大数跨境
首页
>
实务 | 新一轮数字化转型下SaaS业务的合规及资本运作核心关注要点
>
0
0

实务 | 新一轮数字化转型下SaaS业务的合规及资本运作核心关注要点

实务 | 新一轮数字化转型下SaaS业务的合规及资本运作核心关注要点 盛世投资
2022-05-25
2


引言

2021年12月,国务院印发《“十四五”数据经济发展规划》,明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标等,提出到2025年,数字经济核心产业增加值占国内生产总值比重达到10%的目标,并多次强调数字化转型[1]。乘着新一轮数字化转型的东风,SaaS行业有望迎来新一轮的爆发。SaaS业务涉及互联网、数据、个人信息等众多领域,其在迎来大发展机遇的同时仍然面临着众多挑战,如网络安全、数据安全等问题,以及资本市场高度关注的经营资质、核心技术的归属及使用、运营独立性及行业政策风险等问题。在数字化转型背景下,SaaS厂商是否能乘风而上的关键之一在于其经营及业务上是否合法合规,特别是在行业网络安全问题频发的情况下是否能平稳合规经营。基于此,我们对SaaS业务的合规及资本运作核心关注问题进行了梳理和初步分析,旨在为SaaS厂商、潜在投资者及广大用户提供一些参考,希冀SaaS在数字化转型中稳固合规之基石,乘数字化之风而上。

01

SaaS是什么

SaaS,即Software-as-a-Service(软件即服务),指厂商通过其部署在云端的应用程序向客户提供服务,在线上直接交付软件服务,具有低成本、灵活便捷等优势。在SaaS模式下,客户可根据实际需求,通过互联网向厂商定购所需的软件服务,按定购的服务范围、时间等向厂商支付费用,并获得厂商提供的软件维护、更新等服务,不再需要花费高额费用部署服务器、购买软件本身以及维护、更新软件。
SaaS模式是在IaaS(基础设施即服务)、PaaS(平台即服务)模式下逐渐发展而来的,目前云计算包括IaaS、PaaS及SaaS三种业务模式。IaaS模式下,IaaS厂商将包括机房基础设备、服务器、网络等基础设施统一部署,用户在IaaS云服务下通过网络接入可获取包括存储、网络等虚拟计算资源,而无需自身构建基础设施层;PaaS模式下,PaaS厂商为客户提供基础设施层及/或包括操作系统、数据库、运行库等的平台软件层服务,即提供具有开发和部署能力的云平台,开发者可以通过互联网方式在该云平台上进行软件开发;SaaS模式下,SaaS厂商基于自身及/或第三方的IaaS层设施及/或PaaS平台,在云上直接部署软件,客户订阅软件服务后直接于线上交付,无须本地安装和部署,数据直接存储在云上,且可以同时向多租户提供服务。可以看出,SaaS业务的开展一般依赖于IaaS层和PaaS层的技术资源和设施,用户在使用SaaS产品过程中其数据存储、处理及数据安全保障等主要在IaaS层、PaaS层完成。SaaS整体服务体系中各方的角色及作用以及客户数据信息流关系简图如下:
(点击查看大图)

02

SaaS业务模式简析

SaaS厂商提供的业务主要可分为以下四类:

  • 一是软件服务及相关的增值服务(包含产品培训、运维、产品更新等),其中软件服务分为通用型产品(常见有CRM、HRM等)和定制化服务。随着企业自定义需求提高,客户更倾向于与其匹配度高的定制化产品,这推动着产品向SaaS+PaaS模块方向发展,SaaS厂商在战略部署亦逐渐向上延伸到PaaS层;

  • 二是提供与产品/业务有关的增值电信业务[2]服务,该类服务在电商SaaS产品中较为常见,如提供营销短信、呼叫中心等服务;

  • 三是增值服务解决方案,对产品衍生的企业流程问题、运营方案、人员结构等提供独立于产品外的咨询服务,为客户提供整体解决方案;

