如果有一种东西是人工智能(AI)系统所需要的,那就是大量的数据,因为对AI的训练对于特定用例的成功至关重要。澳大利亚隐私监管机构最近对该国最大的医疗成像提供商I-MED Radiology Network的调查,说明了对将医疗数据用于AI系统的担忧。这一调查可能为同样试图利用AI优势的美国医疗保健提供商提供重要的见解。他们也在努力解决这些应用与隐私和数据安全法律(包括《健康保险携带和责任法案》(HIPAA))的交叉问题。
澳大利亚案例:I-MED Radiology涉嫌AI数据滥用
澳大利亚信息专员办公室(OAIC)已对I-MED Radiology Network涉嫌在未首先获得患者同意的情况下与健康技术公司Harrison.ai共享患者胸部X射线以训练AI模型展开调查。据报道,一封泄露的电子邮件表明,Harrison.ai将患者同意的责任推给了I-MED,声称遵守隐私法规是I-MED的义务。Harrison.ai随后表示,所使用的数据已去识别化,并遵守了所有法律义务。
根据澳大利亚隐私法,特别是澳大利亚隐私原则(APPs),个人信息只能在预期用途或患者合理预期的二次使用中披露。目前尚不清楚在医疗数据上训练AI是否属于二次使用的“合理预期”。
OAIC对I-MED Radiology的初步调查可能最终会阐明在澳大利亚法律下医疗数据在AI环境中的使用方式,并为包括美国在内的跨境医疗保健提供商提供见解。
HIPAA对美国使用AI的提供商的考虑
对I-MED的调查引发了受HIPAA约束的美国医疗保健提供商应考虑的重大问题,特别是鉴于AI工具在医疗诊断和治疗中的日益采用。截至目前,美国卫生与公众服务部(HHS)尚未为HIPAA涵盖的实体或业务伙伴提供有关AI的任何具体指导。2024年4月,HHS公开分享了其在公共福利管理中促进州、地方、部落和地区政府在自动化和算法系统中负责任使用人工智能(AI)的计划 - PDF。2023年10月,HHS和卫生部门网络安全协调中心(HC3)发表了题为《AI增强的网络钓鱼和对卫生部门的威胁》的白皮书。更多内容值得期待。
HIPAA规范了受保护的健康信息(PHI)的隐私和安全,通常要求涵盖的实体在将PHI用于某些例外情况(如治疗、支付或医疗保健运营(TPO))之外的目的之前,获得患者的同意或授权。
在AI的背景下,将去识别化的数据用于研究或开发目的(如训练AI系统)通常可以在没有特定患者授权的情况下进行,前提是该数据符合HIPAA严格的去识别化标准。HIPAA通常将去识别化信息定义为已去除所有可识别信息的数据,且无法追溯到个人。
然而,美国医疗保健提供商必须确保去识别化的正确执行,特别是在涉及AI时,因为由于处理的数据量巨大和用于分析的复杂方法,AI模型中的重新识别风险可能会增加。因此,即使使用去识别化的数据,实体也应仔细评估其去识别化方法的稳健性,并考虑是否需要额外的保障措施来减轻重新识别的风险。
监管审查的风险
虽然HIPAA目前除了一般的隐私和安全要求外,对AI的使用没有施加具体的义务,但I-MED案例突显了AI驱动的数据实践如何引起监管机构的关注。随着AI更深入地融入医疗保健系统,美国医疗保健提供商应准备好接受联邦和州监管机构的类似审查。
此外,政策制定者面临越来越大的压力,要求更新包括HIPAA在内的医疗保健隐私法,以应对AI和机器学习带来的独特挑战。提供商应了解潜在的监管变化,并主动实施AI治理框架,以确保符合当前和新兴的法律标准。
结论:对美国提供商的教训
对I-MED Radiology涉嫌将医疗数据滥用于AI训练的持续调查强调了在AI应用中确保合法合规、患者透明度和强大的数据治理的重要性。对于受HIPAA约束的美国医疗保健提供商,该案例提供了几个关键要点:
- 开发/扩展治理以应对AI:包括生成式AI在内的AI技术正在影响组织的各个部分,从提供核心服务到IT、HR和营销。不同的用例将带来不同的考虑,因此一个清晰但适应性强的治理结构对于确保合规和最小化组织风险非常重要。
- 确保适当的去识别化:当使用去识别化的数据进行AI训练时,医疗保健实体应验证其去识别化方法符合HIPAA的严格标准,并考虑AI的重新识别风险。
- 监测不断发展的AI法规:随着对AI的监管关注增加,医疗保健提供商应准备应对潜在的法律发展,并相应地加强其AI治理框架。
通过保持积极主动,美国医疗保健提供商可以在利用AI的力量的同时,遵守隐私法并维护患者的信任。
(全文结束)