标签:证券与资本市场,数字经济,医疗健康与医药-医疗健康与保险,人工智能
微软研究院负责人彼得·李和其他两位合著者在其《超越想象的GPT医疗》一书中以丰富的案例结合深度的思考,探讨了以GPT-4为代表的大语言模型在医疗领域应用的诸多可能性,展现了未来医疗领域可能出现的人机结合的新型协作关系。医疗领域被认为是人工智能最值得应用的领域之一,随着人工智能技术的逐步发展,AI在院内诊断与治疗等医疗服务、互联网医疗及健康管理、新药研发等领域为医疗行业赋能,显著提升相关医疗健康服务的水平和效率。
一、医疗+AI发展态势
1. 院内医疗服务
在院内医疗服务方面,按照应用场景分类,医疗+AI的主要应用包括AI医学影像、AI医疗机器人、临床决策支持系统(CDSS)、智慧病案等。
(1)AI医学影像
医学影像是指针对人体或人体某部分,以非侵入方式取得内部组织影像的技术与处理过程。人工智能应用于医学影像,主要是利用相对成熟的图像识别算法,通过深度学习,实现机器对医学影像的分析判断,是协助医生完成诊断、治疗工作的一种辅助工具,帮助医生更快地获取影像信息,进行病灶筛查、靶区勾画、三维程序、图像分析、定量分析等。
医学影像市场需求大,在临床上,超过70%的诊断都依赖于医学影像,但受限于我国医疗资源分布不均,部分地区医生配备及经验不足,对医学影像分析的效率和准确性有待提高。AI技术应用于医学影像能够显著提升医学影像阅片速度,提高诊断效率,减少错诊误诊等情况。
AI医学影像是AI+医疗发展较早的领域且相对成熟,目前市场上已有多款AI医学影像产品取得药监局颁发的第三类医疗器械产品注册证。
(2)AI医疗机器人
AI医疗机器人是AI+医疗的又一重要领域。AI医疗机器人包括手术机器人、康复机器人,手术机器人基于立体视觉技术可以进行检测跟踪,在术前为医生提供个性化手术方案建议,在术中可以自主规划运动路径及范围,实现精准定位与控制,提升手术效率及精准度;康复机器人可以实现便携式穿戴,促进患者主动参与术后康复活动并客观评价康复训练的强度、时间、效果等,使得康复治疗更加系统化、规范化,满足患者术后长期康复治疗的需求。
(3)临床决策支持系统(CDSS)
临床决策支持系统(clinical decision support system,CDSS)指针对半结构化或非结构化医学问题,通过人机交互方式改善和提高决策效率的系统。CDSS通过先进的分析能力和临床数据,促进医院、医生和患者之间的协调配合,提升临床诊疗的质量和效率,降低医院成本。人工智能技术的应用,特别是生成式人工智能技术应用于CDSS使系统具备强大的机器学习能力,在不断的训练和人机交互过程中总结和更新相关知识,并通过提取疾病关键信息,对疾病进行推理和判断,模拟人类专家的决策过程,辅助临床医师解决复杂医疗问题、提供诊断及个体化治疗决策,随着系统准确性的不断提高,CDSS可以成为医生临床决策的有力助手,有效降低医生误诊率,显著提升医疗资源相对匮乏地区的整体医疗水平。
(4)智慧病案
病案即归档形成的完整病历,是医务人员在对患者进行问诊、检查、诊断、治疗、护理等医疗活动中形成的归档文字、图表、影像等材料,并进行综合、分析、整理后而书写成文的记录。智慧病案利用信息化及智能化技术,对医疗机构病历/病案数据进行处理,改变传统病案管理占用大量空间、资源、人力等问题,帮助病案工作者实现数据整合、数据质控、病案入库归档、病案数据应用服务的统一集成。
智慧病案管理中,病案质量的高低直接影响后续病案数据的使用,利用智慧化病案质控系统可以提高信息标准化程度,比如基于AI的知识图谱、自然语言处理等能力将患者口述病史整理为标准化的病历信息,可以有效提升电子病历准确率并提高医生效率,同时从源头加强病案质量管控,促进病案质控向智慧化发展。
2. 互联网医疗及健康服务
