青云科技(688316):北京市汉坤律师事务所关于北京青云科技股份有限公司2022年度向特定对象发行A股股票的补充法律意见书（一）（修订稿）

北京市汉坤律师事务所
关于北京青云科技股份有限公司
2022年度向特定对象发行 A股股票的
补充法律意见书（一）
汉坤（证）字[2023]第 28874-4-O-1（G）号
致：北京青云科技股份有限公司
根据北京市汉坤律师事务所（以下简称“本所”）与北京青云科技股份有限公司（以下简称“发行人”）签署的法律顾问协议，本所接受发行人委托，以特聘专项法律顾问身份，就发行人本次向特定对象发行 A股股票并在科创板上市（以下简称“本次发行”）事宜，已分别出具《北京市汉坤律师事务所关于北京青云科技股份有限公司 2022年度向特定对象发行 A股股票的法律意见书》（以下简称“《法律意见书》”）及《北京市汉坤律师事务所关于北京青云科技股份有限公司2022年度向特定对象发行 A股股票的律师工作报告》（以下简称“《律师工作报告》”）。

根据上海证券交易所（以下简称“上交所”）于 2023年 2月 9日下发的上证科审（再融资）〔2023〕21号《关于北京青云科技股份有限公司向特定对象发行股票申请文件的审核问询函》（以下简称“《问询函》”）的要求，本所对《问询函》所载相关法律问题进行核查；根据《中华人民共和国证券法》《中华人民共和国公司法》《上市公司证券发行注册管理办法》《律师事务所从事证券法律业务管理办法》《律师事务所证券法律业务执业规则（试行）》《公开发行证券公司信息披露的编报规则第 12号—公开发行证券的法律意见书和律师工作报告》等有关法律、法规、规章和中国证券监督管理委员会（以下简称“中国证监会”）及上交所的有关规定，按照律师行业公认的业务标准、道德规范和勤勉尽责精神，本所现就《问询函》涉及的法律问题出具《北京市汉坤律师事务所关于北京青云科技股份有限公司 2022年度向特定对象发行 A股股票的补充法律意见书（一）》（以下简称“本补充法律意见书”）。

本补充法律意见书构成本所已出具的《法律意见书》《律师工作报告》不可分割的组成部分，《法律意见书》《律师工作报告》中未描述或与本补充法律意见书内容不一致的，以本补充法律意见书为准。本所在《法律意见书》《律师工作报告》中发表法律意见的前提、假设和有关用语释义同样适用于本补充法律意见书。除非另有所指，《法律意见书》《律师工作报告》有关释义或简称同样适用于本补充法律意见书。

发行人已向本所出具书面文件，确认其提供的全部文件和材料是完整、真实、准确、有效的，有关材料上的签字和印章均为真实，其中提供的材料为副本或复印件的，保证正本与副本、原件与复印件一致；其所作出的陈述、说明、确认和承诺均为真实、准确、完整，不存在虚假、重大遗漏、误导等情形；其所提供的非自身制作的其它文件数据，均与其自该等文件数据的初始提供者处获得的文件数据一致，未曾对该等文件数据进行任何形式上或实质上的更改、删减、遗漏和2022年度向特定对象发行 A股股票的补充法律意见书（一）
隐瞒，且已提供或披露了与该等文件数据有关的其它辅助文件数据或信息，以避免本所因该等文件数据或信息的不正确、不完整而影响其对该等文件数据的合理理解、判断和引用。并且，所有相关的自然人均具有完全民事行为能力，发行人相关工作人员口头介绍的情况均是真实的。

对于出具本补充法律意见书至关重要而又无法得到独立证据支持的事实，本所向政府有关主管部门、发行人或者其他有关机构进行了询问。该等政府有关主管部门、发行人或者其他有关机构出具的证明文件或口头陈述亦构成本所出具本补充法律意见书的基础。

为出具本补充法律意见书，我们特作如下声明：
1. 本所经办律师系依据本补充法律意见书出具之日以前已发生或存在的事实和我国现行法律、法规和中国证监会及上交所的有关规定发表法律意见，并不对境外法律发表法律意见。本补充法律意见书中涉及发行人境外机构有关事宜均依赖于发行人境外顾问或专业财务顾问提供的专业意见。

2. 本所经办律师已严格履行法定职责，遵循了勤勉尽责和诚实信用原则，对发行人的行为以及本次发行申请的合法、合规、真实、有效进行了充分的核查验证，保证本补充法律意见书不存在虚假记载、误导性陈述及重大遗漏。

3. 本所同意将本补充法律意见书作为发行人申请本次发行所必备的法律文件，随同其他材料一同上报，并愿意承担相应的法律责任。

4. 本所同意发行人在申请本次发行的申请文件中引用本补充法律意见书的部分或全部内容，但发行人作上述引用时，不得因引用而导致法律上的歧义或曲解。

5. 本补充法律意见书仅就法律问题陈述意见，并不对有关会计、审计、资产评估、内部控制等专业事项发表评论。在本补充法律意见书中涉及会计、审计、资产评估、内部控制等内容时，均为严格按照有关中介机构出具的报告和发行人的有关报告引述。

基于上述声明，本所兹出具本补充法律意见书。
2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
简称 含义青云科技/发行人/公 司/上市公司指北京青云科技股份有限公司，上海证券交易所科创板 上市公司，证券代码为“688316”，证券简称为“青云 科技”A股股票指在境内发行、在境内证券交易所上市并以人民币认购 和交易的普通股股票本次发行指发行人本次向特定对象发行 A股股票并在科创板上市本补充法律意见书指《北京市汉坤律师事务所关于北京青云科技股份有限 公司 2022年度向特定对象发行 A股股票的补充法律 意见书（一）》《募集说明书》指《北京青云科技股份有限公司向特定对象发行A股股 票募集说明书》境外顾问指发行人印尼法律顾问 ASSEGAF HAMZAH & PARTNERS和/或发行人香港法律顾问汉坤律师事务 所有限法律责任合伙中国指中华人民共和国（包括中国内地/大陆、香港特别行 政区、澳门特别行政区和台湾地区）境内指未包括香港特别行政区、澳门特别行政区和台湾地区 的中国内地/大陆地区境外指境内以外的其他地区报告期末指2022年 9月 30日本所指北京市汉坤律师事务所元/万元指人民币元/万元2022年度向特定对象发行 A股股票的补充法律意见书（一）
正 文
《问询函》的回复
问题 4 关于经营与业务情况
4.3 根据申报材料，公司业务涉及数据开发利用和数据处理。

