醫療領域的人工智能：法律問題與規管挑戰

丁春艷

(香港城市大學法律學院,香港, chunding@cityu.edu.hk)

近十年以來，人工智能(artificial intelligence)隨著算法、算力和大數據的發展而勢不可擋。各國相繼出臺了人工智能的國家戰略布局，凸顯人工智能在醫療、教育、交通、通信、環境等諸多方面的重要性和巨大的應用潛力[1]。 國務院于2017年公布的《新一代人工智能發展規劃》即對我國人工智能的發展作了系統的部署[2]。 在醫療領域，人工智能主要被應用于藥物研發[3]、 醫學影像[4]、 輔助診療[5-6]、 健康管理[7]以及疾病預測[8]等幾個方面。人工智能醫療，不僅能夠減緩醫療人才的緊缺，提高醫療服務的質量與效率，而且還能在疾病預防層面發揮重要的作用[9]。正因其巨大的市場潛力和社會效能，近年來，包括IBM、Google、百度、阿里、騰訊在內的國內外各大科技企業紛紛加入研發人工智能醫療的行列，而市場上也涌現專門從事人工智能醫療研發和服務的科創公司[10]。

與此同時，人工智能醫療的興起和發展引發了人工智能法律地位、產品責任、數據安全和隱私保護、知識產權保護等一系列的法律問題，并在規范和管理層面帶來全新的挑戰。面對這些問題和挑戰，法律的應對是相對滯后的，目前仍處于摸索和發展的階段?？傮w而言，有待厘清的法律問題包括：人工智能醫療引發的新法律問題是什么？傳統的法律規范在多大程度上可以解決這些問題？對傳統法律不足以解決的部分，法律應當如何應對？在我國，學界對人工智能醫療之法律問題的關注興于2018年，當前的討論尚未在現行法律框架下作全面且細致的探討。本文在闡釋人工智能特征和局限性的基礎上，就產品責任、數據安全和隱私保護、知識產權保護三個方面，結合現行法并參考域外法，來全面探討人工智能醫療帶來的法律問題與規管挑戰。

1 人工智能的特征和局限性

人工智能是指模仿人類智能執行特定任務的系統或機器，其包括四大技術分支：模式識別、機器學習、數據挖掘、智能算法。理論上，按照人工智能的發展階段，可分為弱人工智能和強人工智能。通常認為，擅長單個方面的弱人工智能(例如,AlphaGo下圍棋)，目前已經實現。但是否能夠實現能與人類比肩的真正具備推理和解決問題能力、具有知覺與自我意識的強人工智能，無論是在哲學爭論上還是技術發展上，都未有定數[11]。 當前的人工智能技術在模仿人類的感知能力(看、聽、讀、寫、說)、認知能力(分析辨識能力、預測能力、判斷能力、學習能力)方面已經取得了重大突破和發展，但是在創造力和智慧(自我意識、自我認知、價值觀)方面仍然難以企及人類。而在醫療領域，借助其所達到的感知能力和認知能力，人工智能主要被應用于藥物研發、醫學影像、輔助診療、健康管理以及疾病預測等幾個方面。

需要注意的是，人工智能應用在三個方面存在局限性。首先，人工智能技術并非中立。該技術的設計和生成離不開人的參與，而如何選擇用以訓練機器學習的數據也取決于設計者。由于數據選擇偏見、設計偏見的存在，算法本身也會帶有偏見，從而可能產生偏頗、不公平甚至帶有歧視性的決定或結果[9]；其次，人工智能技術也并非絕對準確。人工智能的決策往往基于歸納的知識、強關聯性(而非因果性)、統計的蓋然性，其預測的結果并不一定完全符合真實情況。如果技術設計者欠缺對真實世界的全面充分了解或者訓練機器學習時存在數據選擇偏見，也可能導致算法得出片面、不準確的結果[9]；最后，人類無法理解或解釋深度學習算法在分類時考慮了何種因素、如何且為何作出特定結論，而且隨著數據的增加，算法會發生自我改變并優化之后的預測，即所謂的“黑盒(black box)”問題和“欠缺透明性(opacity)”問題。因此，深度學習算法在應用中具有不可預測性和潛在的危險性[12]。

鑒于人工智能應用于上述三方面的局限性，在倫理、法律以及科技政策角度值得作相應的思考。第一，如何能夠減少人工智能技術或其結果所包含的偏見，以及由此造成的技術鴻溝(technology divide)？第二，如果人工智能在應用中產生了錯誤的判定或結果而導致人身傷害或財產損失，應當如何分配風險和責任？第三，當人類對深度學習算法的運行和如何得出結果無法解釋、無法掌控時，人類是否應當對其承擔責任？第一個問題有賴于科技倫理和政策方面的探討和思索，而后兩個問題則有賴于法律予以處理和解決。如果轉換成法律語言，即人工智能在應用中所造成的人身及財產損害，誰是法律上的責任主體，應當如何確定法律責任？

