|
评论
|
|
□ 满洪杰
近期,国家卫生健康委、国家发展改革委、工业和信息化部、国家中医药局、国家疾控局共同印发了《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》(以下简称《实施意见》),旨在以新一代人工智能深度赋能卫生健康行业高质量发展,更好满足人民群众日益增长的健康服务需求,其中在规范安全监管方面,明确提出要强化数据安全和个人隐私保护。
在AI辅助诊断、智能影像识别等逐步应用于临床,大幅提高医疗服务质量和效率的今天,医疗数据作为AI医疗的“核心燃料”,其规范使用已成为各方关注的焦点。人工智能的训练和应用以收集和使用大量数据为基础:在数据采集环节,可能存在未充分尊重和保护信息主体知情同意权的情况;在数据存储与传输环节,可能因管理不善导致数据被非法访问、窃取;在数据使用环节,相关主体可能会超出授权范围使用医疗数据。在推动“人工智能+医疗卫生”应用发展的过程中,如何强化对数据安全和个人隐私的保护,成为一个重要的理论和实践问题。
《实施意见》统筹高水平安全和高质量发展,坚持人工智能赋能而不替代的定位,创新监管方式,实施分类管理,对医疗人工智能应用提出了数据安全和个人信息保护的规范性要求,旨在确保医疗数据安全、可靠、可控,进一步强化了对数据安全和个人信息权利的保障。
首先,明确了数据安全和个人信息保护的职责要求。医疗卫生机构和科研机构作为部署和应用医疗人工智能的主体,必须通过多维度、全流程的防护措施,保障人工智能部署和应用中的网络安全、信息安全及系统安全,防范各类风险隐患。权责明确、内容完善的安全防护和风险治理架构,可以为医疗人工智能的发展提供坚固支撑。
其次,《实施意见》要求建立临床数据授权运营管理制度。临床数据授权运营管理制度是以合规性和安全性为前提,由临床数据控制或监管部门主导,对临床数据的处理、流通、使用行为进行授权审批、规范约束的制度体系。授权主体主要为医疗机构或第三方中立机构,确保被授权主体具备数据安全能力、隐私保护技术且目的合法。通过明确谁有权授权、谁能被授权、授权做什么、如何安全运营等核心规则,有助于落实个人信息保护法、数据安全法对敏感信息和数据的保护要求,实现患者隐私保护与医疗创新、科研利用之间的平衡。
再次,《实施意见》要求建立数据安全管理和个人信息保护负面清单。清单旨在以禁止性或限制性行为列表的形式,明确数据安全与个人信息保护领域不能触碰的红线。在笔者看来,数据安全管理负面清单应当包括未经授权处理重要医疗健康数据;违规跨境传输医疗健康数据;故意或过失泄露、篡改、删除临床数据、科研数据;无安全保障处理数据等。个人信息保护负面清单应当包括未获得患者单独同意处理敏感个人信息;超出医疗服务或科研需求过度收集信息;将医疗数据用于非授权目的;非法交易患者个人信息;在未完全匿名化的情况下公开或共享医疗信息等。负面清单的建立有助于防范数据泄露、滥用、非法交易等风险,保障患者合法权益不受侵害。
最后,《实施意见》要求建立健全智能应用数据安全防护体系。具体来说,就是针对智能应用的数据处理全流程,构建集技术防护、管理规范、制度约束、应急响应于一体的综合性安全框架,核心目标是在保障数据安全与用户隐私的前提下,支持智能应用的健康发展,确保数据“安全可控、合规利用”。
由临床数据授权运营制度、数据安全负面清单、智能应用数据防护体系等构成的制度框架,在遵循合规性原则、安全优先原则、授权可控原则、最小必要原则、隐私保护原则的前提下,有助于打破数据孤岛,让数据在不同主体之间有序流转与使用,从而实现人工智能医疗数据的价值最大化。
医疗人工智能是未来医疗发展的方向,而数据规范是这条赛道上的“基础设施”。《实施意见》的出台,为我国医疗人工智能发展提供了清晰指引。当临床数据授权运营制度筑牢“流通防线”、当负面清单拉起“安全红线”、当技术防护体系织密“保障网络”,医疗数据将在安全的轨道上有序流动。这不仅能让技术创新真正惠及每一位患者,更能为健康中国建设注入强劲动力,让“科技向善”理念在医疗领域落地生根。
(作者系华东政法大学卫生健康法治与政策研究院院长、教授)
|
|
|
| 促进AI医疗数据安全流动
|
|
|
|
|
|