在互联网医疗及健康服务方面,医疗+AI可以有效提高相关服务的效率和体验,促进产业链的延伸发展,成为互联网医疗及健康管理发展的重要助推力。
(1)AI+互联网医疗
互联网医疗服务,包括在线问诊、诊后康复、慢病管理、互联网医院、医药电商等;与之相关的互联网医疗产业链还包括医疗信息化服务、互联网商保等。AI+互联网医疗可以有效提升互联网医疗服务体验,提供更为高效和个性化的服务,比如AI智能导诊基于其自然语言处理技术可以根据患者描述的症状和病史进行更为精准的分诊和导诊,找到患者所需要的科室和具有相应专长的医生;在线问诊过程中,相比于市面上大多数机器客服,AI可以更为自然地与患者沟通,迅速了解患者病情并回应其问题,同时,基于患者提供的症状及病史,结合大数据分析,可以辅助执业医生为其提供针对特定患者的个性化临床诊断建议;在用药方面,AI也可以通过对患者的病症、药物过敏史等信息进行深度分析,定制最适合患者的药物品种、剂量及用药方案,协助医生形成最佳治疗方案。AI+互联网医疗带来的效率提升可以促进互联网医疗服务的普及,使得医疗服务通过互联网等远程形式触达更广泛的群体。
在诊疗康复等服务基础上,互联网医疗基于其互联网基因,更容易与相关产业链互通互联,互相促进,比如互联网医疗可以延伸至日常健康管理,将短期医疗与长期健康管理相结合,综合分析用户的个体健康情况,为其提供更有针对性的医疗健康服务;又如互联网医疗与医疗商业保险,特别是互联网商保相结合,有助于提升保险服务效率、优化保险理赔流程等。AI技术的加成将不断放大产业链延伸的促进作用,提升医疗健康综合服务水平,随着AI技术的进一步发展与大规模落地使用,AI+互联网医疗的想象空间十分广阔。
(2)AI+健康管理
随着全民健康管理意识逐渐提高,除涉及医疗机构的相关诊疗及康复需求外,院外日常健康管理、长期慢性病管理等健康管理方面的需求日益增加,而互联网医疗的发展延伸以及相关便携式智能硬件设备为AI+健康管理提供了广阔的发展空间。具体而言,AI+健康管理可以通过收集用户的健康数据、生活习惯及医疗记录,为用户提供个性化的健康管理建议和疾病预测。AI+健康管理的应用范围较为广泛,包括慢性病管理、运动管理、营养管理、睡眠监测等。
3. 新药研发
在新药研发方面,AI技术将机器学习、深度学习、自然语言处理等技术应用于新药研发的各个环节,有助于缩短新药研发周期,降低研发成本。比如在药物发现阶段,利用AI机器学习、深度学习、大数据等技术,可以有效发现与疾病相关的基因、蛋白质和代谢途径,从而识别潜在的靶点,并进行大规模的药物筛选,发现具有潜在活性的药物分子,缩小候选药物的范围;在临床前开发阶段,AI可以利用其深度学习及计算能力优化预测化合物成药性及配置药物晶型的过程;在临床开发阶段,AI可以基于过去临床案例的成功和失败经验协助完善临床试验设计,同时基于海量患者数据精准匹配相应患者;在商业化阶段,AI可以继续收集和分析新药使用的真实数据,对其安全性、有效性进行持续的分析反馈。
目前AI制药领域的主要有三种商业模式,一种是为客户提供AI辅助药物开发平台的SaaS供应商,一种是为药物研发公司提供外包服务的AI-CRO模式,还有一种与Biotech模式类似,自行进行新药研发。
二、医疗+AI的主要法律问题
随着医疗AI行业的快速发展,相应的产业及监管政策也在不断出台。AI赋能医疗相关业务打造的智慧医疗新业态既涉及传统医疗领域如医疗器械、药品研发等方面的监管,又基于AI技术带来的人机交互新范式与医疗健康等服务新模式,形成医疗AI软件驱动硬件、医疗+AI辅助临床决策、医疗AI提升互联网医疗效率与覆盖率等,相应也带来了数据安全、科技伦理等方面的问题。本文将从各类医疗+AI涉及的合规监管要求、医疗+AI的数据安全与个人信息安全、医疗+AI的伦理治理问题等方面展开。
1. 医疗+AI涉及的合规监管要求