2 人工智能醫療的產品責任

人工智能被應用于醫學影像方面，可以協助放射科醫生篩選正常影像、分析影像。在輔助診療方面，人工智能可以讀取、分析電子病歷中的文本信息，學習病例中的診斷邏輯，生成預測診斷，為醫生對復雜或罕見疾病進行診斷時提供參考；而手術機器人可協助醫生以提高手術精確性。人工智能被用作健康管理，能夠實時動態地監測健康數據，特別是為慢性病患者、老年患者提供常規化的健康監測、指導和管理。此外，其被用于疾病預測，預測特定人群在特定時間窗口患某種疾病的風險概率。當人工智能技術在上述方面的應用中發生決策或預測錯誤并因此導致患者遭受人身傷害時，則需要考慮法律責任主體、如何確定法律責任、如何進行法律規管的問題。

2.1 人工智能是否具有法律主體地位

弱人工智能中的深度學習算法具有推理和決策的不透明性，其開發者也難以理解或解釋算法是如何、為何得出特定的結論。強人工智能被期待達到與人類比肩的推理和解決問題能力、知覺與自我意識。由此引發人工智能能否具有法律主體地位的思考和爭論，形成肯定說、否定說和中間說的觀點[13-14]。

現行法下，根據《中華人民共和國民法總則》(1)《中華人民共和國民法總則》于2017年3月15日頒布，2017年10月1日實施。的相關規定，民法上的法律主體包括自然人和法人，兩者具有民事權利能力(capacity for right)，依法享有民事權利，承擔民事義務。 自然人系法律主體而非客體，是基于人本主義的倫理基礎，出于對人之為人的尊重。無民事行為能力(capacity to act)或限制行為能力人的自然人(例如嬰幼兒、兒童、精神病患者)，雖然其行為能力須由其法定代理人予以補足，但是其均具有獨立的法律人格，得以享受民事權利、承擔民事義務。而活體出生的胎兒，因為具備了有限且發展中的倫理地位(moral status)，在法律上亦被擬制為具有“有限”民事權利能力的法律人格(限于遺產繼承、接受贈予等與胎兒利益保護相關的法律關系)。 此外，基于社會與經濟活動的實踐需要，民法將法人擬制為法律主體，使之具有獨立于設立者或成員的法律人格、財產，獨立地享受民事權利、承擔民事義務和責任。法人的意思能力和行為能力需借由代表法人的自然人或機構，或者通過代理人來實現。

可見，現行法并沒有確立人工智能的法律主體地位。通常認為，沒有自我意識的、僅擅長單個方面的弱人工智能并不具有法律人格。它們只是人類借以實現特定目的或需求的手段或工具，在法律上處于客體的地位。即使人類目前很難理解或解釋深度學習算法如何且為何作出特定的決定，但這并不足以構成賦予人工智能以法律人格的理由，因為深度學習算法的設計、生成、訓練機器學習等各個環節都離不開人類的決策與參與。而設計者是否要對其無法完全控制的深度學習算法之決定及該決定引發的后果承擔責任，并非涉及法律主體的問題，而是關系到歸責原則的問題。目前，域外就這個問題的討論所達成的基本共識是，賦予人工智能以法律主體地位是不必要的、不實際的、不符合倫理且有可能被濫用[9]。

如果人類將來研發出具備推理和解決問題能力、具有知覺與自我意識的強人工智能，其是否成為法律主體，則是值得思考的問題。民事法律主體的核心要素是“權利能力”，而非“行為能力”。法律若要賦予強人工智能以法律主體地位(即賦予能獨立享受法律權利的資格)，首先須確認其倫理地位或者證明實踐必要性。由于當前仍無法得知強人工智能究竟能夠在創造力與智慧(自我意識、自我認知、價值觀)方面達到何種程度，因此就人工智能能否具有“人性”，在倫理上成為“目的(end)”，而不是服務于其他目的的“手段(means)”等問題，目前基本停留在假設或猜想的階段而無法得出確定的答案。但與此同時，鑒于人工智能科技的發展潛力，人類是否應當賦予將來可能產生的、具有“人性”的強人工智能以倫理地位和法律人格，且在多大程度上承認其法律主體地位，作為一個開放性的問題，可被持續關注與探討。

