万达信息:关于万达信息申请向特定对象发行股票的第三轮审核问询函回复

证券代码：300168证券简称：万达信息关于万达信息股份有限公司申请向特定对象发行股票的
第三轮审核问询函回复
保荐机构（主承销商）二零二二年三月关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函回复
深圳证券交易所：
贵所于2022年3月4日出具的《关于万达信息股份有限公司申请向特定对象发行股票的第三轮审核问询函》（审核函〔2022〕020044号）（以下简称“《审核问询函》”）已收悉。万达信息股份有限公司（以下简称“万达信息”“发行人”“公司”）会同太平洋证券股份有限公司（以下简称“保荐机构”“太平洋证券”）、上海市浩信律师事务所（以下简称“律师”）对《审核问询函》所列问题进行了逐项核查和落实，并就《审核问询函》进行了逐项回复。
说明：
1、如无特殊说明，本回复中使用的简称或名词释义与《万达信息股份有限公司2021年度向特定对象发行股票募集说明书（修订稿）》（以下简称“《募集说明书》（修订稿）”）保持一致；
2、本回复中若出现合计数尾数与所列数值总和尾数不符的情况，均为四舍
五入所致；
3、本回复中的字体代表以下含义：
问询函所列问题黑体问询函所列问题的回复宋体
对募集说明书的补充披露或修改楷体、加粗
1-1目录
问题1...................................................3
1-2问题1
根据申报文件及反馈回复，2020年发行人开始转型升级，定位为互联网化科技型公司，主要业务分为智慧政务、医疗卫生、信息技术应用创新、智慧城市（市民云）、健康管理服务（健康云和蛮牛健康业务等）等五大板块。其中部分业务涉及收集、存储、使用个人数据的情形。
请发行人补充说明：“健康云—客户端”和“蛮牛健康”两个 APP 是否存
在违法违规收集个人信息的问题。如是，请详细说明相关平台违法违规收集个人信息的起始时间、具体内容、数据所有权、数据存放方式及收集个人信息的用途；是否已完成对相关违法违规问题的整改，并说明整改情况及结果。
请保荐人及发行人律师核查并发表明确意见。
回复：
一、“健康云—客户端”和“蛮牛健康”两个 APP 是否存在违法违规收集
个人信息的问题。如是，请详细说明相关平台违法违规收集个人信息的起始时间、具体内容、数据所有权、数据存放方式及收集个人信息的用途；是否已完
成对相关违法违规问题的整改，并说明整改情况及结果。
（一）APP 相关情况
2022 年 2 月，根据公司整体合规检查安排，公司对运营的 APP 进行主动自查。
经核实，“健康云—客户端”从2021年10月18日开始，由于引用存在违规问题的第三方定位软件开发工具包，从而导致“健康云—客户端”存在“虽然告知用户‘医疗地图、预约挂号等功能需要定位’，但在用户实际每次进入 APP还未使用相关功能就调用定位权限、获取位置信息”的问题。该等个人位置信息数据所有权属于用户个人（已经取得用户同意授权），公司在当时场景下获取个人位置信息的用途是便于用户通过位置信息获取最近的医疗机构或接种点，如预约挂号、核酸检测、新冠疫苗接种等。公司不存储该等场景下获取的个人位置信息，在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数据。
1-3经核实，“蛮牛健康”从2021年10月18日开始，由于引用存在违规问题
的第三方定位软件开发工具包，从而导致“蛮牛健康”存在“虽然告知用户‘城
市定位、商城功能需要定位’，但实际每次进入 APP 还未使用相关功能就调用定位权限、获取位置信息，且随后 APP 存在延迟切换城市；在后台静默时获取位置信息”的问题。该等个人位置信息数据所有权属于用户个人（已经取得用户同意授权），公司在当时场景下获取个人位置信息的用途是便于为用户提供基于位置的当地活动信息及相关服务。公司不存储该等场景下获取的个人位置信息，在 APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数据。
因此，“健康云—客户端”和“蛮牛健康”的上述问题主要由于引用存在违规问题的第三方定位软件开发工具包而导致。公司出于提供便民服务的目的获取个人位置信息，没有主观故意，不存储该等场景下获取的个人位置信息，在APP 手机端与系统后台服务器中不存储记录任何个人坐标位置的数据，客观上未侵害用户信息并造成实际影响。
（二）整改情况及结果
针对上述问题，公司组织有关部门进行评审，制定整改方案，选定技术路线，明确责任部门和责任人，确定时间节点进行整改，并积极寻求第三方专业机构的支持，具体整改情况如下：
“健康云—客户端”整改情况为：关闭第三方定位软件开发工具包。
“蛮牛健康”整改情况为：使用纯净版的第三方定位软件开发工具包，同时关闭第三方定位软件开发工具包在后台获取用户位置信息的权限。