请发行人说明：公司相关业务经营是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规的规定。

请保荐机构、申报会计师对 4.1-4.3问题进行核查并发表明确意见。请发行人律师对 4.3问题进行核查并发表明确意见。


回复：
一、发行人说明公司相关业务经营是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规的规定
(一) 发行人的业务涉及数据处理情况
根据《募集说明书》、发行人提供的《QingCloud服务条款》《QingCloud隐私政策》等相关协议及规则、发行人的确认以及对发行人相关工作人员进行的访谈，发行人的业务可分为云产品业务和云服务业务两种场景。

1. 云产品业务
云产品是指发行人将核心技术解耦实现产品化，形成可供出售的软件、与硬件深度融合的软硬一体机。(i)客户根据需求采购软件或软硬一体机，并采购其它供应商的电信资源和硬件，构建归属于自己的拥有云计算服务能力的数据中心，从而形成私有云部署；(ii)客户可结合发行人混合云相关软件，形成混合、多云管理能力，从而形成混合云部署。

在云产品业务场景下，发行人产品交付客户后，客户成为该等产品的使用者，发行人在后续运维服务中不具备收集客户数据的权限，无法通过其提供的产品或服务获取数据，数据存储于客户私有的信息系统体系中，由客户在其私有信息系统体系内自行管理。

在云产品业务场景下发行人不涉及数据的开发利用和数据处理。

2. 云服务业务
云服务指发行人自行采购电信资源和基础硬件，将资源和服务向客户进行订阅式交付。(i)利用自身核心技术，将资源抽象、池化并管理，实现计算、存储、网络以订阅式出售及交付予客户，实现公有云部署；(ii)部分电信资源搭配运维服务、软件定义广域网技术，提供机柜托管、混合云网络接入、智能广域网等服务，供客户实现混合云部署。

在云服务业务场景下，发行人在客户于青云科技网站注册环节、向客户提供云服务环节涉及客户数据的收集、存储或使用，但不涉及客户数据的开发。

2022年度向特定对象发行 A股股票的补充法律意见书（一）
(1)数据收集
A．注册环节
在客户于青云科技网站注册账户环节，客户需要向发行人提供邮箱（作为账户名）、设置登录密码、提供客户在境内合法有效的手机号码；客户提交的该等手机号码、邮箱用于注册、绑定账户以及密码找回时接受验证码，并且均作为发行人与客户指定的联系方式之一。在完成注册后，客户可自主决定是否向发行人提供真实姓名和/或单位名称、从事行业、营业年限、企业规模、主营业务、主要产品、网站域名等（以届时网站页面展示为准）。发行人在此环节仅收集注册账户所需的必要个人信息，所收集信息中的邮箱、手机号码、真实姓名，属于个人信息，但不属于关系国家安全、国民经济命脉、重要民生和重大公共利益等的核心数据。

B．向客户提供云服务环节
在客户使用发行人云服务过程中，客户需根据网络实名制要求进行实名认证。

个人用户应向发行人提供姓名、身份证号并上传身份证件正反面照片，企业用户应向发行人提供企业名称、营业执照注册号、法定代表人姓名、联系人姓名、身份证号并上传身份证件正反面照片、地址及手机号码并上传联系人证件照。发行人通过支付宝等认证服务机构为个人信息提供认证服务，通过天眼查等为企业信息提供认证服务。若客户为开发者，还应向发行人提供公司网站、公司业务介绍、预上线产品介绍以及银行账户信息（包括开户银行、对公账号和开户名）等。

除实名认证外，客户在使用发行人云服务过程中，发行人接收并记录的客户的相关信息，包括但不限于日志信息（即客户在使用发行人的服务时，发行人接收并记录的客户使用发行人的服务的情况，例如客户的 IP地址、浏览器类型、访问时间及访问网页的记录、以及检索内容等）、设备信息（例如设备型号、操作系统版本、设备设置等软硬件特征信息，以及设备位置信息）、以及为获得技术支持或协助、排除使用故障时向发行人提供的信息等。如客户选择使用域名注册服务、域名备案服务、SSL证书服务、告警服务时，也将根据各项服务的需求，收集客户和/或客户联系人的个人信息。

在客户使用相关服务时，可能需要开启麦克风/相机/相册/摄像头权限后方能进行，比如扫码、拍摄照片、音视频服务、上传照片、以及特定场景下经客户授权的人脸识别等功能。在具体服务中若不开启相应的权限将使客户无法获得该等服务，客户可自行决定在相应的客户端随时开启或关闭该等权限。

发行人在此环节仅收集网络实名认证所需个人信息、向用户提供服务所需的个人信息、法律法规和监管部门要求的个人信息；发行人按照最小必要原则收集个人信息，其未在法律法规和监管部门要求、向用户提供服务所必需的范围外收集用户个人信息。发行人所收集信息中的用于网络实名制认证的姓名、身份证号、地址、手机号码等，属于个人信息，但不属于关系国家安全、国民经济命脉、重要民生和重大公共利益等的核心数据。

发行人网站公示的《QingCloud隐私政策》中已经对发行人在注册环节、提供服务环节收集用户信息的范围作出了规定，同时《QingCloud隐私政策》规定，若出现新的服务或服务更新导致超出《QingCloud隐私政策》及相应服务协议约2022年度向特定对象发行 A股股票的补充法律意见书（一）
定收集客户信息的，发行人将通过弹窗通知、页面公告、邮件通知或其他客户可获得、关注到的方式向客户说明信息收集的范围与目的，并在征得客户的同意后方收集提供有关服务所必要的客户信息。

客户在发行人网站注册账户时，将确认“阅读并同意遵守”作为注册协议之一的《QingCloud隐私政策》，同意发行人在注册环节、提供服务环节收集用户信息。

发行人已取得了客户对收集其用户信息和数据的同意。

(2)数据存储
发行人将收集的客户信息存储于发行人购置的服务器中，存放于境内，并采取各种合理的物理、管理和技术方面的安全措施来保护数据信息，发行人采用加密算法对个人信息隐私数据进行底层存储加密，同时采用数据分片技术对关键隐私数据进行映射替换，并根据数据类型分别加密存储在不同的数据库或者存储区域，以防止数据信息遭到未经授权访问、公开披露、使用、修改、损坏或丢失。