2.2 產品責任的確定

當人工智能醫療用于疾病預測和輔助診療時，其相當于發揮著類似醫療器械或設備協助醫生診療的作用，而人工智能技術開發者和醫療機構成為可能的責任主體。當人工智能醫療用于患者日常的健康管理和疾病預測時，其相當于發揮著醫療產品供消費者使用的作用，而該人工智能醫療產品的生產者和銷售者則是可能的責任主體。針對應用于輔助診療、健康管理以及疾病預測的人工智能醫療所造成的人身傷害以及民事責任，現行法并沒有特別的規定；但根據人工智能醫療具體的作用和性質，其可被視為“醫療器械或設備”或“醫療產品”，因此得以適用現有的相關法律規則。

具體而言，根據《中華人民共和國侵權責任法》(2)《中華人民共和國侵權責任法》于2009年12月26日頒布，2010年7月1日實施。第五十九條的規定，因藥品、消毒產品、醫療器械的缺陷，或者輸入不合格的血液造成患者損害的，患者可以向藥品上市許可持有人、生產者、血液提供機構請求賠償，也可以向醫療機構請求賠償?；颊呦蜥t療機構請求賠償的，醫療機構賠償后，有權向負有責任的藥品上市許可持有人、生產者、血液提供機構追償。另根據《中華人民共和國產品質量法》(3)《中華人民共和國產品質量法》于1993年2月22日頒布，1993年9月1日實施。2000年、2009年、2018年修正。第四十一條，生產者對因產品存在缺陷造成的人身傷害、缺陷產品以外的其他財產損失，承擔賠償責任；除非其可證明尚未將產品投入流通，或產品投入流通時引起損害的缺陷尚未存在，或將產品投入流通時的科學技術水平尚不能發現缺陷的存在。盡管銷售者基于過錯原則承擔產品責任，但是《產品質量法》第四十三條允許受害人任意選擇生產者或銷售者請求賠償，客觀上使得產品的生產者和銷售者承擔連帶責任。

基于上述法律規則，當人工智能醫療應用于疾病預測和輔助診療時，作為生產者的人工智能技術開發者和作為醫療服務提供者的醫療機構應對作為受害人的患者承擔以嚴格責任為基礎的產品責任，患者可以選擇向生產者或醫療機構請求賠償，而醫療機構賠償受害人后，可對生產者行使追償權。當人工智能醫療用于患者日常的健康管理和疾病預測時，作為生產者的人工智能技術開發者以及銷售該人工智能醫療產品的銷售者對受害人的損失基于嚴格責任對產品瑕疵承擔連帶責任。

現行法要求受害人證明人工智能醫療設備或產品的瑕疵和其損害與該瑕疵有因果關系，需要思考的是，受害人是否具備相應的舉證能力。鑒于人工智能醫療技術的復雜性、其行業標準尚未建立，對受害人而言要證明產品瑕疵并非易事。為減輕受害人的舉證責任，法律可以考慮就產品瑕疵問題采用舉證責任倒置，或者采用無過錯(no fault)制度，只要受害人能證明其損害因人工智能醫療的錯誤決定造成即可獲得賠償。

此外，人工智能醫療被用于疾病預測和輔助診療時，導致患者人身傷害的直接原因是醫生的診斷。當人工智能醫療提供了錯誤的決定時，醫生是否作出合理的專業判斷以甄別或排除該項錯誤？如果醫生亦存在過失，那么在多大程度上誤診所造成的人身傷害是出于人工智能醫療所作出的錯誤決定？這分別涉及相當復雜的醫療過失判定和因果關系判定的法律問題。盡管現行法要求生產者與醫療機構對患者承擔連帶責任，但是就生產者與醫療機構之間的責任分配，以及各自承保人所應負擔的損失賠償數額等問題，在實踐中極有可能產生爭議。由于對此很難有劃一的答案，只能留給法官在個案中作具體的判定。

另一個問題是，如果人工智能醫療運用了深度學習算法作出特定的醫療判定或決定，其開發者、銷售者及醫療機構能否主張《產品責任法》第四十一條所規定的免責事由呢？這就涉及人類對深度學習算法之決定的不可控性是否構成“產品缺陷”，如果是，該缺陷是否屬于“產品投入流通時引起損害的缺陷尚未存在”或“將產品投入流通時的科學技術水平尚不能發現缺陷的存在”。在某種意義上，人類無法理解或解釋深度學習算法如何且為何作出特定的決定，從而無法預防、降低或消除人工智能可能做出錯誤決定的風險，可以被視為法律上的“產品缺陷”。然而此種缺陷的存在，在產品投入流通時已為設計者所知曉，因此生產者很難成功主張產品責任的免責事由。

