一
引言:AI医疗影像技术的革新与法律挑战
在之前的系列文章“AI+医疗系列法律问题研究(四):AI医疗影像系统应用场景的法律监管及风险防范(上篇)”中,我们主要聚焦于AI医疗影像系统作为医疗器械的注册事宜。在此篇中,我们将进一步探讨AI医疗影像系统在数据合规、个人信息保护、知识产权以及责任承担方面的法律监管及风险防范问题。
二
AI医疗影像系统在数据合规法律法规下的合规要求
AI医疗影像软件系统通过收集、储存、学习和处理庞大原始数据而实现智能诊断和辅助医疗决策,因此不可避免地涉及数据合规以及个人信息保护的合规问题。目前AI医疗影像软件系统的数据在使用中仍存在“数据孤岛”、数据偏见等现象,来源合法合规、全面完整的医疗数据为AI医疗影像系统的重要“资产”。
1. 医疗数据的定义及管理要求
根据《中华人民共和国个人信息保护法》,“个人信息”是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。在个人信息的基础上,“敏感信息”是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
参考《医疗器械网络安全注册审查指导原则(2022年修订版)》,“医疗数据”是指医疗器械所产生的、使用的与医疗活动相关的数据(含日志),从个人信息保护角度又可分为敏感医疗数据、非敏感医疗数据,其中敏感医疗数据是指含有个人信息的医疗数据,反之即为非敏感医疗数据。个人信息是指以电子或者其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,如自然人的姓名、出生日期、身份证件号码、个人生物识别信息(含容貌信息)、住址、电话号码等。
因此,AI医疗影像软件系统的研发、生产或使用涉及的主要为患者的生物识别、医疗健康信息,一般而言属于敏感的医疗数据,属于《个人信息保护法》项下“敏感信息”范畴。
根据《个人信息保护法》规定,处理敏感个人信息应当取得个人的单独同意,且需将个人信息处理者的名称、联系方式,个人信息的处理目的、处理方式、个人信息种类、保存期限等明确告知相关个人,以及还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。根据《数据安全法》第三十二条,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
除上述外,对于AI医疗影像软件系统涉及的数据管理和保存,还应关注符合《医疗器械网络安全注册审查指导原则》《医疗机构病历管理规定(2013年版)》《电子病历应用管理规范(试行)》等规定,对于包含个人信息的病历严格管理,根据法律规定设置病历查阅权限、并满足操作可查询、可追溯等具体要求。
2. 医疗数据的采集及使用的主要合规风险及建议
如我们在系列文章中“AI+医疗系列法律问题研究(二):医疗数据交易相关法律问题探析(上篇)”所述,目前我国境内法律法规对于个人信息的所有权尚未得到界定,主要从数据的管理和开发使用角度进行相关权利的授予和规制。从管理和使用医疗数据的角度,我们理解AI影像医疗系统在收集、处理及运营中可能存在如下合规风险:
▶数据来源合法性
数据采集和来源需符合《个人信息保护法》和《数据安全法》的要求,按照规定取得个人同意,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据,收集及处理均应按照影响“最小”原则(即采取对个人权益影响最小的方式,且应当限于实现处理目的的最小范围)等。对于数据交易或共享数据库的情形,还建议同时关注数据交易协议合法合规,在协议中对于用途、适用范围、交付方式、使用期限、安全义务等进行明确约定。
▶数据的“匿名化”“去标识化”
参考《个人信息保护法》的定义,匿名化处理后的信息将不再落入“个人信息”定义范畴,因此也可将医疗数据进行匿名化等处理加以规制。具体方法建议可参考我们系列文章中“AI+医疗系列法律问题研究(二):医疗数据交易相关法律问题探析(上篇)”。
▶避免算法偏见
