南方周末记者谭畅 李微敖 南方周末实习生 郑丽娇 冯乐乐
要求全国上亿中小学生信息入库,采集近40项个人信息,这样一个“全国教育技术服务平台”,未经招投标程序,直接交给一家公司开发。多家信息检测机构对该平台信息安全问题频频预警。一个覆盖全国所有中小学生及教师基础信息的平台,未经招投标程序,直接交给一家公司开发,其做法值得商榷。
教育部一再重申IME没有信息安全性问题,但仍有家长和安全检测机构对此存疑,甚至有检测显示,该平台的账户、密码、学籍确认表照片等敏感信息极易被不法分子攻击。
IME从何而来?国资背景的大唐电信,为何又要淡出这个“估值可达百亿元”的项目?更为蹊跷的是,就在该项目临近成功时,却被低价转让。
南方周末记者谭畅 李微敖
南方周末实习生 郑丽娇 冯乐乐
发自广州、北京
2015年秋季开学不久,广州一学生家长胡志强(化名)在微信家长群里收到班主任的通知,要求全班39名学生家长在当天下载一个名为“教育技术服务平台”的手机App。
胡志强的孩子放学后带回一张“全国中小学生学籍基础信息确认表”。该表格上有孩子的全国学籍号、就读学校班级、身份证号、户口所在地,以及家长的住址、联系电话等40项详细信息。根据班主任的要求,胡志强需要核查确认表上的相关信息,对有错误的可直接修改。签字确认后,并在“教育技术服务平台”上注册一个家长账号,将确认表照片上传到该App后台。
教育部确认,这个App是全国“教育技术服务平台”(又称“IME平台”),是教育部教育管理信息中心组织建设的即时通讯平台。开发者,是天天艾米(北京)网络有限公司(以下简称“天天艾米”)。
成立于2014年7月14日的天天艾米,控股方是国资背景的上市公司大唐电信股份有限公司(600198.SH,下称大唐电信)。
九天之后,即2014年7月23日,教育部下发《关于做好全国中小学生学籍信息管理系统全面应用工作的通知》,提出要利用IME平台、邮件、电话等多种方式进行学籍系统问题的沟通。
目前,全国中小学生学籍信息管理系统已实现1.9亿学生信息入库。对于大唐电信而言,IME平台作为承担了1.9亿学生学籍数据核查任务的项目,原本前景无限,其估值颇受市场追捧。2015年1月,一则广泛流传的天天艾米招聘启事称,公司有把握在2015年达到估值100亿元的目标。
但令人不解的是,就在IME平台项目取得初步成功之时,2015年中期业绩亏损2.93亿元的大唐电信,却在逐步淡出天天艾米,其累计持股比例将下降至11.21%,不仅财务不再并表,而且对后者影响几乎无足轻重。天天艾米,已然“去国有化”。
那么,几家新近成立的私人企业,为何又要投注巨资,从大唐电信手中“接盘”天天艾米?
