生成式人工智能(GenAI)借助基础模型(加州前沿 AI 政策报告将其定义为 “资源密集型通用技术,需大量数据与算力支撑,可赋能各类下游 AI 应用”),在短期内实现了跨行业快速突破。以 Gemini、ChatGPT 为代表的通用大语言模型(LLMs),在数据分析、文本生成、逻辑推理等领域展现出媲美甚至超越人类认知的能力。在医疗领域,医护人员为减轻行政负担、提升运营效率乃至辅助临床决策,对生成式 AI 的采纳率持续上升。然而,若缺乏负责任的部署与使用,生成式 AI 在医疗场景的应用将引发重大合规风险 —— 通用大语言模型可能依赖未经验证的数据来源、未经授权使用患者健康信息,或传播偏见与错误信息。为维护患者数据隐私、遵守不断更新的法规、降低高额风险,医疗行业领导者必须采取果断措施,化解 “未受监管的 LLM 使用” 这一潜在的合规 “定时炸弹”。
医疗领域通用大语言模型的应用现状
当前,医疗行业人员正越来越多地将 LLM 用于日常工作,覆盖行政事务、患者沟通等场景,多模态 LLM 因能便捷处理文本、图像、音频数据,进一步拓展了应用边界。除行政支持外,医疗机构对 LLM 的应用已超越单纯文书工作,延伸至临床任务 —— 多项研究显示,LLM 在特定领域的表现已达人类水平,例如 GPT-4 通过美国医师执照考试时总分为 86.7%,展现出辅助临床决策的潜力。
混合 AI(Hybrid AI)是医疗领域生成式 AI 应用的新兴方向,通过结合机器学习(ML)与 LLM,既能处理复杂分析任务,又能将结果转化为通俗易懂的语言,在发挥 LLM 优势的同时,弥补其 “模型幻觉”、准确性不足、存在偏见等短板。此外,智能体 AI(Agentic AI)的采纳率也在上升,其无需人工干预即可自动执行关键任务,如回复患者消息、安排预约等,进一步提升了医疗服务效率。但技术潜力的背后,是对更主动治理机制的迫切需求 ——LLM 在医疗运营中的嵌入程度越深,确保其准确性、安全性与合规性的重要性就越高,任何疏漏都可能直接影响患者健康与机构声誉。
医疗领域通用大语言模型的合规风险
尽管医疗数字化带来了诸多可能性,但也暴露了行业的关键脆弱性。2023 年 11 月 1 日至 2024 年 10 月 31 日,医疗行业发生 1710 起安全事件,其中 1542 起涉及确认的数据泄露。AI 时代进一步加剧了这些漏洞,为数据隐私与安全增添了新的复杂性,通用大语言模型在医疗场景的应用尤其引发四大合规风险:
风险一:“黑箱” 开发阻碍持续监控与验证
闭源 LLM 的开发过程缺乏透明度,既不公开训练数据来源,也不披露更新机制。这种 “黑箱” 特性使得开发者与研究人员无法深入模型内部,难以追溯安全风险的源头或厘清决策逻辑,进而导致未经验证的医疗数据被用于模型训练,安全漏洞长期得不到发现与修复,为医疗决策埋下隐患。
风险二:患者数据泄露
LLM 并非始终使用去标识化的患者数据,特定提示词或交互过程可能意外泄露可识别的健康信息,构成对《健康保险流通与责任法案》(HIPAA)等法规的违反。例如,医护人员在使用公共 LLM 撰写病历摘要时,若不慎输入患者姓名、病历号等敏感信息,可能导致数据流入境外服务器,且无法掌控数据的存储时长与用途,严重侵犯患者隐私。
风险三:偏见与错误信息的传播
实验表明,向生物医学模型知识库的某一类别注入少量错误信息后,模型输出中会广泛传播这些误导性内容,凸显 LLM 易受错误信息攻击的特性。更严峻的是,基础模型存在的缺陷会传递给所有衍生模型与应用,其输出中的差异可能加剧健康不平等 —— 例如,对少数群体提供不准确的医疗建议,进一步扩大医疗服务差距。
风险四:不符合监管要求
通用大语言模型的使用可能不符合 HIPAA、《通用数据保护条例》(GDPR)及不断涌现的 AI 专项法规,尤其是当供应商无法验证训练数据合规性时,风险更为突出。而医疗人员使用未经批准、不受监控的 “影子 AI”(Shadow AI),进一步放大了这一问题 ——IBM 研究显示,各行业 20% 的受访机构曾因影子 AI 引发的安全事件遭遇数据泄露。这些风险最终会转化为现实后果,包括法律诉讼、声誉受损、患者信任丧失及高额诉讼成本。
