Data Compliance in IPO | 011 | 讯飞医疗

价值：可以学习甩锅的表述，AI特定风险可以参考。

（一）AI滥用风险

（二）数据保护法规遵循

1. 网络安全审查：根据2021年修订的《网络安全审查办法》，关键信息基础设施运营者和网络平台运营者在采购网络产品和服务或开展数据处理活动时，若影响或可能影响国家安全，必须进行网络安全审查。此外，拥有超过100万用户个人信息的网络平台运营者赴国外上市也需进行网络安全审查，但相关法规未对“国外上市”或“影响国家安全”的具体含义提供明确解释。

2.网数条例：2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》要求数据处理者在赴国外上市或可能影响国家安全的情况下，必须申报网络安全审查。该条例草案尚未正式颁布，其最终内容和对数据处理者的具体要求可能会有所变化。

3. 数据出境安全评估：2022年7月7日颁布的《数据出境安全评估办法》规定，数据处理者在处理或向境外提供超过规定数量的个人信息前，应向国家网信部门申报安全评估。该办法也适用于向境外提供重要数据，要求数据处理者在跨境数据传输前进行安全评估，以确保数据安全。

4.数据安全：我们向个人用户提供的服务涉及收集医疗健康数据及其他个人信息，如用户名、手机号和活动日志，并将其存储在我们的系统上。同时，我们为机构客户提供服务，允许他们收集数据以提供服务，通常这些数据保存在客户自己的系统或指定系统中。

如果客户缺乏必要的存储系统，我们提供在我们的系统上存储数据的选项。我们在中国内地的业务运营中收集和产生的用户数据仅存储在中国内地，不涉及跨境传输。

在数据处理方面，我们面临保护系统数据安全、应对隐私和安全担忧以及遵守相关法律法规的挑战。任何未经授权的数据泄露都可能损害我们的声誉和品牌，影响业务，并可能带来潜在的法律责任。

2023年9月7日，科技部联合其他部门颁布了《科技伦理审查办法（试行）》，该办法自2023年12月1日起生效。根据该办法：

- 高等学校、科研机构、医疗卫生机构以及从事人工智能等科技活动的单位，若研究内容涉及“科技伦理敏感”领域，应设立科技伦理（审查）委员会。

- 需要由科技伦理（审查）委员会开展初步审查，并由地方或相关行业主管部门组织专家复核的科技活动包括但不限于：具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发，以及面向存在安全、人身健康风险等场景的高度自主能力的自动化决策系统的研发。

- 责任主体必须在特定时间内通过国家科技伦理管理信息登记平台进行登记，并在相关内容发生变化时及时更新。

为响应《科技伦理审查办法（试行）》，我们已采取以下行动：

1. 成立科技伦理（审查）委员会，负责对科技活动进行伦理审查。

2. 在国家科技伦理管理信息登记平台登记了科技伦理（审查）委员会的成立。

3. 制定了内部政策，明确了科技伦理审查活动的管理要求。

4. 对讯飞星火医疗大模型的开发动机作为进行了科技伦理审查，并已形成审查意见。

三、医疗健康数据

中国在医疗健康数据管理方面制定了一系列法律法规，主要包括：

1.《医疗机构病历管理规定》（2013年11月20日颁布，2014年1月1日起施行）：要求医疗机构和医务人员严格保护患者隐私，禁止无医疗、教学、研究目的泄露患者病历资料。

2.《人口健康信息管理办法（试行）》（2014年5月5日印发）：规定医疗卫生健康服务信息属于人口健康信息，不得在境外服务器中存储，责任单位不得托管、租赁境外服务器。

3.《国家健康医疗大数据标准、安全和服务管理办法（试行）》（2018年7月12日颁布）：要求医疗机构建立安全管理制度、操作规程和技术规范，保障健康医疗大数据的安全，并规定数据应存储在境内服务器上，未经安全评估不得向境外提供。

4.《关于促进和规范健康医疗大数据应用发展的指导意见》（2016年6月21日颁布）：明确健康医疗大数据是国家重要的基础性战略资源，推动数据资源共享开放，鼓励医疗机构采集、存储健康医疗大数据，并加强技术支持与维护，建立居民电子健康档案、电子病历、电子处方等基础数据库，深化数据应用，并在政府部门间建立医疗大数据共享机制。

这些规定共同构成了中国在健康医疗大数据管理和应用方面的法律框架，旨在确保数据安全、保护个人隐私，并促进数据的合理利用和共享。