丁春艷

(香港城市大學(xué)法律學(xué)院,香港, chunding@cityu.edu.hk)

近十年以來，人工智能(artificial intelligence)隨著算法、算力和大數(shù)據(jù)的發(fā)展而勢不可擋。各國相繼出臺(tái)了人工智能的國家戰(zhàn)略布局，凸顯人工智能在醫(yī)療、教育、交通、通信、環(huán)境等諸多方面的重要性和巨大的應(yīng)用潛力[1]。 國務(wù)院于2017年公布的《新一代人工智能發(fā)展規(guī)劃》即對我國人工智能的發(fā)展作了系統(tǒng)的部署[2]。 在醫(yī)療領(lǐng)域，人工智能主要被應(yīng)用于藥物研發(fā)[3]、 醫(yī)學(xué)影像[4]、 輔助診療[5-6]、 健康管理[7]以及疾病預(yù)測[8]等幾個(gè)方面。人工智能醫(yī)療，不僅能夠減緩醫(yī)療人才的緊缺，提高醫(yī)療服務(wù)的質(zhì)量與效率，而且還能在疾病預(yù)防層面發(fā)揮重要的作用[9]。正因其巨大的市場潛力和社會(huì)效能，近年來，包括IBM、Google、百度、阿里、騰訊在內(nèi)的國內(nèi)外各大科技企業(yè)紛紛加入研發(fā)人工智能醫(yī)療的行列，而市場上也涌現(xiàn)專門從事人工智能醫(yī)療研發(fā)和服務(wù)的科創(chuàng)公司[10]。

與此同時(shí)，人工智能醫(yī)療的興起和發(fā)展引發(fā)了人工智能法律地位、產(chǎn)品責(zé)任、數(shù)據(jù)安全和隱私保護(hù)、知識產(chǎn)權(quán)保護(hù)等一系列的法律問題，并在規(guī)范和管理層面帶來全新的挑戰(zhàn)。面對這些問題和挑戰(zhàn)，法律的應(yīng)對是相對滯后的，目前仍處于摸索和發(fā)展的階段?？傮w而言，有待厘清的法律問題包括：人工智能醫(yī)療引發(fā)的新法律問題是什么？傳統(tǒng)的法律規(guī)范在多大程度上可以解決這些問題？對傳統(tǒng)法律不足以解決的部分，法律應(yīng)當(dāng)如何應(yīng)對？在我國，學(xué)界對人工智能醫(yī)療之法律問題的關(guān)注興于2018年，當(dāng)前的討論尚未在現(xiàn)行法律框架下作全面且細(xì)致的探討。本文在闡釋人工智能特征和局限性的基礎(chǔ)上，就產(chǎn)品責(zé)任、數(shù)據(jù)安全和隱私保護(hù)、知識產(chǎn)權(quán)保護(hù)三個(gè)方面，結(jié)合現(xiàn)行法并參考域外法，來全面探討人工智能醫(yī)療帶來的法律問題與規(guī)管挑戰(zhàn)。

1 人工智能的特征和局限性

人工智能是指模仿人類智能執(zhí)行特定任務(wù)的系統(tǒng)或機(jī)器，其包括四大技術(shù)分支：模式識別、機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘、智能算法。理論上，按照人工智能的發(fā)展階段，可分為弱人工智能和強(qiáng)人工智能。通常認(rèn)為，擅長單個(gè)方面的弱人工智能(例如,AlphaGo下圍棋)，目前已經(jīng)實(shí)現(xiàn)。但是否能夠?qū)崿F(xiàn)能與人類比肩的真正具備推理和解決問題能力、具有知覺與自我意識的強(qiáng)人工智能，無論是在哲學(xué)爭論上還是技術(shù)發(fā)展上，都未有定數(shù)[11]。 當(dāng)前的人工智能技術(shù)在模仿人類的感知能力(看、聽、讀、寫、說)、認(rèn)知能力(分析辨識能力、預(yù)測能力、判斷能力、學(xué)習(xí)能力)方面已經(jīng)取得了重大突破和發(fā)展，但是在創(chuàng)造力和智慧(自我意識、自我認(rèn)知、價(jià)值觀)方面仍然難以企及人類。而在醫(yī)療領(lǐng)域，借助其所達(dá)到的感知能力和認(rèn)知能力，人工智能主要被應(yīng)用于藥物研發(fā)、醫(yī)學(xué)影像、輔助診療、健康管理以及疾病預(yù)測等幾個(gè)方面。

需要注意的是，人工智能應(yīng)用在三個(gè)方面存在局限性。首先，人工智能技術(shù)并非中立。該技術(shù)的設(shè)計(jì)和生成離不開人的參與，而如何選擇用以訓(xùn)練機(jī)器學(xué)習(xí)的數(shù)據(jù)也取決于設(shè)計(jì)者。由于數(shù)據(jù)選擇偏見、設(shè)計(jì)偏見的存在，算法本身也會(huì)帶有偏見，從而可能產(chǎn)生偏頗、不公平甚至帶有歧視性的決定或結(jié)果[9]；其次，人工智能技術(shù)也并非絕對準(zhǔn)確。人工智能的決策往往基于歸納的知識、強(qiáng)關(guān)聯(lián)性(而非因果性)、統(tǒng)計(jì)的蓋然性，其預(yù)測的結(jié)果并不一定完全符合真實(shí)情況。如果技術(shù)設(shè)計(jì)者欠缺對真實(shí)世界的全面充分了解或者訓(xùn)練機(jī)器學(xué)習(xí)時(shí)存在數(shù)據(jù)選擇偏見，也可能導(dǎo)致算法得出片面、不準(zhǔn)確的結(jié)果[9]；最后，人類無法理解或解釋深度學(xué)習(xí)算法在分類時(shí)考慮了何種因素、如何且為何作出特定結(jié)論，而且隨著數(shù)據(jù)的增加，算法會(huì)發(fā)生自我改變并優(yōu)化之后的預(yù)測，即所謂的“黑盒(black box)”問題和“欠缺透明性(opacity)”問題。因此，深度學(xué)習(xí)算法在應(yīng)用中具有不可預(yù)測性和潛在的危險(xiǎn)性[12]。

鑒于人工智能應(yīng)用于上述三方面的局限性，在倫理、法律以及科技政策角度值得作相應(yīng)的思考。第一，如何能夠減少人工智能技術(shù)或其結(jié)果所包含的偏見，以及由此造成的技術(shù)鴻溝(technology divide)？第二，如果人工智能在應(yīng)用中產(chǎn)生了錯(cuò)誤的判定或結(jié)果而導(dǎo)致人身傷害或財(cái)產(chǎn)損失，應(yīng)當(dāng)如何分配風(fēng)險(xiǎn)和責(zé)任？第三，當(dāng)人類對深度學(xué)習(xí)算法的運(yùn)行和如何得出結(jié)果無法解釋、無法掌控時(shí)，人類是否應(yīng)當(dāng)對其承擔(dān)責(zé)任？第一個(gè)問題有賴于科技倫理和政策方面的探討和思索，而后兩個(gè)問題則有賴于法律予以處理和解決。如果轉(zhuǎn)換成法律語言，即人工智能在應(yīng)用中所造成的人身及財(cái)產(chǎn)損害，誰是法律上的責(zé)任主體，應(yīng)當(dāng)如何確定法律責(zé)任？

