自从1956年美国计算机科学家约翰·麦卡锡在达特茅斯会议提出人工智能这一概念以来，人工智能（AI）已经发展了60多年，在此过程中历经“三起两落”。2016年AlphaGo战胜李世石事件，将人们对人工智能的关注推向高潮。2017年，人工智能首次被写入政府工作报告，同年7月，国务院印发《新一代人工智能发展规划》，提出“人工智能的迅速发展将深刻改变人类社会生活、改变世界”“人工智能成为国际竞争的新焦点”。随着我国互联网、大数据、云计算等领域的快速发展，人工智能的发展时机已经成熟。预计在不久的将来，人工智能将通过交通出行、看病就医、金融服务、教育培训等方面，融入每个人的生活。

人工智能在发展进程中主要面临两个问题，即技术问题和相关的伦理与法律问题。从某种程度上来说，人工智能伦理与法律问题的重要性要超过其技术问题，就医疗领域而言更是如此。发展人工智能应该以人类社会的稳定与福祉为前提，发展医学人工智能的目的脱离不开医学本身，即协助医生为人类解除病痛、恢复健康。近年来，随着人工智能技术的突飞猛进，其在医疗领域的应用也取得了重大突破。目前，人工智能已广泛应用于疾病的预防、诊断、治疗，风险监测，健康管理，新药开发等领域，人工智能已经在英国、美国等发达国家的各类医疗机构中全面展开应用。人工智能技术在医疗领域的应用和发展，也带来了一系列法律问题，其中最为主要的当属患者医疗健康数据管理问题和医疗损害责任分担问题。

医学AI的数据规范与隐私保护

智能移动终端和可穿戴设备收集了大量与患者相关的医疗健康数据，这些宝贵的数据资源在科研领域和商业领域都有巨大价值。但大量数据的汇聚也存在很大风险，一旦数据泄露，被不法分子利用，将会给人们的生命财产安全造成巨大损失。如何在保护患者个人隐私的同时安全合理地利用这些资源，就成为我们需要重点考虑的问题。

1996年，美国国会颁布了《健康保险携带和责任法案》（Health Insurance Portability And Accountability Act, HIPAA），旨在保护患者隐私信息的安全，并维护员工、客户和利益相关方数据的完整性，明确了患者对自己的健康状况有隐私权，建立起保护病人隐私的法律框架和法律标准，提升了整个卫生行业的标准化水平。但该法案的受用范围有限，仅对医疗机构提出了要求，制药企业、公共卫生机构等不受HIPAA的规制。后来根据HIPAA的授权，美国健康与人类服务部（Human And Health Service, HHS）制定了《HIPAA隐私规则》（以下简称《规则》），主要保护“可识别为个人身份的健康信息”（Individually Identifiable Health Information），规定了个人健康信息如何“去身份化”，以便更好地保护患者隐私。

2016年4月，欧洲议会投票通过《通用数据保护条例》（General Data Protection Regulation，GDPR），该条例保障了个人信息数据隐私，也为新技术研发过程中的数据信息处理提供了一定的标准和规范。有研究表明，GDPR对人工智能应用及发展的影响很大，它一定程度上阻碍了人工智能、数字经济等新技术、新事物在欧盟的发展，给企业经营增加了负担和不确定性。

英国政府在《英国政府回应上议院人工智能特别委员会关于人工智能的报告:准备，意愿和能够?》（Government Response To House Of Lords Artificial Intelligence Select Committee’s Report On  AI In The UK: Ready, Willing And Able?）中提出，建立和维持公众对其数据安全使用的信任对人工智能的广泛应用至关重要。在欧盟GDPR的影响下，英国通过了《数据保护法案2018》(Data Protection Act 2018)，该法案大力支持数据在人工智能和机器学习中的安全使用，同时也包含一些必要的保障措施，确保有严格的规定来规范数据的自动化处理过程。

我国也高度重视数据规范使用及个人隐私保护。2015年8月，国务院印发《促进大数据发展行动纲要》，高度重视数据共享、数据安全和隐私保护。纲要明确了数据共享的范围边界和使用方式，厘清了数据共享的义务和权利，加强了数据安全保障和隐私保护。2016年6月，国务院办公厅印发《关于促进和规范健康医疗大数据应用发展的指导意见》，旨在营造一个互联融通、开放共享的良好数据环境，为数据规范化管理奠定了基础。2018年7月，国家卫健委发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》，该办法规范了大数据的标准管理及安全管理。2019年11月，工业和信息化部曾开展为期两个月的APP侵犯用户权益专项整治行动，重点整治APP违规收集用户个人信息、违规使用用户个人信息等突出问题，结合企业、社会、政府多方力量规范行业管理。