  • 四是提供软硬件交付等其他延伸业务,且部分大型SaaS厂商部署有IaaS、PaaS层业务,对外提供的服务包括互联网数据中心、互联网资源协作服务等。

SaaS厂商在云端部署软件时,可根据客户对数据、二次开发等需求为其提供公有云部署、私有云部署及混合云部署等方式。公有云具有成本低、运维和迭代连续性等多项优势,但企业对数据可控性较低,而私有云虽降低了产品弹性及灵活性等,但企业对数据可控性提高,混合云则是二者折衷,客户可对保密性高的数据采取私有云部署,其他在公有云部署。不同云端部署方式的核心区别之一是客户对其自身数据信息的可控性程度不同,主要原因是在SaaS服务中客户数据信息的存储、备份、处理的基础设施及平台根据不同云端部署方式在技术层次上将由相应的厂商进行管理控制,而客户对数据信息的控制权一般通过协议安排约定,在技术层面上难以控制,因此部分对数据安全需求高的大型企业将会选择私有云部署等方式提高其对数据信息的把控力度。
上述业务中涉及的IaaS、PaaS业务以及其他增值电信业务服务等技术资源,中小SaaS厂商一般是采取租用或合作等模式从第三方技术厂商中获得,其进行资源整合。部分大型SaaS厂商部署有一项或多项该等技术/平台作为自用及/或对外提供业务服务。仅为本文之目的,根据SaaS厂商提供的相关业务范围,本文简单将SaaS厂商分为两类,一类是其仅对外提供软件服务,而其软件服务所依赖的IaaS层及PaaS层技术资源以及对外提供的其他增值电信业务服务则通过向第三方采购实现(下称“纯SaaS厂商”)。另一类是除提供软件服务外,其自身部署有IaaS层及/或PaaS层业务且对外提供相关服务(包括出租服务器、云存储服务等),及/或自营其他增值电信业务服务,而非通过向第三方采购实现(下称“综合SaaS厂商”)。对于SaaS厂商部署IaaS层、PaaS层等技术资源用于自用而不对外经营的暂不作讨论及纳入分类。以下为我们梳理的SaaS厂商业务开展的简要模式图:
(点击查看大图)

03

行业监管及法律体系

SaaS厂商可能涉及的业务领域有软件服务、电信和互联网业务等,有着软件行业属性及/或互联网特性,一方面应遵守软件行业相关法规政策,另一方面则根据具体业务可能涉及遵守互联网信息服务行业的相关法规政策。
1.主要监管部门
工业和信息化部为互联网信息服务行业和软件行业的行政主管部门,会同网信部门、公安部门、保密部门等相关部门在各自职责范围内实施监管。信息服务业行业协会、互联网行业协会、软件行业协会、计算机行业协会作为自律性管理机构对软件企业和提供互联网信息服务的企业进行一定程度的指导、监管。以下我们梳理了相关主要监管部门及其相关职责内容:
(点击查看大图)
2.主要监管法律法规
(点击查看大图)