2 人工智能醫(yī)療的產(chǎn)品責(zé)任

人工智能被應(yīng)用于醫(yī)學(xué)影像方面，可以協(xié)助放射科醫(yī)生篩選正常影像、分析影像。在輔助診療方面，人工智能可以讀取、分析電子病歷中的文本信息，學(xué)習(xí)病例中的診斷邏輯，生成預(yù)測診斷，為醫(yī)生對復(fù)雜或罕見疾病進(jìn)行診斷時(shí)提供參考；而手術(shù)機(jī)器人可協(xié)助醫(yī)生以提高手術(shù)精確性。人工智能被用作健康管理，能夠?qū)崟r(shí)動(dòng)態(tài)地監(jiān)測健康數(shù)據(jù)，特別是為慢性病患者、老年患者提供常規(guī)化的健康監(jiān)測、指導(dǎo)和管理。此外，其被用于疾病預(yù)測，預(yù)測特定人群在特定時(shí)間窗口患某種疾病的風(fēng)險(xiǎn)概率。當(dāng)人工智能技術(shù)在上述方面的應(yīng)用中發(fā)生決策或預(yù)測錯(cuò)誤并因此導(dǎo)致患者遭受人身傷害時(shí)，則需要考慮法律責(zé)任主體、如何確定法律責(zé)任、如何進(jìn)行法律規(guī)管的問題。

2.1 人工智能是否具有法律主體地位

弱人工智能中的深度學(xué)習(xí)算法具有推理和決策的不透明性，其開發(fā)者也難以理解或解釋算法是如何、為何得出特定的結(jié)論。強(qiáng)人工智能被期待達(dá)到與人類比肩的推理和解決問題能力、知覺與自我意識。由此引發(fā)人工智能能否具有法律主體地位的思考和爭論，形成肯定說、否定說和中間說的觀點(diǎn)[13-14]。

現(xiàn)行法下，根據(jù)《中華人民共和國民法總則》(1)《中華人民共和國民法總則》于2017年3月15日頒布，2017年10月1日實(shí)施。的相關(guān)規(guī)定，民法上的法律主體包括自然人和法人，兩者具有民事權(quán)利能力(capacity for right)，依法享有民事權(quán)利，承擔(dān)民事義務(wù)。 自然人系法律主體而非客體，是基于人本主義的倫理基礎(chǔ)，出于對人之為人的尊重。無民事行為能力(capacity to act)或限制行為能力人的自然人(例如嬰幼兒、兒童、精神病患者)，雖然其行為能力須由其法定代理人予以補(bǔ)足，但是其均具有獨(dú)立的法律人格，得以享受民事權(quán)利、承擔(dān)民事義務(wù)。而活體出生的胎兒，因?yàn)榫邆淞擞邢耷野l(fā)展中的倫理地位(moral status)，在法律上亦被擬制為具有“有限”民事權(quán)利能力的法律人格(限于遺產(chǎn)繼承、接受贈(zèng)予等與胎兒利益保護(hù)相關(guān)的法律關(guān)系)。 此外，基于社會(huì)與經(jīng)濟(jì)活動(dòng)的實(shí)踐需要，民法將法人擬制為法律主體，使之具有獨(dú)立于設(shè)立者或成員的法律人格、財(cái)產(chǎn)，獨(dú)立地享受民事權(quán)利、承擔(dān)民事義務(wù)和責(zé)任。法人的意思能力和行為能力需借由代表法人的自然人或機(jī)構(gòu)，或者通過代理人來實(shí)現(xiàn)。

可見，現(xiàn)行法并沒有確立人工智能的法律主體地位。通常認(rèn)為，沒有自我意識的、僅擅長單個(gè)方面的弱人工智能并不具有法律人格。它們只是人類借以實(shí)現(xiàn)特定目的或需求的手段或工具，在法律上處于客體的地位。即使人類目前很難理解或解釋深度學(xué)習(xí)算法如何且為何作出特定的決定，但這并不足以構(gòu)成賦予人工智能以法律人格的理由，因?yàn)樯疃葘W(xué)習(xí)算法的設(shè)計(jì)、生成、訓(xùn)練機(jī)器學(xué)習(xí)等各個(gè)環(huán)節(jié)都離不開人類的決策與參與。而設(shè)計(jì)者是否要對其無法完全控制的深度學(xué)習(xí)算法之決定及該決定引發(fā)的后果承擔(dān)責(zé)任，并非涉及法律主體的問題，而是關(guān)系到歸責(zé)原則的問題。目前，域外就這個(gè)問題的討論所達(dá)成的基本共識是，賦予人工智能以法律主體地位是不必要的、不實(shí)際的、不符合倫理且有可能被濫用[9]。

如果人類將來研發(fā)出具備推理和解決問題能力、具有知覺與自我意識的強(qiáng)人工智能，其是否成為法律主體，則是值得思考的問題。民事法律主體的核心要素是“權(quán)利能力”，而非“行為能力”。法律若要賦予強(qiáng)人工智能以法律主體地位(即賦予能獨(dú)立享受法律權(quán)利的資格)，首先須確認(rèn)其倫理地位或者證明實(shí)踐必要性。由于當(dāng)前仍無法得知強(qiáng)人工智能究竟能夠在創(chuàng)造力與智慧(自我意識、自我認(rèn)知、價(jià)值觀)方面達(dá)到何種程度，因此就人工智能能否具有“人性”，在倫理上成為“目的(end)”，而不是服務(wù)于其他目的的“手段(means)”等問題，目前基本停留在假設(shè)或猜想的階段而無法得出確定的答案。但與此同時(shí)，鑒于人工智能科技的發(fā)展?jié)摿?，人類是否?yīng)當(dāng)賦予將來可能產(chǎn)生的、具有“人性”的強(qiáng)人工智能以倫理地位和法律人格，且在多大程度上承認(rèn)其法律主體地位，作為一個(gè)開放性的問題，可被持續(xù)關(guān)注與探討。

2.2 產(chǎn)品責(zé)任的確定

當(dāng)人工智能醫(yī)療用于疾病預(yù)測和輔助診療時(shí)，其相當(dāng)于發(fā)揮著類似醫(yī)療器械或設(shè)備協(xié)助醫(yī)生診療的作用，而人工智能技術(shù)開發(fā)者和醫(yī)療機(jī)構(gòu)成為可能的責(zé)任主體。當(dāng)人工智能醫(yī)療用于患者日常的健康管理和疾病預(yù)測時(shí)，其相當(dāng)于發(fā)揮著醫(yī)療產(chǎn)品供消費(fèi)者使用的作用，而該人工智能醫(yī)療產(chǎn)品的生產(chǎn)者和銷售者則是可能的責(zé)任主體。針對應(yīng)用于輔助診療、健康管理以及疾病預(yù)測的人工智能醫(yī)療所造成的人身傷害以及民事責(zé)任，現(xiàn)行法并沒有特別的規(guī)定；但根據(jù)人工智能醫(yī)療具體的作用和性質(zhì)，其可被視為“醫(yī)療器械或設(shè)備”或“醫(yī)療產(chǎn)品”，因此得以適用現(xiàn)有的相關(guān)法律規(guī)則。