训练数据多样性不足会产生AI算法偏差,导致对不同群体产生不平等的待遇,进而引发“误诊”或者其他伦理风险。有公开发表研究文章[1]显示,AI影像系统在非洲病人中的误诊率比欧洲整体高出22%。因此对于AI影像医疗系统的研发、生产者以及使用者,均建议关注算法偏见的可能性,避免在研发、使用中过于依赖AI算法系统。
▶数据储存安全
参考《医疗器械网络安全注册审查指导原则(2022年修订版)》,考虑到预期用途、使用场景的限制,AI影像医疗系统作为医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力(包括自动注销、审核、授权、节点鉴别、人员鉴别、连通性、物理防护等)。例如医疗机构在取得患者的医疗数据后,需注意数据保存避免泄漏,采取必要具体技术措施保护患者隐私及数据安全,避免数据泄漏或构成侵权风险。
▶数据出境
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国人类遗传资源管理条例》等法律法规相关规定,在中国境内收集和产生的重要数据、个人信息和人类遗传资源信息原则上应在中国境内存储,因业务需要确需向境外提供的,应按照国家网信部门会同国务院有关部门制定的办法进行安全评估。《国家健康医疗大数据标准、安全和服务管理办法(试行)》明确:健康医疗大数据应存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应按照相关法律法规及有关要求进行安全评估审核。因此,医疗数据特别是敏感医疗数据含有个人信息,如涉及医疗数据出境,应符合重要数据、个人信息、人类遗传资源信息出境安全评估相关规定。
三
AI医疗影像系统在知识产权相关法律下的合规要求
AI医疗影像系统在研发过程中会产生大量知识产权,包括专利、软件著作权、专有技术等。国家知识产权局《关键数字技术专利分类体系(2023)》将计算机视觉列为人工智能六大关键技术之一。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中将“前沿基础理论突破,专用芯片研发,深度学习框架等开源算法平台构建,学习推理与决策、图像图形、语音视频、自然语言识别处理等领域创新”作为科技前沿领域攻关的核心项目之一。AI医疗影像系统作为AI的医疗分支,其知识产权的合法合规及确权亦需要同步关注。
根据我们实践经验,AI医疗影像系统的研发主要包括自研、外包、合作研发等方式,例如部分医疗影像公司以其子公司作为其医疗影像系统AI辅助功能的供应商,为主要医疗器械产品提供AI功能的增值服务。我们结合实际经验,理解AI影像医疗系统在知识产权范畴需注意如下方面:
▶知识产权申请及确权
AI医疗影像系统主要为处理医疗数据的智能算法软件,如为自研,建议及时关注其涉及专利、著作权的申请和确权,并在相关知识产权的维护过程中注意定期维护其有效性。特别的,如核心研发员工近期存在其他主体的工作经验或身份,需注意是否涉及职务发明、是否存在竞业限制或身份限制,避免知识产权、商业秘密等侵权风险。
▶知识产权协议约定
在外包或合作研发等情况下,大多数以合同方式对相关知识产权加以约定明确。除需约定知识产权的所有权外,还建议根据实际商业安排关注许可方式、许可范围和期限、技术改进的归属、是否使用开源软件以及法律责任承担。
▶全球化布局
受限于知识产权的保护具有地域性,且各个国家和地区的申请流程、申请要求和审核标准不尽相同,建议在成本可控的基础上进行全球化布局,在最大程度上保护公司核心技术及产品。
四
AI医疗影像系统涉及的法律责任承担
随着AI医疗影像系统的快速推广,AI医疗影像系统的责任承担问题也渐入公众视野。
2022年国家卫健委、国家中医药局发布的《互联网诊疗监管细则(试行)》中,就存在对人工智能使用的限制规定,包括“医师接诊前需进行实名认证,确保由本人提供诊疗服务。其他人员、人工智能软件等不得冒用、替代医师本人提供诊疗服务”。2025年2月,湖南省医疗保障局发布《关于进一步加强基本医疗保障定点零售药店管理的通知》,再次强调互联网医院严禁使用人工智能等自动生成处方,均意在厘清医疗责任的归责问题。
截至目前,针对AI的责任承担问题引发多种观点,主要围绕在责任主体、责任承担等方面。
1. AI是否可作为责任主体
