来自江苏苏州的民营口腔连锁牙博士医疗控股集团股份有限公司 (简称”牙博士”)于2024年8月30日向全国股转公司提交公开转让说明书,拟挂牌新三板基础层。
https://www.neeq.com.cn/disclosure/2024/2024-09-13/1726225064_483583.pdf
10月23日,牙博士口腔就全国股转公司挂牌审查部的审核问询函10个问题做了回复,其中第1个问题是关于业务合规性中的第3点:
三、关于个人信息保护。
说明
①公司收集、存管、使用患者个人信息的情况及对患者个人信息的安全管理措施,是否制定必要的数据备份、恢复策略,是否建立介质验证、存取、转储相关机制,自有服务器及存储介质性能是否满足医疗数据流转的即时性、稳定性要求,是否应用电子签名、时间戳等确保数据完整可追溯的技术及数据加密技术;
②根据《网络安全法》《数据安全法》《个人信息保护法》等个人信息、医疗数据保护相关的法律规章及国家标准的规定,说明公司在开展业务过程中对患者医疗数据的收集、分析、发送、存管等业务行为的数据隐私保护是否合法合规,公司在收集患者医疗数据时是否控制最小收集范围、是否具备必要性,公司处理医疗数据时是否采取严格保护措施,公司的医疗数据治理及患者敏感数据保护是否完备
(一)公司收集、存管、使用患者个人信息的情况及对患者个人信息的安全管理措施,是否制定必要的数据备份、恢复策略,是否建立介质验证、存取、转储相关机制,自有服务器及存储介质性能是否满足医疗数据流转的即时性、稳定性要求,是否应用电子签名、时间戳等确保数据完整可追溯的技术及数据加密技术
1、公司收集、存管、使用患者个人信息的情况
公司是一家为全年龄段客户提供口腔医疗服务的专业齿科连锁医疗服务机构,主营业务包括口腔种植、口腔正畸及综合口腔服务,在诊疗的过程中公司涉及患者个人信息的收集、存管、使用,具体情况如下:
在个人信息收集方面,公司主要通过以下方式初步获取客户的相关信息:
在个人信息存管及使用方面,公司通过前述线上途径初次收集患者个人信息数据后,公司及各子公司工作人员将使用医疗管理系统(Hospital Information System,以下简称“HIS 系统”)对该等患者个人信息数据进行录入,患者在后续诊疗过程中所涉及的所有个人信息及医疗数据,也同样录入HIS 系统储存,后续诊疗过程中如涉及任何患者数据的调取、使用,或进行分类统计等加工事项的,亦通过HIS 系统进行。
2、公司制定了一系列内控管理制度并完成等保测评
公司制定了《网络安全管理制度》《系统安全管理制度》《授权和审批管理制度》《安全漏洞管理制度》《安全事件报告和处置管理制度》《恶意代码防范管理制度》《岗位建设管理制度》《介质安全管理制度》《业务系统信息安全管理规则》《云备份与恢复管理制度》等一系列管理制度,涵盖个人信息的收集、使用、提供、存储等各个维度,保障数据实现安全管理。公司严格按照《信息安全等级保护管理办法(试行)》《信息安全技术网络安全等级保护等级指南》《数据安全法》《个人信息保护法》进行信息系统管理,根据等保2.0 最新要求,已完成医疗管理系统二级等保测评。
综上所述,公司建立并实施了有效的内部控制制度,以确保业务开展中涉及的数据具备合规性。
3、公司已建立必要的数据备份、恢复策略和介质验证、存取、转储相关机制
公司已制定数据备份、数据恢复策略,建立了信息系统数据备份及恢复管理制度,采用了对数据库、应用系统定期备份策略。公司在灾备演练时进行恢复测试和切换验证,确保在数据丢失或损坏时能够迅速恢复。公司已制定介质验证、存取、转储相关机制,公司对不同存储介质进行验证检查,确保存储的数据的真实性、可用性,对数据的存取、转储过程进行管理,包括实施权限控制、加密解密等措施,以防止未经授权的访问和数据泄露。
4、公司自有服务器及存储介质性能
