数据隐私在人工智能与生命科学的交汇点：美国和欧盟视角Data Privacy at the Crossroads of AI and Life Sciences: U.S. and EU Perspectives

随着人工智能加速药物发现并个性化患者护理，生命科学行业正在经历变革。然而，随着公司越来越多地依赖人工智能处理遗传、生物特征和其他类型的健康数据，它们也必须遵守不断变化的数据隐私、安全和人工智能监管环境。在这篇博客文章中，我们考虑了几个关键的数据隐私、安全和人工智能原则对生命科学中使用人工智能的影响。

通知和选择

根据美国和外国的数据隐私法律，公司必须告知消费者他们如何收集、使用和处理消费者的个人数据，如健康数据。通过其执法行动，联邦贸易委员会（FTC）明确表示，公司在获取敏感信息（包括健康数据）之前必须向消费者提供通知并获得其同意。根据美国州级消费者隐私法以及欧盟《通用数据保护条例》（GDPR），公司在收集消费者的健康数据之前必须获得明确同意。某些美国州法律，例如华盛顿州的《我的健康我的数据法案》，还要求企业在网站上发布专门的消费者健康数据隐私通知，并在非必要情况下使用或披露健康数据时获得消费者同意。然而，受《健康保险可移植性和责任法案》（HIPAA）约束的健康数据不受这些美国州法律的约束，而是受联邦隐私和安全要求的约束。

在医疗保健环境中使用人工智能可能还会触发额外的通知和选择要求。例如，使用自动化决策来确定是否向消费者提供医疗服务的医疗保健公司必须根据GDPR和即将出台的加州法规向消费者提供退出公司使用自动化决策活动的权利。如果适用美国州隐私法，在医疗保健领域使用人工智能也可能触发退出分析的权利。

透明度

使用AI聊天机器人与消费者交流其医疗保健问题的公司，例如帮助用户诊断症状的聊天机器人，也受到透明度要求的约束。具体来说，根据犹他州的《AI政策法案》，公司必须披露消费者正在与AI而不是真人聊天。类似的欧盟AI法案和科罗拉多州AI法案将在未来一年内生效。

可解释性和偏见缓解

受AI系统决策影响的消费者必须得到关于该决策是如何作出的解释。联邦贸易委员会建议公司在部署AI模型前后采取必要的措施以防止伤害，包括采取预防措施以检测和阻止与AI相关的冒充和欺诈行为。科罗拉多州AI法案要求部署高风险AI系统的机构，如果这些系统做出了对消费者不利的决定（例如，决定是否给予某人预防性护理），必须向消费者提供一份声明，披露做出决定的原因、AI在决策中的贡献程度、AI处理的数据类型以及申诉机会。如果技术上可行，申诉还应允许人工审查。

同样，公司必须采取措施减少基于AI的决策中的偏见。例如，大型语言模型可能会延续医疗系统中的偏见，如基于种族的器官容量计算公式。虽然完全消除偏见可能不可能，但科罗拉多州AI法案和欧盟AI法案都要求高风险AI系统的开发者发布一份公开声明，解释他们如何管理与开发此类系统相关的已知或合理预见的算法歧视风险。根据欧盟AI法案，受欧盟医疗器械法规约束的AI系统，例如那些用于诊断疾病的系统，即使最终由人类医生做出决定，也被视为高风险。这些系统必须遵守欧盟AI法案的高风险系统要求，包括开发风险管理系统和实施透明度和人工监督要求。

个人权利

根据科罗拉多州AI法案，部署对消费者做出重大决策的高风险AI系统的机构必须向消费者提供退出处理其个人数据的权利。此外，根据美国各州的消费者隐私法和欧洲的GDPR，消费者必须能够访问、更正和删除其个人数据，包括健康数据。然而，当公司使用健康数据训练AI模型或作为AI模型的输入时，无法从模型中“删除”这些数据以响应消费者的请求。使用AI模型处理此类信息的公司必须找到替代方法来遵守消费者的删除请求，例如抑制模型中的数据或对其进行匿名化，这通常被视为适用于相关隐私法的一种形式的删除。

数据安全

在美国和欧洲，未经授权披露健康数据会触发通知受影响个人和监管机构的要求。为了防范此类事件，公司必须遵守适用的安全要求。例如，在美国，受HIPAA安全规则监管的公司，如参与HIPAA覆盖交易的医疗保健提供者，必须实施管理、物理和技术保障措施以保护电子受保护的健康信息。根据GDPR，公司必须实施适当的技术和组织措施来保护个人数据。

使用AI处理健康数据还会引发新的数据安全风险，例如针对AI系统的对抗性攻击，以篡改模型或从中窃取敏感数据。为解决这些问题，公司应考虑遵守AI特定的风险缓解标准，如NIST AI风险管理框架。

执法

美国和欧盟监管机构积极执行与敏感数据相关的数据隐私和安全要求的违规行为，预计在未来几年内对AI的执法将增加。例如，联邦贸易委员会已经对与第三方共享消费者健康数据的公司发起执法行动，而美国卫生与公共服务部则调查了有关不当使用和披露以及缺乏措施保护HIPAA受保护健康信息的投诉。欧洲数据保护机构对未经通知收集健康数据以及缺乏适当技术和组织措施保护个人数据免受未经授权访问的医疗机构处以罚款。

要点

为了在生命科学领域有效利用AI并遵守相关AI要求及数据隐私和安全原则，公司应采取以下步骤：

• 开发一个涵盖AI系统生命周期的风险管理计划，减少系统决策中的偏见，保持人工监督和问责，并确保强大的数据安全控制；
• 尽量减少输入AI系统的健康数据的数量和敏感性；
• 向消费者提供对AI产生的不利决定提出异议的选项，并告知消费者减少AI偏见所采取的步骤；
• 确定如何遵守消费者的个人数据请求，包括从AI模型中删除个人数据的请求；以及
• 采取适当的措施保护AI模型中的个人数据免受未经授权的披露，例如对抗性训练以降低对抗性攻击的风险和严格的访问控制以防止模型被盗。

(全文结束)