值得進一步追問的是，現行法要求人工智能醫療的開發者、銷售者及醫療機構基于嚴格責任來承擔產品責任，是否會產生阻礙人工智能醫療研發和使用的不利后果呢？法律之所以就產品責任適用嚴格責任，其中一個重要原因是，相對于因產品缺陷受害的患者或消費者，生產者處于更佳的地位去發現、減少甚至避免產品缺陷，從而提高產品的安全性和效用。當深度學習算法之推理和決策的不透明性可能已經造成信任危機時[15]，如果再讓受害人面對法律風險去承擔產品缺陷所導致的損失，既不合理、又會導致患者喪失信任從而拒絕使用人工智能醫療的后果。確立嚴格責任的另一個重要原因在于，生產者可以將法律風險作為產品的成本轉嫁到全體消費者，從而起到分散損失的效果。實踐中，生產者往往通過購買產品責任保險來實現這一目的。同理，為轉嫁風險、分散損失，人工智能醫療的開發者也需要借助保險制度或設立特定的賠償基金來應對潛在的產品責任法律風險。與此同時，這也能增強產品使用者和消費者的信心和購買意愿，便利法律糾紛的解決和救濟的實現，增強人工智能醫療研發的動力。但是，《侵權責任法》第五十九條要求醫療機構對人工智能醫療的生產者的產品責任承擔連帶責任的規則并不合理，因為該規則將醫療機構置于自身不可控的法律風險中，以致產生阻礙人工智能醫療應用的后果[16]。

2.3 人工智能醫療產品的規管

法律上，將人工智能醫療視為“醫療器械”(4)按照《醫療器械監督管理條例》第七十六條，醫療器械，是指直接或者間接用于人體的儀器、設備、器具、體外診斷試劑及校準物、材料以及其他類似或者相關的物品，包括所需要的計算機軟件；其效用主要通過物理等方式獲得，不是通過藥理學、免疫學或者代謝的方式獲得，或者雖然有這些方式參與但是只起輔助作用。或“醫療設備”，需要面對標準設定、市場準入、質量監控等規管層面的問題。根據《醫療器械監督管理條例》(5)《醫療器械監督管理條例》于2000年1月4日頒布，2014年、2017年修訂。，國務院食品藥品監督管理部門負責全國醫療器械監督管理工作?？h級以上地方人民政府食品藥品監督管理部門負責本行政區域的醫療器械監督管理工作。為確保安全性和有效性，根據醫療器械低中高三級風險等級進行分類管理，對其審批、注冊上市、生產經營、不良事件監測和召回、監督檢查等作出一系列的規管。

原國家食品藥品監督管理總局于2017年更新的《醫療器械分類目錄》 中單列了醫用獨立軟件(包括治療計劃、影響處理、數據處理、決策支持、體外診斷、康復訓練軟件等)。如果診斷軟件通過其算法提供診斷建議，僅具有輔助診斷功能，不直接給出診斷結論，則按照中風險的第二類醫療器械進行規管。如果通過其算法對病變部位進行自動識別，并提供明確的診斷提示，則按照高風險的第三類醫療器械進行規管。而市場上大部分的人工智能醫療產品屬于第三類，須經過產品定型、檢測、臨床試驗、注冊申報、技術審評、行政審批等六個步驟。此外，國家藥品監督管理局醫療器械技術審評中心于2019年7月發布了《深度學習輔助決策醫療器械軟件審評要點》，用于規范“深度學習輔助決策醫療器械軟件”(6)“深度學習輔助決策醫療器械軟件”是指基于醫療器械數據(醫療器械所生成的醫學圖像、醫學數據，以下統稱數據)，使用深度學習技術進行輔助決策的軟件。的注冊申報。