具體而言，根據(jù)《中華人民共和國侵權(quán)責(zé)任法》(2)《中華人民共和國侵權(quán)責(zé)任法》于2009年12月26日頒布，2010年7月1日實(shí)施。第五十九條的規(guī)定，因藥品、消毒產(chǎn)品、醫(yī)療器械的缺陷，或者輸入不合格的血液造成患者損害的，患者可以向藥品上市許可持有人、生產(chǎn)者、血液提供機(jī)構(gòu)請求賠償，也可以向醫(yī)療機(jī)構(gòu)請求賠償?；颊呦蜥t(yī)療機(jī)構(gòu)請求賠償?shù)?，醫(yī)療機(jī)構(gòu)賠償后，有權(quán)向負(fù)有責(zé)任的藥品上市許可持有人、生產(chǎn)者、血液提供機(jī)構(gòu)追償。另根據(jù)《中華人民共和國產(chǎn)品質(zhì)量法》(3)《中華人民共和國產(chǎn)品質(zhì)量法》于1993年2月22日頒布，1993年9月1日實(shí)施。2000年、2009年、2018年修正。第四十一條，生產(chǎn)者對因產(chǎn)品存在缺陷造成的人身傷害、缺陷產(chǎn)品以外的其他財(cái)產(chǎn)損失，承擔(dān)賠償責(zé)任；除非其可證明尚未將產(chǎn)品投入流通，或產(chǎn)品投入流通時(shí)引起損害的缺陷尚未存在，或?qū)a(chǎn)品投入流通時(shí)的科學(xué)技術(shù)水平尚不能發(fā)現(xiàn)缺陷的存在。盡管銷售者基于過錯(cuò)原則承擔(dān)產(chǎn)品責(zé)任，但是《產(chǎn)品質(zhì)量法》第四十三條允許受害人任意選擇生產(chǎn)者或銷售者請求賠償，客觀上使得產(chǎn)品的生產(chǎn)者和銷售者承擔(dān)連帶責(zé)任。

基于上述法律規(guī)則，當(dāng)人工智能醫(yī)療應(yīng)用于疾病預(yù)測和輔助診療時(shí)，作為生產(chǎn)者的人工智能技術(shù)開發(fā)者和作為醫(yī)療服務(wù)提供者的醫(yī)療機(jī)構(gòu)應(yīng)對作為受害人的患者承擔(dān)以嚴(yán)格責(zé)任為基礎(chǔ)的產(chǎn)品責(zé)任，患者可以選擇向生產(chǎn)者或醫(yī)療機(jī)構(gòu)請求賠償，而醫(yī)療機(jī)構(gòu)賠償受害人后，可對生產(chǎn)者行使追償權(quán)。當(dāng)人工智能醫(yī)療用于患者日常的健康管理和疾病預(yù)測時(shí)，作為生產(chǎn)者的人工智能技術(shù)開發(fā)者以及銷售該人工智能醫(yī)療產(chǎn)品的銷售者對受害人的損失基于嚴(yán)格責(zé)任對產(chǎn)品瑕疵承擔(dān)連帶責(zé)任。

現(xiàn)行法要求受害人證明人工智能醫(yī)療設(shè)備或產(chǎn)品的瑕疵和其損害與該瑕疵有因果關(guān)系，需要思考的是，受害人是否具備相應(yīng)的舉證能力。鑒于人工智能醫(yī)療技術(shù)的復(fù)雜性、其行業(yè)標(biāo)準(zhǔn)尚未建立，對受害人而言要證明產(chǎn)品瑕疵并非易事。為減輕受害人的舉證責(zé)任，法律可以考慮就產(chǎn)品瑕疵問題采用舉證責(zé)任倒置，或者采用無過錯(cuò)(no fault)制度，只要受害人能證明其損害因人工智能醫(yī)療的錯(cuò)誤決定造成即可獲得賠償。

此外，人工智能醫(yī)療被用于疾病預(yù)測和輔助診療時(shí)，導(dǎo)致患者人身傷害的直接原因是醫(yī)生的診斷。當(dāng)人工智能醫(yī)療提供了錯(cuò)誤的決定時(shí)，醫(yī)生是否作出合理的專業(yè)判斷以甄別或排除該項(xiàng)錯(cuò)誤？如果醫(yī)生亦存在過失，那么在多大程度上誤診所造成的人身傷害是出于人工智能醫(yī)療所作出的錯(cuò)誤決定？這分別涉及相當(dāng)復(fù)雜的醫(yī)療過失判定和因果關(guān)系判定的法律問題。盡管現(xiàn)行法要求生產(chǎn)者與醫(yī)療機(jī)構(gòu)對患者承擔(dān)連帶責(zé)任，但是就生產(chǎn)者與醫(yī)療機(jī)構(gòu)之間的責(zé)任分配，以及各自承保人所應(yīng)負(fù)擔(dān)的損失賠償數(shù)額等問題，在實(shí)踐中極有可能產(chǎn)生爭議。由于對此很難有劃一的答案，只能留給法官在個(gè)案中作具體的判定。

另一個(gè)問題是，如果人工智能醫(yī)療運(yùn)用了深度學(xué)習(xí)算法作出特定的醫(yī)療判定或決定，其開發(fā)者、銷售者及醫(yī)療機(jī)構(gòu)能否主張《產(chǎn)品責(zé)任法》第四十一條所規(guī)定的免責(zé)事由呢？這就涉及人類對深度學(xué)習(xí)算法之決定的不可控性是否構(gòu)成“產(chǎn)品缺陷”，如果是，該缺陷是否屬于“產(chǎn)品投入流通時(shí)引起損害的缺陷尚未存在”或“將產(chǎn)品投入流通時(shí)的科學(xué)技術(shù)水平尚不能發(fā)現(xiàn)缺陷的存在”。在某種意義上，人類無法理解或解釋深度學(xué)習(xí)算法如何且為何作出特定的決定，從而無法預(yù)防、降低或消除人工智能可能做出錯(cuò)誤決定的風(fēng)險(xiǎn)，可以被視為法律上的“產(chǎn)品缺陷”。然而此種缺陷的存在，在產(chǎn)品投入流通時(shí)已為設(shè)計(jì)者所知曉，因此生產(chǎn)者很難成功主張產(chǎn)品責(zé)任的免責(zé)事由。

