7月26日，阿里发布的2022财年年报显示，阿里与蚂蚁集团进一步修订《股权和资产购买协议》及《支付宝商业协议》（此进一步修订称为“2022年修订”），若干修订将于2022年8月13日生效。

据协议，7月25日，阿里与蚂蚁集团同意终止《数据共享协议》，并称其将与蚂蚁集团按双方向各自客户提供服务的必要限度，根据个案并依照适用法律及法规协商数据共享安排的条款。

根据披露，《数据共享协议》自2014年8月起生效，协议期限至2064年8月（到期后不存在续期安排），或者杭州阿里巴巴入股完成后阿里巴巴集团持有的蚂蚁集团股份降低至一定数量后。

此次阿里与蚂蚁集团终止数据共享协议，被视为对监管方面的回应，表明阿里和蚂蚁集团正进一步切割。

附录：蚂蚁科技IPO审核问询函的回复：关于数据共享与数据安全

对于科技企业上市而言，科技企业的数据保护合规状态已成为上市审核的核心要素。8月30日，上海证券交易所在其出具的《关于蚂蚁科技集团股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》问题8：关于数据共享协议与数据安全中，对发行人与阿里巴巴集团签署的《数据共享协议》的合法合规性；发行人在业务开展过程中数据获取、管理及使用的合法合规性；发行人数据平台的独立性以及发行人与阿里巴巴集团数据共享的总体运作机制等问题进行了审核问询。审核问询的具体问题以及发行人的回复，联席保荐机构与发行人律师的核查意见原文如下。

问题8：关于数据共享协议与数据安全

根据招股说明书披露，我国关于数据安全和隐私保护的监管及执法机制正在不断发展，《中华人民共和国网络安全法》（主席令第53号）及相关规定已经出台；2020年7月，全国人大常委会发布了《中华人民共和国数据安全法（草案）》以征求公众意见，草案规定了从事数据活动的组织和个人的数据安全义务。2014年8月，公司与阿里巴巴集团签署了《数据共享协议》，并于2020年8月对其进行了修订。《数据共享协议》协议期限至2064年8月，或者杭州阿里巴巴入股完成后阿里巴巴集团持有的蚂蚁集团股份降低至一定数量后满5年时（以孰早者为准）。根据申报文件，在《数据共享协议》项下发行人与阿里巴巴集团成立数据平台管理委员会。

请发行人说明：（1）发行人与阿里巴巴集团的数据共享是否符合各自与客户的协议约定，是否存在侵害客户合法利益的情况；结合发行人与阿里巴巴等相关主体的数据共享协议，说明该等安排是否违反有关互联网用户信息保护的有关法律法规及规范性规范性文件；（2）发行人对于业务开展过程中获取的海量数据如何进行管理和运用，是否存在侵犯其他方数据隐私的情况，是否履行了与其他方关于数据安全的约定，对于数据的获取、管理和使用是否合法合规。

请发行人补充披露：（1）发行人与阿里巴巴集团的数据平台是否彼此独立；发行人与阿里巴巴集团的数据资产的界限是否清晰，是否为共用混合的数据池，两方互相使用对方数据的情况；（2）发行人与阿里巴巴集团数据共享的总体运作机制，数据平台管理委员会的人员构成方式与职责定位，上述事项对发行人运营独立性、数据安全、市场竞争优劣势的影响，并按重要性原则完善相关风险揭示；（3）“阿里巴巴集团持有的蚂蚁集团股份降低至一定数量”中“一定数量”的具体数额情况；（4）数据共享协议到期后是否存在续期安排，终止数据共享对发行人业务的影响，并按重要性原则完善相关风险揭示。

请保荐机构、发行人律师对发行人数据的获取、管理和使用是否合法合规，发行人与阿里巴巴集团数据共享是否符合各自与客户的协议约定，发行人与阿里巴巴集团数据共享对发行人运营独立性、数据安全、市场竞争优劣势的影响，终止数据共享对发行人业务的影响进行核查，并发表明确意见。

回复：

一、发行人说明

（一）发行人与阿里巴巴集团的数据共享是否符合各自与客户的协议约定，是否存在侵害客户合法利益的情况；结合发行人与阿里巴巴等相关主体的数据共享协议，说明该等安排是否违反有关互联网用户信息保护的有关法律法规及规范性文件。

根据《数据共享协议》，发行人与阿里巴巴集团数据共享需遵守适用的法律法规，不得违反发行人和阿里巴巴集团各自与客户的协议约定。发行人与阿里巴巴集团在进行数据共享时符合各自与客户的约定，不存在侵害客户合法利益的情况。

发行人遵循适用的法律法规及部门规章，如《网络安全法》《消费者权益保护法》《电子商务法》《电信和互联网用户个人信息保护规定》和《关于金融消费者权益保护实施办法》等关于数据和个人信息保护的要求。除此之外，发行人根据《个人信息安全管理规范》《个人金融信息技术保护规范》等国家标准建设合规治理能力。发行人的众多业务系统通过国家信息安全等级保护三级认证、ISO27001、TRUSTe等权威数据安全和个人信息保护认证。