然而，當前對人工智能醫療器械或設備的法律規管面臨如下三個方面的挑戰。首先，針對人工智能醫療的專業監管人才欠缺，尤其是缺少具備醫療、技術、法律等知識的復合型人才。美國的食品藥品監督管理局在2017年正式組建了一個專門致力于數字化醫療和人工智能技術審評的部門，配置相應的專業人才以確立相應的標準和規范，為審批和監管數字化醫療和人工智能醫療器械、設備或醫用軟件服務[17]。 國家藥品監督管理局目前尚未設立類似的專門機構、配備相應的人才來應對將來可能涌現的人工智能醫療產品。其次，用于審批和監管的標準測試數據庫有待建立和健全，且要達到廣泛性、兼容性和標準化的要求。與傳統的醫療器械不同，人工智能醫療應用依賴大量的臨床醫療數據，而針對不同病種的人工智能醫療產品需要建立不同病種的標準測試數據庫。由于實踐中醫療系統中的數據標準化程度較低、數據質量層次，這也給對人工智能醫療的有效規管帶來難度。再次，適應于人工智能醫療的特殊審批標準和規則有待確立。例如，人工智能醫療的數據庫、算法模型、應用界面會在應用中被快速擴張或更新，而傳統的增項或升級標準和規則無法適應人工智能醫療設備更新迭代的速度和頻率。另外，如何對人工智能醫療設備的風險等級做合理的評估和分類；就關系到安全性和可靠性的深度學習算法之黑盒問題，如何與以科學認知、臨床試驗為基礎的傳統審核方法和標準相協調；為取得發展科研和患者安全之間的平衡，是否需要適當放松人工智能醫療上市前的監管而代之以上市后監管的強化；在對人工智能醫療技術作上市后規管的階段，藥監局如何取得業界的有效配合或協同治理。這些問題未能在《深度學習輔助決策醫療器械軟件審評要點》中得以解決，因此仍待厘清。而隨著人工智能技術的發展，相應的審批標準和規則還需與時俱進地作出及時地調整與更新。

3 人工智能醫療與數據安全和隱私保護

發展人工智能技術不應以犧牲個人數據隱私利益為代價。在大數據年代，只有為用戶提供充分的個人數據隱私保護、健全保障數據安全的措施，才能建立并增強公眾對大數據應用和人工智能技術的信任和信心，從而為技術發展提供動力和助力。在倫理層面，保護個人數據隱私是出于對個人人格和尊嚴的尊重。在法律層面，無論是經濟合作與發展組織(OECD)2013年更新的個人數據保護八項原則(即收集限制原則、數據質量原則、明確目的原則、限制使用原則、安全保障原則、公開原則、個人參與原則和責任原則)(7)Collection limitation principle, Data quality principle, Purpose specification principle, Use limitation principle, Security safeguard principle, Openness principle, Individual participation principle, and Accountability principle.， 還是歐盟2016年《通用數據保護條例》(General Data Protection Regulation)明確的七項原則(即合法公平透明原則、目的限制原則、數據最小化原則、準確原則、儲存限制原則、完整性和保密原則和責任原則)(8)Lawfulness, fairness and transparency, purpose limitation, Data minimization, Accuracy, Storage limitations, Integrity and confidentiality, and Accountability.，都為各國的個人數據隱私保護立法提供非常重要的參考。

人工智能醫療的開發和應用同樣離不開大數據，尤其涉及大量患者的身份信息、健康信息和臨床醫療數據的收集、共享和使用。在發展人工智能醫療的同時，需要考慮的是現行法對個人信息隱私的保護是否完善、人工智能醫療對個人信息隱私保護產生哪些挑戰，以及在監管層面需如何應對等問題。

3.1 現行法對個人信息隱私的保護

中國法律明確對個人信息隱私的保護始于2009年的《中華人民共和國刑法修正案(七)》，其新增了關于侵犯公民個人信息罪的相關規定(9)2017年，最高人民法院和最高人民檢察院通過了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對侵犯公民個人信息罪的具體操作規則進行了細化。。 之后，2012年的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第一條規定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息?！?/p>

2013年，工業和信息化部頒布了《電信和互聯網用戶個人信息保護規定》。該法第四條將“個人信息”定義為“用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”，并提供了保護個人信息的一般規則。首先，該法第五條要求電信業務經營者和互聯網信息服務提供者在收集、使用用戶個人信息時應當遵循合法、正當、必要的原則；其次，該法第九條要求采集、使用客戶個人信息時，應當明確告知其收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項，并經用戶同意后方可收集、使用其個人信息；再次，該法第十條要求在收集、使用客戶個人信息過程中，應當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供；最后，該法第六條、第十三條和第十四條要求電信業務經營者和互聯網信息服務提供者應當對客戶的個人信息安全負責，防止其泄露、毀損、篡改或者丟失；如果發生上述情形，應當立即采取補救措施。2017年，國家互聯網信息辦公室制定《兒童個人信息網絡保護規定》，明確監護人在保護兒童個人信息中的權利和作用。

2017年頒布的《民法總則》首次在民法上對個人信息作出明確規定(10)2014年的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條曾籠統提及網絡侵犯個人信息的侵權行為。。 該法第一百一十一條規定，“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”而2020年5月全國人大通過的《中華人民共和國民法典》(11)《中華人民共和國民法典》于2020年5月28日頒布，2021年1月1日實施。加大了對個人信息保護的力度，在“人格權編”單設一章“隱私權和個人信息保護”?！睹穹ǖ洹返谝磺Я闳臈l定義了“個人信息”；第一千零三十五條規定了個人信息的處理應當遵循合法、正當、必要原則，須獲得信息主體的同意，公開處理信息的規則，并明示處理信息的目的、方式和范圍。第一千零三十六條規定了信息處理者的免責事由；第一千零三十七條明確個人信息主體的參與權利；第一千零三十八條規定了信息處理者的安全保障義務。最后，第一千零三十九條明確了國家機關、承擔行政職能的法定機構及其工作人員對公民個人信息的保密義務。

