗卫生、信息技术应用创新、智慧城
市(市民云)、健康管理服务(健康云和蛮牛健康业务等)等五大板块。其中
部分业务涉及收集、存储、使用个人数据的情形。
请发行人补充说明:“健康云—客户端”和“蛮牛健康”两个 APP 是否存
在违法违规收集个人信息的问题。如是,请详细说明相关平台违法违规收集个
人信息的起始时间、具体内容、数据所有权、数据存放方式及收集个人信息的
用途;是否已完成对相关违法违规问题的整改,并说明整改情况及结果。
请保荐人及发行人律师核查并发表明确意见。
回复:
一、“健康云—客户端”和“蛮牛健康”两个 APP 是否存在违法违规收集
个人信息的问题。如是,请详细说明相关平台违法违规收集个人信息的起始时
间、具体内容、数据所有权、数据存放方式及收集个人信息的用途;是否已完
成对相关违法违规问题的整改,并说明整改情况及结果。
(一)APP 相关情况
2022 年 2 月,根据发行人整体合规检查安排,发行人对运营的 APP 进行主
动自查。
经核实,“健康云—客户端”从 2021 年 10 月 18 日开始,由于引用存在违
规问题的第三方定位软件开发工具包,从而导致“健康云—客户端”存在“虽然
告知用户‘医疗地图、预约挂号等功能需要定位’,但在用户实际每次进入 APP
还未使用相关功能就调用定位权限、获取位置信息”的问题。该等个人位置信息
数据所有权属于用户个人(已经取得用户同意授权),发行人在当时场景下获取
个人位置信息的用途是便于用户通过位置信息获取最近的医疗机构或接种点,
如预约挂号、核酸检测、新冠疫苗接种等。发行人不存储该等场景下获取的个
人位置信息,在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置
的数据。
1-3
� 经核实,“蛮牛健康”从 2021 年 10 月 18 日开始,由于引用存在违规问题
的第三方定位软件开发工具包,从而导致“蛮牛健康”存在“虽然告知用户‘城
市定位、商城功能需要定位’,但实际每次进入 APP 还未使用相关功能就调用定
位权限、获取位置信息,且随后 APP 存在延迟切换城市;在后台静默时获取位
置信息”的问题。该等个人位置信息数据所有权属于用户个人(已经取得用户
同意授权),发行人在当时场景下获取个人位置信息的用途是便于为用户提供基
于位置的当地活动信息及相关服务。发行人不存储该等场景下获取的个人位置
信息,在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数据。
因此,“健康云—客户端”APP 和“蛮牛健康”APP 的上述问题主要由于引
用存在违规问题的第三方定位软件开发工具包而导致。发行人出于提供便民服
务的目的获取个人位置信息,没有主观故意,不存储该等场景下获取的个人位
置信息,在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数
据,客观上未侵害用户信息并造成实际影响。
(二)整改情况及结果
针对上述问题,发行人组织有关部门进行评审,制定整改方案,选定技术
路线,明确责任部门和责任人,确定时间节点进行整改,并积极寻求第三方专
业机构的支持,具体整改情况如下:
“健康云”APP 整改情况为:关闭第三方定位软件开发工具包。
“蛮牛健康”APP 整改情况为:使用纯净版的第三方定位软件开发工具包,
同时关闭第三方定位软件开发工具包在后台获取用户位置信息的权限。
2022 年 3 月,中国电子技术标准化研究院赛西实验室(中国电子技术标准
化研究院属于工业和信息化部直属事业单位,是国家从事电子信息技术领域标
准化的基础性、公益性、综合性研究机构,拥有新一代信息安全与隐私保护标
准化技术工业和信息化部重点实验室等资质。赛西实验室具有工业和信息化部
关于工业电子信息及软件产品质量控制和技术评价资质)对“健康云”和“蛮
牛健康”APP 进行了个人信息安全的评估,评估项包括:1、未公开收集使用规
则;2、隐私政策内容未做到完整、准确、真实;3、未明示收集个人信息的目
的、方式和范围;4、未经用户同意收集使用个人信息;5、违反必要原则,收
1-4
�集与其提供的服务无关的个人信息;6、未经同意向他人提供个人信息;7、未
按规定提供删除或更正个人信息的功能;8、未公布投诉、举报方式信息等信
息。评估的具体情况如下:
1、“健康云”APP
中国电子技术标准化研究院赛西实验室于 2022 年 3 月 14 日及 2022 年 3
月 16 日分别获取了健康云 Android 版 5.3.10 和 iOS 版 5.3.10 的样本,于
2022 年 3 月 17 日及 2022 年 3 月 24 日分别出具《健康云 Android 版 APP 个人
信息安全评估报告》及《健康云 iOS 版 APP 个人信息安全评估报告》,上述报
告摘要如下:
(1)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西
实验室于 2022 年 3 月 11 日至 2022 年 3 月 17 日,对健康云 Android 版
APP5.3.10 进行了个人信息安全的评估。主要评估结果如下:依据《APP 违法
违规收集使用个人信息行为认定办法》的评估要点进行评估,未发现 APP 存在
违法违规收集使用个人信息的问题。”
(2)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西
实验室于 2022 年 3 月 16 日至 2022 年 3 月 24 日,对健康云 iOS 版 APP5.3.10
进行了个人信息安全的评估。主要评估结果如下:依据《APP 违法违规收集使
