2024年8月1日,欧盟人工智能法案(AI法案)正式生效。该法案引入了一个基于风险的法律框架,涵盖了四类主要的人工智能系统:(i)禁止的人工智能系统,(ii)高风险人工智能系统,(iii)具有透明度要求的人工智能系统,以及(iv)通用型人工智能模型。AI法案适用于位于欧盟境内的公司。此外,AI法案还具有域外效力,适用于所谓的“AI提供者”,即开发并在欧盟市场上投放人工智能系统(包括通用型人工智能模型)或在欧盟境内以其自身名义或商标使用人工智能系统的公司,无论其位置如何。AI法案还适用于任何在欧盟境内使用人工智能系统输出的情况,无论提供者或使用者的位置如何。
AI法案的各项义务将分阶段适用。关于禁止的人工智能系统和AI素养的规定将于2025年2月2日生效。针对通用型人工智能模型的具体义务将于2025年8月2日生效。AI法案下的大多数其他义务,包括适用于高风险人工智能系统和具有特定透明度要求的系统的规则,将于2026年8月2日生效。其余规定将于2027年8月2日生效。
AI法案如何适用于医疗器械
AI法案对高风险人工智能系统提出了准备、实施和持续监督的要求。根据AI法案第6(1)条和附件I,高风险人工智能系统包括旨在作为产品安全组件使用的人工智能系统,或本身属于产品的系统,受欧盟医疗器械法规(2017/745)或欧盟体外诊断医疗器械法规(2017/746)的约束。因此,具有人工智能功能的医疗器械被视为高风险人工智能系统。在欧盟境内制造、投放市场或使用具有人工智能功能的医疗器械的公司必须遵守AI法案对高风险人工智能系统的要求。
医疗器械背景下高风险人工智能系统的关键义务
根据AI法案,具有人工智能功能的监管医疗器械的提供者在将此类医疗器械投放欧盟市场或以其自身商标投入使用之前,必须遵守以下某些义务:
- 技术文档:提供者必须维护全面的技术文档,涵盖医疗器械的人工智能功能(例如,设计规范、性能测试结果、系统架构)。
- 透明度和向部署者提供信息:提供者必须确保使用其具有人工智能功能的医疗器械的客户/部署者获得足够的信息,以便安全操作该医疗器械,包括详细的系统使用说明、预期用途以及与人工智能系统相关的任何限制或潜在风险。
- 质量管理体系:提供者必须实施质量管理体系(QMS),以确保符合AI法案。QMS应在清晰的政策、程序和指令中予以记录。
- 事件报告:提供者必须在意识到严重事件后的15天内向相关市场监督机构(MSA)报告。严重事件是指直接或间接导致人员死亡、严重损害人员健康;严重且不可逆地破坏关键基础设施的管理或运行;侵犯基本权利;或严重损害财产或环境的事件或故障。
- 符合性评估:提供者必须进行全面的符合性评估,以确保其高风险人工智能系统在投放市场或投入使用前满足AI法案的技术、法律和安全标准。
- 上市后监测程序:提供者必须建立上市后监测程序,以跟踪其高风险人工智能系统投放市场后的性能。这包括收集和审查系统性能数据、识别新兴风险,并根据需要更新人工智能模型。
- AI素养:自2025年2月起,高风险人工智能系统的提供者必须确保其工作人员和其他代表其操作和使用人工智能系统的人士具备足够的AI素养,这些素养应与其技术知识、经验、教育和人工智能系统使用背景相适应。必须实施稳健且最新的AI培训计划以满足这一要求。这是适用于任何人工智能系统的一般要求,不仅限于高风险人工智能系统。
如果组织部署从提供者处采购的具有人工智能功能的医疗器械,例如医疗机构从供应商处采购具有人工智能功能的医疗器械,部署者在AI法案下将有特定的义务。例如,部署者必须采取措施确保对使用具有人工智能功能的医疗器械进行人工监督。此外,部署者必须告知患者等个人,医疗器械具有人工智能功能,确保设备收集用于训练人工智能系统的患者数据相关且充分代表性,并根据提供者的指示监控人工智能系统的运行。如果部署者发现人工智能系统中的任何风险,必须通知提供者和相关当局。如果人工智能系统(具有人工智能功能的医疗器械)处理个人数据(如患者信息),部署者必须进行数据保护影响评估。
不遵守AI法案可能导致投诉、调查、罚款、诉讼、运营限制以及公司声誉受损。当人工智能系统处理个人数据时,《通用数据保护条例》(GDPR)继续适用。
结论
开发和使用具有人工智能功能的医疗器械的组织应采取积极措施,根据AI法案的新要求审查其人工智能实践。这不仅是为了遵守新法律,也是为了建立医疗保健提供者和患者对医疗器械中使用人工智能功能的信任。他们应根据其角色和责任实施必要的合规措施。
在Hunton Andrews Kurth LLP,我们协助客户确保其符合AI法案的义务,包括与开发和使用具有人工智能功能的医疗器械相关的义务。如需咨询AI法案,请联系您在Hunton Andrews Kurth LLP的联系人。
(全文结束)
