当AI技术与HIPAA发生碰撞When AI Technology and HIPAA Collide

当AI技术与HIPAA发生碰撞

医疗机构和业务伙伴应避免的雷区

医疗机构请注意！您的第三方供应商可能正在其服务中实施人工智能（AI）技术。如今，一个非常普遍的情况是，您会收到信任的第三方供应商的电子邮件或电话，告知他们打算在其服务中集成AI技术，这将涉及使用患者的受保护健康信息（PHI）。他们声称，通过使用AI技术，可以在更短的时间内提供交付成果，更快地生成有用见解，解释医学影像，改进诊断和治疗的提供，或进行准确的预测分析。

然而，在使用PHI的AI技术背后，隐藏着一系列可能对您、您的供应商甚至患者造成负面影响的风险，尤其是当涉及HIPAA合规性和患者PHI时。那么，作为覆盖实体，应该如何回应其业务伙伴在AI技术中使用患者PHI的行为呢？

AI技术

在评估覆盖实体或业务伙伴在AI技术中使用PHI时，了解AI技术的基本概念是有帮助的。简单来说，AI是指机器执行通常由人类完成或需要人类智能的任务的能力。AI的一个目标是创建能够自立、像人类一样思考和行动的应用程序。例如，一个能够通过学习和解决问题来执行任务的应用程序。AI技术涉及使用计算机算法和分析来构建可以解决问题的模型。但为了使这些模型有用，算法需要大量数据来进行学习。

使用AI技术时的数据监管

当AI技术使用大量数据来训练其预期用途时，这些数据很可能包括个人数据、健康数据或甚至是PHI。由于AI技术使用这些类型的数据，数据隐私法律和法规将影响AI技术对这些数据的使用。换句话说，如果AI技术使用大量PHI，无论该技术是由覆盖实体还是覆盖实体的业务伙伴使用，HIPAA都将适用于这些PHI。

考虑以下情景：一个覆盖实体聘请了一家数据聚合商作为其业务伙伴，从提供商的电子健康记录中输入大量PHI，以训练和使用AI技术来识别临床试验的多样化候选人。由于PHI是从提供商处收集并由业务伙伴的AI技术用于提供服务，因此HIPAA将继续适用于被AI技术摄取的PHI。

在AI技术中使用PHI的问题

在AI技术中使用PHI时最常见的问题源于HIPAA规则对使用PHI的规定。有些问题可能显而易见——而这正是问题的一部分。HIPAA规则的应用不会改变，但AI技术中有许多使用PHI的方式，因此挑战在于理解HIPAA规则如何适用于AI技术的各种使用方式。以下是HIPAA规则如何影响AI技术中使用PHI的一些示例：

使用PHI进行AI技术的授权

首先需要解决的问题是，覆盖实体或其业务伙伴是否有适当的权限在AI技术中使用PHI。根据HIPAA隐私规则，有关PHI的访问、收集、使用和披露有明确的要求。这些使用是为了治疗、支付或医疗保健运营（TPO）？研究？营销？根据有效的HIPAA授权？或者属于HIPAA批准的其他无需授权的使用（如公共利益、执法等）？这些使用都受HIPAA隐私规则的管理。

如果PHI的使用不是为了TPO或其他无需授权的批准使用，那么对于研究、营销或任何其他基于有效HIPAA授权的PHI使用，仍需获得HIPAA授权。例如，如果覆盖实体或其业务伙伴有兴趣使用大量PHI进行训练，他们首先需要从每个患者那里获得适当的HIPAA授权。然而，从大量个体中获得HIPAA授权将是一个挑战，这一过程可能会妨碍在AI技术中输入大量PHI的能力。

数据最小化和目的限制

HIPAA隐私规则对PHI使用的另一个重要限制是，覆盖实体及其业务伙伴只能为预期目的使用最少必要的PHI。有一些例外情况，例如一个覆盖实体将患者的PHI共享给另一个覆盖实体用于治疗目的，或将PHI直接披露给患者。但在大多数情况下，使用PHI时只能使用最少必要的PHI。那么，覆盖实体或其业务伙伴如何在使用AI技术时应对这一要求？如果AI技术需要摄取大量PHI进行训练，多少PHI足够？谁来决定多少足够？PHI是否用于预期目的？是否有人监督PHI的使用以确保不违反HIPAA隐私规则？