结合补充信息来看,医疗领域 LLM 的合规风险已呈现全球化、多样化趋势。在加拿大,医护人员未经批准使用 ChatGPT、Claude 等公共 AI 工具处理患者数据,导致敏感信息可能流向境外服务器,且即使匿名化处理的数据,结合临床细节、时间戳、地理线索后仍可能被重新识别,而当地《个人信息保护与电子文件法》(PIPEDA)等法规难以覆盖 AI 应用场景,形成法律灰色地带。中国医务人员对 LLM 风险的认知调查显示,近七成受访者将数据隐私泄露视为最大风险,同时担忧误诊漏诊、技术故障及伦理法律问题,但仍有近三成医务人员不了解 GAI 产品,近四成未使用过相关工具,反映出风险意识与应用能力的不足。在心理健康领域,“超说明书使用 AI” 现象普遍,近半数美国成年人用通用 LLM 获取心理支持,此类工具因缺乏临床验证,在处理自杀倾向等高危情境时易出现误判,且存在隐私合规漏洞,侵蚀患者信任。
医疗领域 LLM 合规应用的最佳实践
为负责任地采纳生成式 AI,医疗行业领导者需建立清晰的管控框架,同时保护患者与机构利益,以下七大最佳实践可构建合规、负责任的 AI 应用基础:
1. 审慎选择 AI 技术
要求供应商明确披露 AI 技术的开发过程与数据来源,优先选择仅采用专家验证医疗内容、决策过程透明、不使用患者健康信息训练的工具。例如,上海东方医院与中国科学院软件研究所联合开发的 Med-Go 模型,依托 200 多亿条医疗数据,通过中国医师资格考试,且训练数据经过严格合规审查,在临床应用中能快速提供准确诊断建议,为合规选型提供了参考范例。
2. 建立 “人机协同” 保障机制
确保临床人员对可能影响诊疗决策的 AI 生成内容进行审核。AI 虽能提升效率,但医疗行业直接关系患者生命安全,临床监督是保障 AI 合理使用与信息准确性的关键。例如,在心理健康领域,需建立 24 小时人工监督体系,避免通用 LLM 处理高危情境时出现误判,确保 AI 输出始终处于专业人员的把控之下。
3. 加强培训与人员准备
向医护人员普及 AI 的优势与风险,减少影子 AI 的使用。医疗行业面临人员短缺、职业倦怠等问题,简化 AI 培训流程可在不增加工作负担的前提下提升合规意识。例如,加拿大医疗机构通过 “AI 使用披露机制”,在常规安全审计中纳入 AI 工具清单,同时开展数据处理素养培训,让员工了解公共模型的数据风险,降低意外泄露概率。
4. 构建治理文化
引入第三方对 AI 解决方案进行评估,验证其安全性、可靠性与合规性;同时建立覆盖全机构的 AI 监管框架,明确审批、使用与监控流程,增强对技术的信任,避免员工转向未授权工具。例如,欧盟《人工智能法案》将基础模型列为 “高风险应用”,医疗机构可参考此类标准,结合内部流程制定监管细则,确保 AI 应用全程可控。
5. 与管理层协同推进 AI 治理
与管理层合作,紧跟法规更新及美国食品药品监督管理局(FDA)、国家卫生信息技术协调办公室(ONC)等机构的指导方针。不同地区监管要求存在差异,例如美国加州《前沿 AI 透明度法案》强调风险披露与缓解,科罗拉多州《人工智能法案》(CAIA)旨在防止算法歧视,医疗机构需主动适配区域法规,确保 AI 应用无合规盲区。
6. 持续监控与反馈
摒弃 “一劳永逸” 的心态,建立 AI 应用的持续监控框架,确保工具准确性、强化问责机制、长期维持合规状态。例如,针对 LLM 可能生成虚假健康信息的问题,可参考《英国医学杂志》(BMJ)的研究方法,定期测试模型对健康虚假信息的抵抗能力,及时发现并修复保障漏洞。
7. 开展合作优化监管与研究
借助与监管机构、公共部门的合作,最大化监管效果,将行业视角融入安全标准制定,整合专家资源。例如,医疗机构可参与大语言模型治理体系建设,推动建立类似 “食品安全” 的 AI 安全标准,在保障合规的同时,为技术创新提供明确方向。
以合规引领构建医疗 AI 信任
未来医疗 AI 解决方案的差异化竞争,将越来越取决于专家内容质量、评估流程完整性及与临床工作流的合规整合 ——AI 采纳的下一阶段,核心不再是技术代码,而是合规领导力。信任与合规同等重要,只有患者与医护人员相信 AI 安全且符合高质量伦理医疗标准,技术才能真正发挥价值。合规领导力并非被动防御措施,而是战略优势 —— 提前建立管控框架、防范风险的医疗机构,将在 AI 驱动的医疗未来中脱颖而出,实现创新与隐私保护的平衡,推动医疗行业向更高效、更安全的方向发展。
结合补充信息来看,合规实践需进一步覆盖技术与生态层面:在技术端,需防范 LLM 特有的 “训练数据提取攻击”“API 接口漏洞” 等风险,例如通过数据加密、权限管控防止敏感信息泄露;在生态端,需应对国际监管碎片化挑战,跨国医疗机构可建立适配多地区法规的弹性合规体系,同时推进国产化技术替代,减少对海外技术栈的依赖,从源头降低供应链风险。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/wei-shou-jian-guan-de-da-yu-yan-mo-xing-yu-yi-liao-he-gui
