青云科技:北京市汉坤律师事务所关于北京青云科技股份有限公司2022年度向特定对象发行A股股票的补充法律意见书(一)2023-03-14
北京市汉坤律师事务所
关于
北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的
补充法律意见书(一)
汉坤(证)字[2023]第 28874-4-O-1 号
中国北京市东长安街 1 号东方广场 C1 座 9 层 100738
电话:(86 10) 8525 5500;传真:(86 10) 8525 5511 / 8525 5522
北京 上海 深圳 海口 武汉 香港
www.hankunlaw.com
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
北京市汉坤律师事务所
关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的
补充法律意见书(一)
汉坤(证)字[2023]第 28874-4-O-1 号
致:北京青云科技股份有限公司
根据北京市汉坤律师事务所(以下简称“本所”)与北京青云科技股份有限公
司(以下简称“发行人”)签署的法律顾问协议,本所接受发行人委托,以特聘专
项法律顾问身份,就发行人本次向特定对象发行 A 股股票并在科创板上市(以下
简称“本次发行”)事宜,已分别出具《北京市汉坤律师事务所关于北京青云科技
股份有限公司 2022 年度向特定对象发行 A 股股票的法律意见书》(以下简称
“《法律意见书》”)及《北京市汉坤律师事务所关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的律师工作报告》(以下简称“《律师工作报
告》”)。
根据上海证券交易所(以下简称“上交所”)于 2023 年 2 月 9 日下发的上证科
审(再融资)〔2023〕21 号《关于北京青云科技股份有限公司向特定对象发行股
票申请文件的审核问询函》(以下简称“《问询函》”)的要求,本所对《问询函》
所载相关法律问题进行核查;根据《中华人民共和国证券法》《中华人民共和国
公司法》《上市公司证券发行注册管理办法》《律师事务所从事证券法律业务管理
办法》《律师事务所证券法律业务执业规则(试行)》《公开发行证券公司信息披
露的编报规则第 12 号—公开发行证券的法律意见书和律师工作报告》等有关法
律、法规、规章和中国证券监督管理委员会(以下简称“中国证监会”)及上交所
的有关规定,按照律师行业公认的业务标准、道德规范和勤勉尽责精神,本所现
就《问询函》涉及的法律问题出具《北京市汉坤律师事务所关于北京青云科技股
份有限公司 2022 年度向特定对象发行 A 股股票的补充法律意见书(一)》(以下
简称“本补充法律意见书”)。
本补充法律意见书构成本所已出具的《法律意见书》《律师工作报告》不可
分割的组成部分,《法律意见书》《律师工作报告》中未描述或与本补充法律意见
书内容不一致的,以本补充法律意见书为准。本所在《法律意见书》《律师工作
报告》中发表法律意见的前提、假设和有关用语释义同样适用于本补充法律意见
书。除非另有所指,《法律意见书》《律师工作报告》有关释义或简称同样适用于
本补充法律意见书。
发行人已向本所出具书面文件,确认其提供的全部文件和材料是完整、真实、
准确、有效的,有关材料上的签字和印章均为真实,其中提供的材料为副本或复
印件的,保证正本与副本、原件与复印件一致;其所作出的陈述、说明、确认和
承诺均为真实、准确、完整,不存在虚假、重大遗漏、误导等情形;其所提供的
非自身制作的其它文件数据,均与其自该等文件数据的初始提供者处获得的文件
数据一致,未曾对该等文件数据进行任何形式上或实质上的更改、删减、遗漏和
7-3-1
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
隐瞒,且已提供或披露了与该等文件数据有关的其它辅助文件数据或信息,以避
免本所因该等文件数据或信息的不正确、不完整而影响其对该等文件数据的合理
理解、判断和引用。并且,所有相关的自然人均具有完全民事行为能力,发行人
相关工作人员口头介绍的情况均是真实的。
对于出具本补充法律意见书至关重要而又无法得到独立证据支持的事实,本
所向政府有关主管部门、发行人或者其他有关机构进行了询问。该等政府有关主
管部门、发行人或者其他有关机构出具的证明文件或口头陈述亦构成本所出具本
补充法律意见书的基础。
为出具本补充法律意见书,我们特作如下声明:
1. 本所经办律师系依据本补充法律意见书出具之日以前已发生或存在的事
实和我国现行法律、法规和中国证监会及上交所的有关规定发表法律意见,并不
对境外法律发表法律意见。本补充法律意见书中涉及发行人境外机构有关事宜均
依赖于发行人境外顾问或专业财务顾问提供的专业意见。
2. 本所经办律师已严格履行法定职责,遵循了勤勉尽责和诚实信用原则,
对发行人的行为以及本次发行申请的合法、合规、真实、有效进行了充分的核查
验证,保证本补充法律意见书不存在虚假记载、误导性陈述及重大遗漏。
3. 本所同意将本补充法律意见书作为发行人申请本次发行所必备的法律文
件,随同其他材料一同上报,并愿意承担相应的法律责任。
4. 本所同意发行人在申请本次发行的申请文件中引用本补充法律意见书的
部分或全部内容,但发行人作上述引用时,不得因引用而导致法律上的歧义或曲
解。
5. 本补充法律意见书仅就法律问题陈述意见,并不对有关会计、审计、资