2022年3月17日，中国电子技术标准化研究院赛西实验室（中国电子技术标准化研究院属于工业和信息化部直属事业单位，是国家从事电子信息技术领域标准化的基础性、公益性、综合性研究机构，拥有新一代信息安全与隐私保护标准化技术工业和信息化部重点实验室等资质。赛西实验室具有工业和信息化部关于工业电子信息及软件产品质量控制和技术评价资质）对“健康云”
Android 版 APP5.3.10 及“蛮牛健康”Android 版 APP2.1.5 进行了个人信息安全的评估，分别出具了《健康云 Android 版 APP 个人信息安全评估报告》《蛮牛健康 Android 版 APP 个人信息安全评估报告》，主要评估结果是“依据《APP 违法
1-4违规收集使用个人信息行为认定方法》的评估要点进行评估，未发现 APP 存在违法违规收集使用个人信息的问题。”。
因此，“健康云—客户端”和“蛮牛健康”两个 APP 已经全部整改完成。
为降低合规风险，公司进一步完善了合规制度和机制建设，主要体现在三个方面：
（1）在公司安全管理体系建设合规遵循方面
公司依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》等法律法规，设置了安全管理工作机构，明确了安全管理组织架构中各级部门安全责任人职责，制定了配套的信息安全管理制度。涵盖了安全管理机构、人员安全管理、系统安全建设管理、安全运维管理、数据安全管理、安全绩效考核管理、应急响应管理等。
（2）在互联网应用上线运行合规遵循方面
公司制定了应用安全风险评估和管理流程，规定了应用系统上线前必须进行安全性评估，评估内容包括 APP 包安全、业务安全、传输安全、数据安全等，通过安全评估后方可申请应用对外发布。公司遵循国家网络安全等级保护相关规范要求，对互联网应用系统落实等级保护定级备案，按期开展等级保护测评。
（3）在个人信息数据收集使用合规遵循方面公司采用了周期性检测与非周期性专项检测相结合的管控方式。一方面是定向采购第三方专业安全厂商的“APP 违法违规收集使用个人信息合规评估服务”，周期性对 APP 中的隐私政策、涉及个人信息的权限、SDK 安全等内容合规性进行评估，通过评估后方可申请对外发布；另一方面是及时关注国家各主管部门发布的互联网安全漏洞预警、互联网 APP 业内安全检测情况通报等公开信息，举一反三自查自纠，不定期采购第三方专业安全评估机构的专项安全评估检测服务，提高响应频度和针对性。
综上，“健康云—客户端”和“蛮牛健康”由于引用存在违规问题的第三方定位软件开发工具包而导致产生相关问题。目前，公司已经整改完毕，第三方
1-5专业机构评估目前“健康云—客户端”和“蛮牛健康”安卓版本 APP 未发现违
法违规收集使用个人信息的情形，目前“健康云—客户端”和“蛮牛健康”两个 APP 现有版本不存在违法违规收集个人信息的情况。公司在严格遵循信息安全合规制度和机制的基础上，持续强化完善信息安全技术和管理措施，努力降低业务合规风险。
二、请保荐人及发行人律师核查并发表明确意见。
（一）核查程序
保荐机构主要履行了以下核查程序：
1、获取公司整改报告；
2、查阅中国电子技术标准化研究院赛西实验室出具的评估报告；
3、查看相关 APP 功能；
4、查阅公司有关信息安全管理相关的控制制度；
5、访谈公司高管；
6、公开查询方式了解相关 APP 合规情况。
（二）核查意见经核查，保荐机构认为：
1、公司已对“健康云—客户端”和“蛮牛健康”两个 APP 存在的问题及
相关问题起始时间、具体内容、数据所有权、数据存放方式、收集个人信息的用途进行了必要说明。
2、根据公司的说明及中国电子技术标准化研究院赛西实验室出具的评估报告，公司已完成对相关问题的整改，目前“健康云—客户端”和“蛮牛健康”两个 APP 现有版本不存在违法违规收集个人信息的情况。
发行人律师的核查情况和核查意见详见《上海市浩信律师事务所关于万达信息股份有限公司2021年度向特定对象发行股票的补充法律意见书（三）》1-6（此页无正文，为《关于万达信息股份有限公司申请向特定对象发行股票的
第三轮审核问询函回复》之发行人签字盖章页）万达信息股份有限公司年月日1-7（此页无正文，为《关于万达信息股份有限公司申请向特定对象发行股票的
第三轮审核问询函回复》之保荐机构签字盖章页）
保荐代表人：
欧阳凌敬启志太平洋证券股份有限公司年月日
1-8保荐机构总经理声明本人已认真阅读《关于万达信息股份有限公司申请向特定对象发行股票的
第三轮审核问询函回复》的全部内容，了解回复涉及问题的核查过程、本公司
的内核和风险控制流程，确认本公司按照勤勉尽责原则履行核查程序，审核问询函回复不存在虚假记载、误导性陈述或重大遗漏，并对上述文件的真实性、准确性、完整性承担相应的法律责任。
保荐机构总经理：
李长伟太平洋证券股份有限公司年月日