另一个主要问题是，AI技术很容易访问和使用超过预期目的所需的数据，即数据过度使用。如果覆盖实体的业务伙伴要使用大量PHI来训练AI技术，确保满足最小标准和目的限制同时防止数据过度使用将是一个挑战。

使用AI技术时的基于角色的PHI访问

根据HIPAA安全规则，只有那些需要访问和使用PHI作为其职责一部分的员工才能获得访问权限。因此，覆盖实体及其业务伙伴必须实施基于角色的访问控制，以确保只有那些需要访问PHI的员工能够这样做。这在使用AI技术时提出了另一个挑战，因为只有那些满足访问控制要求的员工才能处理PHI。这是否会改变能够处理PHI和AI技术的角色？对于小型实体来说，分配角色和访问PHI的权利可能很困难，因为员工可能需要在其工作职责中执行多种不同的职能。例如，一家初创公司可能有一个精简的工程和数据科学团队，员工需要访问各种形式的数据，包括PHI和去标识化的数据。由于员工数量较少，很难将角色和职责分配给通常不访问PHI但需要处理AI技术的员工，同时还要保持与去标识化数据的独立性。这是一个问题，因为处理去标识化数据的员工不应处理PHI，反之亦然，以避免出现去标识化数据被重新识别的情况。

数据完整性和保密性

另一个HIPAA安全规则的要求是，覆盖实体及其业务伙伴必须确保PHI的完整性、保密性和可用性。因此，在AI技术中使用PHI时，必须实施严格的安全措施以充分保护PHI的完整性、保密性和可用性。这些措施至少应包括：访问控制、加密、防火墙和对AI技术使用PHI的持续监控和监督，以防止未经授权的访问或使用PHI。

然而，如果AI技术从多个来源提取和使用数据，并且由多个当事人访问，实施和确保适当的安全控制将更加困难。

避免HIPAA不合规的实用步骤

考虑到在AI技术中使用PHI的风险和挑战，以下是一些建议，覆盖实体和业务伙伴可以遵循这些建议，以帮助最小化在AI技术中使用PHI时违反HIPAA规则的风险：

制定和实施政策和程序

确定现有关于收集、处理、分发和使用PHI的政策和程序是否充分涵盖了AI技术中使用PHI的情况。如果不充分，则应制定和实施新的政策，专门针对AI技术中批准的PHI使用案例。例如，实施一项政策，限制员工在未经批准的AI技术中个人使用PHI，同时允许在覆盖实体或业务伙伴的服务中有限使用PHI。

• AI治理——确定现有的隐私和安全治理团队是否能够充分应对AI技术中使用PHI的情况。如果不能，考虑创建一个单独的AI治理团队，以提供对AI技术使用的持续监督。
• 更新合同——审查和更新合同模板和业务伙伴协议模板，增加额外的语言以应对使用PHI的AI技术相关的风险。
• 培训和意识——更新培训内容，包括AI技术中使用PHI的风险和HIPAA不合规的风险。
• 行为准则——制定关于AI技术中使用PHI的行为准则，并与其他覆盖实体和业务伙伴分享，这些实体的数据将被AI技术使用。
• 透明度——覆盖实体应在隐私通知中包括PHI的使用情况，业务伙伴应开发材料，向覆盖实体说明他们在AI技术中使用PHI的情况。
• 风险评估——进行HIPAA风险评估，以识别在AI技术中使用PHI时对完整性和保密性的风险。评估应定期进行，特别是在现有流程或技术发生变化或开发新流程或技术时。
• 专家支持——寻求经验丰富的数据隐私和安全专业人士的支持，以帮助理解使用PHI的AI技术的风险，并实施最佳实践，以最小化使用PHI的AI技术时违反HIPAA规则的风险。

随着AI技术在医疗保健领域的开发和使用，很难想象覆盖实体和业务伙伴不会采用和使用AI技术，因为潜在的好处巨大。然而，存在一些影响在AI技术中使用PHI的HIPAA合规性的风险。建立一套强大的政策、协议、治理和监控流程将有助于覆盖实体和业务伙伴安全地最小化在AI技术中使用PHI时的风险。

(全文结束)