如果说人工智能(AI)系统有一个需求,那就是数据,而且是大量的数据,因为训练 AI 对于特定用例的成功至关重要。澳大利亚隐私监管机构最近对该国最大的医疗成像提供商 I-MED 放射学网络的调查,说明了对将医疗数据用于 AI 系统的担忧。这一调查可能为同样试图利用 AI 优势的美国医疗保健提供商提供重要见解。他们也在努力解决这些应用与隐私和数据安全法律(包括《健康保险可携性和责任法案》(HIPAA))的交叉点。
澳大利亚案例:I-MED 放射学涉嫌的 AI 数据滥用
澳大利亚信息专员办公室(OAIC)已对 I-MED 放射学网络的指控展开调查,称其在未首先获得患者同意的情况下,与健康科技公司 Harrison.ai 共享患者胸部 X 光片以训练 AI 模型。据报道,一封泄露的电子邮件表明,Harrison.ai 推卸了患者同意的责任,声称遵守隐私法规是 I-MED 的义务。Harrison.ai 此后表示,所使用的数据已去识别化,并遵守了所有法律义务。
根据澳大利亚隐私法,特别是澳大利亚隐私原则(APPs),个人信息只能用于其预期用途或患者合理预期的二次使用。目前尚不清楚在医疗数据上训练 AI 是否属于二次使用的“合理预期”。
OAIC 对 I-MED 放射学的初步调查可能最终会阐明在澳大利亚法律下,医疗数据在 AI 背景下如何使用,并可能为包括美国在内的跨境医疗保健提供商提供见解。
HIPAA 对美国使用 AI 的提供商的考虑
对 I-MED 的调查提出了受 HIPAA 约束的美国医疗保健提供商应考虑的重要问题,特别是鉴于 AI 工具在医疗诊断和治疗中的应用日益增多。迄今为止,美国卫生与公众服务部(HHS)尚未为 HIPAA 涵盖的实体或业务伙伴提供有关 AI 的任何具体指导。2024 年 4 月,HHS 公开分享了其促进州、地方、部落和地区政府在公共福利管理中负责任地使用人工智能(AI)的计划 - PDF。2023 年 10 月,HHS 和卫生部门网络安全协调中心(HC3)发表了一篇题为《AI 增强型网络钓鱼及对卫生部门的威胁》的白皮书。预计还会有更多。
HIPAA 对受保护的健康信息(PHI)的隐私和安全进行监管,通常要求涵盖实体在将 PHI 用于某些例外情况(如治疗、支付或医疗保健操作(TPO))之外的目的之前,获得患者的同意或授权。
在 AI 背景下,将去识别化的数据用于研究或开发目的(如训练 AI 系统)通常可以在没有特定患者授权的情况下进行,前提是该数据符合 HIPAA 严格的去识别化标准。HIPAA 通常将去识别化信息定义为已去除所有可识别信息的数据,并且无法追溯到个人。
然而,美国医疗保健提供商必须确保去识别化正确执行,特别是在涉及 AI 时,因为由于处理的数据量巨大以及用于分析的复杂方法,AI 模型中的重新识别风险可能会增加。因此,即使使用去识别化数据,实体也应仔细评估其去识别化方法的稳健性,并考虑是否需要额外的保障措施来降低重新识别的风险。
监管审查的风险
虽然 HIPAA 目前除了一般的隐私和安全要求外,并未对 AI 使用施加具体义务,但 I-MED 案例突显了 AI 驱动的数据实践如何引起监管关注。随着 AI 更深入地融入医疗保健系统,美国医疗保健提供商应准备好接受联邦和州监管机构的类似审查。
此外,政策制定者面临越来越大的压力,要求更新包括 HIPAA 在内的医疗保健隐私法,以应对 AI 和机器学习带来的独特挑战。提供商应随时了解潜在的监管变化,并积极实施 AI 治理框架,以确保符合当前和新兴的法律标准。
结论:对美国提供商的教训
对 I-MED 放射学涉嫌滥用医疗数据进行 AI 训练的持续调查强调了在 AI 应用中确保合法合规、患者透明度和强大的数据治理的重要性。对于受 HIPAA 约束的美国医疗保健提供商,该案例提供了几个关键要点:
- 开发/扩展治理以解决 AI 问题:包括生成式 AI 在内的 AI 技术正在影响组织的各个部分,从提供核心服务到 IT、人力资源和营销。不同的用例将推动不同的考虑,使清晰但适应性强的治理结构对于确保合规和最小化组织风险至关重要。
- 确保适当的去识别化:当使用去识别化数据进行 AI 训练时,医疗保健实体应验证其去识别化方法符合 HIPAA 的严格标准,并考虑 AI 的重新识别风险。
- 监测不断发展的 AI 法规:随着对 AI 的监管关注增加,医疗保健提供商应准备好应对潜在的法律发展,并相应地加强其 AI 治理框架。
通过保持积极主动,美国医疗保健提供商可以利用 AI 的力量,同时遵守隐私法并维护患者的信任。