发行人除了为客户在公有云上的系统和数据提供访问控制之外，还提供系统和数据的备份和容灾服务，从而确保客户数据的安全。

对于发行人收集的数据，未经用户授权或履行内部审批程序，发行人及其员工仅可在系统前台中查看到隐去部分内容或加密处理后的脱敏信息或数据，无法查看到完整个人信息和数据。如因向客户提供服务需要访问个人信息数据，发行人员工仅可在青云管理平台中进行访问，且所有的访问均需要经申请并获得其所在部门主管、系统管理员进行审批后方可获得访问授权，访问时系统会根据内置的加解密算法和数据合并算法获得真实有效的信息，访问记录均被严格日志记录，并由发行人法务及合规部定期对访问日志进行合规审计。

根据发行人的说明，对于发行人在注册环节、向客户提供服务环节收集的个人信息，发行人按照不同信息类型实行分类管理，如联系方式类（姓名、电话、邮箱等）、实名认证信息类（身份证号、身份证照片等）、财务结算类（用户向发行人付款的银行账户信息等）。对于发行人收集的个人信息和非个人信息，发行人进行隔离存储管理，个人信息数据属于绝密类数据，非个人信息数据属于机密类数据。

(3)数据使用
发行人在用户注册环节收集的个人信息仅用于用户注册、与客户取得联系。

发行人在向客户提供服务环节收集的姓名、身份证号、身份证照片等个人信息和数据，仅用于根据网络实名制要求进行实名认证。发行人在向客户提供服务环节收集的日志信息（即客户在使用发行人的服务时，发行人接收并记录的客户使用发行人的服务的情况，例如客户的 IP地址、浏览器类型、访问时间及访问网页的记录、以及检索内容等）、设备信息（例如设备型号、操作系统版本、设备设置等软硬件特征信息，以及设备位置信息）等数据，仅用于发行人向客户提供服务、为客户获得技术支持或协助、排除客户使用故障以及根据法律法规要求在客户违反法律法规时按照公安机关、监管部门的指示提供所收集的相关信息。发行人向客户提供域名注册服务、域名备案服务、SSL证书服务、告警服务时，收集客户和/或客户联系人的个人信息，仅用于发行人帮客户代为向电信管理部门或者域名服务商进行注册时提供相关信息。

2022年度向特定对象发行 A股股票的补充法律意见书（一）
在数据使用环节，除为进行网络实名制认证或按照公安机关、监管部门指示提供必要信息外，发行人在业务服务中所使用的数据不会和特定的客户个人信息进行直接的关联，且由客户自行决定是否提供，发行人将根据各部门的业务需求按最小必要原则提供给相应的员工，并要求员工在完成相应的安全培训后按照流程提供业务支持。

客户在发行人网站注册账户时，将通过自主勾选方式确认“阅读并同意遵守”作为注册协议之一的《QingCloud隐私政策》，同意发行人基于以下目的使用收集的数据：(i)完成客户账户的创建、激活，以及应客户的要求进行的相应变更；(ii)为客户提供已购买的具体技术服务；(iii)满足客户的个性化服务需求；(iv)向客户发送必要的产品、服务通知；(v)开展内部审计、数据分析与研究，以改进及优化发行人的服务；(vi)分析业务运营效率并衡量市场份额；(vii)保护人身财产安全免遭侵害；(viii)遵守和执行适用法律法规、相关监管机关要求、行业标准要求以及发行人相关政策、规则的需要；(ix)其他向客户提供服务而需要使用客户的用户信息的情形；(x)经客户许可的其他用途。

如超出收集用户信息时所声称的目的，或者超出具有直接、合理关联范围使用用户信息前，发行人将通过弹窗通知、页面公告、邮件通知或其他客户容易获得/关注到的方式再次向客户告知并征得客户的同意。

在客户使用发行人服务的过程中，若客户需要访问或复制发行人所持有的客户的用户信息，或在发现发行人收集、存储的客户的用户信息存在错误的，客户可以访问、复制及更正（修改）其信息，在特定情形下，可要求发行人删除其用户信息，并且客户可以选择注销其在青云科技的注册账户。

除法律法规或监管机关要求、已取得客户的事先许可或授权、为客户提供云服务所需等《QingCloud隐私政策》明确规定情形外，发行人不会对收集的数据进行共享、转让、公开、使用或加工，发行人提供云服务时不收集客户的业务数据，也不具备对客户业务数据的访问权限。客户在公有云平台上申请各类服务资源后，由客户独立掌握访问账号和访问密钥，发行人不拥有相关访问权限。

综上所述，在云产品业务场景下发行人不涉及数据的开发利用和数据处理，在云服务场景下，在客户注册环节、向客户提供云服务业务过程中涉及客户数据的收集、存储、使用，但该等数据的收集、存储、使用是为了客户注册账户、进行网络实名制认证、为客户提供云服务所需要或其他正当目的，已经取得客户的授权或同意，并未超出法律法规的要求或客户的同意范围收集、使用数据，发行人收集的数据均妥善存储并采取必要措施予以保护。

(二) 发行人的内控制度及保障措施
1. 发行人收集、存储、使用用户数据已取得了必要的同意和授权
客户在青云科技网站注册账户时需手动勾选“我已阅读并同意遵守服务条款及隐私政策”，服务条款及隐私政策可跳转至发行人在其网站公开展示的《QingCloud服务条款》《QingCloud隐私政策》，《QingCloud服务条款》《QingCloud隐私政策》及其附属协议、规则中明确了发行人在用户注册环节、向客户提供服务等有关环节，收集客户数据的范围、数据存储方式、所收集客户2022年度向特定对象发行 A股股票的补充法律意见书（一）
数据的使用权限及方式，并取得了客户对数据信息收集、存储、使用的同意及授权。

2. 发行人已制定相关内控制度
发行人已制定《信息安全总体方针和安全策略》《网络安全工作管理制度》《用户个人信息管理制度》《网络安全管理制度》《系统安全管理制度》《防病毒安全管理制度》《备份和恢复管理制度》《安全事件管理制度》《信息安全应急预案》《青云数据中心管理制度》《网络与信息安全培训和教育制度》《IT资产网络安全审查细则》《网络安全威胁监测处置办法》等一系列有关的内控制度文件，对发行人所涉及的个人信息、网络安全、数据安全进行管理和规范。发行人已制定《个人信息安全事件应急预案》《信息安全应急预案》，以应对与个人信息安全、网络信息安全的突发事件。