值得進(jìn)一步追問的是，現(xiàn)行法要求人工智能醫(yī)療的開發(fā)者、銷售者及醫(yī)療機(jī)構(gòu)基于嚴(yán)格責(zé)任來承擔(dān)產(chǎn)品責(zé)任，是否會(huì)產(chǎn)生阻礙人工智能醫(yī)療研發(fā)和使用的不利后果呢？法律之所以就產(chǎn)品責(zé)任適用嚴(yán)格責(zé)任，其中一個(gè)重要原因是，相對于因產(chǎn)品缺陷受害的患者或消費(fèi)者，生產(chǎn)者處于更佳的地位去發(fā)現(xiàn)、減少甚至避免產(chǎn)品缺陷，從而提高產(chǎn)品的安全性和效用。當(dāng)深度學(xué)習(xí)算法之推理和決策的不透明性可能已經(jīng)造成信任危機(jī)時(shí)[15]，如果再讓受害人面對法律風(fēng)險(xiǎn)去承擔(dān)產(chǎn)品缺陷所導(dǎo)致的損失，既不合理、又會(huì)導(dǎo)致患者喪失信任從而拒絕使用人工智能醫(yī)療的后果。確立嚴(yán)格責(zé)任的另一個(gè)重要原因在于，生產(chǎn)者可以將法律風(fēng)險(xiǎn)作為產(chǎn)品的成本轉(zhuǎn)嫁到全體消費(fèi)者，從而起到分散損失的效果。實(shí)踐中，生產(chǎn)者往往通過購買產(chǎn)品責(zé)任保險(xiǎn)來實(shí)現(xiàn)這一目的。同理，為轉(zhuǎn)嫁風(fēng)險(xiǎn)、分散損失，人工智能醫(yī)療的開發(fā)者也需要借助保險(xiǎn)制度或設(shè)立特定的賠償基金來應(yīng)對潛在的產(chǎn)品責(zé)任法律風(fēng)險(xiǎn)。與此同時(shí)，這也能增強(qiáng)產(chǎn)品使用者和消費(fèi)者的信心和購買意愿，便利法律糾紛的解決和救濟(jì)的實(shí)現(xiàn)，增強(qiáng)人工智能醫(yī)療研發(fā)的動(dòng)力。但是，《侵權(quán)責(zé)任法》第五十九條要求醫(yī)療機(jī)構(gòu)對人工智能醫(yī)療的生產(chǎn)者的產(chǎn)品責(zé)任承擔(dān)連帶責(zé)任的規(guī)則并不合理，因?yàn)樵撘?guī)則將醫(yī)療機(jī)構(gòu)置于自身不可控的法律風(fēng)險(xiǎn)中，以致產(chǎn)生阻礙人工智能醫(yī)療應(yīng)用的后果[16]。

2.3 人工智能醫(yī)療產(chǎn)品的規(guī)管

法律上，將人工智能醫(yī)療視為“醫(yī)療器械”(4)按照《醫(yī)療器械監(jiān)督管理?xiàng)l例》第七十六條，醫(yī)療器械，是指直接或者間接用于人體的儀器、設(shè)備、器具、體外診斷試劑及校準(zhǔn)物、材料以及其他類似或者相關(guān)的物品，包括所需要的計(jì)算機(jī)軟件；其效用主要通過物理等方式獲得，不是通過藥理學(xué)、免疫學(xué)或者代謝的方式獲得，或者雖然有這些方式參與但是只起輔助作用。或“醫(yī)療設(shè)備”，需要面對標(biāo)準(zhǔn)設(shè)定、市場準(zhǔn)入、質(zhì)量監(jiān)控等規(guī)管層面的問題。根據(jù)《醫(yī)療器械監(jiān)督管理?xiàng)l例》(5)《醫(yī)療器械監(jiān)督管理?xiàng)l例》于2000年1月4日頒布，2014年、2017年修訂。，國務(wù)院食品藥品監(jiān)督管理部門負(fù)責(zé)全國醫(yī)療器械監(jiān)督管理工作?？h級以上地方人民政府食品藥品監(jiān)督管理部門負(fù)責(zé)本行政區(qū)域的醫(yī)療器械監(jiān)督管理工作。為確保安全性和有效性，根據(jù)醫(yī)療器械低中高三級風(fēng)險(xiǎn)等級進(jìn)行分類管理，對其審批、注冊上市、生產(chǎn)經(jīng)營、不良事件監(jiān)測和召回、監(jiān)督檢查等作出一系列的規(guī)管。

原國家食品藥品監(jiān)督管理總局于2017年更新的《醫(yī)療器械分類目錄》 中單列了醫(yī)用獨(dú)立軟件(包括治療計(jì)劃、影響處理、數(shù)據(jù)處理、決策支持、體外診斷、康復(fù)訓(xùn)練軟件等)。如果診斷軟件通過其算法提供診斷建議，僅具有輔助診斷功能，不直接給出診斷結(jié)論，則按照中風(fēng)險(xiǎn)的第二類醫(yī)療器械進(jìn)行規(guī)管。如果通過其算法對病變部位進(jìn)行自動(dòng)識別，并提供明確的診斷提示，則按照高風(fēng)險(xiǎn)的第三類醫(yī)療器械進(jìn)行規(guī)管。而市場上大部分的人工智能醫(yī)療產(chǎn)品屬于第三類，須經(jīng)過產(chǎn)品定型、檢測、臨床試驗(yàn)、注冊申報(bào)、技術(shù)審評、行政審批等六個(gè)步驟。此外，國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評中心于2019年7月發(fā)布了《深度學(xué)習(xí)輔助決策醫(yī)療器械軟件審評要點(diǎn)》，用于規(guī)范“深度學(xué)習(xí)輔助決策醫(yī)療器械軟件”(6)“深度學(xué)習(xí)輔助決策醫(yī)療器械軟件”是指基于醫(yī)療器械數(shù)據(jù)(醫(yī)療器械所生成的醫(yī)學(xué)圖像、醫(yī)學(xué)數(shù)據(jù)，以下統(tǒng)稱數(shù)據(jù))，使用深度學(xué)習(xí)技術(shù)進(jìn)行輔助決策的軟件。的注冊申報(bào)。