在個人數據安全方面，全國人大常委會于2016年頒布了《中華人民共和國網絡安全法》(12)《中華人民共和國網絡安全法》于2016年11月7日頒發，2017年6月1日實施。。2020年4月，國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部等12個部門聯合公布了《網絡安全審查辦法》。

雖然近十年來我國法律對公民個人信息隱私的重視逐漸加強，在民事、行政、刑事法律上均做出保護，但是現行法對個人信息隱私的保護仍有完善的空間。首先，現行法尚未建立一個完整的個人信息的法律保護框架，相關的規則都零散于不同的法律、法規、規章和司法解釋。雖然現行法將個人信息保護提升到《民法典》的高度，但如果與OECD個人數據保護的八項原則相比，《民法典》僅提到了信息收集階段告知及征得同意的要求、安全保障原則、公開原則、信息主體參與原則，卻未能確立數據質量原則、限制使用原則、責任原則。若與歐盟的《通用數據保護條例》相比，現行法尚未涉及數據最小化原則和儲存限制原則；其次，現行法的規定基本停留于原則的陳述，欠缺細化的具有操作性的法律規則。以信息主體參與權為例，其如何行使查閱或復制個人信息的權利、如何請求更正或刪除個人信息、能否及時收到其個人信息被侵害的通知(data breach notification)、信息處理者相應地負有哪些義務和職責，信息主體的權利未能實現時如何獲得救濟等問題，都語焉不詳。操作性規則的缺失將導致個人信息保護在實踐中難以被真正落實；再次，現行法未能建立一個專門的公權力機構或執法機構(類似中國香港的個人資料私隱專員公署)來執行個人信息保護的法律，全面負責個人信息隱私保護。在實踐中，缺少對信息處理者的行為是否合規的監管。此外，如果出現信息處理者違法或侵權行為，受害人只能依賴民事訴訟或刑事訴訟等高成本的救濟方式，而沒有向專門機構進行投訴、請求其行使公權力以快速有效糾正信息處理者之違法或侵權行為的可能。

3.2 人工智能醫療對數據安全和隱私保護的挑戰

人工智能醫療離不開患者的個人健康信息和病歷信息，顯然須受制于個人信息隱私的法律規制。根據《民法典》第一千零三十六條對“個人信息的處理”的定義，人工智能醫療技術的開發者和使用者(例如醫生、醫療機構)對大量的患者信息進行收集、存儲、加工、傳輸、使用，即為“信息處理者”。在大數據和人工智能年代，個人信息自主采集模式、大數據深度挖掘能力、深度學習算法對數據作自主決策等因素，對數據安全和隱私保護提出了以下三個方面的挑戰。

首先，法律規定數據處理者在收集個人信息時需要明確告知對方收集、使用信息的目的，并征得信息主體的同意方可收集其個人信息，而且數據的處理也要以該目的為限。但是，人工智能醫療需要使用跨醫療機構、跨地域的電子病歷系統中儲存的大量患者個人身份信息、健康信息、臨床醫療信息等。其中，部分信息是患者自愿向醫療機構提供，部分信息是醫療機構在為患者提供診療服務中生成；其收集、生成、儲存通常都獲得患者的明示或默示的同意，并以診療為目的。當電子病歷系統中所儲存的患者個人信息被用來建立大型的電子病歷庫而成為人工智能醫療的重要數據源時， 這已經超過患者最初知悉并同意的使用目的[18]。《民法典》第一千零三十六條列舉了三項信息處理者的免責事項：信息主體的同意；已被公開的信息；公共利益之維護。顯然，電子病歷系統中的患者個人信息不屬于已被公開的信息。而將其用于人工智能醫療的開發和使用，作為信息主體的患者并不知情，更無法對其個人信息被另作他用來行使知情同意的權利。能否以維護公共利益為理由而不經患者同意即將其個人信息用于人工智能醫療，取決于如何界定公共利益。法律上，泛泛將促進醫療技術發展視為“公共利益”則有濫用免責規定、侵害信息主體隱私權利之嫌。就此，有學者提出“個人信息的公共性和社會性”的概念，主張個人信息由“個人控制到社會控制”的觀點[19]，不過筆者對此予以保留。就如何解決人工智能醫療對患者個人信息的合法使用問題，可以考慮信息主體給予“概括性同意”并配合以“撤銷同意的權利”。