当人工智能发生误诊等医疗侵权行为时,AI是否可作为行为主体目前存在三种观点,分别为肯定说、否定说和折中说[2]。目前大部分学者认为,当下仍然处于弱人工智能时代,医疗人工智能的定位是辅助医生进行疾病诊疗的医疗设备和软件系统,不能独立承担法律责任,侵权损害赔偿责任主要由软件开发者、制造商、销售者、所有者或使用者等来承担。
2. 归责原则及责任承担
目前AI医疗影像系统侵权的归责原则主要涉及如下条款:
▶《中华人民共和国民法典》第一千二百一十八条:患者在诊疗活动中受到损害,医疗机构或者其医务人员有过错的,由医疗机构承担赔偿责任。
▶《中华人民共和国民法典》第一千二百二十二条:患者在诊疗活动中受到损害,有下列情形之一的,推定医疗机构有过错:
(一)违反法律、行政法规、规章以及其他有关诊疗规范的规定;
(二)隐匿或者拒绝提供与纠纷有关的病历资料;
(三)遗失、伪造、篡改或者违法销毁病历资料。
▶《中华人民共和国民法典》第一千二百二十三条:因药品、消毒产品、医疗器械的缺陷,或者输入不合格的血液造成患者损害的,患者可以向药品上市许可持有人、生产者、血液提供机构请求赔偿,也可以向医疗机构请求赔偿。患者向医疗机构请求赔偿的,医疗机构赔偿后,有权向负有责任的药品上市许可持有人、生产者、血液提供机构追偿。
就上述法规,对于AI医疗影像系统的主要参与主体的责任承担问题概括性汇总如下表:
归责原则 |
责任人 |
|
AI系统生产者 |
医疗机构 |
|
过错责任 原则 |
不适用 |
患者在诊疗活动中受到损害,医疗机构或者其医务人员有过错 |
推定过错责任 原则 |
不适用 |
患者在诊疗活动中受到损害,且存在(一)违反法律、行政法规、规章以及其他有关诊疗规范的规定;(二)隐匿或者拒绝提供与纠纷有关的病历资料;(三)遗失、伪造、篡改或者违法销毁病历资料。 |
产品责任 |
因医疗器械的缺陷,患者可以向药品上市许可持有人、生产者等请求赔偿,也可以向医疗机构请求赔偿。患者向医疗机构请求赔偿的,医疗机构赔偿后,有权向负有责任的药品上市许可持有人、生产者等追偿 |
不适用
(但提示注意,患者有权要求医疗机构先行赔偿,医疗机构后续可向产品生产商等进行追偿) |
然而需要注意的是,AI医疗影像辅助诊断漏诊、误诊等如造成损害结果,其法律责任追究仍是复杂的问题。在实践中,首先,医疗损害涉及多个主体,如AI系统研发者、生产者、经销者、医疗机构、医务人员、数据库服务商甚至第三方黑客等,均会参与AI医疗影像系统全流程或患者的诊疗过程中;其次,导致医疗损害结果发生的主要原因有多种,如AI程序大模型缺陷、数据偏见、生产者制造过失、销售者过失、系统操作人员失误、非法侵入、诊断错误、治疗失误以及其他原因等联合导致[3],另外,“算法黑箱”也为AI类型软件系统的普遍问题,因数据算法不透明而难以追究或建立因果关系。因此,实际上医疗损害案例往往是多个主体、多个链条的因果关系而导致的同一损害结果,其责任主体、归责原则与责任承担份额也不尽相同,在上述表格的概括性框架下,需结合具体法律事实具体分析判断。
参考欧美等司法系统,AI医疗器械产品导致的法律责任归责原则仍在积极探索阶段。如在美国,由于AI医疗设备固有的既是医疗产品又参与医疗从业的特征,医疗损害以及产品责任等多种侵权理论必然并存,并根据具体情况通过不同的法律渠道要求不同主体承担责任[4]。在欧盟,欧洲目前的《产品责任指令》和《人工智能责任指令》仍然对AI导致的医疗损害的法律责任承担存在部分空白,如果AI系统与人类医生的行动共同导致了损害结果,是否应承认医生或医疗机构的严格责任(Strict Liability)仍是未解决的问题[5]。
虽然我们经检索公开信息[6]已存在部分AI误诊责任承担的报道,如2024年某地一名患者因AI误诊延误治疗,法院判决医院承担70%责任,AI供应商承担30%,但截至目前我们尚未查到因AI误诊导致侵权损害的公开判决文件,我们将持续跟进此部分的最新司法动态。
五
总结
随着AI医疗影像技术的蓬勃发展,其在提升医疗效率与诊断精准度方面展现出巨大潜力,然而,这一新兴技术亦不可避免地面临着诸多亟待解决的涵盖数据合规、个人信息保护、知识产权以及侵权责任等的法律风险。通过对相关法律法规的分析与探讨,冀望为AI医疗影像技术从业者提供切实可行的合规建议,以期为从业者在合规实践中提供些许参考。
注释