摘要: 日前,滴滴在上市前夕被国家互联网信息办公室实行网络安全审查,在这之前,有媒体称讯飞输入法因违规收集个人信息遭下架……这一切,都与不久前发布的《数据安全法》不无关联。 一时之间,《失控》作者凯文·凯利曾经的“大数据缔造大公司”理论正在遭受挑战,“数据石油”似乎正...
日前,滴滴在上市前夕被国家互联网信息办公室实行网络安全审查,在这之前,有媒体称讯飞输入法因违规收集个人信息遭下架……这一切,都与不久前发布的《数据安全法》不无关联。
一时之间,《失控》作者凯文·凯利曾经的“大数据缔造大公司”理论正在遭受挑战,“数据石油”似乎正在变成“数据梦魇”。
人工智能三要素为算力、算法与模型。数据是其中必要的信息通路。但是,我国数据相关法规远滞后于技术发展,长期以来,AI医疗一直在“摸着石头过河”,甚至是“半黑不白”:
廊坊市第四人民医院信息科主任郝振兴告诉健康界,由于没有数据分级分类目录、没有开放权限门槛,医疗机构只能成立伦理委员会,自行制定数据管理制度。
“随着相关法律的出台,一些人工智能公司为训练模型,采取的获取医疗数据的模式将面临合规性的考量,医疗机构在与其合作时也需要加强合规性管理。”某医院信息中心主任白晶表示。
那么,这场风波是否会波及到AI医疗企业?对《数据安全法》,医疗机构、产业界怎么看?
图片来源:图虫创意
最快法规出台,试解数据开放难题
2020年6月28日公布草案,到2021年6月10日通过,《数据安全法》历经三次审议,并于2021年9月1日正式施行,可见数据安全立法的急迫性。
四川省律师协会医药卫生法专业委员会副主任邓明攀律师表示,“加快推进数据安全立法进程的背后,是行业普遍数字化转型发展的必然要求,也是加强数据保护、强化数据全流程管理、规范数据产业发展的应有之义。”
数据,是AI公司的“硬通货”,根据国家药监局《深度学习辅助决策医疗器械软件审核要点》,数据收集在合规基础上,要尽可能来自多家、不同层级的临床机构,以保证数据多样性,提高算法泛化能力。
《数据安全法》出台,AI医疗企业是否将面临数据合规风险?北京中医药大学法律系医药卫生法学副教授邓勇给了健康界肯定的答案。“堪忧!AI医疗企业的合规意识普遍不是很强,对数据安全的研判不够。”
“很多人工智能、大数据企业,都有过度收集数据的倾向,如何规范获取数据,合规地存储和使用数据,需要公司法人和管理者认真考量。”白晶说道。
但是,对于这种判断,产业界却另有说法。
“医疗数据合规审查很早就开始了,从2019年开始,对数据安全、网络安全和用户隐私保护的监管开始升级,大家的数据保护意识一直在增强。同时,当AI的模型成熟之后,需要的产品颗粒度很细,大量收集数据对AI企业来说价值并不大。”汇医慧影CIO张路说道。
商汤科技副总裁张少霆告诉健康界,商汤在内部成立了人工智能伦理委员会与数据安全委员会,在使用医疗数据进行产品研发和临床试验时,都经过医院严格的伦理审核,并由医院完成数据脱敏工作,再经过商汤伦理委员会审核,才能用于产品研发和临床试验使用。
“我们的数据是绝对不出院的”“数据使用都经过了伦理委员会”“医院签订了知情同意书,所有数据都知情同意”是相关企业的普遍回应。
行业方和产业方各执一词,为何会出现这种现象? 医疗数据的使用边界在哪里?《数据安全法》的出台,对产业将带来什么影响?