靠行政力量推行
IME平台和中小学生学籍核查,原本是分开的两个项目。
华创证券通信行业分析师马军在他的研究报告里提到,早在2013年1月,IME平台项目就在大唐电信内部进行了立项。
6个月后,即2013年7月,教育部教育信息化推进办公室下发《国家教育管理信息系统建设总体方案》,IME平台作为教育信息化工程的一部分,首次出现在政府文件中。方案对这个平台的构想是,为各级教育行政部门、学校、教师、学生、家长提供一个快速的全国信息沟通渠道和机制。但方案中并未提及通过IME平台进行学籍管理或核查。
而全国中小学生学籍信息管理系统,从2014年1月起已实现全国联网并试运行,此前由各省分别建设。2015年2月,教育部表示,已通过此系统为全国中小学生发放正式学籍号。
2015年3月,教育部发文称,要加快问题学籍处理和建立数据质量核查机制。
该文件显示,这是自2013年5月全国学籍系统开始数据信息采集后的首次核查工作,需要全国家长配合,具体方式是学校通过原有的学籍信息管理系统生成学籍信息确认表发给家长,并指导家长拍照上传签字的确认表至IME平台,作为电子档案存档。对于操作有困难的家长,文件中提到应由班主任帮助拍照上传。根据时间安排,各省须在2015年6月30日前完成学籍核查,10月30日前完成问题学籍处理。
至此,IME平台迎来应用高峰,在教育类App下载量排行榜中跃居首位。
教育部的文件发到了全国32个省级行政区(含内地31个省份及新疆生产建设兵团),今年的学籍核查工作也接近尾声。
9月29日,教育部给南方周末记者的采访复函称,全国中小学生学籍信息管理系统已实现1.9亿学生信息入库,一年多时间就完成了7000万学生毕业、2.5亿学生升级、7000万新生入学、1100万学生转学。IME平台已在全国学前教育管理信息系统、全国中小学生学籍信息管理系统、全国中等职业学校学生信息管理系统等系统中投入使用,已有上万名教育行政部门人员、300多万名学校管理人员和教师使用平台沟通、咨询,解答各类问题近两千万条。
这意味着,一个互联网世界的教育信息“帝国”正在崛起。
不过,据南方周末记者了解,并非所有地市的家长都像胡志强一样,被班主任要求下载IME平台。河南省巩义市某小学学籍管理员告诉南方周末记者,该校一直使用的是原学籍管理系统,从没听说过IME平台。
“我们本身有一个学籍系统的,但这个(IME平台)是教育部发文要求全国各地都要用,所以我们就按照要求又用了。”广州市教育局发展规划处一位工作人员告诉南方周末记者。
胡志强觉得,这种学籍核查的方式“智商不高”,“我上传的是照片,意味着还要有人在后台处理这些信息”。还有家长质疑学籍核查与注册App,两件事风马牛不相及。
该平台简介显示,平台支持发送图片、语音、文字;支持单聊、群聊。但是,有学生和家长似乎遗忘了这些基本沟通功能。东莞市中学生曾显(化名)在上学期被要求下载IME平台,“全班传完照片就删了App,只剩一两个人,班主任要是在上面发什么通知,他们再转到微信群里。”
胡志强没有删除手机中的IME平台,“保不准什么时候会再来一次。”
“免费”的对价 是什么?
承担IME平台开发任务的,是天天艾米。
按照政府采购法等现行的法律法规,如果政府部门使用财政性资金购买服务,进行公开招标是主要采购方式。
南方周末记者在教育部的政府采购网上,未能查询到这个项目的信息。据2015年9月24日《羊城晚报》报道,教育部信息管理中心规划处负责人表示,IME项目因为“当时时间比较紧,没来得及走(招投标)相关的流程,目前正在补办相关手续”。
教育部给南方周末记者的复函称:平台由大唐电信旗下天天艾米免费承担平台的开发任务,双方共同管理,教育部门、学校、老师、家长无偿使用。
大唐电信2014年年报显示,教育技术服务平台(IME平台1.0)内部开发支出为28.84万元。
“企业免费开发,问题反而更严重。”对此,北京市门头沟区政府采购中心法律顾问、辽海律师事务所陈晓云律师表示,若使用财政资金不经过招投标,涉嫌违反政府采购法和招标投标法;但不使用财政资金,“企业免费帮政府做,对价是什么?”
陈晓云律师还担心,一旦平台开发的第一环交给了特定企业,以后教育部就能以政府采购法中“必须保证原有采购项目一致性或者服务配套的要求”的名义,将合作名正言顺地长期进行下去。
“如果政府需要这个平台,就该政府出钱。政府有财政预算,不能说政府没钱就让企业做,这容易搞成政治交易。”全国人大代表、广东国鼎律师事务所主任朱列玉亦向南方周末记者表示,教育部委托企业开发IME平台的唯一正规途径就是公开招投标。“我们纳税人交了钱给政府,政府要做这个事情就应该有财力。企业对于政府的关系是纳税主体,如果还有钱,可以参加社会公益,但不能捐钱给政府。”
21世纪教育研究院副院长熊丙奇也表示,公益和商业要分开:“现在教育部门自己不出钱,变成给商业机构出政策,通过政府发文件去安排,变成行政干预学校。在国外,政府本身不具备主导作用,学校有自主权。我们是政府主导,如果里面再有商业利益介入,会导致本身属于公益的事情弄得大家怨声载道。”
教育部对此回应南方周末称:“平台没有任何商业目的,开发单位也没有任何商业应用。”
朱列玉并不认同教育部的说法,他认为大数据就是巨额财富。教育部统一要求收集信息,家长不能不给,于是大量信息由平台掌握。“用大数据了解了千家万户的基本需求,哪一家小孩多少岁,估计过多少年会恋爱、结婚、生子,这都可能形成商机。掌握大数据的巨额资源就可以拿来卖钱。”
一位IT行业的高管亦对南方周末记者表示,在资本市场上,一个实名制的活跃用户,估值可在100元至1000元人民币。
2015年1月,天天艾米在多家招聘网站发布招聘启事中称,公司“成立半年后的今天”拥有了一个40人的核心团队,20万家长、教师的实名注册,2亿的估值和数千万的帐面现金。并称“有100%的把握”在2015年达到400人以上的团队规模,5亿家长、教师的实名注册和100亿的估值。
安全检测机构:不建议上线
针对企业通过IME平台收集用户数据的担忧,教育部9月29日表示,教育管理信息中心和天天艾米之间有严格的保密协议,对平台使用权限和用户数据安全有明确协议限定。此次学籍核查过程中,“通过管理和技术措施保障所有确认表照片直接传送并保存在学生所在省(自治区、直辖市)的省级教育数据中心,平台不留存任何确认表照片信息。”
然而,有一国家级的移动互联网安全技术工程实验室(以下简称“安全实验室”)向南方周末记者出示了一份对IME平台的安全分析评测报告,报告生成于9月24日,结果显示,用户上传的确认表照片,直接传送至ime.com服务器。
安全实验室的一位信息安全技术人员对南方周末记者表示,这一服务器由天天艾米公司运营。“教育部的服务器一般是.org域名。现在只有.com一条链接,没有备用链接,说明照片至少是先传送到公司的,然后可能再发到省级教育数据中心。”
四个月以前,教育部在官网上刊登《关于“全国教育技术服务平台”有关问题的答复》,称IME平台采取了多项措施保障信息安全,包括“在确认表照片于传输和存储过程中都采取了可靠的加密方式”。9月29日的书面答复中,教育部再次重申这一点。
由于未获得开发者正式授权,安全实验室没有对IME平台进行严格检查,只做了客户端部分的本地检测。其检测已发现,账户(用户名)、密码、学生真实姓名、学生ID编号、学籍确认表照片等敏感信息,也就是“存储没有加密,极易被不法分子攻击,获取用户隐私信息”。
该检测还发现,这些敏感信息在传输过程中同样没有加密。
几天后,安全实验室再次检测,发现平台在传输数据时进行了“比较低级的加密处理”,部分敏感度较低的数据仍以明文传输。
根据公安部、国家保密局等2007年颁布的《信息安全等级保护管理办法》,信息系统依据其在国家安全、经济建设、社会生活中的重要程度被分为五级。IME平台承担1.9亿学生的学籍核查任务,涉及大量公民隐私信息,上述技术人员认为该系统安全保护等级应在前三级:“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。”而根据相关国家标准,“应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏”和“应采用加密或其他保护措施实现鉴别信息的存储保密性”是基本要求。
“乌云漏洞平台”(一个位于厂商和安全研究者之间的漏洞报告平台)上一则提交于2015年6月26日的漏洞报告显示:甘肃省白银市靖远县某小学学校管理员和所有班主任的IME平台账号、密码泄露,登录后可以与靖远县所有中小学生互动交流。国家互联网应急中心确认了这则漏洞,并回复称“暂未建立与软件生产厂商(或网站管理单位)的直接处置渠道”。
安全实验室一技术人员告诉南方周末记者,有家长投诉,称通过IME平台上传确认表照片后,接到培训班的推销电话,但尚不能确认信息泄露渠道。
如果上线前有充足时间进行评测,可以防范部分安全问题。上述技术人员仍认为IME平台“做得太快,上线比较仓促”,“如果之前给我们(评测)的话,这个东西肯定是不会通过的”。
亦有知情人士对南方周末记者透露,中国信息安全测评中心近期也曾对IME平台进行评测,发现存在类似问题。“但查了两天以后,不敢出面(出具报告)。”
公民隐私权受法律保护,但保护个人信息的具体法律仍在制订中。“企业是法无禁止即可为,刑法没有规定这种(获取个人信息的方式)构成犯罪。但政府就不一样了,如果法律没有授权去做的话就是乱作为。”朱列玉质疑教育部通过IME平台核查学籍信息的作法缺乏法律依据,“如果信息泄露了,责任肯定是在政府部门。”
为什么是天天艾米?
有移动互联网业内人士表示,开发IME平台的技术不具有垄断性。而且冲着与教育部合作的明显可见利益,即便开发费用由企业买单,企业也趋之若鹜。“一大波说要改变世界的创业公司都在搞这类产品,‘用户痛点(意为产品的切入点与重心点)抓得再好,抵不过一纸公文。”
这“一纸公文”为何唯独选择了天天艾米?教育部没有回答南方周末记者这一提问。
大唐电信的公告及年报等材料显示,2014年6月,大唐电信与新华瑞德(北京)网络科技有限公司(下称“新华瑞德”)、北京英孚斯迈特信息技术有限公司(下称“英孚斯迈特”)共同出资设立天天艾米,以“运营教育即时通讯平台项目”。
同年7月14日,天天艾米完成工商注册,注册资本为2500万元。其中唯一的现金出资方为大唐电信,800万元,占股比例32%;新华瑞德和英孚斯迈特以“无形资产”方式出资,持股比例分别为19%和49%。
成立于2010年9月的新华瑞德公司,彼时是大唐电信的控股子公司,后者持有新华瑞德97.79%的股权。余下2.21%的股权,由成立于2012年的微吧(北京)网络技术有限公司(下称“微吧公司”)持有。南方周末记者查证,微吧公司目前的18位自然人股东,基本为大唐电信的员工。
于是,在天天艾米成立之初,通过直接和间接持股,大唐电信对其绝对控股。于2014年成为大唐电信副总经理的杨勇,是天天艾米的董事长,他还兼任了新华瑞德的总经理和法定代表人职务。
持股49%的英孚斯迈特成立于2011年8月,注册资本1000万元。吴珑、江碧晶曾为公司股东,2014年11月1日,陈劼从二人手中受让了全部股权。仅仅3个月后,蒋朝华又从陈劼手中受让了全部股权,成为英孚斯迈特唯一股东迄今。不过,陈劼目前仍然是天天艾米的董事。
“确实(技术上)谁都能做,问题就在于谁掌握到了这个资源。”华创证券分析师马军认为,大唐电信能获得教育部支持非朝夕之功,它有央企的资源积淀,而且在高校课堂云服务等项目上与教育部门有过合作经验。
“至少现在只看到它付出。等用户达到亿级,也许会在不触犯各方面利益的情况下,找到商业模式和盈利模式,也是对它运营的补偿。”马军看好新华瑞德的前景,称其能利用大唐电信的央企背景,把政府的行业信息化资源直接进行变现,IME平台即为一例。
新华瑞德公司市场部经理以“杨勇很忙”为由婉拒了南方周末记者的采访,并称“现在不是接受采访的好时机”。
英孚斯迈特原总裁、原股东吴珑表示“现在不在英孚公司了”,不清楚相关情况。南方周末记者亦联系到英孚斯迈特现任高层,其表示“所有的事情,由大唐电信回应”。
大唐电信为何放弃控股权?