如本文第一部分“医疗+AI的发展趋势”所述,AI赋能医疗领域形成的应用具有丰富的场景,其适用的合规监管要求亦各有不同。在新药研发等领域,AI技术的应用主要起到提升效率、降低成本的作用,在商业模式及合规监管方面与传统药物研发暂不具有实质性差异。在院内医疗、互联网医疗及健康服务等方面,医疗+AI形成的新的合规监管问题主要包括医疗AI软件注册问题,互联网医院准入及资质要求,医疗AI涉及的诊疗服务合规问题,医疗AI外资准入要求等,相关问题具体分析如下:
(1)医疗AI软件注册
《医疗器械监督管理条例(2021修订)》作为医疗器械监管的基本规则,明确了医疗器械,是指直接或者间接用于人体的仪器、设备、器具、体外诊断试剂及校准物、材料以及其他类似或者相关的物品,包括所需要的计算机软件。在此基础上,国家药品监督管理局发布的《人工智能医用软件产品分类界定指导原则》及国家药品监督管理局医疗器械技术审评中心《人工智能医疗器械注册审查指导原则》为人工智能医疗器械提供通用指导原则。
根据《人工智能医用软件产品分类界定指导原则》,人工智能医用软件是指基于医疗器械数据,采用人工智能技术实现其医疗用途的独立软件。为进一步界定人工智能医用软件是否属于医疗器械,《人工智能医用软件产品分类界定指导原则》从软件的处理对象、核心功能及用途角度作进一步明确:(1)若软件产品的处理对象为医疗器械数据,且核心功能是对医疗器械数据的处理、测量、模型计算、分析等,并用于医疗用途的,作为医疗器械管理;(2)若软件产品的处理对象为非医疗器械数据(如患者主诉等信息、检验检查报告结论),或其核心功能不是对医疗器械数据进行处理、测量、模型计算、分析,或不用于医疗用途的,不作为医疗器械管理。
基于上述定义,判断医疗AI软件是否需要或可以注册为医疗器械时考虑该等软件是否具备如下特点:第一,软件具备一个或多个医疗目的/用途,如疾病的诊断、预防、监护、治疗或者缓解,损伤的诊断、监护、治疗、缓解或者功能补偿,生理结构或者生理过程的检验、替代、调节或者支持,生命的支持或者维持,妊娠控制,通过对来自人体的样本进行检查,为医疗或者诊断目的提供信息等;第二,软件的处理对象一般为医疗器械数据,且核心功能为对医疗器械数据的处理、测量、模型计算、分析等;前述“医疗器械数据”通常指医疗器械产生的用于医疗用途的客观数据,特殊情形下可包含通用设备产生的用于医疗用途的客观数据。
实践中,我们理解大部分应用场景下的医疗AI软件具有人工智能医用软件的特点,或其部分功能具备上述特点,因此建议医疗AI企业在开发软件的同时对其涉及的各项功能及应用场景进行全面审视,涉及医疗器械监管的应及时取得相应的注册证。
(2)互联网医疗的准入及资质要求
根据《医疗机构管理条例(2022修订)》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》等法律规范的规定及主管部门的相关说明[1],医疗机构通过互联网为患者提供诊疗服务包括两种情形,一是实体医疗机构使用本机构注册的医务人员,利用互联网技术直接为患者提供部分常见病、慢性病复诊和家庭医生的签约服务;二是互联网医院包括作为实体医疗机构第二名称的互联网医院,以及依托实体医疗机构独立设置的互联网医院。互联网医院可以使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动,可以为患者提供部分常见病、慢性病复诊和家庭医生的签约服务。
上述两种模式中,第一种互联网诊疗服务由实体医疗机构提供,其准入程序相对较为简单,即按照《互联网诊疗管理办法(试行)》相关规定就其开展互联网诊疗活动事宜在申办医疗机构时或取得执业证后向其执业登记机关进行申请[2];第二种互联网医院服务的提供方为互联网医院,目前互联网医院的类型及准入程序相对较为复杂,具体如下:
互联网医院目前包括两种类型:由第三方机构独立设置的互联网医院(需以合作形式依托实体医疗机构),以及作为实体医疗机构第二名称的互联网医院,后者还分为实体医疗机构与第三方机构合作建立的第二名称互联网医院和实体医疗机构独立设置的第二名称互联网医院。根据《互联网医院管理办法(试行)》的规定,第三方申请设置独立的互联网医院,应当向其依托的实体医疗机构执业登记机关提出设置申请,并提交设置申请书、设置可行性研究报告、所依托实体医疗机构的地址及申请方与实体医疗机构签署的合作建立互联网医院的协议书,经批准后申请执业登记;实体医疗机构申请设置作为第二名称的互联网医院,应当向其执业登记机关提出增加互联网医院作为第二名称的申请,经批准后进行变更登记。除上述设立流程和要求外,互联网医院命名还需符合对应的命名要求[3],在诊疗科目、科室设置、人员、房屋和设备设施、规章制度等方面满足规范要求。上述不同类型的互联网医院对应的法律责任承担主体亦有不同,由第三方独立设置的取得《医疗机构执业许可证》的互联网医院,独立作为法律责任主体;实体医疗机构以互联网医院作为第二名称时,实体医疗机构为法律责任主体;互联网医院合作各方按照合作协议书承担相应法律责任。
除上述准入程序外,互联网诊疗服务及互联网医院依托互联网技术,还可能涉及互联网相关的资质要求:
- 增值电信业务资质:互联网诊疗服务及互联网医院服务一般涉及向网络用户有偿提供信息服务(即经营性互联网信息服务),国家对经营性互联网信息服务实行许可制度,相应通常需要就此申请取得《增值电信业务经营许可证》;此外,互联网诊疗服务及互联网医院服务还可能涉及向患者出售药品,即涉及增值电信业务中的在线数据处理与交易处理业务,相应的医疗机构亦需取得该类业务所需的《增值电信业务经营许可证》。
- 互联网药品信息服务资格证书:互联网诊疗服务及互联网医院服务提供在线问诊、在线开具处方等过程中可能涉及向患者提供用药建议或与药品信息相关的咨询服务,上述服务涉及《互联网药品信息服务管理办法》通过互联网向上网用户提供药品(含医疗器械)信息的服务活动。根据该办法,无论上述互联网药品信息服务活动是否为经营性活动,相应的网站主办单位均需申请《互联网药品信息服务资格证书》,并在网站主页显著位置标注《互联网药品信息服务资格证书》编号。
- 信息安全等级保护备案:《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》要求开展互联网诊疗的信息系统、互联网医院信息系统按照国家有关规定实施第三级信息安全等级保护[4]。根据《信息安全等级保护管理办法》,第二级以上信息系统应到公安主管部门办理信息系统安全保护等级备案手续。
除前述准入及资质要求外,对于互联网医院提供诊疗服务的医师,《互联网医院管理办法(试行)》也规定了相应的资质和经验要求,包括:依法取得相应执业资质并在依托的实体医疗机构或其他医疗机构注册,具有3年以上独立临床工作经验。且互联网医院提供服务的医师,应当确保完成主要执业机构规定的诊疗工作。
(3)医疗AI诊疗服务合规
医疗AI提供诊疗服务涉及线上线下等不同场景,如AI+医学影像实现机器对医学影像的分析判断,AI医疗机器人辅助手术,通过临床决策支持系统辅助医生进行临床诊断以及通过AI+互联网医疗提供在线问诊等服务。AI技术目前仍在发展过程中,与技术相伴而生的安全风险、伦理道德风险等目前尚无有效的控制措施,目前在诊疗服务中,监管层面对于医疗AI的使用仍持有相对谨慎的态度,比如应用AI手术机器人辅助实施手术目前仍属于限制类技术,需遵守相应的临床应用规范,又如互联网医疗在线问诊、处方开具等服务中严格限制人工智能的应用。相关要求具体如下:
就AI手术机器人的使用,根据国家卫健委发布的《国家限制类技术目录(2022年版)》,人工智能辅助治疗技术,即应用机器人手术系统辅助实施手术的技术属于限制类技术。《医疗技术临床应用管理办法》要求对限制类技术实施备案管理,医疗机构拟开展限制类技术临床应用的,应当按照相关医疗技术临床应用管理规范进行自我评估,符合条件的可以开展临床应用,并于开展首例临床应用之日起15个工作日内,向核发其《医疗机构执业许可证》的卫生行政部门备案。《国家限制类技术临床应用管理规范(2022年版)》中对于使用人工智能辅助治疗技术规定了医疗机构层面和人员层面的资质要求,一方面要求医疗机构执业资质及技术能力、相关科室的经验与能力、手术室要求、辅助科室及设备要求等,另一方面要求开展人工智能辅助治疗技术的团队具备至少4名(心脏大血管外科至少6名)经专业培训并考核合格的、具备人工智能辅助治疗技术临床应用能力的医师、护士和(或)技师,其中医师需具有10年以上临床经验及副主任医师以上专业技术职务资格。此外,临床应用管理规范还规定了实施人工智能辅助治疗技术相关的技术管理、人员培训要求等。
在AI+互联网诊疗方面,虽然AI赋能可以提高智能导诊、智能分诊效率,但就具体的诊断而言,目前从监管角度对AI的使用仍进行严格限制。《互联网诊疗监管细则(试行)》中明确规定,人工智能软件等不得冒用、替代医师本人提供诊疗服务;处方应由接诊医师本人开具,严禁使用人工智能等自动生成处方。部分地方已出台的地方性互联网诊疗监管规定[5]中也包含上述要求。《处方管理办法》中也明确规定,经注册的执业医师在执业地点取得相应的处方权,医疗机构使用未取得处方权的人员、被取消处方权的医师开具处方的可能被处以责令限期改正、罚款、吊销执业许可等处罚,医师未取得处方权或者被取消处方权后开具药品处方的可能被处以暂停职业活动、吊销职业资格等处罚。如果互联网诊疗服务中违反上述规定使用人工智能技术造成医疗事故,则根据《医疗事故处理条例》规定,由于医疗机构及其医务人员使用产品的过程中,违反医疗卫生管理法律、行政法规、部门规章和诊疗护理规范、常规,过失给患者造成人身损害的事故,医院应当向患者承担民事赔偿责任。情节严重的情况下,负有责任的医院和医务人员可能承担行政责任(如限期停业整顿、吊销执业许可等)甚至可能承担刑事责任(医疗事故罪)。
(4)医疗AI外资准入要求
医疗+AI涉及的应用领域较多,不同应用领域的外商投资要求也有所差异,总体而言我国目前对于医疗AI硬件领域的外商投资持鼓励态度,但对互联网医疗服务、涉及遗传信息相关的领域外商投资进行了限制或禁止。医疗AI相关的外资准入要求简要梳理如下:
根据国家发改委和商务部发布的现行有效的《鼓励外商投资产业目录(2022年版)》与医疗AI相关的鼓励外商投资产业集中在医疗AI设备制造领域,包括:医用成像设备(高场强超导型磁共振成像设备、X线计算机断层成像设备、数字化彩色超声诊断设备等)、医疗影像智能辅助诊断系统及关键部件的制造;人工智能辅助医疗设备制造;高端放射治疗设备制造;高端手术器械、理疗康复设备、可穿戴智能化健康装备制造;微创手术医疗设备开发、生产:3D成像、电子显微系统、手术机器人、机械臂、助听器及人工耳蜗等;智慧健康养老产品的研发、制造(老年用品及辅助产品制造,老年医疗器械和康复辅具制造,老年人智能与穿戴设备制造等)等。
根据国家发改委和商务部发布的现行有效的《外商投资准入特别管理措施(负面清单)(2021年版)》,医疗机构属于限制外商投资的领域;人体干细胞、基因诊断与治疗技术开发和应用属于禁止外商投资的领域。根据《中外合资、合作医疗机构管理暂行办法》,中方在中外合资、合作医疗机构中所占的股权比例或权益不得低于30%。此外,如前所述,从事互联网医疗服务还可能涉及提供经营性互联网信息服务,《外商投资准入特别管理措施(负面清单)(2021年版)》要求从事该等业务的外资股比不超过50%。AI+互联网医疗、AI制药等领域企业在融资发展过程中,需关注上述外商投资限制。