用个人信息行为认定办法》的评估要点进行评估,未发现 APP 存在违法违规收
集使用个人信息的问题。”
2、“蛮牛健康”APP
中国电子技术标准化研究院赛西实验室于 2022 年 3 月 14 日及 2022 年 3
月 16 日分别获取了蛮牛健康 Android 版 2.1.5 和 iOS 版 2.1.50 的样本,于
2022 年 3 月 17 日及 2022 年 3 月 24 日分别出具《蛮牛健康 Android 版 APP 个
人信息安全评估报告》及《蛮牛健康 iOS 版 APP 个人信息安全评估报告》,上
述报告摘要如下:
(1)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西
实验室于 2022 年 3 月 11 日至 2022 年 3 月 17 日,对蛮牛健康 Android 版
APP2.1.5 进行了个人信息安全的评估。主要评估结果如下:依据《APP 违法违
1-5
�规收集使用个人信息行为认定办法》的评估要点进行评估,未发现 APP 存在违
法违规收集使用个人信息的问题。”
(2)“受万达信息股份有限公司委托,中国电子技术标准化研究院赛西
实验室于 2022 年 3 月 16 日至 2022 年 3 月 24 日,对蛮牛健康 iOS 版
APP2.1.50 进行了个人信息安全的评估。主要评估结果如下:依据《APP 违法
违规收集使用个人信息行为认定办法》的评估要点进行评估,未发现 APP 存在
违法违规收集使用个人信息的问题。”
因 此 , “ 健 康 云 ” 和 “ 蛮 牛 健 康 ” 两 个 APP 已 经 全 部 整 改 完 成 。
为降低合规风险,发行人进一步完善了合规制度和机制建设,主要体现在
三个方面:
(1)在安全管理体系建设合规遵循方面
发行人依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》等法律法规,设置了安全管理工作机构,
明确了安全管理组织架构中各级部门安全责任人职责,制定了配套的信息安
全管理制度。涵盖了安全管理机构、人员安全管理、系统安全建设管理、安
全运维管理、数据安全管理、安全绩效考核管理、应急响应管理等。
(2)在互联网应用上线运行合规遵循方面
发行人制定了应用安全风险评估和管理流程,规定了应用系统上线前必
须进行安全性评估,评估内容包括 APP 包安全、业务安全、传输安全、数据
安全等,通过安全评估后方可申请应用对外发布。发行人遵循国家网络安全
等级保护相关规范要求,对互联网应用系统落实等级保护定级备案,按期开
展等级保护测评。
(3)在个人信息数据收集使用合规遵循方面
发行人采用了周期性检测与非周期性专项检测相结合的管控方式。一方面
是定向采购第三方专业安全厂商的“APP 违法违规收集使用个人信息合规评估
服务”,周期性对 APP 中的隐私政策、涉及个人信息的权限、SDK 安全等内容
合规性进行评估,通过评估后方可申请对外发布;另一方面是及时关注国家各
1-6
�主管部门发布的互联网安全漏洞预警、互联网 APP 业内安全检测情况通报等公
开信息,举一反三自查自纠,不定期采购第三方专业安全评估机构的专项安全
评估检测服务,提高响应频度和针对性。
综上,“健康云”APP 和“蛮牛健康”APP 由于引用存在违规问题的第三方
定位软件开发工具包而导致产生相关问题。目前,发行人已经整改完毕;经第
三方专业机构评估,其未发现目前版本“健康云”APP 和“蛮牛健康”APP 违
法违规收集使用个人信息的情形。因此,目前“健康云”和“蛮牛健康”两个
APP 不存在违法违规收集个人信息的情况。发行人在严格遵循信息安全合规制
度和机制的基础上,持续强化完善信息安全技术和管理措施,努力降低业务合
规风险。
二、请保荐人及发行人律师核查并发表明确意见。
(一)核查程序
保荐机构主要履行了以下核查程序:
1、获取发行人整改报告;
2、查阅中国电子技术标准化研究院赛西实验室出具的评估报告;
3、查看相关 APP 功能;
4、查阅发行人有关信息安全管理相关的制度;
5、访谈发行人高管;
6、公开查询了解相关 APP 合规情况。
(二)核查意见
经核查,保荐机构认为:
1、发行人已对“健康云”和“蛮牛健康”两个 APP 存在的问题及相关问
题起始时间、具体内容、数据所有权、数据存放方式、收集个人信息的用途进
行了必要说明。
1-7
� 2、根据发行人的说明及中国电子技术标准化研究院赛西实验室出具的评估
报告,发行人已完成对相关问题的整改,目前“健康云”和“蛮牛健康”两个
APP 不存在违法违规收集个人信息的情况。
发行人律师的核查情况和核查意见详见《上海市浩信律师事务所关于万达
信息股份有限公司 2021 年度向特定对象发行股票的补充法律意见书(五)》
1-8
� (此页无正文,为《关于万达信息股份有限公司申请向特定对象发行股票的
第三轮审核问询函回复》之发行人签字盖章页)
万达信息股份有限公司
年 月 日
1-9
� (此页无正文,为《关于万达信息股份有限公司申请向特定对象发行股票的
第三轮审核问询函回复》之保荐机构签字盖章页)
保荐代表人:
欧阳凌 敬启志
太平洋证券股份有限公司
年 月 日
1-10
� 保荐机构总经理声明
本人已认真阅读《关于万达信息股份有限公司申请向特定对象发行股票的
第三轮审核问询函回复》的全部内容,了解回复涉及问题的核查过程、本公司
的内核和风险控制流程,确认本公司按照勤勉尽责原则履行核查程序,审核问
询函回复不存在虚假记载、误导性陈述或重大遗漏,并对上述文件的真实性、
准确性、完整性承担相应的法律责任。
保 荐 机 构 总经 理:
李长伟
太平洋证券股份有限公司
年 月 日
1-11
�
