众所周知,招股书的作用是向投资者披露风险的。定期选取上市公司招股书中关于数据合规相关风险的论述进行概述,以飨读者。
企业名称:讯飞医疗科技股份有限公司(以下简称“讯飞医疗”)
上市地点:香港联交所
企业简介:讯飞医疗是科大讯飞的子公司,成立于2016年。基于科大讯飞二十余年积累的国际领先的智能语音和人工智能技术,讯飞医疗已打造医疗领域中在语音识别、图像识别及自然语言理解等方面围绕深度神经网络、深度学习和医学知识图谱以及专有核心技术的核心技术架构体系,在提升医院信息化、智能化水平,提高基层医生诊疗能力方面取得了良好效果。
招股书数据合规相关页码:P54、62-66(风险因素),P134-142(监管概览),P254-257(业务)
招股书下载链接(阅读原文可直接跳转):https://www1.hkexnews.hk/app/sehk/2024/106667/documents/sehk24072601865_c.pdf
一、风险因素
价值:可以学习甩锅的表述,AI特定风险可以参考。
(一)AI滥用风险
(二)数据保护法规遵循
1. 网络安全审查:根据2021年修订的《网络安全审查办法》,关键信息基础设施运营者和网络平台运营者在采购网络产品和服务或开展数据处理活动时,若影响或可能影响国家安全,必须进行网络安全审查。此外,拥有超过100万用户个人信息的网络平台运营者赴国外上市也需进行网络安全审查,但相关法规未对“国外上市”或“影响国家安全”的具体含义提供明确解释。
2.网数条例:2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》要求数据处理者在赴国外上市或可能影响国家安全的情况下,必须申报网络安全审查。该条例草案尚未正式颁布,其最终内容和对数据处理者的具体要求可能会有所变化。
3. 数据出境安全评估:2022年7月7日颁布的《数据出境安全评估办法》规定,数据处理者在处理或向境外提供超过规定数量的个人信息前,应向国家网信部门申报安全评估。该办法也适用于向境外提供重要数据,要求数据处理者在跨境数据传输前进行安全评估,以确保数据安全。
4.数据安全:我们向个人用户提供的服务涉及收集医疗健康数据及其他个人信息,如用户名、手机号和活动日志,并将其存储在我们的系统上。同时,我们为机构客户提供服务,允许他们收集数据以提供服务,通常这些数据保存在客户自己的系统或指定系统中。
如果客户缺乏必要的存储系统,我们提供在我们的系统上存储数据的选项。我们在中国内地的业务运营中收集和产生的用户数据仅存储在中国内地,不涉及跨境传输。
在数据处理方面,我们面临保护系统数据安全、应对隐私和安全担忧以及遵守相关法律法规的挑战。任何未经授权的数据泄露都可能损害我们的声誉和品牌,影响业务,并可能带来潜在的法律责任。
二、监管概览
价值:分多个角度介绍了数据合规法规,但于此主要关注一下算法和科技伦理审查及医疗信息保护,以及采取的措施。
一、算法
中国监管机构相继颁布了多项法规,以加强对互联网信息服务的算法推荐、深度合成技术以及生成式人工智能服务的管理:
1. 《互联网信息服务算法推荐管理规定》:自2022年3月1日起生效,要求算法推荐服务提供者根据分类分级管理条件,在提供服务起十个工作日内向网信办进行备案。
2. 《互联网信息服务深度合成管理规定》:自2023年1月10日起生效,明确了深度合成技术的定义,并规定服务提供者必须建立相关管理制度,包括用户注册、算法机制审核、信息发布审核等,并明确提示信息安全义务。
3.《生成式人工智能服务管理暂行办法》:自2023年8月15日起生效,规定生成式人工智能服务提供者需承担网络信息内容生产者责任和个人信息处理者责任,与用户签订服务协议,采取防范未成年人沉迷的措施,并对违法内容采取必要处置措施,包括向监管部门报告。违反规定的提供者可能面临警告、通报批评、责令限期改正或暂停服务等处罚。
根据中国法律顾问的意见,我们的讯飞晓医App及小程序提供的文字生成服务,由中国的大语言模型赋能,适用于《生成式人工智能服务管理办法》。为遵守相关法规,我们已采取以下行动:
-建立内部政策:确保所有使用的数据来源合法,并符合法律法规要求。
-制定数据标注规则:并向从事数据标注的人员提供必要的培训,以保证数据的准确性和合规性。
-实施内容审查措施:检查生成内容,防止产生或传播非法和不合规的材料。
-签订服务协议:与用户就讯飞晓医App及小程序等服务产品签订协议,明确服务内容及双方的权利和义务。
-采取安全措施:保护用户个人信息安全,并提供途径让用户能够行使其个人信息权利,如访问、更正、删除个人信息,以及撤回处理个人信息的同意和注销账户等。
-算法备案:我们为生成式人工智能服务相关的算法完成了“生成合成类-技术支持者”和“生成合成类-服务提供者”算法的备案工作,这些算法用于根据用户输入生成医疗健康相关问题的文本回复。
-安全评估:我们的讯飞晓医App及小程序已经完成互联网信息服务安全评估,并通过全国互联网安全管理服务平台提交了相关评估报告,且已通过监管机构的审核。
-监管机构证明:我们已获得安徽省合肥市网信办出具的书面证明,确认自2021年1月1日至2024年2月27日期间,公司未受到任何关于网络安全、网络运行安全及个人信息保护方面的行政处罚。
二、科技伦理审查
2023年9月7日,科技部联合其他部门颁布了《科技伦理审查办法(试行)》,该办法自2023年12月1日起生效。根据该办法:
- 高等学校、科研机构、医疗卫生机构以及从事人工智能等科技活动的单位,若研究内容涉及“科技伦理敏感”领域,应设立科技伦理(审查)委员会。
- 需要由科技伦理(审查)委员会开展初步审查,并由地方或相关行业主管部门组织专家复核的科技活动包括但不限于:具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发,以及面向存在安全、人身健康风险等场景的高度自主能力的自动化决策系统的研发。
- 责任主体必须在特定时间内通过国家科技伦理管理信息登记平台进行登记,并在相关内容发生变化时及时更新。
为响应《科技伦理审查办法(试行)》,我们已采取以下行动:
1. 成立科技伦理(审查)委员会,负责对科技活动进行伦理审查。
2. 在国家科技伦理管理信息登记平台登记了科技伦理(审查)委员会的成立。
3. 制定了内部政策,明确了科技伦理审查活动的管理要求。
4. 对讯飞星火医疗大模型的开发动机作为进行了科技伦理审查,并已形成审查意见。
三、医疗健康数据
中国在医疗健康数据管理方面制定了一系列法律法规,主要包括:
1.《医疗机构病历管理规定》(2013年11月20日颁布,2014年1月1日起施行):要求医疗机构和医务人员严格保护患者隐私,禁止无医疗、教学、研究目的泄露患者病历资料。
2.《人口健康信息管理办法(试行)》(2014年5月5日印发):规定医疗卫生健康服务信息属于人口健康信息,不得在境外服务器中存储,责任单位不得托管、租赁境外服务器。
3.《国家健康医疗大数据标准、安全和服务管理办法(试行)》(2018年7月12日颁布):要求医疗机构建立安全管理制度、操作规程和技术规范,保障健康医疗大数据的安全,并规定数据应存储在境内服务器上,未经安全评估不得向境外提供。
4.《关于促进和规范健康医疗大数据应用发展的指导意见》(2016年6月21日颁布):明确健康医疗大数据是国家重要的基础性战略资源,推动数据资源共享开放,鼓励医疗机构采集、存储健康医疗大数据,并加强技术支持与维护,建立居民电子健康档案、电子病历、电子处方等基础数据库,深化数据应用,并在政府部门间建立医疗大数据共享机制。
这些规定共同构成了中国在健康医疗大数据管理和应用方面的法律框架,旨在确保数据安全、保护个人隐私,并促进数据的合理利用和共享。
三、业务
价值:了解大模型公司的数据、隐私内控制度
(一)隐私
在向个人用户提供服务的过程中,我们会收集包括健康咨询问题、体检报告、听力测试信息、血压血糖水平及病史在内的医疗健康数据,以提供健康咨询、听力测试、健康管理和疾病风险筛查等服务。此外,基于服务需求,我们还会收集用户名、手机号和日志等其他个人数据,并将其存储在我们的系统中。
对于机构客户,包括基层医疗机构、医院和医疗管理机构,我们提供的服务允许他们收集数据以履行其服务。这些数据大多存储在客户自身的系统或指定系统中。只有在客户缺乏必要的数据存储系统时,他们可以选择将数据存储在我们的系统中。截至2024年3月31日,超过90%的数据存储在机构客户自身的系统或其指定系统中,而存储在我们系统中的数据占比低于10%。机构客户的数据通过直接输入或通过应用程序接口对接传输的方式进入我们的系统。
