前国家卫生信息技术协调办公室(ONC)首席科学官、现任Health Universe首席医学信息官Doug Fridsma博士,就GPT-5在医疗领域的应用及其相关的HIPAA合规性、FDA监管框架和患者数据安全问题展开深入探讨。
MobiHealthNews:您认为GPT-5是否需要遵守HIPAA?
Doug Fridsma:任何涉及患者信息共享的第三方技术都需要符合HIPAA要求,这是医疗领域的基本准则。当医生将患者信息传输给ChatGPT时,必须签署商业伙伴协议(BAA),且需完全遵循HIPAA规定,因为这涉及未经授权的第三方数据处理。
MHN:FDA是否应该对GPT-5进行监管?
Fridsma:FDA的监管范畴主要聚焦医疗器械安全性。虽然HIPAA通过BAA延伸第三方责任,但FDA专注于设备临床风险。值得注意的是,HITECH法案明确规定EHR系统不在FDA监管范围内,但放射治疗设备等硬件医疗设备必须通过FDA审批。
MHN:GPT-5是否属于医疗器械软件(SaMD)?
Fridsma:这是个全新领域。历史上导致6名患者死亡的Therac-25放射治疗仪事故,正是软件bug引发硬件致命错误的经典案例。该事件直接促使FDA对涉及放射治疗的医疗软件实施严格审查。而如今AI系统可能出现诊断决策与治疗执行的时序冲突:假设A系统未完成诊断,B系统就启动治疗方案,这种多智能体协同风险是医疗AI发展的新挑战。
MHN:如何看待Sam Altman主张GPT-5应用于医疗领域?
Fridsma:关键问题是患者通过个人账户上传的医疗数据可能与账户信息关联。这类行为不受HIPAA保护,仅受联邦贸易委员会(FTC)监管。如果用户点击确认的服务条款允许OpenAI使用数据进行模型训练或商业开发,该行为就完全合法。但公众普遍存在认知误区:认为所有医疗数据都受HIPAA保护,实际上一旦数据离开医疗机构进入第三方平台,就脱离HIPAA保护范畴。现行隐私法规存在严重碎片化问题,亟需建立更完善的健康数据保护体系。
【全文结束】
