ESG Report 2025

5.4.3 隱私保護與個人信息管理 聯邦制藥將隱私權益作為人權保護體系的核心組成部分，依據《聯邦制藥國際控股有限公司隱私政策》《個人信息安全與隱私保護 制度》等內部規範，構建覆蓋藥物研發、臨床試驗、生產經營全流程的隱私權益保障機制。 在個人信息收集過程中，本集團嚴格遵循合法正當、最小必要、知情同意、目的限定四項基本原則。收集前以清晰易懂的方式向信 息主體告知收集目的、方式、範圍、存儲期限、共享情況及所享有的權利，獲得明示同意。 依據個人信息主體及處理場景的不同，本集團建立分類管理機制，對不同類別信息實施差異化管控： 制劑營銷中心市 場部 臨床研究中心 基本信息 病史 用藥史 身份信息 臨床試驗數據 主要內容 管理責任 信息類別 保存期限 患者個人信息 上傳後二十年，到 期監督銷毀 試驗終止後五年 各公司人力資源 部門 基本資料 人事檔案 薪酬福利 受試者個人信息 員工個人信息 各業務部門 聯繫人基本信息 合作方個人信息 在職期間及離職後 按法規保留 合作期間及期滿後 按協議處理 核心管控要點 保密協議 權限審批 專人管理 倫理審查 知情同意 匿名化處理 內部制度規範 權限隔離 最小必要收集 保密協議 在技術防護方面，本集團建立多層次的網絡與系統安全防護體系，透過部署防火牆、入侵檢測、漏洞掃描等技術工具，對服務器及 終端設備進行常態化安全監測與風險預警，並聯動原廠安全運營服務，實現全天候的系統安全保障。數據安全方面，本集團實施全 流程文檔加密機制，確保數據在存儲與傳輸過程中的機密性與完整性；同時建立完善的數據備份與災難恢復體系，採用多重備份策 略並定期進行恢復測試，確保在系統故障或突發事件時能夠快速恢復業務運行。針對突發停電可能造成的設備損壞或數據丟失風 險，本集團制定《機房停電應急操作規程》，明確停電應急操作步驟，並定期組織計劃性停電演練，確保相關人員熟練掌握應急流 程。 在權限管控方面，本集團建立「一人一賬號」的獨立賬號密碼體系，所有人員通過專屬賬號登錄系統。系統根據崗位職責分配最小 化訪問權限，不同部門、不同個人的賬號數據相互隔離，無法跨賬號訪問。確因工作需要跨賬號訪問的，必須經賬號本人書面授權 並通過合規部門審批。針對員工賬號管理，本集團實行嚴格的密碼策略，要求設置複雜密碼，密碼有效期最長為 90 天，逾期未更換 者無法登錄系統。同時，定期篩查清理離職員工、臨時人員賬號，做到離職即禁用，並在 10 個工作日內完成賬戶注銷，防止惡意訪 問。 24 聯邦制藥國際控股有限公司 2025 年環境、社會及管治報告