人工智能医疗机器人能够收集使用者的基因、病历、健康状况等重要信息，这些信息一旦泄露可能会给患者带来巨大不便。在人工智能时代，建立行业规范以保护患者健康数据至关重要，这不仅是对个人隐私权的尊重，更是对社会整体利益的保护。然而，过于严苛的数据保护可能会阻碍人工智能的发展，欧盟GDPR就是一个很好的例子，那么，如何兼顾数据保护和科技发展呢？

2014年，加拿大提出了共享匿名数据不需要征得同意的声明，其在政策声明修正案中提到，完全依赖于二次使用不可识别信息的研究不需要征得同意。在欧盟GDPR中也提到，当一项任务“符合公众利益”时，可以在未经本人知情同意的情况下处理个人数据。这些规定给予我们一定启示，即在样本量大到回顾性获得患者同意不现实时，可以从特定数据使用的“知情同意”过渡到“广泛同意”“选择退出同意”或“推定同意”。

在法律上，当受到法律保护的两种权利发生冲突时，会比较两种权利背后要保护的法益，优先考虑法益较重的权利。当医学人工智能的发展与应用旨在促进人类的健康与幸福时，在保证数据安全且不会对他人造成伤害的前提下，个人隐私权应当做出一定让步，从而达到两者之间的平衡，在不损害个人权益的前提下推动技术进步。

另外，作为互联网法律基础制度之一的“避风港规则”也能给我们一定启示。建立数据集的过程中，当逐个获取数据主体的同意成本过高或不现实时，我们可以先收集处理，在数据主体发出选择退出同意的请求时，再将数据从数据集中清除，在尊重数据主体意愿的前提下对数据进行收集处理、研究分析，既保证患者充分行使自己的权利，又保证医学人工智能技术的发展不受阻。

医学AI的损害责任赔偿

医学人工智能最主要的应用体现在医疗机器人和智能医疗诊断方面。如果医疗机器人和智能医疗诊断系统在使用过程中，由于系统故障或者电力供应方面出现问题等原因做出错误诊断或行为从而导致医疗事故的发生，且对患者造成医疗损害时，如何判定医疗损害责任？人工智能本身是否可以承担损害责任呢？医学人工智能的法律主体地位是人工智能发展的终极思考问题，相关方面的讨论从未停止，然而，目前人工智能的发展还处在弱人工智能阶段，现在以及未来很长一段时间内，人工智能都将是从属于人类的工具。因此，应将其当作产品来看待，损害责任的承担者将在该产品的生产者、设计者、所有者、使用者中产生，但由于人工智能算法的不透明性和监管制度的不完善，对利益相关者进行公平公正的责任划分存在很大困难。

如何让人工智能在确保安全的前提下进入我们的生活呢？对于如何监管人工智能在医学领域中的应用，有学者强调人工智能算法的透明化更利于监管，但也有反对意见指出，首先，算法程序本身具有很高的专业壁垒，大多数非专业人士读不懂，只能依靠算法程序行业自我监督；其次，在如今人工智能深度学习的情况下，代码编写者可能也无法完全准确预测其结果；最后，代码是编写者智慧的结晶，甚至有可能是科技公司的安身立命之本，如果随意公开，可能会引发知识产权、商业机密等一系列法律问题。另有学者建议，可以将监管前置化，把对于医学人工智能产品的监管转为对其生产企业的监管，为此类企业设置壁垒，让有良好信誉的企业对其产品负责，但如此一来，很可能造成大企业垄断的局面，小型科技公司将缺乏竞争力，不利于良好人工智能产业环境的营造。确定医疗损害赔偿责任实质上是医学人工智能的监管问题，如何科学合理地监管医学人工智能仍然有待研究。

人工智能以人为本的伦理原则

伦理原则决定着技术的发展方向，目前人工智能相关的法律尚未出台，需要伦理准则来规范其应用发展。在这方面，欧盟走在了世界前列，2018年4月，欧盟委员会发布政策文件《欧盟人工智能》（Artificial Intelligent For Europe），提出以人为本的人工智能发展路径，旨在提升欧盟科研水平和产业能力，从而可以更好地应对人工智能和机器人带来的技术、伦理、法律等方面挑战，让人工智能更好地服务于欧洲社会和经济的发展。2019年4月，欧盟先后发布了两份重要文件——《可信AI伦理指南》（Ethics Guidelines For Trustworthy AI）和《算法责任与透明治理框架》（A Governance Framework For Algorithmic Accountability And Transparency）。

中国发展研究基金会在其发布的报告《未来基石——人工智能的社会角色与伦理》中指出，要通过各界合作建立一套切实可行的指导原则，鼓励发展以人为本的人工智能。以人为本是人工智能发展的基本伦理要求，任何一项技术的发展进步都是以促进人类社会的进步、增进人们幸福感为宗旨的，人工智能技术也不例外，必须保证它符合我们的伦理道德，且不会对人类造成伤害，这是医学人工智能进步和发展的前提。