然而，當(dāng)前對人工智能醫(yī)療器械或設(shè)備的法律規(guī)管面臨如下三個(gè)方面的挑戰(zhàn)。首先，針對人工智能醫(yī)療的專業(yè)監(jiān)管人才欠缺，尤其是缺少具備醫(yī)療、技術(shù)、法律等知識的復(fù)合型人才。美國的食品藥品監(jiān)督管理局在2017年正式組建了一個(gè)專門致力于數(shù)字化醫(yī)療和人工智能技術(shù)審評的部門，配置相應(yīng)的專業(yè)人才以確立相應(yīng)的標(biāo)準(zhǔn)和規(guī)范，為審批和監(jiān)管數(shù)字化醫(yī)療和人工智能醫(yī)療器械、設(shè)備或醫(yī)用軟件服務(wù)[17]。 國家藥品監(jiān)督管理局目前尚未設(shè)立類似的專門機(jī)構(gòu)、配備相應(yīng)的人才來應(yīng)對將來可能涌現(xiàn)的人工智能醫(yī)療產(chǎn)品。其次，用于審批和監(jiān)管的標(biāo)準(zhǔn)測試數(shù)據(jù)庫有待建立和健全，且要達(dá)到廣泛性、兼容性和標(biāo)準(zhǔn)化的要求。與傳統(tǒng)的醫(yī)療器械不同，人工智能醫(yī)療應(yīng)用依賴大量的臨床醫(yī)療數(shù)據(jù)，而針對不同病種的人工智能醫(yī)療產(chǎn)品需要建立不同病種的標(biāo)準(zhǔn)測試數(shù)據(jù)庫。由于實(shí)踐中醫(yī)療系統(tǒng)中的數(shù)據(jù)標(biāo)準(zhǔn)化程度較低、數(shù)據(jù)質(zhì)量層次，這也給對人工智能醫(yī)療的有效規(guī)管帶來難度。再次，適應(yīng)于人工智能醫(yī)療的特殊審批標(biāo)準(zhǔn)和規(guī)則有待確立。例如，人工智能醫(yī)療的數(shù)據(jù)庫、算法模型、應(yīng)用界面會(huì)在應(yīng)用中被快速擴(kuò)張或更新，而傳統(tǒng)的增項(xiàng)或升級標(biāo)準(zhǔn)和規(guī)則無法適應(yīng)人工智能醫(yī)療設(shè)備更新迭代的速度和頻率。另外，如何對人工智能醫(yī)療設(shè)備的風(fēng)險(xiǎn)等級做合理的評估和分類；就關(guān)系到安全性和可靠性的深度學(xué)習(xí)算法之黑盒問題，如何與以科學(xué)認(rèn)知、臨床試驗(yàn)為基礎(chǔ)的傳統(tǒng)審核方法和標(biāo)準(zhǔn)相協(xié)調(diào)；為取得發(fā)展科研和患者安全之間的平衡，是否需要適當(dāng)放松人工智能醫(yī)療上市前的監(jiān)管而代之以上市后監(jiān)管的強(qiáng)化；在對人工智能醫(yī)療技術(shù)作上市后規(guī)管的階段，藥監(jiān)局如何取得業(yè)界的有效配合或協(xié)同治理。這些問題未能在《深度學(xué)習(xí)輔助決策醫(yī)療器械軟件審評要點(diǎn)》中得以解決，因此仍待厘清。而隨著人工智能技術(shù)的發(fā)展，相應(yīng)的審批標(biāo)準(zhǔn)和規(guī)則還需與時(shí)俱進(jìn)地作出及時(shí)地調(diào)整與更新。

3 人工智能醫(yī)療與數(shù)據(jù)安全和隱私保護(hù)

發(fā)展人工智能技術(shù)不應(yīng)以犧牲個(gè)人數(shù)據(jù)隱私利益為代價(jià)。在大數(shù)據(jù)年代，只有為用戶提供充分的個(gè)人數(shù)據(jù)隱私保護(hù)、健全保障數(shù)據(jù)安全的措施，才能建立并增強(qiáng)公眾對大數(shù)據(jù)應(yīng)用和人工智能技術(shù)的信任和信心，從而為技術(shù)發(fā)展提供動(dòng)力和助力。在倫理層面，保護(hù)個(gè)人數(shù)據(jù)隱私是出于對個(gè)人人格和尊嚴(yán)的尊重。在法律層面，無論是經(jīng)濟(jì)合作與發(fā)展組織(OECD)2013年更新的個(gè)人數(shù)據(jù)保護(hù)八項(xiàng)原則(即收集限制原則、數(shù)據(jù)質(zhì)量原則、明確目的原則、限制使用原則、安全保障原則、公開原則、個(gè)人參與原則和責(zé)任原則)(7)Collection limitation principle, Data quality principle, Purpose specification principle, Use limitation principle, Security safeguard principle, Openness principle, Individual participation principle, and Accountability principle.， 還是歐盟2016年《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation)明確的七項(xiàng)原則(即合法公平透明原則、目的限制原則、數(shù)據(jù)最小化原則、準(zhǔn)確原則、儲(chǔ)存限制原則、完整性和保密原則和責(zé)任原則)(8)Lawfulness, fairness and transparency, purpose limitation, Data minimization, Accuracy, Storage limitations, Integrity and confidentiality, and Accountability.，都為各國的個(gè)人數(shù)據(jù)隱私保護(hù)立法提供非常重要的參考。

人工智能醫(yī)療的開發(fā)和應(yīng)用同樣離不開大數(shù)據(jù)，尤其涉及大量患者的身份信息、健康信息和臨床醫(yī)療數(shù)據(jù)的收集、共享和使用。在發(fā)展人工智能醫(yī)療的同時(shí)，需要考慮的是現(xiàn)行法對個(gè)人信息隱私的保護(hù)是否完善、人工智能醫(yī)療對個(gè)人信息隱私保護(hù)產(chǎn)生哪些挑戰(zhàn)，以及在監(jiān)管層面需如何應(yīng)對等問題。

3.1 現(xiàn)行法對個(gè)人信息隱私的保護(hù)

中國法律明確對個(gè)人信息隱私的保護(hù)始于2009年的《中華人民共和國刑法修正案(七)》，其新增了關(guān)于侵犯公民個(gè)人信息罪的相關(guān)規(guī)定(9)2017年，最高人民法院和最高人民檢察院通過了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》對侵犯公民個(gè)人信息罪的具體操作規(guī)則進(jìn)行了細(xì)化。。 之后，2012年的《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第一條規(guī)定：“國家保護(hù)能夠識別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。任何組織和個(gè)人不得竊取或者以其他非法方式獲取公民個(gè)人電子信息，不得出售或者非法向他人提供公民個(gè)人電子信息。”

2013年，工業(yè)和信息化部頒布了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》。該法第四條將“個(gè)人信息”定義為“用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨(dú)或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息”，并提供了保護(hù)個(gè)人信息的一般規(guī)則。首先，該法第五條要求電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在收集、使用用戶個(gè)人信息時(shí)應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則；其次，該法第九條要求采集、使用客戶個(gè)人信息時(shí)，應(yīng)當(dāng)明確告知其收集、使用信息的目的、方式和范圍，查詢、更正信息的渠道以及拒絕提供信息的后果等事項(xiàng)，并經(jīng)用戶同意后方可收集、使用其個(gè)人信息；再次，該法第十條要求在收集、使用客戶個(gè)人信息過程中，應(yīng)當(dāng)嚴(yán)格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供；最后，該法第六條、第十三條和第十四條要求電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)對客戶的個(gè)人信息安全負(fù)責(zé)，防止其泄露、毀損、篡改或者丟失；如果發(fā)生上述情形，應(yīng)當(dāng)立即采取補(bǔ)救措施。2017年，國家互聯(lián)網(wǎng)信息辦公室制定《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，明確監(jiān)護(hù)人在保護(hù)兒童個(gè)人信息中的權(quán)利和作用。