除上述医疗+AI涉及的特殊合规监管要求外,医疗+AI也需要遵守并履行人工智能领域相关的一般合规义务,如果医疗+AI提供的算法推荐服务、生成式人工智能服务或深度合成服务具有舆论属性或者社会动员能力,应履行算法备案义务、安全评估义务等,具体可参见我们本系列第一篇文章《AI原生应用相关法律问题研究之(一)AI+教育法律问题》中关于提供生成式人工智能服务相关的合规义务的相关介绍。
2. 医疗+AI的数据安全与个人信息保护
数据是AI发展的基础之一,也是医疗行业实践和发展的必要条件。医疗+AI的发展得益于AI的机器学习、深度学习、自然语言处理、海量数据处理等能力,与之相伴而来的,则是医疗数据安全保护的需求。医疗数据安全涉及大量的患者、受试者个人信息安全以及公共卫生数据等重要数据安全,近年来网络安全、数据安全、个人信息保护相关法律法规不断完善,医疗+AI的发展应重视其中涉及的数据安全及个人信息保护问题,规避相关的合规风险。
(1)医疗+AI涉及的数据类型
医疗数据,是指个人在接受健康医学诊疗过程中产生的数据,相较于其他行业,医疗行业的数据来源和呈现方式更为多样和丰富,比如患者用药、检验结果、病历、检查报告、医学影像、视频、文献等。结合《信息安全技术——健康医疗数据安全指南》相关规定及法律行业实践,医疗数据大致包括:个人健康信息、人口健康信息、遗传资源信息、病历(电子病历)信息、个人健康医疗数据、医疗健康大数据、医疗支付记录、卫生资源数据、公共卫生数据等。
《网络安全法》《数据安全法》《个人信息保护法》构成现阶段数据安全与个人信息保护的基本规范,其中对于不同类型的数据/个人信息规定了相应的保护要求,基于上述法律的视角,医疗+AI涉及的数据类型包括:
- 个人信息:根据《个人信息保护法》的定义[6],医疗+AI涉及的个人信息包括医疗机构在提供医疗服务过程中收集的患者姓名、年龄、性别以及互联网医疗服务或其他医疗+AI软件服务中收集的用户手机号等。
- 敏感个人信息:根据《个人信息保护法》的定义[7],医疗+AI涉及的个人基因、指纹、虹膜、声纹、掌纹、面部识别特征等生物识别信息及个人健康状况等显然都属于敏感个人信息。
- 重要数据及核心数据:根据《数据安全法》,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成直接危害的数据构成重要数据,而关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据。参考正在审查中的最新版《信息安全技术——重要数据识别指南》,反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据。
(2)医疗+AI数据收集处理合规要点
结合《网络安全法》《数据安全法》《个人信息保护法》及相关法律法规对数据和个人信息收集处理的一般性要求,以及《医疗机构病历管理规定(2013年版)》《电子病历应用管理规范(试行)》《人口健康信息管理办法(试行)》《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》等行业领域内特定类型数据管理规范,从医疗+AI开发实践角度,需要重点关注的数据收集处理合规要点如下:
根据《个人信息保护法》的要求,就一般个人信息的收集处理,收集方应充分履行告知同意义务,取得个人信息主体的同意,个人信息处理行为需;就敏感个人信息的收集和处理,需满足特定目的和充分必要性的要求,同时须取得个人的单独同意并采取更为严格的保护措施,如将个人身份信息与生物识别信息分别存储等,此外,敏感个人信息处理者还应当进行事前的个人信息保护影响评估。针对患者病历等数据,《医疗机构病历管理规定(2013年版)》规定医疗机构及其医务人员应当严格保护患者隐私,禁止以非医疗、教学、研究目的泄露患者的病历资料;《电子病历应用管理规范(试行)》要求电子病历系统应当为操作人员提供专有的身份标识和识别手段,并设置相应权限。