产评估、内部控制等专业事项发表评论。在本补充法律意见书中涉及会计、审计、
资产评估、内部控制等内容时,均为严格按照有关中介机构出具的报告和发行人
的有关报告引述。
基于上述声明,本所兹出具本补充法律意见书。
7-3-2
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
释 义
在本补充法律意见书中,除非另有说明,下列词语具有如下特定意义:
简称 含义
北京青云科技股份有限公司,上海证券交易所科创板
青云科技/发行人/公
指 上市公司,证券代码为“688316”,证券简称为“青云
司/上市公司
科技”
在境内发行、在境内证券交易所上市并以人民币认购
A 股股票 指
和交易的普通股股票
本次发行 指 发行人本次向特定对象发行 A 股股票并在科创板上市
《北京市汉坤律师事务所关于北京青云科技股份有限
本补充法律意见书 指 公司 2022 年度向特定对象发行 A 股股票的补充法律
意见书(一)》
《北京青云科技股份有限公司向特定对象发行A股股
《募集说明书》 指
票募集说明书》
发 行 人 印 尼 法 律 顾 问 ASSEGAF HAMZAH &
境外顾问 指 PARTNERS 和/或发行人香港法律顾问汉坤律师事务
所有限法律责任合伙
中华人民共和国(包括中国内地/大陆、香港特别行
中国 指
政区、澳门特别行政区和台湾地区)
未包括香港特别行政区、澳门特别行政区和台湾地区
境内 指
的中国内地/大陆地区
境外 指 境内以外的其他地区
报告期末 指 2022 年 9 月 30 日
本所 指 北京市汉坤律师事务所
元/万元 指 人民币元/万元
7-3-3
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
正 文
《问询函》的回复
问题 4 关于经营与业务情况
4.3 根据申报材料,公司业务涉及数据开发利用和数据处理。
请发行人说明:公司相关业务经营是否符合《个人信息保护法》《数据安全
法》《网络安全法》等法律法规的规定。
请保荐机构、申报会计师对 4.1-4.3 问题进行核查并发表明确意见。请发行人
律师对 4.3 问题进行核查并发表明确意见。
回复:
一、发行人说明公司相关业务经营是否符合《个人信息保护法》《数据安全
法》《网络安全法》等法律法规的规定
(一) 发行人的业务涉及数据处理情况
根据《募集说明书》、发行人提供的《QingCloud 服务条款》《QingCloud 隐私
政策》等相关协议及规则、发行人的确认以及对发行人相关工作人员进行的访谈,
发行人的业务可分为云产品业务和云服务业务两种场景。
1. 云产品业务
云产品是指发行人将核心技术解耦实现产品化,形成可供出售的软件、与硬
件深度融合的软硬一体机。(i)客户根据需求采购软件或软硬一体机,并采购其它
供应商的电信资源和硬件,构建归属于自己的拥有云计算服务能力的数据中心,
从而形成私有云部署;(ii)客户可结合发行人混合云相关软件,形成混合、多云管
理能力,从而形成混合云部署。
在云产品业务场景下,发行人产品交付客户后,客户成为该等产品的使用者,
发行人在后续运维服务中不具备收集客户数据的权限,无法通过其提供的产品或
服务获取数据,数据存储于客户私有的信息系统体系中,由客户在其私有信息系
统体系内自行管理。
在云产品业务场景下发行人不涉及数据的开发利用和数据处理。
2. 云服务业务
云服务指发行人自行采购电信资源和基础硬件,将资源和服务向客户进行订
阅式交付。(i)利用自身核心技术,将资源抽象、池化并管理,实现计算、存储、
网络以订阅式出售及交付予客户,实现公有云部署;(ii)部分电信资源搭配运维服
务、软件定义广域网技术,提供机柜托管、混合云网络接入、智能广域网等服务,
供客户实现混合云部署。
在云服务业务场景下,发行人在客户于青云科技网站注册环节、向客户提供
云服务环节涉及客户数据的收集、存储或使用,但不涉及客户数据的开发。
(1)数据收集
7-3-4
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
A.注册环节
在客户于青云科技网站注册账户环节,客户需要向发行人提供邮箱(作为账
户名)、设置登录密码、提供客户在境内合法有效的手机号码;客户提交的该等
手机号码、邮箱用于注册、绑定账户以及密码找回时接受验证码,并且均作为发
行人与客户指定的联系方式之一。在完成注册后,客户可自主决定是否向发行人
提供真实姓名和/或单位名称、从事行业、营业年限、企业规模、主营业务、主要
产品、网站域名等(以届时网站页面展示为准)。
B.向客户提供云服务环节
在客户使用发行人云服务过程中,客户需根据网络实名制要求进行实名认证。
个人用户应向发行人提供姓名、身份证号并上传身份证件正反面照片,企业用户
应向发行人提供企业名称、营业执照注册号、法定代表人姓名、联系人姓名、身
份证号并上传身份证件正反面照片、地址及手机号码并上传联系人证件照。发行
人通过支付宝等认证服务机构为个人信息提供认证服务,通过天眼查等为企业信
息提供认证服务。若客户为开发者,还应向发行人提供公司网站、公司业务介绍、
预上线产品介绍以及银行账户信息(包括开户银行、对公账号和开户名)等。
除实名认证外,客户在使用发行人云服务过程中,发行人接收并记录的客户
的相关信息,包括但不限于日志信息(即客户在使用发行人的服务时,发行人接
收并记录的客户使用发行人的服务的情况,例如客户的 IP 地址、浏览器类型、访
问时间及访问网页的记录、以及检索内容等)、设备信息(例如设备型号、操作
