生命科学公司将不得不处理遵守《欧洲人工智能法案》时遇到的独特问题,包括法律的研究豁免范围以及在个性化医疗和真实世界证据中使用人工智能的问题。欧盟立法者于今年6月签署了《人工智能法案》,这是世界上第一部具有约束力的人工智能监管法规。该法案于2024年7月12日在《欧盟官方公报》上公布,并于8月1日在所有27个欧盟成员国生效。该法律定义了人工智能系统,并将其分为四类风险:不可接受的风险、高风险、有限风险和最小风险。不可接受的系统被禁止,并必须在六个月内逐步淘汰,而其他类别的相关规定将在生效后的24至36个月内实施。
《人工智能法案》与欧盟的《通用数据保护条例》(GDPR)相交,后者于2018年5月生效。该法律要求欧盟和美国的企业在处理可能对个人权利和自由造成高风险的数据时提交数据保护影响评估(DPIA)。Van Bael & Bellis律师事务所的律师Thibaut Dahulst表示,《人工智能法案》的许多基本原则与GDPR相关,生命科学公司可以利用其在GDPR方面的经验来实现对《人工智能法案》的合规。
“同时应用《人工智能法案》和GDPR可能会让美国公司感到害怕。因此,我们正在考虑如何在这两个法规之间为生命科学行业找到平行的合规路径。”Dahulst说。他将在美国会议协会(ACI)举办的“生命科学人工智能峰会——欧洲”上发言,该峰会将于2025年3月25日至26日在布鲁塞尔举行。在一次采访中,他讨论了在欧盟和美国运营的企业如何满足欧盟不断演变的监管要求。
遵守《人工智能法案》
Dahulst表示,要遵守《人工智能法案》,组织首先应绘制出他们拥有的人工智能系统,并根据法律规定的四个风险类别对其进行分类。然后,他们可以开始审视自己在法律下的义务。其中一项规定要求人工智能系统的提供者和部署者确保其员工和其他代表他们使用这些系统的人具备足够的AI素养,以便能够对这些系统做出明智的决策。这一教育员工的义务将于2025年2月2日生效,因此组织应在该日期前采取AI素养措施。
《人工智能法案》将人工智能系统定义为“一种设计用于以不同程度的自主性运行的基于机器的系统,该系统在部署后可能表现出适应性,并根据接收到的输入推断如何生成输出,如预测、内容、建议或决策,从而影响物理或虚拟环境”。该法案主要适用于将人工智能系统和通用人工智能(GPIA)模型投入服务或将它们投放到欧盟市场的开发者和部署者。它不仅适用于位于欧盟境内的主体,也适用于位于第三国但其系统产生的输出在欧盟使用的主体。
法律规定,禁止使用潜意识或欺骗技术扭曲人们行为和损害知情决策的人工智能系统。此外,还包括基于社会行为或个人特征对个体或群体进行分类的系统。高风险人工智能系统是指可能对人们的健康、安全或基本权利产生不利影响的系统。它们包括受某些欧盟协调立法覆盖的医疗器械。高风险人工智能系统的提供者在产品可以在欧盟销售和使用之前必须进行合格评定程序,并遵守测试、数据训练和网络安全的要求。在某些情况下,他们还需要进行基本权利影响评估,以确保其系统符合欧盟法律。
旨在与人互动或生成内容的人工智能系统如果存在冒充、操纵或欺骗的风险(如聊天机器人、深度伪造和人工智能生成的内容),则被归类为有限风险。被认为是最小风险的系统包括垃圾邮件过滤器和推荐系统。
Dahulst指出,生命科学行业的公司已经有很多处理伦理原则的经验,如良好的临床实践和患者或数据主体的权利,这些经验可以帮助他们遵守《人工智能法案》。
研究豁免和真实世界证据
《人工智能法案》明确规定,“本法规不适用于专门开发并投入服务仅用于科学研究目的的人工智能系统或人工智能模型及其输出。”虽然这一豁免减轻了生命科学企业的负担,但其范围仍存在不确定性。Dahulst表示,临床试验和药物发现可能属于研究例外,而商业目的的研究可能受该法律管辖。关于用于辅助研究任务的人工智能系统是否被视为研究工具,以及在个性化医疗中使用人工智能的问题,目前尚不清楚。例如,放射科医生使用人工智能检测影像数据中的模式。由于这些分析不是为了研究目的,因此使用这些工具的组织将需要遵守《人工智能法案》。
关于真实世界证据的使用也存在不确定性。这些数据不是专门为研究目的收集的,而是用于次要目的的研究。Dahulst表示:“在很多情况下,这可能被视为研究,但也有很多商业用途的真实世界证据,这时就需要考虑《人工智能法案》。”
风险评估、可解释性和问责制
欧洲健康数据创新研究所(i-HD)主席Dipak Kalra指出,其他方面的监管合规性仍处于灰色地带,需要进一步探讨。例如,法律规定,高风险人工智能系统的开发者必须进行风险评估。Kalra也将参加人工智能生命科学峰会,他表示,一些开发者可能不具备进行良好风险评估的专业知识或方法。“你可能开发了一个使用完美数据的人工智能算法,但由于没有正确管理其算法学习过程,因此开始引入不当建议。”他说。
法规还要求开发者解释其人工智能系统,使用户了解使用人工智能做出决策的过程。Kalra表示,开发者向监管机构解释其系统的方式与向医疗机构、临床医生或患者解释的方式不同。“我们如何让开发者能够向不同的利益相关方提供可解释的解决方案?”他问道。企业还需要采用良好的实践和措施以确保问责制。例如,Kalra表示,在将人工智能解决方案集成到本地医疗系统时,如何确保该解决方案连接到患者的电子健康记录,从他们那里收集正确的数据,并将建议的副本存储在存储环境中,以便有记录。“在临床实践中,如果一个专家看了你的病人但没有留下他们的建议记录,这是不可接受的。”Kalra说。“人工智能就像一个专家。它需要有一个可追溯的记录,说明它给出了什么建议,这些记录需要存储在患者的记录中,以便在出现问题时有证据说明为什么采取了错误的行动。”
数据保护影响声明
企业仍在努力解决GDPR的复杂性,该法规对针对或收集欧盟境内个人数据的组织施加了义务。该法律要求组织对其每项可能对个人数据保护权利造成高风险的数据处理活动进行数据保护影响评估(DPIA)。Dahulst表示,处理健康数据被视为高风险,因此大多数生命科学公司应该熟悉DPIA流程。DPIA评估组织的技术将对个人数据保护权利以及其他数据主体的基本权利产生的影响。Dahulst指出,DPIA经常被用作合规性的形式主义练习。“我们经常看到,组织只是自夸他们已经解决了所有风险。”他说。“但我认为,这是一个回答‘可能会出什么问题?’的机会。”他说,DPIA可以让公司识别超出每个临床试验标准要素的风险,例如使用人工智能工具提高数据质量。“对我来说,知道得越多越好,这意味着更少的事情会出错,这样你就可以保护自己免受罚款和信任损失。”他说道。
他建议在整个过程开发过程中进行DPIA,而不是在完成后进行。这样,公司就不必回头添加机制来纠正问题。评估还可以帮助公司改进其产品和与患者或用户的沟通。例如,Dahulst表示,企业可能会发现数据流增加了泄露风险,从而限制这些数据流。或者,公司可以在应用程序或平台上加入一个功能,询问数据主体的体验和他们是否感觉控制了自己的数据。在进行评估时,“我们考虑安全性,以及透明度和数据准确性。”他说。
(全文结束)