根据《数据安全法》的规定,对于重要数据处理者,在一般的数据保护要求基础上,还需符合额外的规定,包括重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;重要数据处理者应当对数据处理活动定期开展风险评估,并将风险评估报送至有关主管部门,重要数据出境还应当向相关网信部门申报数据出境安全评估等。《人口健康信息管理办法(试行)》要求人口健康信息实行分级存储,不得将人口健康信息在境外的服务器中存储,不得托管、租赁在境外的服务器。
除上述一般要求外,针对基因等人类遗传资源相关的数据,其采集、保藏、买卖、利用和对外提供需遵守《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》的特殊规定,如《人类遗传资源管理条例》明确要求外方单位(包括境外组织及境外组织、个人设立或者实际控制的机构[8])不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源;采集、保藏、利用、对外提供我国人类遗传资源应进行伦理审查;采集特定类型遗传资源需经国务院科学技术行政部门批准等。
3. 医疗+AI的伦理治理问题
医疗+AI应用中的伦理问题,既涉及AI技术带来的常规伦理问题,又涉及与医疗相关的特殊伦理问题。医疗+AI应用中基于人工智能的技术能力和应用场景,结合人机关系互动的强度,AI在医疗卫生领域的作用呈现以下三个递进层次:作为工具的人工智能旨在提高效率,作为合作者的人工智能用于辅助决策,作为支持者的人工智能替代决策。随着AI参与程度的加深,人类在医疗卫生领域的主体性存在不断被削弱的风险,AI深度学习的算法黑箱导致无法对其输出决策的逻辑和原理进行判断,其决策存在潜在安全风险,此外,医疗AI的应用还会带来医患关系异化、医疗权责划分、隐私保护等诸多方面的挑战。
全球围绕医疗+AI的伦理问题已经展开广泛的讨论,世界卫生组织在其发布的《医疗卫生中人工智能的伦理治理》指南中提出了医疗+AI的伦理治理的六项原则,包括保障人类自主权,增进人类福祉和保护安全及公共利益,确保透明度、可解释性和可理解性,发展责任和问责制,确保包容性和公平性,促进响应性和可持续性。
就AI伦理治理问题,2017年,国务院印发《新一代人工智能发展规划》并在该规划中提出了制定促进人工智能发展的法律法规和伦理规范的要求,2021年修订的《中华人民共和国科学技术进步法》规定国家建立科技伦理委员会,完善科技伦理制度规范,加强科技伦理教育和研究,健全审查、评估、监管体系。2022年3月,中共中央办公厅、国务院办公厅发布了《关于加强科技伦理治理的意见》,提出了科技伦理治理原则以及基本要求,其中提出科技伦理的五项原则包括:增进人类福祉、尊重生命权利、坚持公平公正、合理控制风险和保持公开透明。
人工智能、生命科学和医学均属于科技活动的核心领域,相较近年来飞速发展而被纳入伦理审查范畴的人工智能而言,生命科学和医学相关的伦理审查要求和实践更为普遍,《人类遗传资源管理条例》《药品管理法》《医师法》等生命科学和医学相关的法规中对于开展遗传资源采集、利用等以及进行药物、医疗器械临床试验、医疗技术临床应用等规定了事前伦理审查的制度。随着AI与医疗的深入结合,医疗+AI将显著拓展医疗健康领域适用科技伦理审查的范围,无论是传统医疗企业入局医疗+AI业务还是互联网等技术企业进军医疗+AI市场,都需关注和遵守这一领域的科技伦理审查要求,在医疗+AI应用开发过程中尊重和遵守相关的伦理治理要求。