我们不涉及任何已识别核心数据、重要数据或大量个人信息的跨境传输,以保障数据的境内存储和合规使用。
(二)数据保护
我们公司已经建立了一套全面的内部治理框架,专注于数据隐私和保护。这包括一系列管理制度,如《数据安全管理办法》、《个人信息生命周期管理办法》、《个人信息泄露事件响应管理办法》和《数据销毁管理办法》。为保护用户数据的隐私和安全,我们还采取了以下保障措施:
1. 对存储在系统中的用户数据实施多种安全措施,包括数据分类、分级、加密和安全备份协议,以确保数据的完整性和安全性。
2. 将在中国境内收集的用户数据存储在中国境内,确保数据的本地化存储。
3. 成立信息安全管理委员会,并设立专门的信息安全管理小组,负责网络和数据安全及个人信息保护活动的管理和监督,推动内部政策和措施的执行。
4. 实施严格的访问权限控制,遵循“最小权限”原则,确保员工仅能访问执行工作任务所需的最少信息。
5. 致力于持续对员工进行教育和培训,提升信息安全意识,培养信息安全文化。
(三)网络安全审查
2021年12月28日,中国国家互联网信息办公室(网信办)与其他行政部門联合修订并颁布了《网络安全审查办法》,该办法自2022年2月15日起生效。根据该办法:
- 被认定为关键信息基础设施运营者在采购网络产品和服务、网络平台运营者在开展数据处理活动时,如果这些活动影响或可能影响国家安全,必须进行网络安全审查。
- 拥有超过100万用户个人信息的网络平台运营者如果计划赴国外上市,也必须申报网络安全审查。
此外,2021年11月14日,网信办发布了《网络数据安全管理条例(征求意见稿)》(数据安全条例草案),重申数据处理者在以下情况下应申报网络安全审查:
- 处理100万人以上个人信息的数据处理者赴国外上市;
- 数据处理者赴香港上市,且影响或可能影响国家安全。
截至最后实际可行日期,数据安全条例草案尚未正式采纳,且我们公司没有收到任何中国政府部门将我们归类为关键信息基础设施运营者的通知。
2024年1月9日,我们的联席保荐人、中国法律顾问及联席保荐人的中国法律顾问与网信办委托设立的网络安全审查咨询热线——中国网络安全审查认证和市场监管大数据中心(网数中心)进行了电话咨询。网数中心确认:
- 修订的《网络安全审查办法》中“国外上市”一词不适用于在香港上市,因此,在香港上市的实体不需要主动申报网络安全审查。
- 鉴于数据安全条例草案尚未生效,根据该草案向网信办申报网络安全审查的责任也不适用于我们公司的上市。
(四)产品数据保护
我们的内部控制体系包含了一套全面的数据隐私和保护措施,确保用户信息的安全和隐私权益。以下是我们数据保护的内部控制要点:
1. 数据收集与使用:我们仅在用户事先知情同意的情况下收集个人信息和数据,并遵循最小化原则,即只收集提供产品和服务所必需的最少量信息。
2. 用户知情同意:用户在使用我们的产品和服務前必须了解用户协议和隐私政策中的条款和条件。如需处理个人信息,用户必须事先同意我们依照适用法律法规收集、使用及披露其数据。
3. 数据安全措施:在传输和存储敏感个人信息时,我们采用加密等安全措施,以确保个人信息的安全。
4. 数据共享限制:我们不会向任何第三方出售、分享或以其他方式提供任何个人信息,除非法律有明确要求。
5. 内部程序和控制:我们实施了相关且适当的内部程序和控制,以确保用户数据受到保护,并可避免数据泄露和丢失。
6. 等保备案:我们已经为所有主要业务系统取得网络安全等级保护备案证明,确保系统符合国家网络安全标准。
7. 通信网络安全防护定级备案证明:我们的主要业务系统之一已取得通信网络
安全防护定级备案证明,表明该系统符合通信网络安全防护标准。
8. 内部控制审查:我们的内部控制顾问已进行全面的内部控制审查,覆盖信息系统全面控制周期,包括与数据隐私及保护有关的政策及程序,并提供了加强内部控制的建议。后续审查表明,在设计层面上未发现重大内部控制不足。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...