公司将客户提供的数据存储于公司租赁的云服务器,第三方存储服务机构已取得相关质量管理体系认证证书、信息安全认证证书、信息安全等级保护评测证明及评测报告等,保证其提供的存储服务安全可靠。公司所运用的服务器及存储介质性能能够满足医疗数据流转的即时性、稳定性要求。
5、公司应用电子签名、时间戳等确保数据完整可追溯的技术及数据加密技术的情况
公司已采用移动电子签名技术,相关技术符合卫生行业电子签名技术标准,可实现身份认证和电子签名,支持对数据、文件制作数字签名,支持验证数字签名结果,确保数据完整可追溯;公司业务系统历次操作的人员和时间信息可查询、可追溯。
公司在数据传输、数据保存等方面运用了数据加密技术,各节点的工作人员只能查看当前环节的信息,相关报告对外发送时只能发送给本人且必须由部门负责人解密后才能发送,由系统自动生成时间戳,确保相关数据得到安全管理和保护。
综上所述,公司建立了完善的个人信息收集、存储、使用等内部控制制度,以及一系列必要的安全管理措施,符合相关法律法规的规定。
(二)根据《网络安全法》《数据安全法》《个人信息保护法》等个人信息、医疗数据保护相关的法律规章及国家标准的规定,说明公司在开展业务过程中对患者医疗数据的收集、分析、发送、存管等业务行为的数据隐私保护是否合法合规,公司在收集患者医疗数据时是否控制最小收集范围、是否具备必要性,公司处理医疗数据时是否采取严格保护措施,公司的医疗数据治理及患者敏感数据保护是否完备
1、有关个人信息、医疗数据保护主要法律法规
2、公司在开展业务过程中对患者医疗数据的收集、分析、发送、存管等业务行为基本情况及合规性
(1)公司在开展业务过程中对患者医疗数据的收集、分析、发送、存管等业务行为基本情况
详见本小题之“(一)公司收集、存管、使用患者个人信息……”。
(2)公司收集及处理患者医疗数据时符合必要性
根据上述患者信息及数据的来源方式,公司及子公司在收集患者数据时,仅收集患者必要的个人信息或诊疗数据,例如,公司各子公司在需要采购定制化产品时,仅对有关供应商提供患者姓名与牙模数据等必要病例数据。上述对患者信息及数据的处理系实现医疗服务的必要环节,相关数据的处理范围未超过合理且必要的限度,且均来源于患者的自愿披露,符合一般商业习惯。即,公司及子公司在收集患者医疗数据时均已控制在最小收集范围。
此外,集团内部通过设置信息访问权限以及相关密码等安全措施对HIS 储存的患者数据予以严密保护。非必要工作人员或工作人员在非办公场所均无权限接触上述患者信息。故,公司及子公司在处理医疗数据的人员权限方式均已控制在最小范围,符合必要性。
(3)公司医疗数据治理及患者敏感数据保护措施有效且完备
公司制定了《业务系统信息安全管理规则》《患者信息保护与管理规定》等制度,建立了公司内部数据安全保护以及个人信息保护的重要基础,且涉及到患者的手机号与身份证号等敏感数据都已做了加密处理,以进一步保护患者个人信息及数据。其中《业务系统信息安全管理规则》提出了公司信息安全的总体性要求,对业务系统用户权限管理进行规范,《患者信息保护与管理规定》对患者信息的获取、更改提出了规范要求。
公司制定了《安全事件报告和处置管理制度》《安全漏洞管理制度》《系统安全管理制度》《系统安全应急预案》等制度,为保证公司数据安全、防范数据泄露等目的所制定的数据备份、数据库维护、网站维护等应急性措施,明确了突发安全相关事件的应对流程与具体措施。
针对具备权限涉及接触个人信息、数据的员工,公司已制定《业务系统信息安全管理规则》,并与其签署账号保管协议,承诺已知悉相关法律法规和规章政策对数据安全及个人信息保护的规定内容;针对公司的HIS 系统,公司严格按照《数据安全法》《个人信息保护法》等法规进行管理并完成二级等保测评。
综上所述,公司处理患者的个人信息、医疗数据均符合相关法律规章及国家标准的规定,且符合必要性条件;公司在开展业务过程中对患者医疗数据的收集、分析、发送存管等业务行为合法合规,公司处理医疗数据及患者敏感数据时已采取严密且有效的数据保护制度。报告期内,公司不存在因患者个人信息或医疗数据事项而受到行政处罚的情形。