3. 发行人已建立相关组织机构
根据发行人的确认以及对发行人相关工作人员进行的访谈，发行人已建立相关组织机构管理发行人网络安全、数据安全事宜。

发行人已建立网络安全领导小组，作为公司网络安全工作的最高管理机构，由公司运营副总裁担任网络安全领导小组组长，组员包括计算及存储平台部主管领导及其他各部门主管领导。计算及存储平台部是网络安全管理工作的执行机构，负责执行网络安全领导小组交办的各项工作，具体下设网络安全组、系统开发组、运营维护组。计算及存储平台部的职责包括：贯彻、落实和解释国家及行业有关网络安全的政策、法律、法规和网络安全工作要求，起草信息系统的安全策略和发展规划；负责内、外部组织和机构的网络安全沟通、协调和合作工作；指导和检查运维单位对信息系统安全工作落实情况；协同有关部门共同组成应急处理小组，组织处理网络安全应急响应工作；负责组织信息系统安全知识的培训和宣传工作等。根据对发行人相关工作人员的访谈及发行人的确认，发行人的网络安全领导小组、计算及存储平台部认真履行了其组织机构职能。

发行人要求员工不得窃取或以其他非法方式获取收集个人信息，不得泄露、篡改、毁损个人信息，如因业务或工作需要访问个人信息数据，仅可在青云管理平台中进行访问，且所有的访问均需要经申请并获得其所在部门主管、系统管理员进行审批后方可获得访问授权，访问记录均被严格日志记录，并由发行人法务及合规部定期对访问日志进行合规审计。

4. 发行人对数据安全相关人员的管理
根据发行人的确认及相关内部制度的规定，发行人在人员管理方面采取了如下措施：(1)公司与数据安全相关的员工签署保密协议，同时要求其根据员工职位说明书严格履行各自的安全角色和职责，主要包括保护资产免受未授权的访问、泄漏、修改、销毁或干扰，执行特定的安全过程或活动，报告安全事件或其他风险；(2)定期对员工进行安全培训，根据人员的安全角色和职责制定不同的培训计划，保证所有员工能认识到网络安全问题和网络安全事件，并能按照各自的安全角色履行安全职责；(3)当员工离职或调离其他岗位时，及时回收离职员工使用的所有资产，如设备、软件、文件、访问卡、电子资料等，防止对资产的非授权使用。及时删除离职员工对信息和信息处理设施的访问权限，访问权限包括物理和2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
号持有人证照名称编号颁发单位备案内容1青云科技信息系统安 全等级保护 备案证明11010519153-00001北京市公安 局朝阳分局第三级 QingCloud云 计算管理服务平台系 统2青云科技信息系统安 全等级保护 备案证明11010519153-00002北京市公安 局朝阳分局第三级 QingCloud云 计算基础设施信息系 统3青云科技信息系统安 全等级保护 备案证明11010519153-00003北京市公安 局朝阳分局第三级 QingCloud BOSS管理系统4青云科技信息系统安 全等级保护 备案证明11010519153-00004北京市公安 局朝阳分局第二级 QingCloud OA系统5青云科技信息系统安 全等级保护 备案证明11010519153-00005北京市公安 局朝阳分局第二级 QingCloud 客 服管理系统6青云科技信息系统安 全等级保护 备案证明11010519153-00006北京市公安 局朝阳分局第二级 QingCloud 邮 件系统除上述情形外，发行人拥有部分仅在发行人内部使用的管理系统（如人事管理系统、办公流程系统、文档管理系统等），根据发行人的确认，该部分管理系统仅在发行人内部使用，且不涉及个人信息、重要数据、核心数据，不属于《信息安全等级保护管理办法》规定的第二级及第二级以上安全保护等级的信息系统，无需进行信息系统等级保护备案。