04

SaaS业务合规及资本运作关注要点

1.经营资质
在提供SaaS服务中,除因额外提供信息服务、数据处理等须特别取得相应的增值电信业务经营许可证等资质外,一般不涉及其他特殊经营资质。具体而言,纯SaaS厂商仅为客户提供SaaS产品的软件功能而并未提供增值电信业务服务,或其仅充当资源整合角色,其向用户提供的增值电信业务服务是由第三方供应商提供时,一般无需取得增值电信业务经营许可证等特殊资质。而综合SaaS厂商在从事SaaS业务的同时,还自主开展增值电信业务服务的,例如提供互联网数据中心相关服务、信息检索查询、自动化短信营销、在线交流、呼叫中心等,需要取得相应的增值电信业务经营许可证。
根据我们对法律法规及相关上市企业公开披露信息的梳理分析,SaaS厂商在开展业务中主要可能涉及的增值电信业务服务包括信息数据业务中心服务;信息抓取、递送、分发服务;信息检索查询服务;即时通信服务(信息社区平台服务和信息即时交互服务);短信服务等。以下为我们梳理的相关增值电信业务经营许可证类型以及相关常见应用场景:
注:B25信息服务业务包括ICP业务和SP(Service Provider)业务,二者提供的信息服务类型相同,区别在于ICP业务是通过互联网渠道向用户提供信息服务,而SP业务则是通过公用通信网渠道向用户提供信息服务。
SaaS厂商在运营中是否取得了其开展业务所需的全部有效资质许可,是否存在超资质范围开展业务,是否合规经营等问题,是SaaS厂商能否持续快速发展及稳定经营的关键基础,也是企业资本运作时,投资方以及IPO监管机构重点关注的问题,企业在日常业务运营中须尤为关注开展的业务是否涉及某一类或多个增值电信业务经营许可证的取得,以免造成未取得资质牌照展业或超资质许可范围展业的不合规情形。
2.外商投资限制
根据《外商投资准入特别管理措施(负面清单)》(2021年版)以及《外商投资电信企业管理规定(2022修订)》等规定[3],增值电信业务可分为无外资限制类(包括电子商务、国内多方通信、存储转发、呼叫中心)、外资限制类(即外资股比不超过50%,如信息检索等)以及禁止外资投资类(如互联网公众发布信息服务等)三种。实践中,SaaS厂商提供的增值电信业务服务部分属于前述无外资限制类以及外资股比不超过50%的类别,对于SaaS厂商运营过程及融资应重点关注,(1)内外资牌照的区分:自身/供应商取得的电信牌照类别(外资/内资)是否合规,除71号文[4]的特殊规定外,持牌主体穿透后有外资的均应取得外资电信牌照;(2)外资股比限制:对于外资限制类电信业务,持牌主体向上穿透最终的外资股比应不超过50%;(3)外资变动审批/备案程序:一方面,如在直接股东层级未发生变化而上穿外资主体发生股权变化时,应及时确认是否需要办理外资电信牌照的变更审批。另一方面,如拟在直接股东层面引入外资股东的,应注意前述外资电信牌照类别及外资股比限制的合规要求,特别是在持牌主体原持有牌照为内资电信牌照时,需及时确认该外资股东能否满足申请外资电信牌照的审查要求,以免导致后续无法申请外资牌照的问题。建议在引入外资股东时,提前与当地电信监管机构沟通并在取得外资牌照批准时方引入外资股东。
如SaaS厂商有赴境外上市计划的,须综合考虑外资股比限制、企业实际需求等因素以选择适合的上市架构及业务模式。以往,在企业较难取得外资电信牌照的情况下,从事增值电信业务的企业(简称“增值电信企业”)在赴境外上市时一般选择VIE架构,如齐屹科技(01739.HK)等,且如其选择的是赴港上市的,其VIE安排还须符合香港联交所“narrowly tailored”的要求,该类搭建VIE架构的企业常常通过取得相关监管部门就外资电信牌照审批流程中“合格外方主要投资者”未有明确审批程序或指引等回复口径作为其符合“narrowly tailored”要求的解释基础。2022年5月1日实施的《外商投资电信企业管理规定(2022修订)》(简称“新《外资电信企业管理规定》”)删除了“经营增值电信业务的外商投资电信企业的外方主要投资者应当具有经营增值电信业务的良好业绩和运营经验”这一限制要求,进一步放宽了外商投资电信业务的要求。在此背景下,对于无外资限制的增值电信企业,在后续外资电信牌照逐步放宽监管后,其赴境外上市时有望采取非VIE架构的红筹上市模式;对于有外资限制的增值电信企业,一般仍采取VIE架构,但新《外资电信企业管理规定》实施后,实践中是否仍可取得相关电信监管部门就企业无法取得外资牌照的回复确认存在较多不确定性,则企业在未取得外资电信牌照时,是否仍可采取VIE架构赴港上市亦存在一定不确定性,须提前与当地相关监管部门予以沟通,了解其监管口径进而论证采取VIE架构以及具体权益持有安排的可行性。
此外,鉴于中国证监会于2021年12月24日发布境外上市新规[5](尚未生效),新规放宽了H股上市的审批程序且同时将红筹上市(含VIE架构模式)统一纳入监管,规定H股上市以及红筹上市均适用备案制度,关于境外上市最新动态可见我们以往发布的《企业境外上市新规解读——从监管规则之变迁谈起》一文。境外上市新规后续生效后,H股上市及VIE架构上市在审批流程上将趋同,在外资电信牌照逐步放宽监管的背景下,H股上市届时也将是该类企业境外上市的可行架构之一。因此,该类企业选择境外上市时建议提前与当地监管机构了解政策趋向以及监管口径,综合考虑自身需求以及各架构的优劣势、可行性选择合适的境外上市架构。
3.网络安全、信息保护等问题
根据《互联网信息服务管理办法》《网络安全法》《数据安全法》《个人信息保护法》等现行有效的法律规定,进行网络运营、数据处理、信息服务等服务的网络运营者[6]、数据处理者等主体除须取得上文提及的相关资质许可外,还须按照现有法律要求承担有关网络安全保障、数据安全保障(包含用户个人信息[7]安全)等责任,并根据有关规定建立内部整套安全制度、采取互联网安全保护技术措施[8]、进行信息记录及备份以及履行安全管理义务等系列义务。如未履行上述义务,一方面将涉及责令改正、罚款、吊销许可证等行政责任,另一方面因未履行上述义务而导致的数据泄露、系统出错等致使用户遭受损失的,还将涉及向用户补偿、赔偿等问题。前述提及的作为网络运营者、数据处理者等主体承担的相关主要责任及义务如下:
注:上述主体的相关业务范围有所重合,为概念主体及义务范围与法律规定保持一致,上述对于存在重合业务范围的概念主体亦分开进行列明。
根据上述规定,鉴于用户在使用SaaS产品过程中其大量数据将进入SaaS系统并在相应IaaS、PaaS层中进行存储、传输、运行、处理等,在法定义务层面上,实际经营及提供该等数据存储、处理、网络管理等服务的技术供应商(如综合SaaS厂商或第三方技术供应商)将对应构成上述法律规定的网络运营者、数据处理者等主体,须遵守我国上述关于网络安全、数据安全等规定及履行相关义务。在约定义务层面上,该等数据信息的保管及安全责任一般按双方协议安排由SaaS厂商(包括纯SaaS厂商和综合SaaS厂商)承担。因此,纯SaaS厂商对外提供的增值电信业务服务为向第三方采购的,其一般仅作为网络产品(软件)提供者遵守及履行相关法定责任及义务,而不属于上述法律规定的其他的数据处理者、网络运营者、互联网接入服务提供者等法定主体。但除法定义务外,基于纯SaaS厂商与客户的产品服务协议安排,纯SaaS厂商对客户在使用其SaaS产品过程中出现信息泄露、数据遗失等问题以及产生的损失亦将负有一定义务,因此纯SaaS厂商在选择技术资源供应商时,应重点关注该等企业的资质能力、规模、网络数据安全措施是否完备、保密隔离技术及是否出现过网络安全事故等,并在购买相关技术资源时应就其出现安全问题、系统错误等方面的责任予以明确约定。另外,虽然纯SaaS厂商在提供服务时涉及的数据存储、处理等行为是在第三方服务器等设施上进行,但纯SaaS厂商根据协议安排可能有权使用、调配该等信息数据,即存在可以控制该等数据信息的情形,如后续选择境外上市的,不排除存在触发网络/数据安全审查程序的可能。
对于综合SaaS厂商,根据其具体提供的服务类型将对应落入上述法律规定的信息服务提供者、数据处理者、网络运营者等责任主体范畴,须依法履行相应的网络安全管理及保障等责任和义务。同时,需要注意的是,该类SaaS厂商在提供上述服务时将涉及大量的数据存储、处理、网络运营及管理等涉及网络、数据安全的行为,需要关注网络安全、数据安全等问题及是否已落实相关法定义务以及该等业务将受到相关外资投资限制,在境外上市时可能涉及网络安全、数据安全、外资投资安全等审查程序,建议企业在具体运营时相应关注上述事项,避免产生合规风险。
4.知识产权与核心技术团队
SaaS业务是否能持续发展及保持市场竞争性关键在于其核心技术以及独立开发能力,因此除关注企业是否已做好知识产权/核心技术内部管理工作(包括建立相关保护制度及落实等)外,应重点关注知识产权的完整性(是否已取得开展主营业务所需的所有知识产权及/或其使用权)、知识产权的权利来源、权属关系和权利内容、权属有无瑕疵及法律风险等共性问题(具体关注问题详见下述表格)。此外,SaaS产品常在第三方的IaaS及PaaS平台上开发部署,存在依赖第三方开源软件等问题,其对第三方平台的依赖程度及相关法律风险、是否具备独立开发产品能力也值得关注。
(点击查看大图)
作为科创软件企业,其另一核心关注要点是其核心技术团队以及研发投入等问题。对于核心技术团队,一是关注企业核心技术人员是否存在违反其与以往任职单位的竞业禁止约定、保密协议等情形,是否已与SaaS厂商签署知识产权归属、不竞争及保密等协议;二是核心技术人员的专业能力,包括其教育背景、学历构成、研发经历、具体岗位职责、具体贡献、取得的专业资质及重要科研成果、获得奖励情况;三是核心技术人员的稳定性,企业核心技术人员的变动情况、薪酬水平、合同期限、股权激励及约束制度等安排。在企业运营及资本运作中,企业知识产权及核心技术团队都将是核心事项,建议企业在日常经营中做好知识产权、核心技术人员的管理,内部建立起相关规章制度,并明确相关部门的管理职责及操作规程等,做好核心技术保护及日常管理。
5.对第三方技术资源的依赖性
SaaS产品开发及业务开展在技术上依赖于IaaS的基础设施及PaaS开发环境,中小型SaaS厂商就IaaS、PaaS层的技术资源以及其他增值电信业务服务常是向第三方厂商进行采购,在底层技术、客户导入、资金结算、技术资源(如服务器、API、信息通道资源等)采购成本和SaaS产品的营收上对大型技术资源提供厂商(如阿里巴巴、华为等)存在较高的依赖性,特别是服务于电商的SaaS产品。
该类问题一定程度上是由行业特性、产品等客户因素所造成,具有一定的商业合理性和符合商业逻辑。但需要关注是否存在影响企业独立性及持续经营能力的问题,具体为:(1)企业与技术厂商的合作模式、定价等是否符合市场惯例、是否公允、是否稳定等;(2)对该技术厂商的依赖程度,其对于企业现时是否具有不可替代性,即企业的主营业务开展及收入是否主要依赖于该厂商,且短期内无法改变;如是,须重点关注该高度依赖性是否合理、合作关系是否稳定、是否已有相关的应对计划及/或应对措施等;(3)与技术厂商是否存在关联关系、是否存在给予大量优惠政策、是否存在利益输送等。
除上述核心关注问题外,SaaS业务涉及网络及数据安全、电信业务资质、个人信息、商业秘密等敏感领域,处于强监管范畴,存在较大的政策变化风险,因此SaaS业务是否能持续经营及稳定开展的关键因素之一是其政策利好环境的稳定性,应持续关注相关行业准入、运营监管、资质管理等方面的政策趋势及变化。同时,SaaS厂商作为科创软件企业根据其获得的高新技术企业等认证可申请相关税收优惠及/或政策补贴,其税收优惠及相关政策补贴的合规合法性以及对公司收入和利润的影响亦应予以关注。