上线一年,IME平台如期获得巨量用户数。但令人不解的是,近年来大唐电信却在逐渐放弃对估值可能达到100亿元级别的天天艾米公司的控股权。
大唐电信2014年营业收入79.84亿元,净利润2.17亿元,但扣除非经常性损益的净利润是亏损了0.55亿元。2015年上半年,营业收入26.57亿元,同比下降11.21%;净利润亏损2.93亿元,去年同期的亏损是0.91亿元。
2015年6月15日,大唐电信董事会审议通过《关于天天艾米(北京)网络技术有限公司引进战略投资者的议案》,引入“外部战略投资者”——联创兴盛(北京)投资有限公司(下称“联创兴盛”)和北京中创日盛投资管理中心(有限合伙)(下称“中创日盛”)对其进行增资。
联创兴盛出资2754万元,其中1059.32万元计入注册资本;中创日盛出资1763万元,其中677.97万元计入注册资本。两家公司分别成立于2015年4月和5月,即大唐电信董事会召开前月余,目前唯一再投资信息就是天天艾米。联创兴盛系邓雪芯个人出资,她亦为公司的法定代表人、执行董事、经理;中创日盛的两个自然人股东为杨更、杨华。
增资完成后,天天艾米注册资本变更为4237.29万元。大唐电信及其控股子公司新华瑞德,合计持有30.09%股份。天天艾米不再纳入大唐电信的合并报表范围,这意味着天天艾米的总资产、净资产、营业收入、利润、现金流等,以后不需要在大唐电信的财报中对外披露了。
8月13日,大唐电信董事会又通过《关于公司以所持天天艾米股权对新华瑞德增资的议案》的决议。大唐电信不再直接持有天天艾米的股权。天天艾米的股权变为:新华瑞德持股30%,英孚斯迈特持股29%,联创兴盛持股25%,中创日盛持股16%。
2015年8月21日,大唐电信董事会决议披露,根据中资资产评估有限公司出具的评估结果,采用收益法评估,以2015年6月30日为评估基准日,天天艾米公司评估价值为6520.69万元。这个数据,与此前2015年1月只有20万家长、教师的实名注册时,就高达2亿元的市场估值,差距极大;与百亿元估值目标,更是不可同日而语。
天天艾米30.09%的股份,其对应的估值是1962.08万元;而在2014年7月,天天艾米成立之初,大唐电信就有800万元的现金出资,以及475万元的“无形资产”出资,两项合计为1275万元。这意味着,当一年后,天天艾米项目取得初步成功,并预示可能获得更巨大成果之时,大唐电信的这笔投资收益,却实在难言理想。
更费解的是,在放弃了对天天艾米的控股权后,大唐电信又进一步放弃了新华瑞德的控股权。
9月28日,大唐电信董事会审议通过《关于公司控股子公司新华瑞德引进战略投资者事项的议案》,拟通过产权交易所公开挂牌的方式,对外转让其持有的新华瑞德44%股权;同时新华瑞德通过产权交易所公开挂牌,引入外部股东增资22,367万元(占新华瑞德增资后30.9%股权)。
方案全部实施完成后,大唐电信持有新华瑞德37.24%股权,微吧公司持有新华瑞德1.46%股权,外部投资者合计持有新华瑞德约61.3%股权。新华瑞德不再纳入大唐电信合并报表范围,这同样意味着,新华瑞德的财务数据以后也不需要对外披露。
同时,微吧公司宣布放弃新华瑞德44%股权优先受让权,不参与本次增资行为。
如果这笔交易完成,大唐电信间接持有的天天艾米的股权,将下降至11.21%。大唐电信对于天天艾米公司,影响力将微乎其微。
大唐电信,为什么要这样做?谁将成为新华瑞德的新股东,进而间接操控天天艾米?
对于上述疑问,南方周末记者于10月12日以电话、电子邮件等方式,联系到了大唐电信独立董事、中央财经大学会计系教授王瑞华,以及大唐电信董事会秘书办公室。不过截至10月14日14时,仍未获得回复。
(冯强对本文亦有贡献)