就科技伦理审查的相关具体要求,2023年10月,科技部等多部门联合发布《科技伦理审查办法(试行)》,对于科技伦理审查的基本程序、标准、条件等提出统一要求。该办法对于涉及以人为研究参与者的科技活动,包括利用人类生物样本、个人信息数据等的科技活动,或不直接涉及人或实验动物,但可能在生命健康、生态环境、公共秩序、可持续发展等方面带来伦理风险挑战的科技活动进行的科技伦理审查和监管做出了规定,其中明确从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应按要求设立科技伦理(审查)委员会,并在设立科技伦理(审查)委员会后30日内,通过国家科技伦理管理信息登记平台进行登记。科技伦理审查的一般由科技伦理(审查)委员会进行,特别的,医疗健康领域涉及对人类生命健康、价值理念、生态环境等具有重大影响的新物种合成研究,改变人类生殖细胞、受精卵和着床前胚胎细胞核遗传物质或遗传规律的基础研究,侵入式脑机接口用于神经、精神类疾病治疗的临床研究,对人类主观行为、心理情绪和生命健康等具有较强影响的人机融合系统的研发等活动还需报请所在地方或相关行业主管部门组织开展专家复核(相关活动由国家实行行政审批等监管措施且将符合伦理要求作为审批条件、监管内容的除外)。
根据《科技伦理审查办法(试行)》,科技伦理审查重点审查科技活动是否符合科技伦理原则,参与科技活动的科技人员资质、研究基础及设施条件等是否符合相关要求。涉及以人为研究参与者的科技活动,重点审查所制定的招募方案公平合理,生物样本的收集、储存、使用及处置合法合规,个人隐私数据、生物特征信息等信息处理符合个人信息保护的有关规定,对研究参与者的补偿、损伤治疗或赔偿等合法权益的保障方案合理,对脆弱人群给予特殊保护;所提供的知情同意书内容完整、风险告知客观充分、表述清晰易懂,获取个人知情同意的方式和过程合规恰当等。
扫码订阅“金杜律师事务所”,了解更多业务资讯
https://www.gov.cn/xinwen/2018-09/14/content_5322040.htm
《互联网诊疗管理办法(试行)》第六条、第七条、第八条、第九条。
《互联网医院管理办法(试行)》第十二条 互联网医院的命名应当符合有关规定,并满足以下要求:(一)实体医疗机构独立申请互联网医院作为第二名称,应当包括“本机构名称+互联网医院”;(二)实体医疗机构与第三方机构合作申请互联网医院作为第二名称,应当包括“本机构名称+合作方识别名称+互联网医院”;(三)独立设置的互联网医院,名称应当包括“申请设置方识别名称+互联网医院”。
《互联网诊疗管理办法(试行)》第十三条,《互联网医院管理办法(试行)》第十五条。
如山东省卫健委发布的2023年3月2日起实施的《山东省互联网诊疗管理实施办法》、安徽省卫健委发布的2022年9月30日期实施的《安徽省互联网诊疗监管实施办法(试行)》等
《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《个人信息保护法》第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
《人类遗传资源管理条例实施细则》第十二条 本实施细则第十一条所称境外组织、个人设立或者实际控制的机构,包括下列情形:(一)境外组织、个人持有或者间接持有机构百分之五十以上的股份、股权、表决权、财产份额或者其他类似权益;(二)境外组织、个人持有或者间接持有机构的股份、股权、表决权、财产份额或者其他类似权益不足百分之五十,但其所享有的表决权或者其他权益足以对机构的决策、管理等行为进行支配或者施加重大影响;(三)境外组织、个人通过投资关系、协议或者其他安排,足以对机构的决策、管理等行为进行支配或者施加重大影响;(四)法律、行政法规、规章规定的其他情形。