向下滑动阅览

脚注:

[1] 国务院关于印发“十四五”数字经济发展规划的通知(国发[2021]29号)。

[2] 根据《中华人民共和国电信条例(2016年修订》,增值电信业务是指利用公共网络基础设施提供的电信与信息服务的业务。

[3] 根据《外商投资准入特别管理措施(负面清单)》(2021年版),增值电信业务的外资股比最终不超过50%(电子商务、国内多方通信、存储转发类、呼叫中心除外);禁止外资投资互联网新闻信息服务、网络出版服务、网络视听节目服务、互联网文化经营(音乐除外)、互联网公众发布信息服务(上述服务中,中国入世承诺中已开放的内容除外)。

[4] 71号文指《关于境外直接上市的境内企业申请经营电信业务适用程序有关问题的通知》(商资函[2009]第71号)。

[5] 本文提及的境外上市新规指中国证监会于2021年12月24日发布的《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》《境内企业境外发行证券和上市备案管理办法(征求意见稿)》等境外上市相关规定。

[6] 根据《网络安全法》的规定,网络运营者指网络的所有者、管理者和网络服务提供者。

[7] 根据《电信和互联网用户个人信息保护规定》,用户个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。

[8] 根据《互联网安全保护技术措施规定》,互联网安全保护技术措施是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术方法。


参考资料

1. 云计算的三种服务模式:IaaS、PaaS和SaaS(https://baijiahao.baidu.com/s?id=1722999974070533823&wfr=spider&for=pc)

2. 中国企业级SAAS行业研究报告(艾瑞咨询)

3. 中金I云兴霞蔚系列之SaaS篇:云程发韧,风禾尽起

4. 2021年全球SaaS云计算行业研究报告

5. 云计算SaaS服务模式精讲

6. SaaS风云I开篇:SaaS知多少

7. 如何确保云计算的合规性

作者:陈倩思、王宁、罗巧明

责任编辑:赵天园


*载自金杜研究院,文章不代表本公众号观点,不构成投资建议。文中图片均来源于网络,版权归原作者所有如有侵权,请告知删除。欢迎转发到朋友圈,转载请联系原作者。

【声明】内容源于网络
0
0
盛世投资
国内知名的创业投资和股权投资母基金管理机构、政府引导基金管理机构和创新创投资源聚合平台。
内容 2106
粉丝 0
盛世投资 国内知名的创业投资和股权投资母基金管理机构、政府引导基金管理机构和创新创投资源聚合平台。
总阅读4.9k
粉丝0
内容2.1k