此外，實踐中，與健康相關的部分應用程式在用戶使用時未經同意自主采集其個人信息，或超越授權方式及范圍非法收集用戶個人信息，或將收集的個人信息另作他用或泄露給他人使用。類似的情形也可能出現在用于健康監測的人工智能醫療產品。這些均涉及如何規管信息處理者、如何執法的問題。2019年國家網信辦、工信部、公安部、市場監督總局聯合頒布的《App違法違規收集使用個人信息行為認定方法》即針對應用程式違法收集用戶個人信息的現象。

其次，《民法典》第一千零三十五條將“個人信息”定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”，以規范“可識別特定自然人”的信息。換言之，信息處理者處理去識別性的信息則無須受法律制約。然而大數據的深度挖掘能力，可以將原本被匿名、去識別性的單個信息整合和關聯后，重新對信息主體的身份進行“再識別”[20]或者挖掘出有關信息主體的額外隱私信息。同樣，在人工智能醫療開發中，信息處理者收集的患者個人信息即使已作匿名化處理，依然有可能被重新識別。盡管《網絡安全法》第四十二條設定了“經過處理無法識別特定個人且不能復原的”的要求，但是能否復原識別性與再識別技術發展和可獲取信息的增加相關。因此，法律應當要求人工智能醫療的信息處理者對匿名患者信息的再識別風險作常規化的評估，當監測到風險時立即采取補救措施。此外，法律可要求信息處理者作出“反對再識別”的承諾；當其向第三方使用者披露患者信息時，其亦可通過合同方式來禁止后者對信息進行再識別。

再次，大數據年代所匯集的個人信息數量巨大、種類龐雜，數據快速生成并累積，數據流動性強，這些因素對數據安全帶來更大的隱患[21]。對人工智能醫療而言，匯集的患者健康數據和臨床醫療數據越多，機器學習需要的訓練數據就越充分，獲得的深度學習模型就越精確。但是一旦海量數據集發生數據泄露或被盜的情形，將會對眾多的患者或用戶的個人隱私構成威脅及侵害。因此，信息處理者必須在收集、存儲、加工、傳輸、使用海量數據的各個環節保障數據安全，防止黑客入侵、違法泄露或使用。一方面，信息處理者需提升保障數據安全的技術措施(例如數據脫敏、數據加密、分類分級管理、數據隔離、數據追蹤技術等)，并確保數據平臺運行的安全(例如傳輸交換安全、存儲安全、訪問控制安全、平臺管理安全和平臺軟硬件基礎設施的安全等)；另一方面，信息處理者需要加強對其工作人員的管理和培訓、密切監督數據接收方的數據處理活動，以防止個人信息被違法使用或濫用。

3.3 人工智能醫療中數據安全和隱私保護的監管

有別于傳統的醫療器械或設備，人工智能醫療的監管重點，除了安全性與有效性，還應包括數據安全和隱私保護。這一點已經在國家藥品監督管理局醫療器械技術審評中心發布的《深度學習輔助決策醫療器械軟件審評要點》中有所體現：其要求數據采集時將個人信息脫敏以保護患者隱私，并要求在算法設計中考慮網絡安全防護。但是國家食藥監局的這些要求僅針對人工智能醫療產品的設計而提出。而國家食藥監局的評審人員是否具備就人工智能醫療產品之數據安全和隱私保護的評審能力，亦存有疑問。此外，就人工智能醫療產品上市后的數據安全和隱私保護，國家食藥監局并無監管權限，由此出現監管主體的空缺問題。

所以，對人工智能醫療產品的數據安全和隱私保護做上市前和上市后的全面監管，僅有國家食藥監局的作用是遠遠不夠的。為切實執行個人信息隱私保護的法律和有效監管人工智能醫療應用中信息處理者的合規行為，政府應當要成立一個專門負責執行個人信息保護之法律的公權力機構，以提高其監管能力。例如，歐盟《通用數據保護條例》第51條即要求所有歐盟成員國至少要建立一個獨立且有能力的公權力機構，全權負責監管執行《通用數據保護條例》。而我國對不同領域的個人信息，分別由網信部門、電信部門、公安部門等分裂式管理。若按此邏輯，人工智能醫療產品的數據安全和隱私保護，可能會根據其不同的使用者和應用場合，由衛生健康委員會或工商管理部門分別負責。顯然，欠缺一個獨立且有能力的專門監管機構，對個人信息的法律保護則難以在實踐中落實。

盡管現行法對個人信息的保護提高到《民法典》的高度，但是仍然缺少一個完整的個人信息的法律保護框架，尤其缺少應對大數據環境下的有效監管信息處理者行為的具體規則。再以《通用數據保護條例》為例，其第四章共20個條文不僅規定了數據控制者和處理者對隱私保護和數據安全的具體義務，而且還針對大數據、新科技、對權利侵害有高風險的情形(例如人工智能醫療)，設置了促進數據控制者和處理者合規的各種機制：包括數據控制者事先進行數據保護影響評估，數據控制者和處理者須任命數據保護專責人員，鼓勵數據控制者和處理者制定行業內的行為準則，以及建立合規證書制度等。而其第八章共8個條文亦明確了數據控制者和處理者違規時的責任和罰則，以落實個人數據保護的“責任原則”。這些應對大數據、人工智能新技術的監管模式和方法值得我國借鑒。

4 人工智能醫療與知識產權保護

知識產權制度旨在保護智力創造者對其智力勞動成果享有的權利，從而激勵和促進人類智力創造活動的發展。在我國，人工智能技術屬于“涉及計算機程序的發明專利”[10]。但是，人工智能醫療是否能夠獲得專利保護，在法律上仍存有障礙。

首先，《中華人民共和國專利法》(13)《中華人民共和國專利法》于1984年3月12日頒布，1985年4月1日實施。1992年，2000年、2008年修正。第二十五條規定，疾病的診斷和治療方法，不授予專利?！秾＠麑彶橹改?2019)》第一章“不授予專利的申請”中第4.3項對此作了詳細說明。其中，“疾病的診斷和治療方法”是指“以有生命的人體或者動物體為直接實施對象，進行識別、確定或消除病因或病灶的過程”。之所以對疾病的診斷和治療方法不授予專利，出于兩個原因。其一，基于“人道主義的考慮和社會倫理的原因”，避免不當限制醫生選擇診療方法的自由。其二，疾病的診斷和治療方法適用于有生命的人體或動物體，無法在產業上利用。同時，《專利審查指南(2019)》澄清，那些“用于實施疾病診斷和治療方法的儀器或裝置以及在疾病診斷和治療方法中使用的物質或材料”則具有可專利性。

《專利法》排除疾病診斷和治療方法之可專利性的做法，與多數法域(例如歐洲、日本)的做法是一致的[22]。實踐中，某些利用計算機硬件手段收集患者健康信息并通過程序予以處理后得出其健康結論的技術，就曾被專利審查部門認定為“疾病診斷方法”而被拒絕授予專利[23]。但是亦有觀點認為，隨著人工智能醫療技術對醫療診斷和治療的重要性和作用增加，從鼓勵創新的目的出發，有必要對其可專利性問題再作思考，并建議對“由計算機實施”診斷和治療疾病的人工智能技術可以被考慮授予專利[23]。類似的觀點認為，人工智能醫療由軟件驅動機器設備完成，并不影響醫生選擇診療方法的自主性，而且人工智能醫療獲得診療結果的功能具有反復執行效果，具有產業重復利用性，由此建議將具有診療功能的人工智能醫療技術與《專利法》第二十五條排除的“疾病的診斷和治療方法”相區分，從而使其獲得可專利性[23]。上述觀點是否能獲得更多共識以及立法者的認同，仍有待觀察。

還需注意的是，《專利法》第五條規定，對違反法律、社會公德或者妨害公共利益的發明創造，不授予專利權。如果某項人工智能醫療技術存在違反個人信息隱私保護的法律的風險，或者由于數據選擇偏見或設計偏見使其在應用上違反了平等原則或反歧視原則[9]，那么該項人工智能醫療技術在申請專利保護時亦會遭遇法律障礙。

5 結語

人工智能科技的發展前景廣闊，在醫療領域的應用潛力巨大。本文就人工智能醫療，分析討論了在現行法下人工智能法律地位、產品責任、數據安全和隱私保護、知識產權保護等法律問題和規管挑戰。一方面，在弱人工智能階段，人工智能很難具有法律主體地位，現行法將其視為法律關系的客體；另一方面，人工智能醫療對現行法中產品責任的相關規則、個人信息隱私保護的法律，以及專利法等均提出了諸多新問題。在監管層面，就人工智能醫療器械或設備上市前后的監管、對人工智能醫療涉及的數據安全和隱私保護的監管都提出新的挑戰，急需政府做出有效的應對。需要注意的是，人工智能科技仍在持續發展中，某些人工智能醫療技術可能在較短的時間里被更新換代。技術層面的不確定性也需要法律上的討論保持開放性與持續性，從而找到既能促進人工智能科技發展、又能公平合理保障持份者權益的法律對策。