2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
序号证书名称证书编号持有人认证/评估内容授予单位有效期至1信息安全管 理体系认证 证书016ZB22I2 0956R2M青云科技与云计算服务相关的信息 安全管理符合 GB/T 22080-2016/ISO/IEC 27001:2013标准新世纪检验 认证有限责 任公司2025.12.262质量管理体 系认证证书06722Q207 54R1M青云科技与云计算服务相关的质量 管理体系符合 GB/T 19001-2016/ISO 9001:2015标准北京恒标质 量认证有限 公司2025.08.183信息技术服 务管理体系 认证证书17421IT101 11R0M青云科技向外部客户提供与云计算 服务相关的信息技术服务 符合 ISO/IEC 20000- 1:2018标准华信创（北 京）认证中 心有限公司2024.11.104云计算产品 信息安全认 证证书CloudSec- 00022青云科技青云云平台 V5满足《云 计算产品安全技术规范第 2部分：IaaS》增强级要 求公安部第三 研究所安全 防范与信息 安全产品及 系统检验实 验室2024.12.305云计算产品 安全技术能 力证书CSA CSTR- 00030青云科技青云云平台 V5符合 CSA 云安全标准：云计算安全 技术要求（CSTR）V1.0 第 2部分：IaaS安全技术 要求Cloud Test (Shenzhen) Co.,Ltd.2024.12.316信息技术服 务标准符合 性证书ITSS-YF- IAAS-GY- 1100202200 01青云科技云服务（IAAS公有云） 信息技术服务根据 GB/T 36326-2018等标准评估等 级为一级中国电子工 业标准化技 术协会信息 技术服务分 会2025.03.067信息技术服 务标准符合 性证书ITSS-YF- IAAS-SY- 1100202200 02青云科技云服务（IAAS私有云） 信息技术服务根据 GB/T 36326-2018等标准评估等 级为一级中国电子工 业标准化技 术协会信息 技术服务分 会2025.03.062022年度向特定对象发行 A股股票的补充法律意见书（一）
(三) 是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规的规定
《民法典》《个人信息保护法》《数据安全法》《网络安全法》等相关法律法规对网络产品、服务的提供者的主要监管要求及发行人的规范运作情况如下：2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况《民法 典》个人信息受 法律保护第一百一十一条 自然人的个人信息受法律保护。 任何组织或者个人需要获取他人个人信息的，应当 依法取得并确保信息安全，不得非法收集、使用、 加工、传输他人个人信息，不得非法买卖、提供或 者公开他人个人信息。符合。 发行人依法取得并确保个人信息安全，未非法 收集、使用、加工、传输他人个人信息，未非 法买卖、提供或者公开他人个人信息。 个人信息处 理的原则第一千零三十五条 处理个人信息的，应当遵循合 法、正当、必要原则，不得过度处理，并符合下列 条件：（一）征得该自然人或者其监护人同意，但 是法律、行政法规另有规定的除外；（二）公开处 理信息的规则；（三）明示处理信息的目的、方式 和范围；（四）不违反法律、行政法规的规定和双 方的约定。个人信息的处理包括个人信息的收集、 存储、使用、加工、传输、提供、公开等。符合。 如上文分析，发行人收集、存储或使用个人信 息，遵循了合法、正当、必要原则。发行人已 在其网站公示的《QingCloud 服务条款》 《QingCloud隐私政策》等相关协议及规则中， 公开了处理信息的规则，明示处理信息的目 的、方式和范围，处理个人信息已获得客户的 同意或授权。报告期内，发行人不存在因违反 《个人信息保护法》《数据安全法》《网络安全 法》受到行政处罚的情形，不存在与个人信息 保护、数据安全、网络安全相关的未决诉讼、 仲裁案件。 个人信息主 体的权利第一千零三十七条 自然人可以依法向信息处理者 查阅或者复制其个人信息；发现信息有错误的，有 权提出异议并请求及时采取更正等必要措施。自然 人发现信息处理者违反法律、行政法规的规定或者 双方的约定处理其个人信息的，有权请求信息处理 者及时删除。符合。 发行人向用户提供了该等权利。 个人信息安第一千零三十八条 信息处理者不得泄露或者篡改符合。2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 全其收集、存储的个人信息；未经自然人同意，不得 向他人非法提供其个人信息，但是经过加工无法识 别特定个人且不能复原的除外。信息处理者应当采 取技术措施和其他必要措施，确保其收集、存储的 个人信息安全，防止信息泄露、篡改、丢失；发生 或者可能发生个人信息泄露、篡改、丢失的，应当 及时采取补救措施，按照规定告知自然人并向有关 主管部门报告。发行人确认未泄露、篡改、非法提供其收集、 存储的个人信息。发行人已通过采取物理存储 隔离、采取加密等技术措施、建立内控制度及 审批流程等方式，确保其收集、存储的个人信 息安全，防止信息泄露、篡改、丢失。《个人信 法》个人信息处 理的原则第五条 处理个人信息应当遵循合法、正当、必要 和诚信原则，不得通过误导、欺诈、胁迫等方式处 理个人信息。符合。 发行人确认遵守该等个人信息处理的原则，并 在最小范围内，收集用户注册、实名认证、向 客户提供服务所必要的信息。发行人已在其网 站公示的《QingCloud服务条款》《QingCloud隐 私政策》等相关协议及规则中，公开了处理信 息的规则，明示处理信息的目的、方式和范 围。 第六条 处理个人信息应当具有明确、合理的目 的，并应当与处理目的直接相关，采取对个人权益 影响最小的方式。收集个人信息，应当限于实现处 理目的的最小范围，不得过度收集个人信息。 第七条 处理个人信息应当遵循公开、透明原则， 公开个人信息处理规则，明示处理的目的、方式和 范围。 第八条 处理个人信息应当保证个人信息的质量， 避免因个人信息不准确、不完整对个人权益造成不 利影响。 禁止非法处 理个人信息第十条 任何组织、个人不得非法收集、使用、加 工、传输他人个人信息，不得非法买卖、提供或者 公开他人个人信息；不得从事危害国家安全、公共符合。 发行人确认不存在非法处理个人信息的行为。2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 利益的个人信息处理活动。 处理个人信 息的合法性 基础第十三条 符合下列情形之一的，个人信息处理者 方可处理个人信息：（一）取得个人的同意；（二） 为订立、履行个人作为一方当事人的合同所必需， 或者按照依法制定的劳动规章制度和依法签订的集 体合同实施人力资源管理所必需；（三）为履行法 定职责或者法定义务所必需；（四）为应对突发公 共卫生事件，或者紧急情况下为保护自然人的生命 健康和财产安全所必需；（五）为公共利益实施新 闻报道、舆论监督等行为，在合理的范围内处理个 人信息；（六）依照本法规定在合理的范围内处理 个人自行公开或者其他已经合法公开的个人信息； （七）法律、行政法规规定的其他情形。依照本法 其他有关规定，处理个人信息应当取得个人同意， 但是有前款第二项至第七项规定情形的，不需取得 个人同意。符合。 发行人收集、存储、使用的个人信息，均取得 了客户的同意，或为履行法定义务所必需。 告知的内容 与方式第十七条 个人信息处理者在处理个人信息前，应 当以显著方式、清晰易懂的语言真实、准确、完整 地向个人告知下列事项：（一）个人信息处理者的 名称或者姓名和联系方式；（二）个人信息的处理 目的、处理方式，处理的个人信息种类、保存期 限；（三）个人行使本法规定权利的方式和程序； （四）法律、行政法规规定应当告知的其他事项。 前款规定事项发生变更的，应当将变更部分告知个 人。个人信息处理者通过制定个人信息处理规则的符合。 发行人已在其网站公示的《QingCloud服务条 款》《QingCloud隐私政策》等相关协议及规则 中告知了该等内容。2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 方式告知第一款规定事项的，处理规则应当公开， 并且便于查阅和保存。 处理敏感个 人信息的规 则第二十九条 处理敏感个人信息应当取得个人的单 独同意；法律、行政法规规定处理敏感个人信息应 当取得书面同意的，从其规定。符合。 发行人收集、存储、使用的个人信息，均取得 了个人的同意，或为履行法定义务所必需。发 行人已在其网站公示的《QingCloud服务条款》 《QingCloud隐私政策》等相关协议及规则中告 知了该等内容。 第三十条 个人信息处理者处理敏感个人信息的， 除本法第十七条第一款规定的事项外，还应当向个 人告知处理敏感个人信息的必要性以及对个人权益 的影响；依照本法规定可以不向个人告知的除外。 个人信息的 更正权和补 充权第四十六条 个人发现其个人信息不准确或者不完 整的，有权请求个人信息处理者更正、补充。个人 请求更正、补充其个人信息的，个人信息处理者应 当对其个人信息予以核实，并及时更正、补充。符合。 发行人向用户提供了该等权利 个人信息的 删除义务第四十七条有下列情形之一的，个人信息处理者应 当主动删除个人信息；个人信息处理者未删除的， 个人有权请求删除：（一）处理目的已实现、无法 实现或者为实现处理目的不再必要；（二）个人信 息处理者停止提供产品或者服务，或者保存期限已 届满；（三）个人撤回同意；（四）个人信息处理者 违反法律、行政法规或者违反约定处理个人信息； （五）法律、行政法规规定的其他情形。