系统版本、设备设置等软硬件特征信息,以及设备位置信息)、以及为获得技术
支持或协助、排除使用故障时向发行人提供的信息等。如客户选择使用域名注册
服务、域名备案服务、SSL 证书服务、告警服务时,也将根据各项服务的需求,
收集客户和/或客户联系人的个人信息。
在客户使用相关服务时,可能需要开启麦克风/相机/相册/摄像头权限后方能
进行,比如扫码、拍摄照片、音视频服务、上传照片、以及特定场景下经客户授
权的人脸识别等功能。在具体服务中若不开启相应的权限将使客户无法获得该等
服务。客户可自行决定在相应的客户端随时开启或关闭该等权限。
发行人网站公示的《QingCloud 隐私政策》中已经对发行人在注册环节、提
供服务环节收集用户信息的范围作出了规定,同时《QingCloud 隐私政策》规定,
若出现新的服务或服务更新导致超出《QingCloud 隐私政策》及相应服务协议约
定收集客户信息的,发行人将通过弹窗通知、页面公告、邮件通知或其他客户可
获得、关注到的方式向客户说明信息收集的范围与目的,并在征得客户的同意后
方收集提供有关服务所必要的客户信息。
客户在发行人网站注册账户时,将确认“阅读并同意遵守”作为注册协议之一
的《QingCloud 隐私政策》,同意发行人在注册环节、提供服务环节收集用户信息。
(2)数据存储
发行人将收集的客户信息存储于发行人购置的服务器中,存放于境内,并采
取各种合理的物理、管理和技术方面的安全措施来保护数据信息,以防止数据信
息遭到未经授权访问、公开披露、使用、修改、损坏或丢失。发行人除了为客户
7-3-5
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
在公有云上的系统和数据提供访问控制之外,还提供系统和数据的备份和容灾服
务,从而确保客户数据的安全。
(3)数据使用
客户在发行人网站注册账户时,将通过自主勾选方式确认“阅读并同意遵守”
作为注册协议之一的《QingCloud 隐私政策》,同意发行人基于以下目的使用收集
的数据:(i)完成客户账户的创建、激活,以及应客户的要求进行的相应变更;(ii)
为客户提供已购买的具体技术服务;(iii)满足客户的个性化服务需求;(iv)向客户
发送必要的产品、服务通知;(v)开展内部审计、数据分析与研究,以改进及优化
发行人的服务;(vi)分析业务运营效率并衡量市场份额;(vii)保护人身财产安全免
遭侵害;(viii)遵守和执行适用法律法规、相关监管机关要求、行业标准要求以及
发行人相关政策、规则的需要;(ix)其他向客户提供服务而需要使用客户的用户
信息的情形;(x)经客户许可的其他用途。
如超出收集用户信息时所声称的目的,或者超出具有直接、合理关联范围使
用用户信息前,发行人将通过弹窗通知、页面公告、邮件通知或其他客户容易获
得/关注到的方式再次向客户告知并征得客户的同意。
在客户使用发行人服务的过程中,若客户需要访问或复制发行人所持有的客
户的用户信息,或在发现发行人收集、存储的客户的用户信息存在错误的,客户
可以访问、复制及更正(修改)其信息,在特定情形下,可要求发行人删除其用
户信息,并且客户可以选择注销其在青云科技的注册账户。
除法律法规或监管机关要求、已取得客户的事先许可或授权、为客户提供云
服务所需等《QingCloud 隐私政策》明确规定情形外,发行人不会对收集的数据
进行共享、转让、公开、使用或加工,发行人提供云服务时不收集客户的业务数
据,也不具备对客户业务数据的访问权限。客户在公有云平台上申请各类服务资
源后,由客户独立掌握访问账号和访问密钥,发行人不拥有相关访问权限。
综上所述,在云产品业务场景下发行人不涉及数据的开发利用和数据处理,
在云服务场景下,在客户注册环节、向客户提供云服务业务过程中涉及客户数据
的收集、存储、使用,但该等数据的收集、存储、使用是为了客户注册账户、进
行网络实名制认证、为客户提供云服务所需要或其他正当目的,已经取得客户的
授权或同意,并未超出法律法规的要求或客户的同意范围收集、使用数据,发行
人收集的数据均妥善存储并采取必要措施予以保护。
(二) 发行人的制度及保障措施
1. 发行人收集、存储、使用用户数据已取得了必要的同意和授权
客户在青云科技网站注册账户时需手动勾选“我已阅读并同意遵守服务条款
及 隐 私 政 策”, 服 务 条 款 及 隐 私 政 策 可 跳 转 至 发 行 人 在 其 网 站 公 开 展 示 的
《QingCloud 服 务 条 款 》《QingCloud 隐 私 政 策 》,《QingCloud 服 务 条 款 》
《QingCloud 隐私政策》及其附属协议、规则中明确了发行人在用户注册环节、
向客户提供服务等有关环节,收集客户数据的范围、数据存储方式、所收集客户
数据的使用权限及方式,并取得了客户对数据信息收集、存储、使用的同意及授
权。
7-3-6
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
2. 发行人已制定相关制度
发行人已制定《信息安全总体方针和安全策略》《网络安全工作管理制度》
《用户个人信息管理制度》《网络安全管理制度》《系统安全管理制度》《防病毒
安全管理制度》《备份和恢复管理制度》《安全事件管理制度》《信息安全应急预
案》《青云数据中心管理制度》《网络与信息安全培训和教育制度》《IT 资产网络
安全审查细则》《网络安全威胁监测处置办法》等一系列有关的制度文件,对发
行人所涉及的个人信息、网络安全、数据安全进行管理和规范。