2017年頒布的《民法總則》首次在民法上對個(gè)人信息作出明確規(guī)定(10)2014年的《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12條曾籠統(tǒng)提及網(wǎng)絡(luò)侵犯個(gè)人信息的侵權(quán)行為。。 該法第一百一十一條規(guī)定，“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！倍?020年5月全國人大通過的《中華人民共和國民法典》(11)《中華人民共和國民法典》于2020年5月28日頒布，2021年1月1日實(shí)施。加大了對個(gè)人信息保護(hù)的力度，在“人格權(quán)編”單設(shè)一章“隱私權(quán)和個(gè)人信息保護(hù)”。《民法典》第一千零三十四條定義了“個(gè)人信息”；第一千零三十五條規(guī)定了個(gè)人信息的處理應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，須獲得信息主體的同意，公開處理信息的規(guī)則，并明示處理信息的目的、方式和范圍。第一千零三十六條規(guī)定了信息處理者的免責(zé)事由；第一千零三十七條明確個(gè)人信息主體的參與權(quán)利；第一千零三十八條規(guī)定了信息處理者的安全保障義務(wù)。最后，第一千零三十九條明確了國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員對公民個(gè)人信息的保密義務(wù)。

在個(gè)人數(shù)據(jù)安全方面，全國人大常委會(huì)于2016年頒布了《中華人民共和國網(wǎng)絡(luò)安全法》(12)《中華人民共和國網(wǎng)絡(luò)安全法》于2016年11月7日頒發(fā)，2017年6月1日實(shí)施。。2020年4月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、國家安全部等12個(gè)部門聯(lián)合公布了《網(wǎng)絡(luò)安全審查辦法》。

雖然近十年來我國法律對公民個(gè)人信息隱私的重視逐漸加強(qiáng)，在民事、行政、刑事法律上均做出保護(hù)，但是現(xiàn)行法對個(gè)人信息隱私的保護(hù)仍有完善的空間。首先，現(xiàn)行法尚未建立一個(gè)完整的個(gè)人信息的法律保護(hù)框架，相關(guān)的規(guī)則都零散于不同的法律、法規(guī)、規(guī)章和司法解釋。雖然現(xiàn)行法將個(gè)人信息保護(hù)提升到《民法典》的高度，但如果與OECD個(gè)人數(shù)據(jù)保護(hù)的八項(xiàng)原則相比，《民法典》僅提到了信息收集階段告知及征得同意的要求、安全保障原則、公開原則、信息主體參與原則，卻未能確立數(shù)據(jù)質(zhì)量原則、限制使用原則、責(zé)任原則。若與歐盟的《通用數(shù)據(jù)保護(hù)條例》相比，現(xiàn)行法尚未涉及數(shù)據(jù)最小化原則和儲(chǔ)存限制原則；其次，現(xiàn)行法的規(guī)定基本停留于原則的陳述，欠缺細(xì)化的具有操作性的法律規(guī)則。以信息主體參與權(quán)為例，其如何行使查閱或復(fù)制個(gè)人信息的權(quán)利、如何請求更正或刪除個(gè)人信息、能否及時(shí)收到其個(gè)人信息被侵害的通知(data breach notification)、信息處理者相應(yīng)地負(fù)有哪些義務(wù)和職責(zé)，信息主體的權(quán)利未能實(shí)現(xiàn)時(shí)如何獲得救濟(jì)等問題，都語焉不詳。操作性規(guī)則的缺失將導(dǎo)致個(gè)人信息保護(hù)在實(shí)踐中難以被真正落實(shí)；再次，現(xiàn)行法未能建立一個(gè)專門的公權(quán)力機(jī)構(gòu)或執(zhí)法機(jī)構(gòu)(類似中國香港的個(gè)人資料私隱專員公署)來執(zhí)行個(gè)人信息保護(hù)的法律，全面負(fù)責(zé)個(gè)人信息隱私保護(hù)。在實(shí)踐中，缺少對信息處理者的行為是否合規(guī)的監(jiān)管。此外，如果出現(xiàn)信息處理者違法或侵權(quán)行為，受害人只能依賴民事訴訟或刑事訴訟等高成本的救濟(jì)方式，而沒有向?qū)ｉT機(jī)構(gòu)進(jìn)行投訴、請求其行使公權(quán)力以快速有效糾正信息處理者之違法或侵權(quán)行為的可能。

3.2 人工智能醫(yī)療對數(shù)據(jù)安全和隱私保護(hù)的挑戰(zhàn)

人工智能醫(yī)療離不開患者的個(gè)人健康信息和病歷信息，顯然須受制于個(gè)人信息隱私的法律規(guī)制。根據(jù)《民法典》第一千零三十六條對“個(gè)人信息的處理”的定義，人工智能醫(yī)療技術(shù)的開發(fā)者和使用者(例如醫(yī)生、醫(yī)療機(jī)構(gòu))對大量的患者信息進(jìn)行收集、存儲(chǔ)、加工、傳輸、使用，即為“信息處理者”。在大數(shù)據(jù)和人工智能年代，個(gè)人信息自主采集模式、大數(shù)據(jù)深度挖掘能力、深度學(xué)習(xí)算法對數(shù)據(jù)作自主決策等因素，對數(shù)據(jù)安全和隱私保護(hù)提出了以下三個(gè)方面的挑戰(zhàn)。

首先，法律規(guī)定數(shù)據(jù)處理者在收集個(gè)人信息時(shí)需要明確告知對方收集、使用信息的目的，并征得信息主體的同意方可收集其個(gè)人信息，而且數(shù)據(jù)的處理也要以該目的為限。但是，人工智能醫(yī)療需要使用跨醫(yī)療機(jī)構(gòu)、跨地域的電子病歷系統(tǒng)中儲(chǔ)存的大量患者個(gè)人身份信息、健康信息、臨床醫(yī)療信息等。其中，部分信息是患者自愿向醫(yī)療機(jī)構(gòu)提供，部分信息是醫(yī)療機(jī)構(gòu)在為患者提供診療服務(wù)中生成；其收集、生成、儲(chǔ)存通常都獲得患者的明示或默示的同意，并以診療為目的。當(dāng)電子病歷系統(tǒng)中所儲(chǔ)存的患者個(gè)人信息被用來建立大型的電子病歷庫而成為人工智能醫(yī)療的重要數(shù)據(jù)源時(shí)， 這已經(jīng)超過患者最初知悉并同意的使用目的[18]?！睹穹ǖ洹返谝磺Я闳鶙l列舉了三項(xiàng)信息處理者的免責(zé)事項(xiàng)：信息主體的同意；已被公開的信息；公共利益之維護(hù)。顯然，電子病歷系統(tǒng)中的患者個(gè)人信息不屬于已被公開的信息。而將其用于人工智能醫(yī)療的開發(fā)和使用，作為信息主體的患者并不知情，更無法對其個(gè)人信息被另作他用來行使知情同意的權(quán)利。能否以維護(hù)公共利益為理由而不經(jīng)患者同意即將其個(gè)人信息用于人工智能醫(yī)療，取決于如何界定公共利益。法律上，泛泛將促進(jìn)醫(yī)療技術(shù)發(fā)展視為“公共利益”則有濫用免責(zé)規(guī)定、侵害信息主體隱私權(quán)利之嫌。就此，有學(xué)者提出“個(gè)人信息的公共性和社會(huì)性”的概念，主張個(gè)人信息由“個(gè)人控制到社會(huì)控制”的觀點(diǎn)[19]，不過筆者對此予以保留。就如何解決人工智能醫(yī)療對患者個(gè)人信息的合法使用問題，可以考慮信息主體給予“概括性同意”并配合以“撤銷同意的權(quán)利”。

此外，實(shí)踐中，與健康相關(guān)的部分應(yīng)用程式在用戶使用時(shí)未經(jīng)同意自主采集其個(gè)人信息，或超越授權(quán)方式及范圍非法收集用戶個(gè)人信息，或?qū)⑹占膫€(gè)人信息另作他用或泄露給他人使用。類似的情形也可能出現(xiàn)在用于健康監(jiān)測的人工智能醫(yī)療產(chǎn)品。這些均涉及如何規(guī)管信息處理者、如何執(zhí)法的問題。2019年國家網(wǎng)信辦、工信部、公安部、市場監(jiān)督總局聯(lián)合頒布的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》即針對應(yīng)用程式違法收集用戶個(gè)人信息的現(xiàn)象。

其次，《民法典》第一千零三十五條將“個(gè)人信息”定義為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”，以規(guī)范“可識別特定自然人”的信息。換言之，信息處理者處理去識別性的信息則無須受法律制約。然而大數(shù)據(jù)的深度挖掘能力，可以將原本被匿名、去識別性的單個(gè)信息整合和關(guān)聯(lián)后，重新對信息主體的身份進(jìn)行“再識別”[20]或者挖掘出有關(guān)信息主體的額外隱私信息。同樣，在人工智能醫(yī)療開發(fā)中，信息處理者收集的患者個(gè)人信息即使已作匿名化處理，依然有可能被重新識別。盡管《網(wǎng)絡(luò)安全法》第四十二條設(shè)定了“經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的”的要求，但是能否復(fù)原識別性與再識別技術(shù)發(fā)展和可獲取信息的增加相關(guān)。因此，法律應(yīng)當(dāng)要求人工智能醫(yī)療的信息處理者對匿名患者信息的再識別風(fēng)險(xiǎn)作常規(guī)化的評估，當(dāng)監(jiān)測到風(fēng)險(xiǎn)時(shí)立即采取補(bǔ)救措施。此外，法律可要求信息處理者作出“反對再識別”的承諾；當(dāng)其向第三方使用者披露患者信息時(shí)，其亦可通過合同方式來禁止后者對信息進(jìn)行再識別。

再次，大數(shù)據(jù)年代所匯集的個(gè)人信息數(shù)量巨大、種類龐雜，數(shù)據(jù)快速生成并累積，數(shù)據(jù)流動(dòng)性強(qiáng)，這些因素對數(shù)據(jù)安全帶來更大的隱患[21]。對人工智能醫(yī)療而言，匯集的患者健康數(shù)據(jù)和臨床醫(yī)療數(shù)據(jù)越多，機(jī)器學(xué)習(xí)需要的訓(xùn)練數(shù)據(jù)就越充分，獲得的深度學(xué)習(xí)模型就越精確。但是一旦海量數(shù)據(jù)集發(fā)生數(shù)據(jù)泄露或被盜的情形，將會(huì)對眾多的患者或用戶的個(gè)人隱私構(gòu)成威脅及侵害。因此，信息處理者必須在收集、存儲(chǔ)、加工、傳輸、使用海量數(shù)據(jù)的各個(gè)環(huán)節(jié)保障數(shù)據(jù)安全，防止黑客入侵、違法泄露或使用。一方面，信息處理者需提升保障數(shù)據(jù)安全的技術(shù)措施(例如數(shù)據(jù)脫敏、數(shù)據(jù)加密、分類分級管理、數(shù)據(jù)隔離、數(shù)據(jù)追蹤技術(shù)等)，并確保數(shù)據(jù)平臺(tái)運(yùn)行的安全(例如傳輸交換安全、存儲(chǔ)安全、訪問控制安全、平臺(tái)管理安全和平臺(tái)軟硬件基礎(chǔ)設(shè)施的安全等)；另一方面，信息處理者需要加強(qiáng)對其工作人員的管理和培訓(xùn)、密切監(jiān)督數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)，以防止個(gè)人信息被違法使用或?yàn)E用。

3.3 人工智能醫(yī)療中數(shù)據(jù)安全和隱私保護(hù)的監(jiān)管

有別于傳統(tǒng)的醫(yī)療器械或設(shè)備，人工智能醫(yī)療的監(jiān)管重點(diǎn)，除了安全性與有效性，還應(yīng)包括數(shù)據(jù)安全和隱私保護(hù)。這一點(diǎn)已經(jīng)在國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評中心發(fā)布的《深度學(xué)習(xí)輔助決策醫(yī)療器械軟件審評要點(diǎn)》中有所體現(xiàn)：其要求數(shù)據(jù)采集時(shí)將個(gè)人信息脫敏以保護(hù)患者隱私，并要求在算法設(shè)計(jì)中考慮網(wǎng)絡(luò)安全防護(hù)。但是國家食藥監(jiān)局的這些要求僅針對人工智能醫(yī)療產(chǎn)品的設(shè)計(jì)而提出。而國家食藥監(jiān)局的評審人員是否具備就人工智能醫(yī)療產(chǎn)品之?dāng)?shù)據(jù)安全和隱私保護(hù)的評審能力，亦存有疑問。此外，就人工智能醫(yī)療產(chǎn)品上市后的數(shù)據(jù)安全和隱私保護(hù)，國家食藥監(jiān)局并無監(jiān)管權(quán)限，由此出現(xiàn)監(jiān)管主體的空缺問題。

所以，對人工智能醫(yī)療產(chǎn)品的數(shù)據(jù)安全和隱私保護(hù)做上市前和上市后的全面監(jiān)管，僅有國家食藥監(jiān)局的作用是遠(yuǎn)遠(yuǎn)不夠的。為切實(shí)執(zhí)行個(gè)人信息隱私保護(hù)的法律和有效監(jiān)管人工智能醫(yī)療應(yīng)用中信息處理者的合規(guī)行為，政府應(yīng)當(dāng)要成立一個(gè)專門負(fù)責(zé)執(zhí)行個(gè)人信息保護(hù)之法律的公權(quán)力機(jī)構(gòu)，以提高其監(jiān)管能力。例如，歐盟《通用數(shù)據(jù)保護(hù)條例》第51條即要求所有歐盟成員國至少要建立一個(gè)獨(dú)立且有能力的公權(quán)力機(jī)構(gòu)，全權(quán)負(fù)責(zé)監(jiān)管執(zhí)行《通用數(shù)據(jù)保護(hù)條例》。而我國對不同領(lǐng)域的個(gè)人信息，分別由網(wǎng)信部門、電信部門、公安部門等分裂式管理。若按此邏輯，人工智能醫(yī)療產(chǎn)品的數(shù)據(jù)安全和隱私保護(hù)，可能會(huì)根據(jù)其不同的使用者和應(yīng)用場合，由衛(wèi)生健康委員會(huì)或工商管理部門分別負(fù)責(zé)。顯然，欠缺一個(gè)獨(dú)立且有能力的專門監(jiān)管機(jī)構(gòu)，對個(gè)人信息的法律保護(hù)則難以在實(shí)踐中落實(shí)。

盡管現(xiàn)行法對個(gè)人信息的保護(hù)提高到《民法典》的高度，但是仍然缺少一個(gè)完整的個(gè)人信息的法律保護(hù)框架，尤其缺少應(yīng)對大數(shù)據(jù)環(huán)境下的有效監(jiān)管信息處理者行為的具體規(guī)則。再以《通用數(shù)據(jù)保護(hù)條例》為例，其第四章共20個(gè)條文不僅規(guī)定了數(shù)據(jù)控制者和處理者對隱私保護(hù)和數(shù)據(jù)安全的具體義務(wù)，而且還針對大數(shù)據(jù)、新科技、對權(quán)利侵害有高風(fēng)險(xiǎn)的情形(例如人工智能醫(yī)療)，設(shè)置了促進(jìn)數(shù)據(jù)控制者和處理者合規(guī)的各種機(jī)制：包括數(shù)據(jù)控制者事先進(jìn)行數(shù)據(jù)保護(hù)影響評估，數(shù)據(jù)控制者和處理者須任命數(shù)據(jù)保護(hù)專責(zé)人員，鼓勵(lì)數(shù)據(jù)控制者和處理者制定行業(yè)內(nèi)的行為準(zhǔn)則，以及建立合規(guī)證書制度等。而其第八章共8個(gè)條文亦明確了數(shù)據(jù)控制者和處理者違規(guī)時(shí)的責(zé)任和罰則，以落實(shí)個(gè)人數(shù)據(jù)保護(hù)的“責(zé)任原則”。這些應(yīng)對大數(shù)據(jù)、人工智能新技術(shù)的監(jiān)管模式和方法值得我國借鑒。

4 人工智能醫(yī)療與知識產(chǎn)權(quán)保護(hù)

知識產(chǎn)權(quán)制度旨在保護(hù)智力創(chuàng)造者對其智力勞動(dòng)成果享有的權(quán)利，從而激勵(lì)和促進(jìn)人類智力創(chuàng)造活動(dòng)的發(fā)展。在我國，人工智能技術(shù)屬于“涉及計(jì)算機(jī)程序的發(fā)明專利”[10]。但是，人工智能醫(yī)療是否能夠獲得專利保護(hù)，在法律上仍存有障礙。

首先，《中華人民共和國專利法》(13)《中華人民共和國專利法》于1984年3月12日頒布，1985年4月1日實(shí)施。1992年，2000年、2008年修正。第二十五條規(guī)定，疾病的診斷和治療方法，不授予專利?！秾＠麑彶橹改?2019)》第一章“不授予專利的申請”中第4.3項(xiàng)對此作了詳細(xì)說明。其中，“疾病的診斷和治療方法”是指“以有生命的人體或者動(dòng)物體為直接實(shí)施對象，進(jìn)行識別、確定或消除病因或病灶的過程”。之所以對疾病的診斷和治療方法不授予專利，出于兩個(gè)原因。其一，基于“人道主義的考慮和社會(huì)倫理的原因”，避免不當(dāng)限制醫(yī)生選擇診療方法的自由。其二，疾病的診斷和治療方法適用于有生命的人體或動(dòng)物體，無法在產(chǎn)業(yè)上利用。同時(shí)，《專利審查指南(2019)》澄清，那些“用于實(shí)施疾病診斷和治療方法的儀器或裝置以及在疾病診斷和治療方法中使用的物質(zhì)或材料”則具有可專利性。

《專利法》排除疾病診斷和治療方法之可專利性的做法，與多數(shù)法域(例如歐洲、日本)的做法是一致的[22]。實(shí)踐中，某些利用計(jì)算機(jī)硬件手段收集患者健康信息并通過程序予以處理后得出其健康結(jié)論的技術(shù)，就曾被專利審查部門認(rèn)定為“疾病診斷方法”而被拒絕授予專利[23]。但是亦有觀點(diǎn)認(rèn)為，隨著人工智能醫(yī)療技術(shù)對醫(yī)療診斷和治療的重要性和作用增加，從鼓勵(lì)創(chuàng)新的目的出發(fā)，有必要對其可專利性問題再作思考，并建議對“由計(jì)算機(jī)實(shí)施”診斷和治療疾病的人工智能技術(shù)可以被考慮授予專利[23]。類似的觀點(diǎn)認(rèn)為，人工智能醫(yī)療由軟件驅(qū)動(dòng)機(jī)器設(shè)備完成，并不影響醫(yī)生選擇診療方法的自主性，而且人工智能醫(yī)療獲得診療結(jié)果的功能具有反復(fù)執(zhí)行效果，具有產(chǎn)業(yè)重復(fù)利用性，由此建議將具有診療功能的人工智能醫(yī)療技術(shù)與《專利法》第二十五條排除的“疾病的診斷和治療方法”相區(qū)分，從而使其獲得可專利性[23]。上述觀點(diǎn)是否能獲得更多共識以及立法者的認(rèn)同，仍有待觀察。

還需注意的是，《專利法》第五條規(guī)定，對違反法律、社會(huì)公德或者妨害公共利益的發(fā)明創(chuàng)造，不授予專利權(quán)。如果某項(xiàng)人工智能醫(yī)療技術(shù)存在違反個(gè)人信息隱私保護(hù)的法律的風(fēng)險(xiǎn)，或者由于數(shù)據(jù)選擇偏見或設(shè)計(jì)偏見使其在應(yīng)用上違反了平等原則或反歧視原則[9]，那么該項(xiàng)人工智能醫(yī)療技術(shù)在申請專利保護(hù)時(shí)亦會(huì)遭遇法律障礙。

5 結(jié)語

人工智能科技的發(fā)展前景廣闊，在醫(yī)療領(lǐng)域的應(yīng)用潛力巨大。本文就人工智能醫(yī)療，分析討論了在現(xiàn)行法下人工智能法律地位、產(chǎn)品責(zé)任、數(shù)據(jù)安全和隱私保護(hù)、知識產(chǎn)權(quán)保護(hù)等法律問題和規(guī)管挑戰(zhàn)。一方面，在弱人工智能階段，人工智能很難具有法律主體地位，現(xiàn)行法將其視為法律關(guān)系的客體；另一方面，人工智能醫(yī)療對現(xiàn)行法中產(chǎn)品責(zé)任的相關(guān)規(guī)則、個(gè)人信息隱私保護(hù)的法律，以及專利法等均提出了諸多新問題。在監(jiān)管層面，就人工智能醫(yī)療器械或設(shè)備上市前后的監(jiān)管、對人工智能醫(yī)療涉及的數(shù)據(jù)安全和隱私保護(hù)的監(jiān)管都提出新的挑戰(zhàn)，急需政府做出有效的應(yīng)對。需要注意的是，人工智能科技仍在持續(xù)發(fā)展中，某些人工智能醫(yī)療技術(shù)可能在較短的時(shí)間里被更新?lián)Q代。技術(shù)層面的不確定性也需要法律上的討論保持開放性與持續(xù)性，從而找到既能促進(jìn)人工智能科技發(fā)展、又能公平合理保障持份者權(quán)益的法律對策。