医疗机构“战战兢兢”
在强监管的医疗行业,医疗数据主要存储在医疗机构和政府平台。AI公司数据获取方式包括三类,一是公开的多中心数据集;二是企业自行收集;三是通过医院获取。
“2016年左右,隔一段时间就会有几家AI公司来跟医院要拿数据合作,AI与医疗结合很火热。”西安交通大学附属第一医院首席科学家钱步月向健康界介绍,医疗AI公司从医院获取数据的方式分为两类,科研项目立项或提供软件使用。
由于医院欠缺数据分析能力,会与第三方企业共同选定科研课题,企业在医院内部部署服务器,通过处理、分析医疗数据来验证产品模型。为保护数据安全,大部分医院都会要求AI医疗公司将服务器部署在医院本地,通过web service方式提供接口,同时,敏感数据请求需要伦理委员会通过。
“虽然是本地服务器,但高级运维人员权限很高,如果医院没有应用堡垒机,对数据的操作不会留痕,有些部门到医院检查需要把数据库的备份带走,虽然跟医院报备过,但因为缺乏数据保护规定,还是存在风险的。”郝振兴告诉健康界。
某医院信息中心主任李雷表示,有一些AI企业,会以系统免费或低价的形式与医疗机构合作,但会在合约中要求医院将相关数据上传平台,这是一种变相购买数据。虽然合作签定了合同,合同的签定流程也是合规的,但在数据保护的细节处理上还是有不尽如人意的地方,即使对个人信息做了脱敏处理。”
此外,健康界了解到,AI医疗火热时期,还出现了一批第三方数据公司。“这些数据公司不止是卖医疗数据,包括人脸识别、个人信息他们都卖,他们的医疗数据来源主要是县域医院,虽然单个医院患者体量不大,但汇集起来还是有价值的。”
某企业负责人王超向健康界透露,第三方数据公司在2017年左右最为活跃,隔三差五就会有第三方数据公司给AI公司打电话兜售数据。这些第三方数据公司提供的数据普遍体量不大,但颗粒度较小,能够涵盖AI医疗的热门领域,肺结节、糖网等。
“还有一些云影像平台,以提高患者下载速度为由要求医疗机构把影像数据批量上传到平台,无论患者使用与否。这些数据会被平台截留和利用,如卖给AI公司。”李雷说道。
一面是AI医疗企业“狂热”的合作意愿,一面是医疗机构“泼凉水”的合作态度。健康界分析认为,这背后,是此前数据法律缺位,企业与医疗机构合作只能“摸着石头过河”,医疗机构处于担忧之中:
担心开放数据程序不合规;担心不合规的数据开放;担心开放数据给不合规企业;担心合规开放数据被泄漏。
苏州大学附属儿童医院质量管理办公室主任朱晨与上海市锦天城(苏州)律师事务所魏灿灿在联合撰文中,对医疗机构的“数据风险”进行了详述:
“未脱敏的个人信息在共享时将会导致个人信息的泄露。即使经过了脱敏,但实践中脱敏到何种程度并没有明确的标准,而且大量的非敏感数据聚合后也可能会产生敏感数据。医疗机构与第三方合作的过程中,如果未能进行充分的合规审查,也会增加患者个人隐私的安全风险,比如未对第三方的资质进行评估、未对双方数据对接的方案进行安全评估、未对数据传输的方式进行技术控制等。”
图片来源:图虫创意
AI公司直面合规挑战
“大数据是早晚延伸的趋势,打破医院的围墙,一定要讲究互联互通的应用。”北京大学肿瘤医院信息部主任衡反修曾在接受《财经网》采访时表示。
诚然,如何打破围墙,让数据安全流动,发挥数据资产最大价值,是产业界与医疗机构的共同愿望,但也是个足够复杂的议题。
早在2018年,《财经网》就撰文表示,医疗AI公司获取数据,是在法规“红线”上舞蹈。对此,邓勇告知健康界,这部分源于人工智能企业法律意识淡薄。
第一,AI医疗企业大部分是IT出身,合规意识不强。对医疗行业相关法规,例如《生物安全法》、《网络安全法》等健康医疗相关法规风险识别不够清晰。
第二,数据所有权不明确,属于“拿来主义”。数据获取之后,直接进行挖掘分析、清洗、加工、提炼、商业转化,在监管主体、监管手段、监管方式上不是很先进,也不及时。
第三,商业模式构建缺乏数据考量。企业更多的时间和精力集中在商业模式的设计上,从盈利最大化角度来考虑。在商业模式的合规数据安全、患者隐私保护上,关注相对较少。