3. 发行人已建立相关组织机构
根据发行人的确认以及对发行人相关工作人员进行的访谈,发行人已建立相
关组织机构管理发行人网络安全、数据安全事宜。
发行人已建立网络安全领导小组,作为公司网络安全工作的最高管理机构,
由公司运营副总裁担任网络安全领导小组组长,组员包括计算及存储平台部主管
领导及其他各部门主管领导。计算及存储平台部是网络安全管理工作的执行机构,
负责执行网络安全领导小组交办的各项工作,具体下设网络安全组、系统开发组、
运营维护组。计算及存储平台部的职责包括:贯彻、落实和解释国家及行业有关
网络安全的政策、法律、法规和网络安全工作要求,起草信息系统的安全策略和
发展规划;负责内、外部组织和机构的网络安全沟通、协调和合作工作;指导和
检查运维单位对信息系统安全工作落实情况;协同有关部门共同组成应急处理小
组,组织处理网络安全应急响应工作;负责组织信息系统安全知识的培训和宣传
工作等。根据对发行人相关工作人员的访谈及发行人的确认,发行人的网络安全
领导小组、计算及存储平台部认真履行了其组织机构职能。
4. 发行人对数据安全相关人员的管理
根据发行人的确认及相关内部制度的规定,发行人在人员管理方面采取了如
下措施:(1)公司与数据安全相关的员工签署保密协议,同时要求其根据员工职位
说明书严格履行各自的安全角色和职责,主要包括保护资产免受未授权的访问、
泄漏、修改、销毁或干扰,执行特定的安全过程或活动,报告安全事件或其他风
险;(2)定期对员工进行安全培训,根据人员的安全角色和职责制定不同的培训计
划,保证所有员工能认识到网络安全问题和网络安全事件,并能按照各自的安全
角色履行安全职责;(3)当员工离职或调离其他岗位时,及时回收离职员工使用的
所有资产,如设备、软件、文件、访问卡、电子资料等,防止对资产的非授权使
用。及时删除离职员工对信息和信息处理设施的访问权限,访问权限包括物理和
逻辑访问、密钥、身份卡、信息处理设备、签名等;要求所有与离职员工在工作
上有联系的在职员工,不能再与离职员工共享信息。
5. 发行人取得的信息系统安全等级保护备案证明
发行人已取得如下信息系统安全等级保护备案证明,相关系统具备相应的安
全保护能力。
序
持有人 证照名称 编号 颁发单位 备案内容
号
7-3-7
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
序
持有人 证照名称 编号 颁发单位 备案内容
号
信息系统安 第三级 QingCloud 云
北京市公安
1 青云科技 全等级保护 11010519153-00001 计算管理服务平台系
局朝阳分局
备案证明 统
信息系统安 第三级 QingCloud 云
北京市公安
2 青云科技 全等级保护 11010519153-00002 计算基础设施信息系
局朝阳分局
备案证明 统
信息系统安
北京市公安 第三级 QingCloud
3 青云科技 全等级保护 11010519153-00003
局朝阳分局 BOSS 管理系统
备案证明
信息系统安
北京市公安 第二级 QingCloud
4 青云科技 全等级保护 11010519153-00004
局朝阳分局 OA 系统
备案证明
信息系统安
北京市公安 第二级 QingCloud 客
5 青云科技 全等级保护 11010519153-00005
局朝阳分局 服管理系统
备案证明
信息系统安
北京市公安 第二级 QingCloud 邮
6 青云科技 全等级保护 11010519153-00006
局朝阳分局 件系统
备案证明
6. 发行人取得的信息安全相关认证
发行人已取得如下信息安全相关的认证,相关系统符合相应的信息安全管理、
质量管理及安全技术服务认证或评估标准。
序号 证书名称 证书编号 持有人 认证/评估内容 授予单位 有效期至
与云计算服务相关的信息
信息安全管 新世纪检验
016ZB22I2 安全管理符合 GB/T
1 理体系认证 青云科技 认证有限责 2025.12.26
0956R2M 22080-2016/ISO/IEC
证书 任公司
27001:2013 标准
与云计算服务相关的质量
北京恒标质
质量管理体 06722Q207 管理体系符合 GB/T
2 青云科技 量认证有限 2025.08.18
系认证证书 54R1M 19001-2016/ISO
公司
9001:2015 标准
向外部客户提供与云计算
信息技术服 华信创(北
17421IT101 服务相关的信息技术服务
3 务管理体系 青云科技 京)认证中 2024.11.10
11R0M 符合 ISO/IEC 20000-
认证证书 心有限公司
1:2018 标准
CloudSec-
4 云计算产品 青云科技 青云云平台 V5 满足《云 公安部第三 2024.12.30
00022
7-3-8
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
序号 证书名称 证书编号 持有人 认证/评估内容 授予单位 有效期至
信息安全认 计算产品安全技术规范第 研究所安全
证证书 2 部分:IaaS》增强级要 防范与信息
求 安全产品及
系统检验实
验室
青云云平台 V5 符合 CSA
云计算产品 云安全标准:云计算安全 Cloud Test
CSA CSTR-
5 安全技术能 青云科技 技术要求(CSTR)V1.0 (Shenzhen) 2024.12.31
00030
力证书 第 2 部分:IaaS 安全技术 Co.,Ltd.