法律、行 政法规规定的保存期限未届满，或者删除个人信息 从技术上难以实现的，个人信息处理者应当停止除 存储和采取必要的安全保护措施之外的处理。符合。 发行人确认遵守该等义务。 个人信息处第五十一条 个人信息处理者应当根据个人信息的符合。2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 理者的合规 保障义务处理目的、处理方式、个人信息的种类以及对个人 权益的影响、可能存在的安全风险等，采取下列措 施确保个人信息处理活动符合法律、行政法规的规 定，并防止未经授权的访问以及个人信息泄露、篡 改、丢失：（一）制定内部管理制度和操作规程； （二）对个人信息实行分类管理；（三）采取相应 的加密、去标识化等安全技术措施；（四）合理确 定个人信息处理的操作权限，并定期对从业人员进 行安全教育和培训；（五）制定并组织实施个人信 息安全事件应急预案；（六）法律、行政法规规定 的其他措施。如上文所述，发行人已制定与个人信息处理有 关的内部管理制度和操作规程，对个人信息实 行分类管理，在处理个人信息时采取相应的加 密、去标识化等安全技术措施，对相关员工设 置了不同的个人信息处理的操作权限，员工在 处理个人信息时需经相应主管部门领导及系统 管理员的批准，定期对从业人员进行安全教育 和培训，已制定针对个人信息安全事件的应急 预案制度。《数据安 全法》建立健全数 据安全管理 制度第二十七条 开展数据处理活动应当依照法律、法 规的规定，建立健全全流程数据安全管理制度，组 织开展数据安全教育培训，采取相应的技术措施和 其他必要措施，保障数据安全。利用互联网等信息 网络开展数据处理活动，应当在网络安全等级保护 制度的基础上，履行上述数据安全保护义务。重要 数据的处理者应当明确数据安全负责人和管理机 构，落实数据安全保护责任。符合。 发行人已制定《网络安全工作管理制度》《网络 安全管理制度》《系统安全管理制度》《防病毒 安全管理制度》《网络与信息安全培训和教育制 度》《网络安全威胁监测处置办法》等一系列有 关的制度文件，定期对从业人员进行安全教育 和培训。通过采取物理存储隔离、采取加密等 技术措施、建立内控制度及审批流程等方式， 确保数据安全相关的关键岗位遵守最小必要的 原则，设置合理的信息访问控制权限，保障数 据安全。 发行人已建立网络安全领导小组，作为公司网2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 络安全工作的最高管理机构，由公司运营副总 裁担任网络安全领导小组组长，组员包括计算 及存储平台部主管领导及其他各部门主管领 导，负责发行人的整体数据安全保护。 应当以合法 正当方式收 集数据第三十二条 任何组织、个人收集数据，应当采取 合法、正当的方式，不得窃取或者以其他非法方式 获取数据。法律、行政法规对收集、使用数据的目 的、范围有规定的，应当在法律、行政法规规定的 目的和范围内收集、使用数据。符合。 发行人收集、存储、使用的个人信息，均取得 了个人的同意，或为履行法定义务所必需，发 行人确认不存在违反法律、行政法规规定的目 的和范围内收集、使用数据的情况。《网络安 全法》网络安全等 级保护制度第二十一条 国家实行网络安全等级保护制度。网 络运营者应当按照网络安全等级保护制度的要求， 履行下列安全保护义务，保障网络免受干扰、破坏 或者未经授权的访问，防止网络数据泄露或者被窃 取、篡改：（一）制定内部安全管理制度和操作规 程，确定网络安全负责人，落实网络安全保护责 任；（二）采取防范计算机病毒和网络攻击、网络 侵入等危害网络安全行为的技术措施；（三）采取 监测、记录网络运行状态、网络安全事件的技术措 施，并按照规定留存相关的网络日志不少于六个 月；（四）采取数据分类、重要数据备份和加密等 措施；（五）法律、行政法规规定的其他义务。符合。 发行人已制定《网络安全工作管理制度》《网络 安全管理制度》《系统安全管理制度》《防病毒 安全管理制度》《网络与信息安全培训和教育制 度》《网络安全威胁监测处置办法》等一系列有 关的制度文件，并已建立网络安全领导小组， 作为公司网络安全工作的最高管理机构，由公 司运营副总裁担任网络安全领导小组组长，组 员包括计算及存储平台部主管领导及其他各部 门主管领导，负责发行人的整体数据安全保 护。发行人已采取必要的加密技术措施和防范 计算机病毒和网络攻击、网络侵入等危害网络 安全行为的技术措施。发行人确认已采取监 测、记录网络运行状态、网络安全事件的技术2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 措施，按照法律法规及监管部门的要求保留网 络日志。对个人信息、数据等分类存储、并采 取备份、加密等技术措施予以保护。 网络产品和 服务提供者 的安全义务第二十二条 网络产品、服务应当符合相关国家标 准的强制性要求。网络产品、服务的提供者不得设 置恶意程序；发现其网络产品、服务存在安全缺 陷、漏洞等风险时，应当立即采取补救措施，按照 规定及时告知用户并向有关主管部门报告。网络产 品、服务的提供者应当为其产品、服务持续提供安 全维护；在规定或者当事人约定的期限内，不得终 止提供安全维护。网络产品、服务具有收集用户信 息功能的，其提供者应当向用户明示并取得同意； 涉及用户个人信息的，还应当遵守本法和有关法 律、行政法规关于个人信息保护的规定。符合。 如上文所述，发行人已经就拥有和使用的信息 系统按要求取得了现阶段所需要取得的信息系 统安全等级保护备案证明。发行人未在其提供 的产品及服务中安装病毒等恶意程序。在收集 用户信息时，均取得了用户的同意或为履行法 定义务所必需。发行人已在其内部制度中明确 如发现其网络产品、服务存在安全缺陷、漏洞 等风险时，应当立即采取补救措施，按照规定 及时告知用户并向有关主管部门报告。发行人 已采取加密、分区存储、物理隔离等方式为其 产品、服务持续提供安全保障，在规定或者当 事人约定的期限内，未终止其提供的安全维 护。 网络运营者 的应急处置 措施第二十五条 网络运营者应当制定网络安全事件应 急预案，及时处置系统漏洞、计算机病毒、网络攻 击、网络侵入等安全风险；在发生危害网络安全的 事件时，立即启动应急预案，采取相应的补救措 施，并按照规定向有关主管部门报告。符合 发行人已相应建立应急预案以应对网络安全风 险。 建立用户信 息保护制度第四十条 网络运营者应当对其收集的用户信息严 格保密，并建立健全用户信息保护制度。符合2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 发行人已相应建立用户个人信息保护制度，规 定对收集的用户信息严格保密，发行人确认其 严格遵守了个人信息保护制度，对其收集的用 户信息予以严格保密，报告期内未发生泄露用 户信息的情况。 个人信息收 集使用规则第四十一条 网络运营者收集、使用个人信息，应 当遵循合法、正当、必要的原则，公开收集、使用 规则，明示收集、使用信息的目的、方式和范围， 并经被收集者同意。网络运营者不得收集与其提供 的服务无关的个人信息，不得违反法律、行政法规 的规定和双方的约定收集、使用个人信息，并应当 依照法律、行政法规的规定和与用户的约定，处理 其保存的个人信息。符合。 发行人确认遵守该等个人收集、使用规则，并 在最小范围内，收集用户注册、实名认证、向 客户提供服务所必要的信息，未收集与提供的 服务无关的个人信息。发行人已在其网站公示 的《QingCloud服务条款》《QingCloud隐私政 策》等相关协议及规则中，公开了收集、使用 信息的规则，明示收集、使用信息的目的、方 式和范围。发行人确认收集、存储、使用个人 信息，均取得了用户的同意或为履行法定义务 所必需，不存在违反法律、行政法规的规定和 约定收集、使用、保存用个人信息。 网络运营者 的个人信息 保护义务第四十二条 网络运营者不得泄露、篡改、毁损其 收集的个人信息；未经被收集者同意，不得向他人 提供个人信息。但是，经过处理无法识别特定个人 且不能复原的除外。网络运营者应当采取技术措施 和其他必要措施，确保其收集的个人信息安全，防 止信息泄露、毁损、丢失。在发生或者可能发生个 人信息泄露、毁损、丢失的情况时，应当立即采取符合。 发行人确认未泄露、篡改、非法提供其收集、 存储的个人信息。发行人已通过采取物理存储 隔离、采取加密等技术措施、建立内控制度及 审批流程等方式，确保其收集、存储的个人信 息安全，防止信息泄露、篡改、丢失。2022年度向特定对象发行 A股股票的补充法律意见书（一）
2022年度向特定对象发行 A股股票的补充法律意见书（一）
名称主要内容具体条款发行人规范运作情况 补救措施，按照规定及时告知用户并向有关主管部 门报告。 个人信息的 删除权和更 正权第四十三条 个人发现网络运营者违反法律、行政 法规的规定或者双方的约定收集、使用其个人信息 的，有权要求网络运营者删除其个人信息；发现网 络运营者收集、存储的其个人信息有错误的，有权 要求网络运营者予以更正。网络运营者应当采取措 施予以删除或者更正。符合。 发行人向用户提供了该等权利。
2022年度向特定对象发行 A股股票的补充法律意见书（一）
基于上述回复中所述发行人业务环节所涉及的数据处理情况以及发行人涉及数据处理的制度与保障措施，发行人报告期内开展的各项业务中仅云服务业务涉及客户数据的收集、存储、使用，但该等数据的收集、存储、使用已经取得客户的授权或同意，发行人确认其在业务经营中不存在侵犯客户数据的情形，在其业务经营中涉及数据的收集、存储、使用的情况均合法合规。根据发行人的确认并经核查，报告期内，发行人不存在因违反《个人信息保护法》《数据安全法》《网络安全法》受到行政处罚的情形，不存在与个人信息保护、数据安全、网络安全相关的未决诉讼、仲裁案件。如本题回复之“（一）”、“（二）”所述，发行人的业务经营符合《民法典》《个人信息保护法》《数据安全法》《网络安全法》等法律法规的规定。