“企业务必行动起来!”邓勇建议,一方面,需要加强数据相关法规学习,对照法规对内部数据进行合规审查;另一方面,需要聘请第三方科研或学术机构,学习国内外产品成熟模式,在商业模式盈利最大化与产品合规之间取得平衡。
“企业如果触碰过‘红线’,我们建议要尽快对自身的数据安全能力和数据合规体系进行加强和完善。亡羊补牢,为时未晚。从我国行政处罚体系和措施来看,整改也正是一种重要的行政监管手段。”
天达共和律师事务所合伙人,数据合规团队负责人申晓雨律师表示,AI企业的“红线”有两点,一是要根据数据流动方向(医疗机构也可能是数据接收方),符合收集的“告知-同意”原则;二是需要符合数据安全规定。
申晓雨告诉健康界,从目前数据安全立法整体情况来看,呈现出个人信息保护立法和非个人信息类数据保护立法发展不甚平衡的局面。由此,在医疗数据收集、使用、流转过程中,企业应当特别注意的“红线”,主要参考个人信息数据交互时,数据提供方与数据接收方的权责:
作为数据提供方,在《个人信息保护法》正式颁布前,“告知-同意”是最主要的数据处理的合法基础,即收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体或其监护人的同意。
作为数据接收方,根据《个人信息安全规范》和相关司法实践,需要遵循三重授权原则,即:1.数据提供方已经取得数据主体合法有效授权,2.数据提供方对数据接收方进行适当授权;3.数据接收方超出数据主体对数据提供方的原始授权范围使用数据的,应当重新取得数据主体的授权。
申晓丽表示,无论是数据提供方,还是数据接收方,如果没有满足上述要求,就有可能因侵犯个人信息而被个人信息主体提出侵权赔偿主张,或受到行政主管部门的行政处罚,严重时还可能触犯刑法并因侵犯公民个人信息而承担刑事责任。
在7月10日,网信办发布了《网络安全审查办法(修订草案征求意见稿)》(下称征求意见稿),根据该征求意见稿,网络安全审查制度的使用对象不再仅限于CIIO(关键信息基础设施运营者),而是将数据处理者也纳入到监管范围内,只要数据处理者开展数据处理活动,影响或可能影响国家安全的,都需要进行网络安全审查,由此实现《数据安全法》第二十四条规定的数据安全审查制度的落地。
该征求意见稿还明确规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。根据该征求意见稿,对于数据处理活动可能带来的国家安全风险,主管部门将主要考虑以下因素:核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;其他可能危害国家数据安全的因素。
“医疗大数据企业普遍掌握海量个人信息,其中不乏重要数据甚至核心数据。鉴于此,即便未被认定为CIIO,未来医疗大数据企业受数据安全审查制度规制的可能性仍然较大。”申晓雨研判。
在新冠疫情期间,某AI医疗企业多项技术和用户数据被黑客在网上公开售卖,虽然从数据体量来看,患者信息未被泄漏,但也暴露出AI医疗企业数据安全治理能力欠缺的问题。
对此,申晓雨表示,无论在数据交互中的角色如何,根据《网络安全法》和《数据安全法》的规定,AI医疗公司或医疗机构都必须承担法定的网络安全保护义务和数据安全保护义务,采取必要的技术和组织措施加强对其网络和数据的安全保护,防止数据泄露、毁损、丢失。
在实践中,如果发生数据泄露或类似网络安全、数据安全事件,主管部门通常会遵循“一案双查”的原则,同时对侵害方和被害方展开调查。“如果被害方未能履行网络安全保护义务或数据安全保护义务,也同样将面临《网络安全法》《数据安全法》甚至《刑法》所规定的相应后果并承担法律责任。”申晓雨说道。
划不清楚的“红线”
除了人工智能企业需加强数据安全意识,申晓雨分析,我国医疗数据的立法尚未形成体系,不同法规之间的衔接、交叉和相互支撑存在瑕疵。由此,产生了划不清楚的“红线”,给企业在医疗数据合规制度建设,以及主管部门对医疗健康数据安全的监管方面都造成一定困难,综合多方内容,其中有三点原因:
第一,正如前文提及,从目前数据安全立法整体情况来看,呈现出个人信息保护立法和非个人信息类数据保护立法发展不甚平衡的局面。个人信息保护的立法走得更快。
第二,医疗数据安全保护专门立法存在空白。与美国HIPPA相比,截至目前,我国尚未制定一部关于医疗数据安全保护的专门立法,而关于医疗数据的收集、使用等问题,散见在与医疗医药、大健康产业有关的法律法规、规范性文件、国家或行业标准及政策中。
第三,在监管主体上存在部分空白。《中国医学伦理学》日前对此详细撰文,摘录如下:
国家药品监督管理局医疗器械技术审评中心发布的《深度学习辅助决策医疗器械软件审评要点》中,要求数据采集时将个人信息脱敏以保护患者隐私,并要求在算法设计中考虑网络安全防护。但是国家食药监局的这些要求仅针对人工智能医疗产品的设计而提出。而国家食药监局的评审人员,是否具备就人工智能医疗产品的数据安全和隐私保护的评审能力,亦存有疑问。此外,就人工智能医疗产品上市后的数据安全和隐私保护,国家食药监局并无监管权限,由此出现监管主体的空缺问题。
那么,本次《数据安全法》的出台,能够缓解医疗机构的质疑,同时提振行业信心吗?答案是,不好说。
正向来看,本次《数据安全法》的出台,延续了健康医疗大数据的监管逻辑,保护与发展并重,这鲜明体现在《数据安全法》的第十四条和第十六条。
第十四条 国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创新应用。
第十六条 国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
同时,《数据安全法》作为数据安全顶层立法的重要组成部分,规制范围十分广泛,对各行业、领域均具有约束力。
在适用对象上,《数据安全法》打破了从数据处理主体角度进行规制的思路,明确规定,该法适用于在中国境内开展的所有数据处理活动及其安全监管,以及在境外开展的损害我国国家安全、公共利益或者公民、组织合法权益的数据处理活动,覆盖了数据全生命周期和各个数据处理场景。
对医疗大数据产业而言,《数据安全法》中提出的数据分类分级保护制度、数据安全审查制度等都是刚需。
《数据安全法》出台促进了医疗机构、产业对于数据安全的重视。众多人工智能、医疗大数据企业,医疗机构均在加强对《数据安全法》的学习,并开启内部数据合规性审查。“《数据安全法》是一部既讲保护又讲发展的法律,在法律规定上有不少创新,但同时给企业数据合规带来了一系列挑战。”商汤产业研究院撰文表示。
但从另一方面来看,某医疗企业信息安全负责人陈皓向健康界表示,《数据安全法》类似于母法,更多是从法律层面让大家充分重视,提高警惕。《数据安全法》的出台,需要行政部门出台更多细则和规章。滴滴案后,数据安全法已经在执法中被引用。
2021年7月1日,期盼已久的《信息安全技术健康医疗数据安全指南》已经正式实施。
《指南》共11个部分,包括医疗数据的分类体系、使用披露原则、安全措施、安全管理指南、安全技术指南等,并对代表性场景数据安全进行分析。其中,医疗器械数据安全作为典型场景之一,就涵盖了人工智能辅助决策医疗器械软件。
当然,作为指南,其中措辞只以“适宜”出现,并非强制性行政命令。什么时候能从“宜”到“应”,到“需”,值得期待。
参考文章:
1.HIT专家网—【医疗机构数据合规系列之一】强监管背景下医疗机构的数据合规之路
2.中国经营报—【等深线】数据安全“紧箍咒”
3.财经网—医疗AI公司如何获取数据?和医院结盟,在法规“红线”上舞蹈
4.中国医学伦理学—医疗领域的人工智能:法律问题与规管挑战
5.大成上海办公室—浅析健康医疗大数据的法律合规问题丨大成·实践指南
(文中白晶、王超、李雷均为化名)
原文地址:https://new.qq.com/omn/20210713/20210713A0AT0P00.html