要求
ITSS-YF- 中国电子工
云服务(IAAS 公有云)
信息技术服 IAAS-GY- 业标准化技
信息技术服务根据 GB/T
6 务标准符合 1- 青云科技 术协会信息 2025.03.06
36326-2018 等标准评估等
性证书 1100202200 技术服务分
01 级为一级
会
ITSS-YF- 中国电子工
云服务(IAAS 私有云)
信息技术服 IAAS-SY- 业标准化技
信息技术服务根据 GB/T
7 务标准符合 1- 青云科技 术协会信息 2025.03.06
36326-2018 等标准评估等
性证书 1100202200 技术服务分
02 级为一级
会
(三) 是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规
的规定
《民法典》《个人信息保护法》《数据安全法》《网络安全法》等相关法律法
规对网络产品、服务的提供者的主要监管要求如下:
法律法规
主要内容 具体条款
名称
第一百一十一条 自然人的个人信息受法律保护。任何组
个 人 信 息 织或者个人需要获取他人个人信息的,应当依法取得并
受 法 律 保 确保信息安全,不得非法收集、使用、加工、传输他人
护 个人信息,不得非法买卖、提供或者公开他人个人信
息。
第一千零三十四条 自然人的个人信息受法律保护。个人
《民法 信息是以电子或者其他方式记录的能够单独或者与其他
典》 信息结合识别特定自然人的各种信息,包括自然人的姓
个人信息
名、出生日期、身份证件号码、生物识别信息、住址、
保护
电话号码、电子邮箱、健康信息、行踪信息等。个人信
息中的私密信息,适用有关隐私权的规定;没有规定
的,适用有关个人信息保护的规定。
个 人 信 息 第一千零三十五条 处理个人信息的,应当遵循合法、正
处 理 的 原 当、必要原则,不得过度处理,并符合下列条件:
7-3-9
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
法律法规
主要内容 具体条款
名称
则 (一)征得该自然人或者其监护人同意,但是法律、行
政法规另有规定的除外;(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围;(四)不违
反法律、行政法规的规定和双方的约定。个人信息的处
理包括个人信息的收集、存储、使用、加工、传输、提
供、公开等。
第一千零三十六条 处理个人信息,有下列情形之一的,
行为人不承担民事责任:(一)在该自然人或者其监护
处 理 个 人 人同意的范围内合理实施的行为;(二)合理处理该自
信 息 的 免 然人自行公开的或者其他已经合法公开的信息,但是该
责事由 自然人明确拒绝或者处理该信息侵害其重大利益的除
外;(三)为维护公共利益或者该自然人合法权益,合
理实施的其他行为。
第一千零三十七条 自然人可以依法向信息处理者查阅或
个 人 信 息 者复制其个人信息;发现信息有错误的,有权提出异议
主 体 的 权 并请求及时采取更正等必要措施。自然人发现信息处理
利 者违反法律、行政法规的规定或者双方的约定处理其个
人信息的,有权请求信息处理者及时删除。
第一千零三十八条 信息处理者不得泄露或者篡改其收
集、存储的个人信息;未经自然人同意,不得向他人非
法提供其个人信息,但是经过加工无法识别特定个人且
个 人 信 息 不能复原的除外。信息处理者应当采取技术措施和其他
安全 必要措施,确保其收集、存储的个人信息安全,防止信
息泄露、篡改、丢失;发生或者可能发生个人信息泄
露、篡改、丢失的,应当及时采取补救措施,按照规定
告知自然人并向有关主管部门报告。
个人信息 第四条个人信息是以电子或者其他方式记录的与已识别
及个人信 或者可识别的自然人有关的各种信息,不包括匿名化处
息处理的 理后的信息。个人信息的处理包括个人信息的收集、存
定义 储、使用、加工、传输、提供、公开、删除等。
《个人信
息保护 第五条 处理个人信息应当遵循合法、正当、必要和诚信
法》 原则,不得通过误导、欺诈、胁迫等方式处理个人信
个 人 信 息 息。
处理的原
则 第六条 处理个人信息应当具有明确、合理的目的,并应
当与处理目的直接相关,采取对个人权益影响最小的方
式。收集个人信息,应当限于实现处理目的的最小范
7-3-10
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
法律法规
主要内容 具体条款
名称
围,不得过度收集个人信息。
第七条 处理个人信息应当遵循公开、透明原则,公开个
人信息处理规则,明示处理的目的、方式和范围。
第八条 处理个人信息应当保证个人信息的质量,避免因
个人信息不准确、不完整对个人权益造成不利影响。
第十条 任何组织、个人不得非法收集、使用、加工、传
禁止非法
输他人个人信息,不得非法买卖、提供或者公开他人个
处理个人
人信息;不得从事危害国家安全、公共利益的个人信息
信息
处理活动。
第十三条 符合下列情形之一的,个人信息处理者方可处
理个人信息:(一)取得个人的同意;(二)为订立、履
行个人作为一方当事人的合同所必需,或者按照依法制
定的劳动规章制度和依法签订的集体合同实施人力资源
管理所必需;(三)为履行法定职责或者法定义务所必
需;(四)为应对突发公共卫生事件,或者紧急情况下
处理个人
为保护自然人的生命健康和财产安全所必需;(五)为
信息的合
公共利益实施新闻报道、舆论监督等行为,在合理的范
法性基础
围内处理个人信息;(六)依照本法规定在合理的范围
内处理个人自行公开或者其他已经合法公开的个人信
息;(七)法律、行政法规规定的其他情形。依照本法
其他有关规定,处理个人信息应当取得个人同意,但是
有前款第二项至第七项规定情形的,不需取得个人同
意。
第十七条 个人信息处理者在处理个人信息前,应当以显
著方式、清晰易懂的语言真实、准确、完整地向个人告
知下列事项:(一)个人信息处理者的名称或者姓名和
联系方式;(二)个人信息的处理目的、处理方式,处
告 知 的 内 理的个人信息种类、保存期限;(三)个人行使本法规
容与方式 定权利的方式和程序;(四)法律、行政法规规定应当
告知的其他事项。前款规定事项发生变更的,应当将变