二、核查意见
(一) 核查程序及核查方式
1. 访谈发行人相关工作人员，了解业务情况及业务过程中的数据开发利用、数据处理情况；
2. 抽查发行人云产品业务合同，体验发行人云服务业务流程；
3. 查阅发行人有关数据安全和网络安全的相关制度文件、《QingCloud服务条款》《QingCloud隐私政策》等相关协议及规则，以及发行人提供的信息系统安全等级保护备案证明文件、信息安全相关认证证书等资料；
4. 查阅《民法典》《个人信息保护法》《数据安全法》《网络安全法》等法律法规的规定，并将之与发行人经营中涉及数据安全的情况进行比对确认； 5. 查阅发行人出具的确认文件。

(二) 核查意见
综上所述，经核查，本所认为：发行人相关业务经营中涉及的数据收集、存储、使用符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规的有关规定。


问题 5 其他
5.2 根据申报材料，公司于 2022年 4月 13日因为未经备案从事非经营互联网信息服务的组织或个人提供互联网接入服务受到北京市通信管理局行政处罚，北京市通信管理局责令发行人立即改正，并处一万元罚款。此外，印尼云计算存在合规问题。

请保荐机构和发行人律师就上述事项是否构成重大违法行为，是否构成本次发行的实质性障碍进行核查并发表明确意见。


回复：
一、上述事项是否构成重大违法行为，是否构成本次发行的实质性障碍 2022年度向特定对象发行 A股股票的补充法律意见书（一）
(一) 北京市通信管理局行政处罚
1. 行政处罚情况
根据发行人提供的资料并经核查，北京市通信管理局于 2022年 4月 13日向发行人出具《行政处罚决定书》（京信管罚字〔2022〕第 04号），因发行人为未经备案从事非经营互联网信息服务的组织或个人提供互联网接入服务的行为，违反了《非经营性互联网信息服务备案管理办法》第十八条第一款的规定；根据《非经营性互联网信息服务备案管理办法》第二十四条，北京市通信管理局决定对发行人给予以下行政处罚：责令发行人立即改正，并处一万元罚款。

