达梦数据冲击国产数据库“第一股”,产品涉金融等重要领域,网络安全重要性凸显

21世纪经济报道 李润泽子

南方财经全媒体记者 李润泽子 实习生 童佳轩 广州报道

近日,国产数据库企业武汉达梦数据库股份有限公司(下称达梦数据)拟在科创板上市。如果IPO成功,达梦数据将成为国产数据库“第一股”。

21世纪经济报道记者长期关注企业IPO招股书中的合规内容。近年来,随着《数据安全法》《个人信息保护法》、新反垄断法等法律及其配套法规的相继出台,我国数字经济治理体系不断完善,合规成为了企业除本身经营业绩、商业模式等以外的又一门上市必修课。

数据库是信息技术应用创新产业的核心环节,也是底层硬件基础资源与上层应用之间的重要支撑,其数据合规和信息安全受到多方关注。此次,达梦数据递交的招股书中,也阐述了其信息安全和数据合规等方面的实践,同时透露出对于知识产权风险的担忧。未来,随着数据库行业市场规模高速增长,行业发展迈入深水区,如何在加强企业自身数据治理并提升合规能力的同时,进一步提升我国网络安全的整体水平成为关键。

用户覆盖金融、交通、政务等重要领域

达梦数据成立于2000年,是国产数据库代表企业之一。自成立以来,公司专注于数据库及相关配套产品与服务的研发与销售,主要产品线从通用关系型数据库产品向全栈数据产品延伸。

据了解,达梦数据主要向大中型公司、企事业单位、党政机关提供各类数据库软件及集群软件、云计算与大数据产品等一系列数据库产品及相关技术服务。

招股书显示,目前达梦数据产品及服务在金融、电力、航空、通信、公安、铁路、政府等多个重要领域得到广泛应用,用户主要包括证监会、上交所、深交所、中国人寿、中国人保、国家电网、中国航信、中国移动、中国烟草、国家市场监督管理总局、各级人民检察院、各级人民法院、国家发改委、国家移民局及多家银行。

星来律师事务所律师陈卓菱告诉21世纪经济报道记者,若确如达梦数据招股说明书显示,其产品和服务广泛应用于上述多个重要领域,很可能被认定为关键信息基础设施运营者。

根据2021年9月正式实施的《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

“一旦被认定为关键信息基础设施运营者,达梦数据应在招股说明中披露相关信息,并遵照《网络安全法》《关键信息基础设施安全保护条例》相关规定,对于在采购网络产品和服务时,可能影响国家安全的,应通过国家网信部门会同国务院有关部门组织的国家安全审查;且达梦数据应优先采购安全可信的网络产品和服务,按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。”陈卓菱表示。

值得注意的是,信息安全和数据合规的要求因行业特殊性展示出不同。浙江垦丁律师事务所律师李晋沅指出,针对业务涉及特定行业的上市企业而言,需要进行量化的标准和监管因子也不一样。

“这需要不同行业的主管部门联合社会力量(尤其是行业协会和第三方审计组织)共同出台具体的实施细则和指引性文件。”李晋沅说。

以金融行业为例,当前涉及到的相关文件《中国银保监会监管数据安全管理办法(试行)》《个人金融信息(数据)保护试行办法》等。而中国人民银行为加强所监管单位的数据安全合规管理,规范机构数据处理活动,自2020年2月起也先后发布了《个人金融信息保护技术规范》《金融数据安全数据生命周期安全规范》《金融业数据能力建设指引》《金融数据安全数据生命周期安全规范》等行业标准。

数据库信息安全备受关注

为防范信息泄露风险,关键的政、商等领域使用的数据库产品必须具备极高的安全性。

据达梦数据招股书披露,公司数据库产品已通过信息安全等级保护四级认证、信息安全评估保证级EAL4+级等权威安全认证测试,是目前国产数据库中安全性较高的数据库产品。

达梦数据表示,其还进一步推出了用户数据半透明加密机制、四权分立权限模型、数据库密码引擎等技术,实现了全客体覆盖的强制访问控制、可配置多权分立体系、国密算法集成、基于用户密文隔离保护等具有特色的安全防护机制。此外,达梦数据还在招股书中详细介绍了当前公司在研项目,其中多项提到数据库安全防护。

据上海汇业律师事务所律师史宇航介绍,国家信息安全产品(EAL4+)是基于推荐性国家标准《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)对相关产品进行的测评,并非强制性的技术。“相关认证虽然不是IPO时必备的项目,但都是企业具备较高网络安全保护水平的证明。”