更部分告知个人。个人信息处理者通过制定个人信息处
理规则的方式告知第一款规定事项的,处理规则应当公
开,并且便于查阅和保存。
敏 感 个 人 第二十八条 敏感个人信息是一旦泄露或者非法使用,容
信 息 的 定 易导致自然人的人格尊严受到侵害或者人身、财产安全
7-3-11
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
法律法规
主要内容 具体条款
名称
义 及 处 理 受到危害的个人信息,包括生物识别、宗教信仰、特定
条件 身份、医疗健康、金融账户、行踪轨迹等信息,以及不
满十四周岁未成年人的个人信息。只有在具有特定的目
的和充分的必要性,并采取严格保护措施的情形下,个
人信息处理者方可处理敏感个人信息。
第二十九条 处理敏感个人信息应当取得个人的单独同
意;法律、行政法规规定处理敏感个人信息应当取得书
面同意的,从其规定。
处理敏感
个人信息
第三十条 个人信息处理者处理敏感个人信息的,除本法
的规则
第十七条第一款规定的事项外,还应当向个人告知处理
敏感个人信息的必要性以及对个人权益的影响;依照本
法规定可以不向个人告知的除外。
第四十六条 个人发现其个人信息不准确或者不完整的,
个人信息
有权请求个人信息处理者更正、补充。个人请求更正、
的更正权
补充其个人信息的,个人信息处理者应当对其个人信息
和补充权
予以核实,并及时更正、补充。
第四十七条有下列情形之一的,个人信息处理者应当主
动删除个人信息;个人信息处理者未删除的,个人有权
请求删除:(一)处理目的已实现、无法实现或者为实
现处理目的不再必要;(二)个人信息处理者停止提供
产品或者服务,或者保存期限已届满;(三)个人撤回
个人信息
同意;(四)个人信息处理者违反法律、行政法规或者
的删除权
违反约定处理个人信息;(五)法律、行政法规规定的
其他情形。法律、行政法规规定的保存期限未届满,或
者删除个人信息从技术上难以实现的,个人信息处理者
应当停止除存储和采取必要的安全保护措施之外的处
理。
第五十一条 个人信息处理者应当根据个人信息的处理目
的、处理方式、个人信息的种类以及对个人权益的影
个 人 信 息 响、可能存在的安全风险等,采取下列措施确保个人信
处 理 者 的 息处理活动符合法律、行政法规的规定,并防止未经授
合 规 保 障 权的访问以及个人信息泄露、篡改、丢失:(一)制定
义务 内部管理制度和操作规程;(二)对个人信息实行分类
管理;(三)采取相应的加密、去标识化等安全技术措
施;(四)合理确定个人信息处理的操作权限,并定期
对从业人员进行安全教育和培训;(五)制定并组织实
7-3-12
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
法律法规
主要内容 具体条款
名称
施个人信息安全事件应急预案;(六)法律、行政法规
规定的其他措施。
第三条 本法所称数据,是指任何以电子或者其他方式对
数据、数
信息的记录。数据处理,包括数据的收集、存储、使
据处理及
用、加工、传输、提供、公开等。数据安全,是指通过
数据安全
采取必要措施,确保数据处于有效保护和合法利用的状
的定义
态,以及具备保障持续安全状态的能力。
第八条 开展数据处理活动,应当遵守法律、法规,尊重
应当合法
社会公德和伦理,遵守商业道德和职业道德,诚实守
合规开展
信,履行数据安全保护义务,承担社会责任,不得危害
数据处理
国家安全、公共利益,不得损害个人、组织的合法权
活动
益。
第二十七条 开展数据处理活动应当依照法律、法规的规
定,建立健全全流程数据安全管理制度,组织开展数据
安全教育培训,采取相应的技术措施和其他必要措施,
数据安全
保障数据安全。利用互联网等信息网络开展数据处理活
保护义务
动,应当在网络安全等级保护制度的基础上,履行上述
《数据安 数据安全保护义务。重要数据的处理者应当明确数据安
全法》 全负责人和管理机构,落实数据安全保护责任。
开展数据 第二十九条 开展数据处理活动应当加强风险监测,发现
处理活动 数据安全缺陷、漏洞等风险时,应当立即采取补救措
应当加强 施;发生数据安全事件时,应当立即采取处置措施,按
风险监测 照规定及时告知用户并向有关主管部门报告。
重要数据 第三十条 重要数据的处理者应当按照规定对其数据处理
处理活动 活动定期开展风险评估,并向有关主管部门报送风险评
应定期开 估报告。风险评估报告应当包括处理的重要数据的种
展风险评 类、数量,开展数据处理活动的情况,面临的数据安全
估并报告 风险及其应对措施等。
第三十二条 任何组织、个人收集数据,应当采取合法、
应当以合
正当的方式,不得窃取或者以其他非法方式获取数据。
法正当方
法律、行政法规对收集、使用数据的目的、范围有规定
式收集数
的,应当在法律、行政法规规定的目的和范围内收集、
据
使用数据。
《网络安 网 络 运 营 第九条 网络运营者开展经营和服务活动,必须遵守法
7-3-13
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
法律法规
主要内容 具体条款
名称
全法》 者 的 基 本 律、行政法规,尊重社会公德,遵守商业道德,诚实信
义务 用,履行网络安全保护义务,接受政府和社会的监督,
承担社会责任。
第二十一条 国家实行网络安全等级保护制度。网络运营
者应当按照网络安全等级保护制度的要求,履行下列安
全保护义务,保障网络免受干扰、破坏或者未经授权的
访问,防止网络数据泄露或者被窃取、篡改:(一)制
网 络 安 全 定内部安全管理制度和操作规程,确定网络安全负责
等 级 保 护 人,落实网络安全保护责任;(二)采取防范计算机病
制度 毒和网络攻击、网络侵入等危害网络安全行为的技术措
施;(三)采取监测、记录网络运行状态、网络安全事
件的技术措施,并按照规定留存相关的网络日志不少于
六个月;(四)采取数据分类、重要数据备份和加密等
措施;(五)法律、行政法规规定的其他义务。
第二十二条 网络产品、服务应当符合相关国家标准的强
制性要求。网络产品、服务的提供者不得设置恶意程
序;发现其网络产品、服务存在安全缺陷、漏洞等风险
网 络 产 品 时,应当立即采取补救措施,按照规定及时告知用户并
