2024年11月26日深圳证券交易所(深交所)向保荐机构发布了三项关于创业板首发审核的指南,这一举措无疑是为中国资本市场注入一剂强心剂,其中值得关注的是《深圳证券交易所创业板数字经济领域首发审核指南(试行)》,数字经济领域是指以数据资源作为关键生产要素、以现代信息网路作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的行业。
国家高度重视发展数字经济并将其上升为国家战略,先后出台了《国家创新驱动发展战略纲要》、《“十三五”国家信息化规划》、《数字经济发展战略纲要》、《“十四五”数字经济发展规划》、《数字经济及其核心产业统计分类(2021)》、《“数据要素x”三年行动计划(2024-2026年)》等一系列政策,数字经济已成为全球新一轮科技革命和产业变革的新引擎。
该指南适用于深交所创业板数字经济领域中集成电路、软件和信息技术服务、互联网、人工智能等细分行业企业的首发审核。
其中安势信息注意到在该指南的:
第三章
软件和信息技术服务相关业务第十三条(一)
“技术来源及其可控性。发行人核心技术的形成过程,源代码的掌握情况,是否符合开源协议,代码自主率,国产化适配情况,是否存在侵犯知识产权或商业秘密的情形。”
针对以上要求,企业可以从技术形成过程管理、源代码管理、开源许可证合规管理,提升代码自主率、国产化适配、知识产权和商业秘密保护这6个方面入手:
1、技术形成过程管理:详细记录并建档包括技术研发各阶段、关键决策点、决策人员信息等的核心技术形成过程以及研发过程中的实验数据、设计文档、代码版本等,以便溯源。同时,积极投入资源进行技术创新和自主研发来提高代码的自主率,通过设置激励机制激发员工创新积极性。
2、源代码管理:采用专业的Git、SVN等源代码管理工具对源码进行版本控制和管理并制定严格的源代码访问权限制度,防止未经授权的修改和泄漏;定期对源码进行审计,检查代码质量、安全性和合规性。
3、开源许可正合规管理:组建由技术、法律人士组成的专家团队对开源协议进行深入研究并搭建开源协议知识库以及制定从开源代码引入流程到使用范围、限制条件等的开源代码使用规范,确保企业在使用源代码时能够遵循开源协议的规定,提前规避法律风险。
4、提升代码自主率:除了加大技术研发投入和人才引入培养外,需优化技术架构和设计,充分考虑代码的可扩展性、可维护性和自主可控性,尤其对关键技术和核心模块进行自主研发。
5、国产化适配:积极响应国家政策号召,选择国产化软件,提高国产化适配度,另外可以联合国内技术厂商和科研机构共同开展国产化技术研发和应用。对企业的软件产品进行国产化适配测试,确保在国产化环境下能够正常运行。
6、知识产权和商业秘密保护:企业在加快制定内部知识产权管理制度的同时加强员工知识产权意识培训。
安势信息通过清源 CleanSource SCA为企业提供识别、保护、管理、监控等开源风险端到端的解决方案并与DevOps流程和工具集成实现自动化。一方面,对企业进行开源数据资产盘点和扫描,并生成全面软件物料清单(SBOM),保证开源组件的高度可见性,从源头确保企业的软件/产品中不会因使用开源软件和其他第三方软件引入的安全、质量和许可证合规风险,同时也保证数据资产的整体安全。另一方面,协助企业识别、修复和持续监控安全漏洞。
第五章
涉及人工智能相关业务第二十八条(一)
“技术布局及开源。发行人在智能芯片架构、机器学习算法、深度学习算法等技术的研发投入、布局情况及知识产权来源,发行人对开源技术的改进情况及核心技术的独创性,是否存在套壳其他开源模型的情形。”
AIGC的发展催生了一系列新的商业模式,但也衍生出其他开发者盗用开源模型或未标明原作者及出处,让他人误认为模型是套壳者自主研发的。
同时,在AIGC的开发过程也面临着数据工程、模型开发定制、内容生成与分发等诸多风险与挑战:
1、数据工程:数据是AIGC的基础,开发过程中会涉及大量数据搜集、存储、处理,所以数据质量和数据偏见会影响模型的性能,同时引发开源数据集许可证、版权、隐私、数据、内容安全等风险。
2、模型开发和定制:AIGC模型存在安全风险,可能会受例如模型篡改等恶意攻击,另外模型本身的漏洞也可能会被利用,从而干扰和误导模型的输出;同时企业使用开源模型同样需要关注开源许可证的合规风险,例如有些模型限制商用。
3、内容生成与分发:由AIGC生成或二创的各类图文、代码、音视频等多模态内容可能存在隐私、虚假、误导性信息、生成内容或涉及知识产权、版权问题。
AIGC的发展离不开开源数据集和开源模型的使用,因此需对开源模型进行使用、修改和分发等权利义务的规范。
安势信息针对上述的AIGC的风险,也推出了自主可控的针对性的AI风险治理平台-清流 PureStream,通过生成生成完整的AI物料清单AI BOM加强端到端的溯源和风险识别能力,有效解决AIGC带来的合规、隐私、版权、内容安全等风险,促进AIGC合规性和审计,同时,在关键基础设施领域增强AIGC安全透明度。另外,清流 PureStream已实现对开放模型成本的识别,并实现对伪国产模型的精准鉴定。
这份指南对细分行业的审核维度均是“量身定做”,如此细颗粒度且行业定制化的标准,也反映了审核正在趋向更加细化、公开的趋势,对创业公司也意味着如果还有独立证券化的预期则需要根据指南逐条去提前完善。未来对于计划在深交所创业板上市的数字经济领域的企业尤其是上述提到的“软件和信息技术服务相关业务”和“涉及人工智能相关业务”的企业由于要提前关注源代码、自主可控、AI模型开源风险等问题。
关于安势信息
上海安势信息技术有限公司是国内先进的软件供应链安全治理解决方案提供商,核心团队来自Synopsys、华为、阿里巴巴、腾讯、中兴等国内外企业。安势信息始终坚持DevSecOps的理念和实践,以多维探测和底层引擎开发等技术为核心,提供包括清源CleanSource SCA(软件成分分析)、清本CleanCode SAST(企业级白盒静态代码扫描)、清正CleanBinary (二进制代码扫描)、安全服务等产品和解决方案,覆盖互联网、汽车、医疗、通信、金融等多元化场景的软件供应链安全治理最佳实践。
欢迎访问安势信息官网www.sectrend.com.cn或发送邮件至 info@sectrend.com.cn垂询。
