数据复制软件企业英方软件回复科创板首轮问询，数据合规性备受关注

21世纪经济报道 记者郭美婷 实习生韩雅冰 广州报道

近日，数据复制软件企业上海英方软件股份有限公司(下称“英方软件”) 披露了对科创板首轮15连问的答复，其中涉及到了数据合规性的问题。

上交所要求该公司说明产品研发、销售及使用过程中涉及到的数据采集、处理、使用等情况及其合规性，数据内容是否涉及个人隐私或涉密信息，以及业务开展是否符合《数据安全法》《网络安全法》《个人信息保护法》等数据安全及信息保护相关法律法规的规定等。

首轮问询数据合规性受关注

招股书显示，英方软件创立于2011年，是一家专注于数据复制的基础软件企业，主要从事数据容灾、备份、云灾备、大数据等技术的研究、开发和应用，为客户提供数据复制相关的软件、软硬件一体机及软件相关服务。

根据IDC统计数据，该公司产品在国内数据备份与恢复软件市场排名第四，仅次于 Veritas、DellTechnologies 和华为，是灾备领域国内排名第一的第三方数据复制软件企业。

2021年12月29日，英方软件冲刺科创板IPO获上交所受理，拟募资5.74亿元。3月29日，英方软件披露了对科创板首轮15连问答复，其中涉及到了数据合规性的问题。

根据招股书，英方软件产品数据复制的过程主要包含数据抓取、数据传输和数据复原三个环节，并越来越多地应用于数据采集、分发和副本管理等领域。

上交所要求英方软件说明其产品研发、销售及使用过程中涉及到的数据采集、处理、使用等情况及其合规性，数据内容是否涉及个人隐私或涉密信息，是否获得相关数据主体或主管部门的明确授权许可，是否存在使用范围、主体或期限等方面的限制，以及是否存在超出上述限制使用数据的情形。

同时，上交所还要求英方软件说明业务开展及资质、许可取得情况是否符合《数据安全法》《网络安全法》《个人信息保护法》等数据安全及信息保护相关法律法规的规定，发行人采取的保护措施，是否发生过泄密行为或存在纠纷、潜在纠纷，相关风险是否充分揭示等。

英方软件对此作出一一答复，称公司在产品研发、销售及使用过程中均不存在对用户个人隐私或涉密信息数据进行采集、处理、使用等情况，且业务开展符合数据安全及信息保护相关法律法规的情形。

值得注意的是，英方软件在与客户签订的销售合同中制定了保护客户数据不被泄露的相关约定，要求乙方（公司）保证软件中没有任何的“软件后门”等系统漏洞，承诺软件不存在恶意代码或未授权的功能，不提供违反我国法律法规规章规则的功能模块、功能和手段，同时保证甲方客户的数据、交易资料不因软件自身漏洞等原因而被泄露。

此外，英方软件提到其建立并实施了《现场服务行为规范》等内部控制制度。内容包括遵守相关法律法规，不得攻击、破坏买方或客户的网络、不得窃取买方或客户网络中的任何数据或信息、不得破解买方或客户的账户密码，不得访问买方及/或客户系统或收集、持有、处理、修改、泄漏、传播客户网络中的任何数据和信息，对在提供服务期间获悉的买方及/或客户的任何信息或数据应承担严格的保密义务，直至相关信息或数据被合法披露为止，并不得利用该信息或数据谋取个人利益或用于其它非法目的等。

行业规范体系亟需完善

近年来，伴随着数据治理相关法律法规的出台，企业对于数据备份等业务的需求逐渐提高。如《网络安全法》明确关键信息基础设施的运营者应当履行对重要系统和数据库进行容灾备份的保护义务；《数据安全法》要求建立安全应急处置机制等。

英方软件在答复中提到，2020 年我国数据复制软件行业市场空间约 224.7 亿元，预计 2025 年达到350.8 亿元。数据复制软件行业整体市场主要可分为灾备和大数据两部分，其中2020年数据复制软件在灾备场景下市场规模在 108.6亿元以上，在大数据场景下市场规模约116.1 亿元，后者是未来数据复制软件行业主要的增长动力。

然而，繁荣的发展前景下仍存隐忧。2019年12月，为个人和小型企业提供安全的云备份存储服务的加拿大的云备份提供商DataDepositBox被发现其拥有的一个开放的Amazon S3存储系统中存在严重漏洞。数据泄露了有关客户通过该公司的安全云存储服务上传的270,000个私人文件的详细信息。该云存储数据库还显示了客户的个人身份信息（PII），这可能对受影响的人造成严重后果。

2020年4月，号称“世界上最安全的在线备份”云备份提供商SOS Online Backup（以下简称 SOS），发生了超大规模数据泄露。据研究团队vpnMentor的发现，由于ES数据库配置错误，SOS大约暴露了1.35亿的客户信息记录在网上，其中有70GB是相关客户账户元数据信息，包括架构、参数、描述和管理元数据，覆盖SOS云服务的方方面面。

数据复制软件行业或亟需数据安全的保障及相关技术标准和规范的完善。早在2018年12月，中国网络安全审查技术与认证中心、中国信息安全测评中心等数十个单位起草了《信息安全技术 灾难恢复服务要求（GB/T 36957-2018）》，提出了灾难恢复服务保密要求：应建立并执行与灾难恢复服务相关的保密管理制度和流程;参与灾难恢复服务的人员应与灾难恢复服务需求方签订保密协议,并定期对保密协议的执行情况进行监督和检查;未经服务需求方允许,服务提供方不得向第三方披露与服务协议相关的敏感信息;未经服务需求方允许服务提供方不得转卖、转租、转借服务工作环境中的可移动设备、介质、资料。

在今年的全国两会上，农工民主党中央提交了《关于强化国家数据灾备体系建设》的提案。提案建议完善数据灾备规范体系。结合不同行业需求，尽快组织修订、完善数据灾备相关技术标准、规范体系，并落实到监督检测机构。