和 服 务 提 向有关主管部门报告。网络产品、服务的提供者应当为
供 者 的 安 其产品、服务持续提供安全维护;在规定或者当事人约
全义务 定的期限内,不得终止提供安全维护。网络产品、服务
具有收集用户信息功能的,其提供者应当向用户明示并
取得同意;涉及用户个人信息的,还应当遵守本法和有
关法律、行政法规关于个人信息保护的规定。
第二十五条 网络运营者应当制定网络安全事件应急预
网 络 运 营 案,及时处置系统漏洞、计算机病毒、网络攻击、网络
者 的 应 急 侵入等安全风险;在发生危害网络安全的事件时,立即
处置措施 启动应急预案,采取相应的补救措施,并按照规定向有
关主管部门报告。
建立用户
第四十条 网络运营者应当对其收集的用户信息严格保
信息保护
密,并建立健全用户信息保护制度。
制度
个 人 信 息 第四十一条 网络运营者收集、使用个人信息,应当遵循
收 集 使 用 合法、正当、必要的原则,公开收集、使用规则,明示
规则 收集、使用信息的目的、方式和范围,并经被收集者同
意。网络运营者不得收集与其提供的服务无关的个人信
7-3-14
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
法律法规
主要内容 具体条款
名称
息,不得违反法律、行政法规的规定和双方的约定收
集、使用个人信息,并应当依照法律、行政法规的规定
和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的
个人信息;未经被收集者同意,不得向他人提供个人信
网 络 运 营 息。但是,经过处理无法识别特定个人且不能复原的除
者 的 个 人 外。网络运营者应当采取技术措施和其他必要措施,确
信 息 保 护 保其收集的个人信息安全,防止信息泄露、毁损、丢
义务 失。在发生或者可能发生个人信息泄露、毁损、丢失的
情况时,应当立即采取补救措施,按照规定及时告知用
户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的
个 人 信 息 规定或者双方的约定收集、使用其个人信息的,有权要
的 删 除 权 求网络运营者删除其个人信息;发现网络运营者收集、
和更正权 存储的其个人信息有错误的,有权要求网络运营者予以
更正。网络运营者应当采取措施予以删除或者更正。
第七十六条 本法下列用语的含义:(一)网络,是指由
计算机或者其他信息终端及相关设备组成的按照一定的
规则和程序对信息进行收集、存储、传输、交换、处理
的系统。(二)网络安全,是指通过采取必要措施,防
范对网络的攻击、侵入、干扰、破坏和非法使用以及意
外事故,使网络处于稳定可靠运行的状态,以及保障网
有 关 用 语 络数据的完整性、保密性、可用性的能力。(三)网络
的含义 运营者,是指网络的所有者、管理者和网络服务提供
者。(四)网络数据,是指通过网络收集、存储、传
输、处理和产生的各种电子数据。(五)个人信息,是
指以电子或者其他方式记录的能够单独或者与其他信息
结合识别自然人个人身份的各种信息,包括但不限于自
然人的姓名、出生日期、身份证件号码、个人生物识别
信息、住址、电话号码等。
在本题回复之“(一)”中,发行人已披露了其在业务中涉及数据处理的情况,
在本题回复之“(二)”中,发行人已披露了其涉及数据处理的制度及保障措施。
发行人报告期内开展的各项业务中仅云服务业务涉及客户数据的收集、存储、使
用,但该等数据的收集、存储、使用已经取得客户的授权或同意,发行人确认其
在业务经营中不存在侵犯客户数据的情形,在其业务经营中涉及数据的收集、存
储、使用的情况均合法合规。如本题回复之“(一)”、“(二)”所述,发行人的
7-3-15
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
业务经营符合《民法典》《个人信息保护法》《数据安全法》《网络安全法》等法
律法规的规定。
二、核查意见
(一) 核查程序及核查方式
1. 访谈发行人相关工作人员,了解业务情况及业务过程中的数据开发利用、
数据处理情况;
2. 抽查发行人云产品业务合同,体验发行人云服务业务流程;
3. 查阅发行人有关数据安全和网络安全的相关制度文件、《QingCloud 服务
条款》《QingCloud 隐私政策》等相关协议及规则,以及发行人提供的信息系统安
全等级保护备案证明文件、信息安全相关认证证书等资料;
4. 查阅《民法典》《个人信息保护法》《数据安全法》《网络安全法》等法
律法规的规定,并将之与发行人经营中涉及数据安全的情况进行比对确认;
5. 查阅发行人出具的确认文件。
(二) 核查意见
经核查,本所认为:发行人相关业务经营中涉及的数据收集、存储、使用符
合《个人信息保护法》《数据安全法》《网络安全法》等法律法规的有关规定。
问题 5 其他
5.2 根据申报材料,公司于 2022 年 4 月 13 日因为未经备案从事非经营互联
网信息服务的组织或个人提供互联网接入服务受到北京市通信管理局行政处罚,
北京市通信管理局责令发行人立即改正,并处一万元罚款。此外,印尼云计算存
在合规问题。
请保荐机构和发行人律师就上述事项是否构成重大违法行为,是否构成本次
发行的实质性障碍进行核查并发表明确意见。
回复:
一、上述事项是否构成重大违法行为,是否构成本次发行的实质性障碍
(一) 北京市通信管理局行政处罚
1. 行政处罚情况
根据发行人提供的资料并经核查,北京市通信管理局于 2022 年 4 月 13 日向
发行人出具《行政处罚决定书》(京信管罚字〔2022〕第 04 号),因发行人为未
经备案从事非经营互联网信息服务的组织或个人提供互联网接入服务的行为,违
反了《非经营性互联网信息服务备案管理办法》第十八条第一款的规定;根据
《非经营性互联网信息服务备案管理办法》第二十四条,北京市通信管理局决定
对发行人给予以下行政处罚:责令发行人立即改正,并处一万元罚款。
7-3-16
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
根据发行人提供的网上银行电子回单,发行人已经于 2022 年 4 月 21 日支付
了上述 1 万元的罚款;根据发行人提供的整改报告及确认,发行人已经对“为未经
