合規與創新:AI醫療器械數據應用的法律邊界
- 2026-04-24 16:05
- 作者:閆春輝 龔博士
- 來源:
近年來,人工智能(AI)技術在醫療器械領域的應用不斷深化,AI輔助診斷、智能影像分析、手術機器人等產品不斷涌現。與傳統醫療器械不同,AI醫療器械的核心功能來源于算法模型,而算法模型的質量直接取決于訓練數據的規模、質量與多樣性。這一特性決定了AI醫療器械從研發、注冊、上市流通,到上市后持續學習、迭代優化,均與數據的獲取、處理和使用深度綁定。數據不僅是產品運行的附屬要素,更是幫助企業提升產品核心競爭力的關鍵資產和基礎設施。
正因如此,AI醫療器械領域的數據問題已超越技術范疇,成為涉及多維度法律規制、涵蓋多主體權利的復雜合規議題。產業既要依托數據激發技術創新活力,又要嚴守法律紅線規范數據使用,唯有統籌技術創新與合規發展并行,才能推動AI醫療器械產業穩健發展,為我國醫療健康產業持續賦能。
產業發展現狀
在相關政策的引導與支持下,AI 醫療器械已實現多場景應用,賦能醫療健康產業升級。
產業發展態勢
近年來,AI技術與醫療器械產業的融合發展已成為全球醫療健康領域最具變革性的趨勢之一。我國高度重視這一發展趨勢,一系列政策正加速推進AI醫療器械的創新發展,為行業發展劃定方向、提供支撐。
2017年7月,國務院印發《新一代人工智能發展規劃》明確,新一代人工智能在智能制造、智能醫療等領域得到廣泛應用。2023年3月,中共中央辦公廳、國務院辦公廳印發《關于進一步完善醫療衛生服務體系的意見》提出,加快推進人工智能、大數據等在醫療衛生領域中的應用。2025年8月,國務院發布《關于深入實施“人工智能+”行動的意見》,重點關注“人工智能+”民生福祉,有序推動人工智能在輔助診療、健康管理、醫保服務等場景的應用。2025年10月,黨的二十屆四中全會審議通過的“十五五”規劃建議明確將腦機接口納入未來產業。2026年《政府工作報告》提出,要深化拓展“人工智能+”,推動重點行業領域人工智能商業化、規模化應用。
在監管端,國家藥監局持續推進醫療器械審評審批制度改革,通過鼓勵創新、加強監管來促進醫療器械產業的高質量發展。根據國家藥監局公開數據,2025年批準醫療器械產品3402個,其中創新醫療器械76個,獲批產品覆蓋醫學影像設備、手術機器人等多個領域。2025年7月,國家藥監局發布《關于發布優化全生命周期監管支持高端醫療器械創新發展有關舉措的公告》,針對醫用機器人、高端醫學影像設備、人工智能醫療器械和新型生物材料醫療器械等,提出優化特殊審批程序、完善分類和命名原則、持續健全標準體系等十方面支持舉措。
AI醫療器械有望依托政策支持,持續突破技術瓶頸,推動醫療健康產業向更高效、更精準、更便捷的方向發展。
典型應用場景
AI醫療器械按用途可劃分為輔助決策類與非輔助決策類兩大類。
其中,輔助決策類產品占據主流。此類產品通過輸出診療建議,為使用者提供醫療決策支持。主要應用場景涵蓋基于病灶識別、性質判定、用藥指導、治療方案制定實現的輔助分診、檢測、診斷與治療等,如醫學影像輔助診斷、病理輔助分析、AI手術輔助等。
非輔助決策類產品僅提供醫療參考信息,不直接參與醫療決策,主要應用場景集中于數據記錄、病情監測、流程優化、診療驅動等,如成像流程簡化、診療流程簡化、成像質量改善、自動測量三維重建等。
數據類型與來源
從政策端來看,根據市場監管總局、國家標準委發布的《信息安全技術 健康醫療數據安全指南》,健康醫療數據可以分為個人屬性數據、健康狀況數據、醫療應用數據、醫療支付數據、衛生資源數據及公共衛生數據六個類別。
從數據形態的角度來看,AI醫療器械所涉數據主要包括影像類數據(醫學圖像、視頻等)、文本類數據(病歷、報告、處方等)、結構化數據(檢驗指標、體征參數等)、組學數據(基因組、蛋白質組等)以及行為類數據(用戶使用行為、運動數據等)等。
這些數據大多來自醫療機構臨床數據、公開數據集與科研數據庫、可穿戴設備與移動應用數據等。需要注意的是,這些信息大多屬于個人信息,有些甚至屬于敏感個人信息的范疇。
現行法規體系
我國AI醫療器械領域的法律體系呈現“多法并行、多部門監管”的復合模式。
在上位法層面,《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)《中華人民共和國網絡安全法》與《中華人民共和國民法典》等法律共同搭建起AI醫療器械數據安全、個人信息保護及網絡安全多維度法律規制框架。
在醫療器械監管法規層面,《醫療器械監督管理條例》(以下簡稱《條例》)作為我國醫療器械監管法規體系的核心,AI醫療器械的注冊、生產、經營與使用活動,均受《條例》及其配套規章規制。同時,《人工智能醫療器械注冊審查指導原則》《深度學習輔助決策醫療器械軟件審評要點》《醫療器械網絡安全注冊審查指導原則(2022年修訂版)》等文件,針對AI醫療器械的注冊審查等方面提出了具體合規要求。
在數據監管層面,《數據出境安全評估辦法》《促進和規范數據跨境流動規定》《人口健康信息管理辦法(試行)》《國家健康醫療大數據標準、安全和服務管理辦法(試行)》等,確保數據來源合法、內容準確、使用合規、全程可追溯,為AI醫療器械企業的數據合規管理明確了監管要求。
在AI法規層面,《生成式人工智能服務管理暫行辦法》《人工智能生成合成內容標識辦法》《人工智能科技倫理審查與服務辦法(試行)》等文件,對AI訓練數據合法性、數據標注規范、算法備案、科技倫理審查管理等方面作出規定。
值得關注的是,全國人大常委會2025年度立法工作計劃已將人工智能健康發展相關立法列為預備審議項目。作為高風險人工智能應用場景的代表,AI醫療器械領域將隨著未來人工智能專門立法的出臺,迎來更為完善、體系化的數據合規法律框架。
常見法律問題
AI醫療器械產業快速發展,相關技術、法規正不斷探索、完善。與此同時,隨著數據在AI醫療器械研發中的廣泛應用,數據合規使用也產生了一系列法律層面的問題與挑戰。企業在使用各類數據開展研發的過程中,需警惕相關法律風險,做好合規管理。
訓練數據來源的合法性問題
AI醫療器械的算法性能主要取決于訓練數據的規模和質量,而各類數據的獲取途徑均存在不同程度的合規風險。
與醫療機構合作獲取數據,醫療機構是否有權將其留存的患者診療數據提供給第三方企業用于商業化的AI算法訓練?根據《個人信息保護法》,醫療機構在診療活動中收集患者數據的合法性基礎是“為訂立、履行個人作為一方當事人的合同所必需”或“為履行法定職責或者法定義務所必需”,但將數據用于商業化的AI算法訓練顯然超出了這一范圍,因此需要重新取得患者同意。
使用公開數據集,雖然公開數據集在形式上降低了數據獲取的合規門檻,但企業仍需注意審查數據集在原始采集中是否經過合法的倫理審查和知情同意程序、數據集的使用許可協議是否允許商業用途、數據集是否存在標注偏差或樣本不均衡等質量問題。尤其需要注意的是,對于來源于境外的公開數據集,企業還需要評估其采集和共享是否符合數據來源國家(地區)的法律要求。
使用產品運營中積累數據,部分AI醫療器械產品上市后,會通過持續運營積累臨床使用數據,用于算法的迭代優化。此種做法需重點把控三大合規要點:產品的用戶協議和隱私政策中,是否明確告知了數據的此種使用目的;在產品部署的醫療機構環境中,患者的知情同意是否覆蓋了數據的二次利用;數據的持續學習是否觸發算法的重大變更,進而需要重新申請注冊審評。
對此,企業需筑牢數據合規防線,重點做好三方面工作:一是建立數據合法性審查機制,完善全流程溯源檔案;二是規范醫企合作協議,明確數據使用權責,將患者知情同意作為數據交付的前置條件;三是嚴格落實數據脫敏處理要求,對數據進行匿名化、去標識化處理,依規做好個人信息全周期保護。
訓練數據的著作權侵權風險
AI醫療器械在訓練數據使用環節還涉及著作權合規問題。
在AI醫療器械的研發實踐中,以下五類訓練數據容易引發著作權風險:一是醫學專業圖書、教材、臨床診療指南、醫學圖譜、解剖圖示等受《中華人民共和國著作權法》(以下簡稱《著作權法》)保護的出版物;二是商業數據庫收錄的醫學影像數據集、病理切片庫、標注數據集,如其對內容的選擇或者編排體現出獨創性,可能構成匯編作品;三是醫學期刊發表的學術論文、病例報告、影像圖片及配套說明;四是由醫學專家付出獨創性智力投入形成的標注信息、診斷結論與分析意見,可能構成獨立的作品或演繹作品;五是商業醫學軟件生成的分析報告、算法模型參數等,在現行法律框架下存在獲得《著作權法》保護的可能。
我國《著作權法》第二十四條對合理使用采取“列舉+兜底”的封閉式立法模式,其中列舉了包括個人學習或研究、適當引用、新聞報道、課堂教學或科學研究等有限情形。從文義解釋來看,大規模商業化的AI模型訓練,難以直接納入其中任何一項法定合理使用情形。同時,《生成式人工智能服務管理暫行辦法》第七條明確要求,生成式人工智能服務提供者開展預訓練、優化訓練等訓練數據處理活動需要遵守的規定包括“使用具有合法來源的數據和基礎模型”“涉及知識產權的,不得侵害他人依法享有的知識產權”等;《生成式人工智能服務安全基本要求》明確,語料用于訓練前,應對語料中的主要知識產權侵權風險進行識別。這兩項規定從行政規范與技術標準層面為訓練數據的著作權合規設定了原則性要求。
對此,AI醫療器械企業應從以下幾個方面著手,防范著作權侵權風險:一是建立著作權專項審查機制。在訓練數據獲取環節,除開展傳統的個人信息與倫理合規審查外,應單獨設立著作權合規審查環節,評估數據是否享有著作權、權利歸屬是否清晰、使用授權范圍是否覆蓋AI訓練目的。二是優先采用授權數據與自有數據。對于存在著作權風險的數據來源,應優先通過付費許可、合作協議等方式取得明示授權。三是審慎使用網絡抓取數據與公開數據集。在未取得明示許可的情況下,不宜通過網絡爬蟲大規模抓取醫學文獻、影像圖片、臨床指南等內容用于模型訓練。四是明確標注成果的著作權歸屬。企業應在標注委托協議中明確約定標注成果的著作權歸屬與使用權范圍,避免因權利歸屬不清而在日后產生糾紛。五是完善輸出端的版權侵權防控。在AI醫療器械算法輸出環節,應嵌入相似度檢測與過濾機制,避免模型輸出內容與訓練數據中受保護作品構成實質性相似;對于可能觸及他人著作權的輸出場景,應設置相應的技術限制與提示機制。六是關注立法動向。建議企業持續關注《著作權法》修訂動向及人工智能相關立法進程,積極參與相關立法討論,推動構建與產業發展相適應的AI訓練數據合理使用制度。對于已開展的訓練活動,建議留存數據來源、使用范圍、許可憑證等完整記錄,以便后續規則更加明確后的合規溯源與補正工作奠定基礎。
患者知情同意的合規挑戰
知情同意是醫療數據處理的核心合法性基礎之一,也是AI醫療器械數據合規實務中最具挑戰性的問題。傳統的知情同意機制建立在“一事一議”的基礎上,而AI醫療器械的數據處理活動具有使用目的多元、處理過程復雜和技術不斷迭代等特點,使得傳統知情同意機制面臨嚴峻挑戰。
具體而言,AI醫療器械的數據處理活動可能同時服務于臨床診療、AI算法訓練和優化、產品安全性和有效性評估、學術研究和科技創新等。在數據采集時,并非所有后續使用目的都能被預見和充分告知。特別是在算法的持續學習場景中,數據的使用目的可能隨著技術迭代不斷擴展,若要求患者在數據采集之初就對所有潛在用途給予“一攬子同意”,既不現實,也不符合知情同意的本質要求。同時,《個人信息保護法》也賦予個人撤回同意的權利。然而,在AI算法訓練的場景中,一旦數據被用于模型訓練,即使刪除原始數據,也難以徹底消除該數據對模型的影響。如何在技術層面實現有效的“數據遺忘”,仍是一個尚未成熟的課題。
結合實務經驗,筆者建議相關主體可關注和探索動態知情同意模式,優化場景化授權設計,提升數據授權的靈活性與合規性,從而適配數據使用場景及權限范圍的動態調整需求,破解傳統知情同意機制在AI醫療器械領域的適用難題。
數據安全管理與責任分配問題
AI醫療器械的數據處理鏈條涉及多個參與主體,包括醫療機構、AI醫療器械企業、數據標注服務商、云計算服務提供商,甚至終端用戶等。從數據的采集、傳輸、存儲、處理、標注,到算法訓練、模型部署、運營維護,每個環節都存在特定的安全風險。在這一復雜的數據處理生態中,各參與主體間的數據安全責任邊界往往模糊不清,容易形成管理盲區。
對此,AI醫療器械企業應建立全鏈條數據安全管理體系。建議企業以數據全生命周期為主線,建立覆蓋數據采集、傳輸、存儲、處理、標注、訓練、部署、銷毀各環節的安全管理制度和技術防護措施。具體包括:建立數據分類分級制度,根據數據敏感程度劃分等級,對不同級別的數據實施差異化的保護措施。實施數據加密、訪問控制、審計日志、脫敏處理等技術安全措施,依托基于角色的訪問控制模型,限制對敏感訓練數據的訪問權限。建立數據安全應急響應預案,定期開展安全演練等。與第三方簽訂規范的數據處理協議或安全保密協議,明確數據處理的范圍、方式、安全標準和違約責任;對供應鏈中的核心數據服務商,開展安全能力評估和定期審計,確保數據安全。
算法訓練中的數據偏見與公平性問題
AI醫療器械的算法性能直接受訓練數據分布特征的影響。如果訓練數據存在系統性偏差,如特定性別、年齡、種族、地域、社會經濟地位的樣本過多或過少,算法模型可能在實際應用中對某些特定群體產生歧視性結果,進而導致診斷準確率不均衡、漏診率或誤診率過高等問題。
為應對數據偏見問題,建議企業將公平性考量融入AI醫療器械算法開發全流程。在數據采集階段,應合理設計采集策略,確保不同亞組人群在訓練數據中具備充分的代表性;對于數據分布明顯不均衡的情況,應通過跨機構合作采集、數據增強、遷移學習等方式進行校正。產品上市后,企業應通過不良事件監測、真實世界數據分析等手段,持續監測算法在不同人群中的實際應用表現;建立偏見監測預警機制,及時發現和糾正可能存在的偏見問題,并依法履行相關報告義務。
數據跨境傳輸的合規挑戰
AI醫療器械相關的醫療健康數據跨境傳輸,也是合規管理中的重點與難點。
根據我國現行法律,醫療健康數據的跨境傳輸需要注意個人信息保護、數據安全等合規問題。同時,區域化、場景化的數據跨境便利化機制也正在加速探索。例如,國家互聯網信息辦公室與香港特區政府創新科技及工業局于2023年6月簽署《關于促進粵港澳大灣區數據跨境流動的合作備忘錄》,并于2023年12月發布《粵港澳大灣區(內地、香港)個人信息跨境流動標準合同實施指引》,為粵港澳大灣區醫療機構和AI醫療器械企業提供了區域化數據跨境合規路徑。
對AI醫療器械企業而言,應全面梳理自身業務涉及的數據跨境傳輸場景,明確出境數據的類型、數量、接收方信息、傳輸目的等關鍵要素,梳理形成數據出境活動清單。對于能夠在技術上實現本地化處理的場景,優先考慮在境內完成數據處理和算法訓練。對于確需開展跨境協作的場景,可探索采用聯邦學習、安全多方計算、差分隱私等隱私計算技術,或借助可信數據空間等新型基礎設施,在遵循“原始數據不出域、數據可用不可見”的前提下,實現跨境協作。
持續學習與算法變更的數據合規問題
相較于傳統醫療器械,AI醫療器械可依托產品上市后持續學習機制迭代優化算法模型——通過在臨床運營階段持續采集真實臨床數據,完成模型更新。而這一技術特性,也衍生出多項數據合規與監管難題。依據現行醫療器械注冊管理規則,產品發生影響安全有效性的變更需辦理變更注冊或變更備案,但AI算法持續學習引發的模型參數動態調整,尚無清晰標準界定產品是否構成重大變更。同時,AI技術的“黑箱”屬性導致算法運算邏輯難以解讀,產品缺陷與醫療損害之間的因果關系難以舉證,增加了法律責任劃分的復雜性。此外,企業依托醫療機構臨床數據實現算法優化與商業價值提升,卻缺乏明確的數據權屬劃分與收益分配規則。
對此,企業層面應構建完善的內部合規體系:一是在產品部署協議與用戶協議中明確AI算法持續學習的數據使用規則,全面告知數據采集、使用及防護相關事宜;二是建立與醫療機構的數據合作收益分配機制;三是健全算法變更全流程管理與評估制度,配套版本管控及回滾機制;四是建立上市后不良事件監測和真實世界數據收集機制,依法履行不良事件報告義務。
醫療數據權屬的法律界定爭議
在AI醫療器械的研發和運營過程中,醫療數據權屬在患者、醫療機構與AI醫療器械企業三方的界定較為復雜。在現行法律框架下,患者的診療數據在醫療機構的信息系統中產生和存儲,患者對其個人信息享有《個人信息保護法》所賦予的知情權、決定權、查閱復制權、更正權、刪除權等權利;醫療機構作為數據的事實控制者,基于法定義務負有數據保管和安全管理的責任的同時,在有限范圍內享有持有、使用與經營權;AI醫療器械企業通過與醫療機構合作獲取訓練數據,對基于這些數據開發的算法模型和數據產品主張使用權。
醫療數據權屬制度正在持續探索。2022年12月發布的《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出了建立數據產權制度的方向,明確建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制,推進非公共數據按市場化方式“共同使用、共享收益”的新模式,為激活數據要素價值創造和價值實現提供基礎性制度保障;要推進實施公共數據確權授權機制,對公共服務過程中產生的公共數據,加強匯聚共享和開放開發,強化統籌授權使用和管理,推進互聯互通;鼓勵公共數據在保護個人隱私和確保公共安全的前提下,以模型、核驗等產品和服務等形式向社會提供。2025年11月,國家衛生健康委辦公廳等五部門印發《關于促進和規范“人工智能+醫療衛生”應用發展的實施意見》提出,建立臨床數據授權運營管理制度。
在制度框架尚處于探索階段的過渡期,AI醫療器械企業應在合同層面做好權利安排,保障自身合法權益。例如,在數據合作協議中,明確約定數據及衍生成果的權利歸屬,包括原始數據的管理權歸屬、脫敏后數據集的權利歸屬、訓練模型的知識產權歸屬、數據產品的經營權歸屬、基于數據產生的商業化收益分配比例等核心事項。此外,企業還應建立數據資產管理制度,將訓練數據集、標注規范、算法模型等數據資產納入企業的知識產權管理體系,采取適當的保護措施。在具備條件時,企業還可積極參與數據交易所的數據產權登記等實務操作,為數據資產的價值實現和權利主張奠定基礎。
AI與醫療器械的深度融合,已然成為驅動醫療健康產業數字化、智能化轉型的核心引擎,而數據作為AI醫療器械算法迭代、產品落地與效能升級的核心要素,其合規應用是行業發展的“生命線”。當前,我國AI醫療器械領域監管體系不斷完善、技術創新加速迭代。隨著AI專門立法的穩步推進、醫療數據要素市場化配置機制的不斷健全,以及臨床數據授權運營管理制度的逐步建立,我國AI醫療器械的數據合規體系將愈發精細化、體系化。唯有實現技術創新與法治護航的同頻共振,兼顧數據價值釋放與個人權益保護的雙向平衡,才能推動AI醫療器械產業行穩致遠,為我國醫療健康事業高質量發展筑牢法治保障、注入技術活力。
(作者:閆春輝,中倫律師事務所;龔博士,北京大學)
《中國醫藥報》社版權所有,未經許可不得轉載使用。
(責任編輯:劉鶴)
右鍵點擊另存二維碼!
-
為你推薦
互聯網新聞信息服務許可證10120170033
網絡出版服務許可證(京)字082號
?京公網安備 11010802023089號 京ICP備17013160號-1
《中國醫藥報》社有限公司 中國食品藥品網版權所有