根据发行人提供的网上银行电子回单，发行人已经于 2022年 4月 21日支付了上述 1万元的罚款；根据发行人提供的整改报告及确认，发行人已经对“为未经备案从事非经营互联网信息服务的组织或个人提供互联网接入服务的行为”进行了整改。

2. 该项行政处罚不构成重大违法行为，不构成本次发行的实质性障碍 (1) 该项处罚不属于金额较大的行政处罚
根据《通信行政处罚程序规定》（中华人民共和国信息产业部令第 10号）第30条，通信主管部门拟作出责令停产停业（关闭网站）、吊销许可证或者执照、较大数额罚款等行政处罚决定之前，应当告知当事人有要求举行听证的权利。当事人要求听证的，应当组织听证。本条前款所称较大数额，是指对公民罚款 1万元以上、对法人或其他组织罚款 10万元以上；地方通信主管部门也可以按照省、自治区、直辖市人大常委会或者人民政府规定的标准执行。

北京市通信管理局对发行人的处罚金额 1万元未达到上述对法人或其他组织罚款较大金额标准（10万元以上），该项处罚不属于金额较大的行政处罚。

(2) 《行政处罚决定书》未认定发行人上述不合规行为属于情节严重的行为 经查阅《行政处罚决定书》（京信管罚字〔2022〕第 04号），《行政处罚决定书》（京信管罚字〔2022〕第 04号）并未认定发行人上述不合规行为属于情节严重的行为。

(3) 不构成重大违法行为
根据《第九条、第十条、第十一条、第十三条、第四十条、第五十七条、第六十条有关规定的适用意见——证券期货法律适用意见第 18号》“二、（一）重大违法行为的认定标准”部分，“‘重大违法行为’是指违反法律、行政法规或者规章，受到刑事处罚或者情节严重行政处罚的行为。

有以下情形之一且中介机构出具明确核查结论的，可以不认定为重大违法行为：（1）违法行为轻微、罚款金额较小；（2）相关处罚依据未认定该行为属于情节严重的情形；（3）有权机关证明该行为不属于重大违法行为。违法行为导致严重环境污染、重大人员伤亡或者社会影响恶劣等的除外”。

鉴于上述处罚不属于金额较大的行政处罚，《行政处罚决定书》（京信管罚字〔2022〕第 04号）未认定发行人上述不合规行为属于情节严重的行为，且发行人的上述不合规行为不属于导致严重环境污染、重大人员伤亡或社会影响恶劣的2022年度向特定对象发行 A股股票的补充法律意见书（一）
情形，发行人的上述不合规行为及受到行政处罚的情况不属于重大违法行为。

综上所述，本所认为，发行人的上述不合规行为及受到行政处罚的情况不属于重大违法行为，不构成本次发行的实质性障碍。

(二) 印尼云计算合规问题
1. 印尼云计算合规情况
根据境外顾问出具的《印尼云计算法律确认备忘录》，印尼云计算应当从事托管及其相关经营活动、计算机咨询及计算机设施管理经营活动，应当取得但尚未取得运营该等业务活动所需的标准证书(standard certificate)。印尼云计算可能因此受到书面警告、罚款和/或暂停经营活动的行政处罚。

根据境外顾问出具的《印尼云计算法律确认备忘录》，2021年 3月 29日，印尼投资协调委员会(Badan Koordinasi Penanaman Modal)发布了一项条例规定，要求外商投资企业已发行总股本的实收资本为 10,000,000,000印尼盾。印尼云计算目前的已发行总股本的实收资本为 2,500,000,000印尼盾，印尼云计算因不符合上述规定可能受到书面警告、限制经营活动、暂停经营活动和/或资本投资、撤销经营活动和/或资本投资的行政处罚。

2. 印尼云计算合规问题不构成发行人的重大违法行为，不构成本次发行的实质性障碍
根据《第九条、第十条、第十一条、第十三条、第四十条、第五十七条、第六十条有关规定的适用意见——证券期货法律适用意见第 18号》“二、（一）重大违法行为的认定标准”部分，“发行人合并报表范围内的各级子公司，如对发行人主营业务收入和净利润不具有重要影响（占比不超过百分之五），其违法行为可不视为发行人存在重大违法行为，但违法行为导致严重环境污染、重大人员伤亡或者社会影响恶劣等的除外”。

鉴于根据境外顾问出具的《印尼云计算法律确认备忘录》、对发行人相关人员的访谈、发行人的书面确认，印尼云计算仅开展少量业务，对发行人主营业务收入或净利润不具有重要影响（占比不超过 5%），截至报告期末，印尼云计算尚未因不遵守任何法律法规而受到任何行政、财务和/或刑事制裁，印尼云计算未从事任何可能导致严重环境污染、重大人员伤亡或社会影响恶劣的行为，因此，印尼云计算的上述合规问题不视为上市公司存在违法行为。

综上所述，本所认为，印尼云计算的上述合规问题不构成发行人的重大违法行为，不构成本次发行的实质性障碍。

二、核查意见
(一) 核查程序及核查方式
1. 查阅北京市通信管理局出具的《行政处罚决定书》（京信管罚字〔2022〕第 04号）、罚款缴纳凭证等；
2. 查阅《非经营性互联网信息服务备案管理办法》《通信行政处罚程序规定》及相关法律法规；
2022年度向特定对象发行 A股股票的补充法律意见书（一）
3. 访谈发行人相关负责人；
4. 取得发行人关于北京市通信管理局行政处罚、印尼云计算合规问题有关事项的书面确认；
5. 查阅境外顾问出具的《印尼云计算法律确认备忘录》；
6. 查阅《上市公司证券发行注册管理办法》《第九条、第十条、第十一条、第十三条、第四十条、第五十七条、第六十条有关规定的适用意见——证券期货法律适用意见第 18号》。

(二) 核查意见
经核查，本所认为：发行人上述北京市通信管理局行政处罚、印尼子公司合规问题均不构成发行人的重大违法行为，不构成本次发行的实质性障碍。


本补充法律意见书正本共三份，无副本。

（以下无正文）

企行财税主营业务： 公司注册、公司变更、代理记账、涉税处理、公司转让、公司注销、商标注册、公司户车牌转让，投资/资产/基金类公司转让， 免费咨询电话：010-85803387 。工商老师私人手机号：17701222182