备案从事非经营互联网信息服务的组织或个人提供互联网接入服务的行为”进行
了整改。
2. 该项行政处罚不构成重大违法行为,不构成本次发行的实质性障碍
(1) 该项处罚不属于金额较大的行政处罚
根据《通信行政处罚程序规定》(中华人民共和国信息产业部令第 10 号)第
30 条,通信主管部门拟作出责令停产停业(关闭网站)、吊销许可证或者执照、
较大数额罚款等行政处罚决定之前,应当告知当事人有要求举行听证的权利。当
事人要求听证的,应当组织听证。本条前款所称较大数额,是指对公民罚款 1 万
元以上、对法人或其他组织罚款 10 万元以上;地方通信主管部门也可以按照省、
自治区、直辖市人大常委会或者人民政府规定的标准执行。
北京市通信管理局对发行人的处罚金额 1 万元未达到上述对法人或其他组织
罚款较大金额标准(10 万元以上),该项处罚不属于金额较大的行政处罚。
(2) 《行政处罚决定书》未认定发行人上述不合规行为属于情节严重的行为
经查阅《行政处罚决定书》(京信管罚字〔2022〕第 04 号),《行政处罚决定
书》(京信管罚字〔2022〕第 04 号)并未认定发行人上述不合规行为属于情节严
重的行为。
(3) 不构成重大违法行为
根据《<上市公司证券发行注册管理办法>第九条、第十条、第十一条、第十
三条、第四十条、第五十七条、第六十条有关规定的适用意见——证券期货法律
适用意见第 18 号》“二、(一)重大违法行为的认定标准”部分,“‘重大违法行为’
是指违反法律、行政法规或者规章,受到刑事处罚或者情节严重行政处罚的行为。
有以下情形之一且中介机构出具明确核查结论的,可以不认定为重大违法行为:
(1)违法行为轻微、罚款金额较小;(2)相关处罚依据未认定该行为属于情节
严重的情形;(3)有权机关证明该行为不属于重大违法行为。违法行为导致严重
环境污染、重大人员伤亡或者社会影响恶劣等的除外”。
鉴于上述处罚不属于金额较大的行政处罚,《行政处罚决定书》(京信管罚字
〔2022〕第 04 号)未认定发行人上述不合规行为属于情节严重的行为,且发行
人的上述不合规行为不属于导致严重环境污染、重大人员伤亡或社会影响恶劣的
情形,发行人的上述不合规行为及受到行政处罚的情况不属于重大违法行为。
综上所述,本所认为,发行人的上述不合规行为及受到行政处罚的情况不属
于重大违法行为,不构成本次发行的实质性障碍。
(二) 印尼云计算合规问题
1. 印尼云计算合规情况
根据境外顾问出具的《印尼云计算法律确认备忘录》,印尼云计算应当从事
托管及其相关经营活动、计算机咨询及计算机设施管理经营活动,应当取得但尚
未取得运营该等业务活动所需的标准证书(standard certificate)。印尼云计算可能因
7-3-17
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
此受到书面警告、罚款和/或暂停经营活动的行政处罚。
根据境外顾问出具的《印尼云计算法律确认备忘录》,2021 年 3 月 29 日,印
尼投资协调委员会(Badan Koordinasi Penanaman Modal)发布了一项条例规定,要
求外商投资企业已发行总股本的实收资本为 10,000,000,000 印尼盾。印尼云计算
目前的已发行总股本的实收资本为 2,500,000,000 印尼盾,印尼云计算因不符合上
述规定可能受到书面警告、限制经营活动、暂停经营活动和/或资本投资、撤销经
营活动和/或资本投资的行政处罚。
2. 印尼云计算合规问题不构成发行人的重大违法行为,不构成本次发行的
实质性障碍
根据《<上市公司证券发行注册管理办法>第九条、第十条、第十一条、第十
三条、第四十条、第五十七条、第六十条有关规定的适用意见——证券期货法律
适用意见第 18 号》“二、(一)重大违法行为的认定标准”部分,“发行人合并报表
范围内的各级子公司,如对发行人主营业务收入和净利润不具有重要影响(占比
不超过百分之五),其违法行为可不视为发行人存在重大违法行为,但违法行为
导致严重环境污染、重大人员伤亡或者社会影响恶劣等的除外”。
鉴于根据境外顾问出具的《印尼云计算法律确认备忘录》、对发行人相关人
员的访谈、发行人的书面确认,印尼云计算仅开展少量业务,对发行人主营业务
收入或净利润不具有重要影响(占比不超过 5%),截至报告期末,印尼云计算尚
未因不遵守任何法律法规而受到任何行政、财务和/或刑事制裁,印尼云计算未从
事任何可能导致严重环境污染、重大人员伤亡或社会影响恶劣的行为,因此,印
尼云计算的上述合规问题不视为上市公司存在违法行为。
综上所述,本所认为,印尼云计算的上述合规问题不构成发行人的重大违法
行为,不构成本次发行的实质性障碍。
二、核查意见
(一) 核查程序及核查方式
1. 查阅北京市通信管理局出具的《行政处罚决定书》(京信管罚字〔2022〕
第 04 号)、罚款缴纳凭证等;
2. 查阅《非经营性互联网信息服务备案管理办法》《通信行政处罚程序规
定》及相关法律法规;
3. 访谈发行人相关负责人;
4. 取得发行人关于北京市通信管理局行政处罚、印尼云计算合规问题有关
事项的书面确认;
5. 查阅境外顾问出具的《印尼云计算法律确认备忘录》;
6. 查阅《上市公司证券发行注册管理办法》《<上市公司证券发行注册管理
办法>第九条、第十条、第十一条、第十三条、第四十条、第五十七条、第六十
条有关规定的适用意见——证券期货法律适用意见第 18 号》。
(二) 核查意见
7-3-18
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
经核查,本所认为:发行人上述北京市通信管理局行政处罚、印尼子公司合
规问题均不构成发行人的重大违法行为,不构成本次发行的实质性障碍。
本补充法律意见书正本共三份,无副本。
(以下无正文)
7-3-19
�北京市汉坤律师事务所 关于北京青云科技股份有限公司
2022 年度向特定对象发行 A 股股票的补充法律意见书(一)
(此页无正文,为《北京市汉坤律师事务所关于北京青云科技股份有限公司 2022
年度向特定对象发行 A 股股票的补充法律意见书(一)》的签署页)
北京市汉坤律师事务所
负 责 人:
李卓蔚
经办律师:
吴楷莹
王振禹
年 月 日
7-3-20
�
