AI已进入您的医疗实践。问题是它是否合法存在AI is already in your medical practice. The question is whether it's there legally | Medical Economics

环球医讯 / AI与医疗健康来源:www.medicaleconomics.com美国 - 英语2026-07-16 08:01:04 - 阅读时长5分钟 - 2445字
本文深入探讨了医疗实践中人工智能应用的合规性问题,特别关注医生使用消费级AI工具处理患者健康信息时面临的HIPAA合规风险。作者分析了介入性医疗专科的特殊脆弱性,详细解释了HIPAA对AI工具使用的具体要求,并提供了五项关键合规措施,包括清点AI使用情况、验证业务关联协议状态、进行安全风险分析、建立可接受使用政策以及针对性培训。文章强调,尽管AI能显著提高生产力,但未经适当合规框架保护的患者健康信息处理可能导致严重监管后果,这已成为医疗实践中的基本职业责任。
医疗AIHIPAA合规受保护健康信息(PHI)介入放射学血管手术临床文档医疗合规AI医疗实践
AI已进入您的医疗实践。问题是它是否合法存在

在过去的几年中,各专业的医生们找到了将人工智能(AI)程序整合到临床和行政职责中的方法。在血管和介入放射学领域,AI的前景是真实且有据可查的:更快的图像分析、自动病变检测、更一致的手术文档记录以及减轻已经超负荷的医疗机构的行政负担。根据美国医学会的数据,到2024年,66%的美国医生报告在他们的实践中使用某种形式的AI——这一数字在一年内几乎翻了一番。

不太明显的是,这些AI在实践层面是如何实际使用的,以及医生在日常工作中使用的工具是否被法律允许处理输入的数据。

便利性与合规性之间的差距

考虑一个并非假设的场景。一位繁忙介入实践中的医生使用消费级AI聊天机器人——ChatGPT、Gemini或类似工具——来起草或完善医疗记录附录。患者的姓名、出生日期、手术细节和临床病史包含在提示中,因为这种上下文使输出具有临床实用性。医生在几秒钟内就得到了结构良好的附录。患者的受保护健康信息(PHI)刚刚被传输到一个与该诊所没有业务关联协议(BAA)的第三方系统,该系统没有健康保险流通与责任法案(HIPAA)的合规义务,也没有限制这些数据如何被保留、分析或用于训练未来模型。

这不是埋在细则中的技术性违规。这是对HIPAA隐私和安全规则的直接违反。根据45 CFR §164.502,受保护实体不得向第三方——包括技术供应商——披露PHI,除非获得患者授权或有效的BAA。消费级AI平台不将签署BAA作为使用标准条件。无论医生的意图如何,使用这些工具处理可识别的患者数据从表面上看就是不允许的。

正如《医疗经济学》先前报道的,医疗工作者正以大多数组织尚未完全理解的规模通过未经批准的AI工具传输患者数据——而医疗组织中81%的数据政策违规涉及受监管数据,包括PHI。

为何血管和介入实践尤其容易受到风险影响

介入专科面临的文档负担在结构上高于初级保健。手术产生手术报告、术后记录、并发症文档、影像解释以及日益复杂的医疗必要性附录——尤其是在当前围绕门诊外周血管手术的审计环境下。这些文档的数量和复杂性创造了一种强烈的吸引力,促使医生使用任何能够减少生成所需时间的工具。

这种压力因介入放射学和血管外科中常见的独立和小团体实践结构而加剧。与部署企业级、符合HIPAA的AI平台并具有正式治理结构的大型医疗系统不同,独立实践通常缺乏专门的合规官员和信息技术安全人员。使用消费级聊天机器人的医生并非鲁莽;他们正在用立即可用的工具解决一个真实的生产力问题。

然而,风险既是个体的也是机构的。根据HIPAA,受保护实体——即诊所——对未经授权的PHI披露负有主要责任。医生个人将消费级AI工具用于与工作相关的文档并不会将这种责任转移给AI供应商。责任仍然在诊所。今年5月,美国卫生与公众服务部监察长办公室(HHS-OIG)发布了一份报告,促使对进行血管手术的医生进行进一步检查。既然HHS-OIG报告已将介入性血管实践置于更高的联邦审查之下,单独的HIPAA执法行动并非遥不可及。这是监管风险的额外来源。

HIPAA在使用AI前实际要求什么

AI在临床文档中的合规框架并不模糊,即使对其的认识不均衡。任何将处理、存储或传输PHI的AI工具必须在首次使用前由供应商和受保护实体之间执行的BAA覆盖。BAA必须规定PHI的允许用途,要求供应商实施适当的保障措施,并建立违规通知义务。

然而,仅BAA并不能结束合规性分析。根据HIPAA安全规则(45 CFR §164.308),受保护实体在部署任何处理电子PHI的新技术(包括AI工具)之前,必须进行正式的风险分析。该分析必须评估潜在PHI泄露的可能性和影响,并且必须有记录。许多部署AI文档工具的实践尚未完成这一步骤。

正如《医疗经济学》在其关于AI采用框架的报道中指出的,五支柱合规方法——透明度、知情同意、人工监督、文档记录和持续审计——是将AI整合到临床工作流程中的实践所需的最低可行结构。

下一次提示前的实用检查清单

对于当前正在使用或评估AI文档工具的介入性实践,以下步骤解决了最显著的合规差距:

  • 清点当前AI使用情况。 询问每位医生和工作人员他们在任何与工作相关的任务中使用哪些AI工具。非正式使用的消费级工具是最常见的合规差距,并且最不可能出现在正式的技术审计中。
  • 使用前验证BAA状态。 如果AI供应商没有BAA,PHI不能与该工具一起使用——这是绝对的。这也适用于企业工具的免费层级;BAA覆盖通常需要付费的企业协议。
  • 进行安全风险分析。 在部署任何处理PHI的AI工具之前,记录风险评估。这不是可选项;这是HIPAA安全规则的要求。
  • 建立明确的可接受使用政策。 医生需要明确的指导,了解哪些工具被批准用于临床文档,哪些需要BAA,以及哪些完全禁止用于与工作相关的PHI。口头指导是不够的;该政策必须以书面形式记录。
  • 进行有针对性的培训。 一般的HIPAA培训不涵盖AI特定风险。工作人员和医生应接受关于消费级AI工具造成的PHI暴露风险的针对性培训,包括输入到聊天机器人提示中的数据如何被保留和使用的具体机制。

确保合规或面临监管风险

AI已经是血管和介入实践中有意义的一部分。它的临床和操作理由是合理的,但生产力的提高不值得冒着将PHI置于不适当合规框架内的风险。最可能面临后果的医生不是那些故意选择AI的医生;而是那些随意使用AI的医生,他们假设一个广泛可用、界面精致的工具必须具备匹配的合规基础设施。

事实并非如此。在第一次提示之前验证这一点,现在已成为基本的职业责任。

Elina Sabilova, CPC, CFPC, CPMA是WCH Service Bureau(一家全国性医疗计费、认证和合规公司)计费部门的计费和合规专家。作为WCH Service Bureau收入周期管理主管,她监督高容量专科诊所的复杂计费操作,在确保准确报销的同时,严格遵守联邦、州、支付方、美国医学会和介入放射学会指南。

【全文结束】