| ( 2026-01-19 ) 稿件来源: 法治日报评论 |
|
|
□ 满洪杰
近期,国家卫生健康委、国家发展改革委、工业和信息化部、国家中医药局、国家疾控局共同印发了《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》(以下简称《实施意见》),旨在以新一代人工智能深度赋能卫生健康行业高质量发展,更好满足人民群众日益增长的健康服务需求,其中在规范安全监管方面,明确提出要强化数据安全和个人隐私保护。
在AI辅助诊断、智能影像识别等逐步应用于临床,大幅提高医疗服务质量和效率的今天,医疗数据作为AI医疗的“核心燃料”,其规范使用已成为各方关注的焦点。人工智能的训练和应用以收集和使用大量数据为基础:在数据采集环节,可能存在未充分尊重和保护信息主体知情同意权的情况;在数据存储与传输环节,可能因管理不善导致数据被非法访问、窃取;在数据使用环节,相关主体可能会超出授权范围使用医疗数据。在推动“人工智能+医疗卫生”应用发展的过程中,如何强化对数据安全和个人隐私的保护,成为一个重要的理论和实践问题。
《实施意见》统筹高水平安全和高质量发展,坚持人工智能赋能而不替代的定位,创新监管方式,实施分类管理,对医疗人工智能应用提出了数据安全和个人信息保护的规范性要求,旨在确保医疗数据安全、可靠、可控,进一步强化了对数据安全和个人信息权利的保障。
首先,明确了数据安全和个人信息保护的职责要求。医疗卫生机构和科研机构作为部署和应用医疗人工智能的主体,必须通过多维度、全流程的防护措施,保障人工智能部署和应用中的网络安全、信息安全及系统安全,防范各类风险隐患。权责明确、内容完善的安全防护和风险治理架构,可以为医疗人工智能的发展提供坚固支撑。
其次,《实施意见》要求建立临床数据授权运营管理制度。临床数据授权运营管理制度是以合规性和安全性为前提,由临床数据控制或监管部门主导,对临床数据的处理、流通、使用行为进行授权审批、规范约束的制度体系。授权主体主要为医疗机构或第三方中立机构,确保被授权主体具备数据安全能力、隐私保护技术且目的合法。通过明确谁有权授权、谁能被授权、授权做什么、如何安全运营等核心规则,有助于落实个人信息保护法、数据安全法对敏感信息和数据的保护要求,实现患者隐私保护与医疗创新、科研利用之间的平衡。
再次,《实施意见》要求建立数据安全管理和个人信息保护负面清单。清单旨在以禁止性或限制性行为列表的形式,明确数据安全与个人信息保护领域不能触碰的红线。在笔者看来,数据安全管理负面清单应当包括未经授权处理重要医疗健康数据;违规跨境传输医疗健康数据;故意或过失泄露、篡改、删除临床数据、科研数据;无安全保障处理数据等。个人信息保护负面清单应当包括未获得患者单独同意处理敏感个人信息;超出医疗服务或科研需求过度收集信息;将医疗数据用于非授权目的;非法交易患者个人信息;在未完全匿名化的情况下公开或共享医疗信息等。负面清单的建立有助于防范数据泄露、滥用、非法交易等风险,保障患者合法权益不受侵害。
最后,《实施意见》要求建立健全智能应用数据安全防护体系。具体来说,就是针对智能应用的数据处理全流程,构建集技术防护、管理规范、制度约束、应急响应于一体的综合性安全框架,核心目标是在保障数据安全与用户隐私的前提下,支持智能应用的健康发展,确保数据“安全可控、合规利用”。
由临床数据授权运营制度、数据安全负面清单、智能应用数据防护体系等构成的制度框架,在遵循合规性原则、安全优先原则、授权可控原则、最小必要原则、隐私保护原则的前提下,有助于打破数据孤岛,让数据在不同主体之间有序流转与使用,从而实现人工智能医疗数据的价值最大化。
医疗人工智能是未来医疗发展的方向,而数据规范是这条赛道上的“基础设施”。《实施意见》的出台,为我国医疗人工智能发展提供了清晰指引。当临床数据授权运营制度筑牢“流通防线”、当负面清单拉起“安全红线”、当技术防护体系织密“保障网络”,医疗数据将在安全的轨道上有序流动。这不仅能让技术创新真正惠及每一位患者,更能为健康中国建设注入强劲动力,让“科技向善”理念在医疗领域落地生根。
(作者系华东政法大学卫生健康法治与政策研究院院长、教授)
|
|
|
