医生采用人工智能激增,引发HIPAA合规风险
根据美国医学会(AMA)最近对医疗服务提供者的一项调查,2024年医生使用人工智能几乎翻倍。引入“增强护理”改善了患者的治疗效果,但同时也增加了医院、诊所及医生面临合规问题的风险,特别是在《健康保险可携性和责任法案》(HIPAA)的隐私和安全规则方面。
人工智能驱动的医疗工具及其对患者隐私的影响
广泛使用的医疗人工智能技术可以分为三大类,每一类都带来了新的合规挑战:
- 临床决策支持系统(CDSS):协助医疗专业人员诊断病情、推荐治疗方案并改进临床工作流程。CDSS通过整合患者数据和临床指南,提供个性化的治疗建议。
- 诊断成像工具:分析放射扫描、病理切片和癌症筛查,以检测异常并识别疾病的早期迹象。
- 行政自动化:管理诸如总结临床笔记、起草出院说明以及支持面向患者的聊天机器人等任务。
这三类系统均依赖于获取和处理受保护的健康信息(PHI)。虽然它们带来了便利,但也引入了典型的HIPAA隐患,例如不当披露和二次数据使用,使它们成为网络犯罪分子的目标,后者可能窃取姓名、地址和社会安全号码等敏感信息。接受调查的医生将这些隐私风险列为所有报告的人工智能问题之首,凸显了严格的数据治理和安全控制的必要性。
2024年是医疗技术的关键一年,人工智能的使用增加的同时,数据泄露事件也创下了纪录。Change Healthcare公司在当年二月披露的历史上最大的医疗数据泄露事件影响了1.9亿人。另一起泄露事件则暴露了六家医院48.3万名患者的记录,起因是一家代理型AI工作流供应商的漏洞,导致敏感患者信息在平台上数周未受授权控制保护。
将HIPAA要求应用于人工智能治理
鉴于这些隐私和安全挑战,像HIPAA这样的监管框架在为人工智能使用设置护栏方面发挥了关键作用。采用人工智能的医疗服务提供者应了解法律如何适用于改进其实践的技术,如何避免违反法律,并避免对其患者和业务造成风险。
HIPAA的隐私规则规定了PHI的使用和披露,并要求不同程度的授权。受保实体应遵循以下原则:
- 必须在患者请求其信息或卫生与公众服务部(HHS)进行合规调查时共享PHI。民权办公室(OCR)的审计可能包括对AI系统的大量信息请求,涵盖工具清单、与供应商的合同协议以及AI活动日志。
- 当信息用于治疗、支付或运营(即书面授权的TPO例外)时,可共享PHI。用于此类目的的工具(如CDSS和诊断成像工具)只能提供TPO功能。如果TPO提供商将PHI用于其他用途,则可能违反HIPAA。
- 对于任何其他健康数据用途(包括营销、广告或产品开发),必须获得书面授权。因此,在输入PHI以训练AI模型之前,需要患者明确同意其数据被重新用于这些目的。
除了授权要求外,受保实体还必须与接收、维护或传输健康信息的供应商签订商业伙伴协议(BAA)。这些协议必须满足某些法定要求,其中几项对AI使用合同至关重要:BAA必须描述PHI的允许和必要用途,并限制商业伙伴将患者数据用于其他目的。协议还必须要求供应商围绕信息维护安全措施,并建立非法暴露或数据泄露通知受保实体的时间表。
HIPAA还概述了患者信息安全要求。安全规则要求受保实体和商业伙伴通过以下方式保护患者信息的保密性、完整性和可用性:
- 识别并防范合理威胁;
- 防止非法披露患者信息;以及
- 确保员工遵守法律。
商业伙伴必须遵守严格的安保协议,以避免在共享PHI时违反法律。上述提到的数据泄露事件威胁到高效且安全的医疗环境。数据泄露不仅暴露信息,还可能导致整个IT系统无法使用,从而延误预约和医疗服务提供,降低护理的可用性和质量。缺乏对PHI的访问会危及患者的安全,因为关键的治疗信息无法获得。
维持合规性的策略
考虑到这些监管挑战,医疗服务提供者和企业应采取多种策略,在利用人工智能优势的同时维持法律合规。
供应商选择
供应商选择是防止HIPAA违规的第一道,也是最有力的防线。谨慎选择第三方供应商和软件是防止安全漏洞和患者信息滥用的最有效方法之一。与AI供应商签订合同时最关键的一条是禁止在未经患者授权的情况下使用患者数据训练或重新训练模型。这种主动的供应商管理方法显著降低了法律责任和监管执法行动的风险。受保实体应要求采用行业标准的网络安全实践,例如符合NIST SP 800-66 Rev. 2框架或类似强协议。此外,要求在发生事故时快速通知数据泄露事件,将有助于提供商限制其网络中的横向移动,并尽量减少对医疗服务及患者信息的保密性、完整性和可用性的干扰。
员工培训
仅次于供应商管理的是员工对法律的合规性。员工必须接受培训,了解人工智能如何带来新的患者安全威胁。“影子IT”——即员工在未经组织批准的情况下使用或下载软件——在人工智能领域尤其具有威胁性。如果员工将PHI输入不符合HIPAA标准的软件或没有签订BAA的系统中,相关信息将无法回收,并可能被集成到模型中或在网络事件中暴露。采用经批准的、符合HIPAA标准的工具可以减少未经授权软件使用的发生。员工应被要求在其个人资料、账户和用户界面中启用多因素身份验证。当发生数据泄露时,分层安全协议可以限制暴露的信息。
随着人工智能使用的加速,医疗机构必须在充分利用这些技术的变革潜力与保护患者隐私和维持监管合规的义务之间取得平衡。
医疗领域安全使用人工智能的道路始于严格的供应商选择,并通过全面的员工培训和持续的治理得以延续。现在投资于适当的人工智能治理框架的组织将能够从新兴技术中受益,同时避免与HIPAA违规相关的巨大法律、财务和声誉风险。在这一不断发展的环境中取得成功,需要将人工智能合规视为可持续和安全推进患者护理的基础。
(全文结束)
