人工智能(AI)有潜力彻底改变医疗保健。在肿瘤学领域,现在有机会将AI应用于诊断、预测分析和管理功能。这一热门话题在2024年9月的癌症护理业务交流会上的数字创新(特定于癌症的AI用例)和高级临床路径会议上进行了讨论。虽然这些热烈的会议明确了商业案例,但值得注意的是,AI技术的发展远远超过了适当和周到的立法和监管框架的发展速度。
医院、提供者、支付方和第三方供应商在选择和实施任何新的AI解决方案时应采取实际步骤。以下是进入这一关键领域的几个关键考虑因素:
确保遵守所有适用的隐私和安全标准
AI的成功通常依赖于数据。几乎所有的AI解决方案都需要大量的数据,这需要从多个来源集成和摄入数据,包括电子病历系统、提供者平台和患者门户。了解谁将如何使用和支持AI解决方案对于确保医疗保健组织遵守联邦和州的隐私和安全法律至关重要。[1] 为医疗保健提供者创建和支持AI解决方案的供应商必须确保其解决方案符合医疗保健提供者期望的基本隐私和安全最佳实践。
医疗保健提供者必须详细了解AI解决方案的运作方式,以评估所需的法规保护。供应商将需要什么类型的数据来操作和支持AI解决方案?如果将患者信息共享给供应商,提供者可能需要与供应商签订最低限度的业务关联协议。医疗保健提供者还应了解是否需要向患者发出通知。一些州法律规定,如果个人可识别信息将用于AI解决方案以提供建议或反馈,则必须通知个人。提供者还应注意供应商可能寻求将其健康数据用于自身目的的迹象,例如培训其AI解决方案并在提供者的竞争对手中使用该解决方案。任何用于供应商自身目的(不涉及客户合同管理)的数据使用都必须在业务关联协议中明确允许,并且任何数据都必须按照HIPAA的规定去标识化,并获得医疗保健提供者的许可。
积极监控该领域的立法和监管活动,因为监管力度可能会增加
随着AI的快速发展,政府监管进展缓慢;然而,我们可以预期新法律和官方指导文件将越来越多地出现。许多州已经成立了工作组和委员会来研究和监测AI的使用。今年3月,犹他州通过了《人工智能法案》,规定自2024年5月1日起,受监管职业使用生成式AI需进行首次披露要求。今年5月,科罗拉多州通过了《消费者与人工智能互动保护法》(生效日期为2026年2月1日),这是第一个监管高风险人工智能系统的州法律。[2] 更多信息请参见Foley的博客《科罗拉多州通过新AI法律保护消费者互动》。
AI驱动的医疗设备可能需要在实施前获得批准
提供者应确认拟议的AI驱动解决方案是否需要监管批准(例如作为医疗设备),如果没有,支持其产品营销的监管指导是什么,以及支持此类声明的适当陈述和保证。尽管AI可以学习错误并不断改进性能,现有的监管模式旨在评估AI运行的静态框架。因此,许多医疗设备可能需要但尚未获得适当的监管批准,或在未来可能受到审批要求的约束。食品和药物管理局(FDA)正在探索更全面评估AI解决方案的方法(截至2024年8月,FDA已授权950种AI/ML驱动的医疗设备),但最终可能需要国会以新的立法形式提供指导。在此期间,提供者应在采用前仔细审查任何拟议的AI驱动医疗设备的法律意见。
通过尽职调查和合同保护自己
想象最坏的情况。例如,您的AI供应商遭受网络攻击。或者,由于AI产品的故障和提供者过度依赖AI解决方案而错过诊断。提供者应仔细实施政策和程序,概述组织批准的AI使用方式,彻底尽职调查供应商和AI解决方案,审查合同以建立适当的保护措施,并确保保险和其他责任保护到位。适当的尽职调查领域包括供应商是否适当注册以保护其知识产权;供应商是否对其员工和代理人进行背景调查以防止医疗欺诈和其他高风险领域;供应商是否有适当的保险覆盖(包括网络安全保险);以及如果提出索赔,有哪些资源可用。合同应预先分配责任。许多供应商提供标准合同。这些合同应仔细审查,以确保包含以下法律条款:
- 基本性能期望
- 关于合规性和性能的陈述和保证
- 保密/隐私和安全
- 不招揽义务或其他限制性契约(特别是对于现场工作的供应商)
- 赔偿条款——寻找与疏忽、违约、故意不当行为、网络安全和知识产权侵权相关的赔偿
- 责任限制——许多供应商希望将责任限制在一到三年的费用回顾期内
制定和实施适当的IT和AI治理程序
一个定义明确的企业治理框架可以解决AI伦理实施的担忧,建立对AI解决方案的信任,并帮助公司减少未来的责任。这包括制定政策和程序,包括对将访问或使用AI解决方案的人员进行适当的培训,使组织能够在实施过程中和未来持续审查、监督和监测AI。然而,随着技术和AI用例的不断发展,以及在组织内部监测这些治理政策的合规性,持续审查和迭代这些治理政策非常重要。
优先考虑支持或增强报销的解决方案
AI可以帮助提高效率和创新,最重要的是可以改善患者护理和结果,但精明的肿瘤学实践还将寻找可以增强其底线的AI解决方案。AI解决方案本身是否可报销,和/或供应商是否有报销途径?该产品是否已认证符合医疗保险和医疗补助服务中心(CMS)的质量报告计划,如基于价值的激励支付系统(MIPS)和促进互操作性的州项目?国家卫生信息技术协调办公室(ONC)的认证被CMS认可,以确认符合安全、功能和技术要求。[3] 然而,根据与AI解决方案的集成程度,供应商可能需要采取措施以符合ONC对生成式AI解决方案和临床决策支持工具的要求。
下一步行动
随着AI逐渐成为医疗保健运营的重要组成部分,可以采取这些实际步骤来减少合规、隐私和安全流程的风险。
- 作者感谢特别顾问Jacqueline Acosta和波士顿大学法学院学生及2024年夏季实习生Francesca Camacho的贡献。
[1] 许多州的隐私和安全标准在许多情况下超过了联邦基线标准,应予以审查。
[2] SB205(消费者与人工智能互动保护法)。
[3] ONC最近发布了关于“决策支持干预”、“患者人口统计和观察”和“电子病例报告”的修订认证标准,以及美国核心数据互操作性(USCDI)标准的新基础版本至第3版。
(全文结束)