李晋沅则认为,数据库产品的认证一方面是来自业务监管的必须,另一方面,在IPO或者在早期融资时,对于企业来说就必不可少。

“监管加强和投资者认知加深,企业在融资或者估值中,缺乏相应的认证,不仅估值大打折扣,投资者也不会轻易真金白金的认可,更遑论后期IPO了。”李晋沅指出。

事实上,数据库作为IT行业重要的基础软件之一,是组织、存储、管理、分析数据的系统,在信息系统的软件和硬件之间起到承上启下的作用,其数据合规和信息安全问题备受关注。

近年来,信息泄露风险增加,全球发生了数次重大信息安全事件。Group-IB数据显示,2021年共有30.8万个包含敏感资产的数据库被暴露在互联网上,2022年一季度新发现的公开数据库更是多达9万个。

陈卓菱告诉21世纪经济报道记者,在数据合规和信息安全方面,结合证监会对过往相关企业的问询重点,数据库企业应当注意数据源合规、数据权属、数据使用与共享(包括涉及第三方处理数据问题)、数据安全保护和网络安全等问题。

李晋沅建议,以达梦数据为代表的传统关系型数据库,可参考诸如Oracle、IBM和Microsoft等国外同行在数据合规和信息安全方面的努力。

强化知识产权保护

达梦数据招股书披露,公司已掌握数据管理与数据分析领域的核心前沿技术并拥有主要产品全部核心源代码的自主知识产权,实现了共享存储集群等关键核心技术国产化零的突破,打破了国外数据库厂商的技术垄断。

其主要产品达梦数据库管理系统(DM)是具有自主知识产权的大型通用关系型数据库,核心源代码为100%全自主研发,不依赖开源数据库。

截至2022年3月31日,公司共获得软件著作权293项、发明专利177项。未来,达梦数据还表示将在共享数据集群、分布式数据库、数据库一体机等前沿技术方面对标国际领先企业,加大研发投入,力争实现从追赶者到领跑者的赶超与转变。

李晋沅介绍,达梦数据所处的是软件行业,该行业虽然有细分,但在IPO审核阶段,软件专利申报是关注重点。

陈卓菱分析,这是由于软件发明专利很可能是该类型企业收入和净利润的重要组成部分。

“专利作为其重要的无形资产,每年申请的数量和质量可能会较大程度决定该年份企业的经济效益。”她认为,企业若能持续对软件的业务逻辑和算法结构进行改进,及时申请专利保护,将有助于企业更快构建竞争壁垒,夺取竞争筹码,以弥补前期巨大的研发投入。

招股书显示,达梦数据软件产品使用授权的销售数量大幅增长,软件产品使用授权业务收入由2019年的2.08亿元增长至2021年的6.42亿元,复合增长率达到75.52%。报告期内,公司软件产品使用授权业务毛利占整体主营业务毛利比例分别为86.03%、90.88%和95.25%,为公司主营业务毛利的主要来源。

但达梦数据同样担忧知识产权风险。其在招股书中提到,虽然在业务规模扩张过程中,公司在知识产权保护方面的投入不断加大,但随着市场竞争日趋激烈,仍不能排除公司的软件著作权、商标、商业秘密、专利等知识产权被盗用或被不当使用的风险。此外,尽管公司核心产品、关键技术均采用自主研发模式,但不能排除竞争对手或第三方采取知识产权恶意诉讼等不当手段阻碍公司业务正常发展的风险。

同时,达梦数据表示,依靠公司已制定的技术管理制度及与核心技术人员签订的《保密协议》及《竞业限制协议》,无法完全避免因核心技术人员流失、员工个人工作疏漏、外界窃取等原因产生公司核心技术失密的风险。

陈卓菱强调,如果软件信息企业不重视对专利的保护,如在专利诞生的过程中发生失密事件或存在失密风险,又或者与第三方存在专利权属纠纷,这将很可能成为拟上市企业最终未通过上市审查的重大隐患,还可能因为专利泄密、被竞争方抢注等后果而对企业未来经营发展造成重创。

对此,达梦数据提到,自设立起便逐步建立健全公司的知识产权相关制度,规范知识产权管理工作,系统化开展知识产权培训,强化公司员工的知识产权知识以及保护意识。作为软件开发企业,公司从专利、软件著作权等多方面入手,多角度开展工作,已形成了较为成熟的专利提案、筛选及申请的工作方式,可以及时将技术研发成果转化为知识产权。

(作者:李润泽子 编辑:吴立洋)