（二）发行人对于业务开展过程中获取的海量数据如何进行管理和运用，是否存在侵犯其他方数据隐私的情况，是否履行了与其他方关于数据安全的约定，对于数据的获取、管理和使用是否合法合规。

发行人对业务开展过程中获取的数据依据适用的法律法规及监管规定进行独立的管理和运用。发行人制定了贯穿业务全流程的数据和个人隐私保护的内控制度，覆盖数据全生命周期的各项合规要求；实施了必要的管理措施和技术手段，并建立了与所面临的安全风险相匹配的安全能力。

二、发行人披露

（一）发行人与阿里巴巴集团的数据平台是否彼此独立，发行人与阿里巴巴集团的数据资产的界限是否清晰，是否为共用混合的数据池，两方互相使用对方数据的情况。

发行人的数据平台和数据存储均是独立部署。发行人和阿里巴巴集团各自具备独立的计算能力，双方各自采集的数据均各自独立存储，不存在共用的混合数据池。

发行人已经在招股说明书“第六节业务与技术”之“九、数据安全和隐私保护”中补充披露如下：“公司与阿里巴巴集团之间的个人数据共享需要获得公司和阿里巴巴各自的数据安全和隐私保护团队以及相关业务和合规团队的评估和批准。该评估包括对数据分享的目的、法律依据（例如用户授权）、数据敏感性、保护措施的适用性（例如数据传输协议），以及是否符合适用的法律和法规等方面的评判。

公司的数据平台和数据存储均是独立部署。公司和阿里巴巴集团各自具备独立的计算能力，双方各自采集的数据均各自独立存储，不存在共用的混合数据池。公司须遵守与数据安全、隐私保护以及在境内和公司运营所在的其他国家和地区收集和使用个人和行为数据相关的各种法律和法规。…”

（二）发行人与阿里巴巴集团数据共享的总体运作机制，数据平台管理委员会的人员构成方式与职责定位，上述事项对发行人运营独立性、数据安全、市场竞争优劣势的影响，并按重要性原则完善相关风险揭示。

根据发行人与阿里巴巴集团2014年签署的《数据共享协议》，数据平台管理委员会成员包括发行人和阿里巴巴集团指派的代表。

数据平台管理委员会的机制对于发行人的独立性、数据安全和市场竞争优劣势没有实质性影响。

（三）“阿里巴巴集团持有的蚂蚁集团股份降低至一定数量”中“一定数量”的具体数额情况。

发行人已在招股说明书“第七节公司治理与独立性”之“十、关联交易”之“（三）主要关联交易情况”之“2、与阿里巴巴集团相关的交易”之“（1）经常性关联交易”之“3）数据共享”中补充披露如下：

“《数据共享协议》自2014年8月起生效，协议期限至2064年8月，或者杭州阿里巴巴入股完成后阿里巴巴集团持有的蚂蚁集团股份降低至一定数量后满5年时（以孰早者为准）。根据《数据共享协议》的约定，上述“低至一定数量”系指：在杭州阿里巴巴入股完成后，阿里巴巴集团及其子公司持有的发行人股份低于公司根据《股份和资产购买协议》向其发行的股份的50%；但阿里巴巴集团和/或其子公司按照适用法律的要求出售发行人股份不会导致《数据共享协议》的终止，除非此后阿里巴巴集团和/或其子公司自愿出售发行人股份，且出售后阿里巴巴集团及其子公司持有的发行人股份低于公司根据《股份和资产购买协议》向其发行的股份的50%。”

（四）数据共享协议到期后是否存在续期安排，终止数据共享对发行人业务的影响，并按重要性原则完善相关风险揭示。

根据《数据共享协议》的约定，《数据共享协议》到期后不存在续期安排。由于《数据共享协议》将于2064年8月终止，发行人目前尚无法对《数据共享协议》终止后对发行人业务的影响作出合理判断。对此发行人已经在招股说明书申报稿的“第四节风险因素”之“一、业务发展相关的风险”之“（十一）公司与阿里巴巴集团可能产生利益冲突的风险”做了相应提示。

三、联席保荐机构、发行人律师核查情况

（一）联席保荐机构、发行人律师核查程序联席保荐机构及发行人律师已履行以下核查程序：

1、获取并查阅《数据共享协议》；

2、获取并查阅蚂蚁集团及阿里巴巴集团相关隐私政策；

3、对发行人相关人员进行访谈；

4、取得发行人的书面确认。

（二）联席保荐机构、律师核查意见

经核查，联席保荐机构、发行人律师认为：

1、发行人与阿里巴巴集团的数据共享符合各自与客户的协议约定，不存在侵害客户合法利益的情况；

2、发行人数据的获取、管理和使用合法合规；

3、发行人与阿里巴巴集团数据共享对于发行人的独立性、数据安全和市场竞争优劣势没有实质性影响。