作者:杨帆 金琳懿 袁雪婷 金杜律师事务所

采用深度学习算法的计算机软件(“AI软件”)已经在医疗领域投入实用,在疾病的诊断和治疗方面发挥辅助决策作用。美国在2018年即已批准第一个AI诊断决策支持软件,而中国国家药品监督管理局(“药监局”)也于2020年1月开始批准了若干基于深度学习技术的软件医疗器械。由于医疗器械软件的研发不同于普通软件,面临更多的监管,因此AI软件医疗器械的研发过程中有很多特别的合规事项值得注意。

一、医用AI软件是否属于医疗器械

根据《医疗器械监督管理条例》(2017年修订)中的规定,医疗器械包括各种直接或者间接用于人体的仪器、设备、材料、物品等,也包括所需要的计算机软件;医疗器械的作用途径主要通过物理等方式获得,不是通过药理学、免疫学或者代谢的方式获得;医疗器械的目的包括疾病的诊断、预防、监护、治疗或者缓解,损伤的诊断、监护、治疗、缓解或者功能补偿,以及通过对来自人体的样本进行检查,为医疗或者诊断目的提供信息等。

《医疗器械分类目录》(2017年8月版)(“分类目录”)将独立医用软件[1]列于第21大类。对于具有诊断功能的软件,若诊断软件通过其算法,提供诊断建议,仅具有辅助诊断功能,不直接给出诊断结论,分类目录中相关产品按照第二类医疗器械管理。若诊断软件通过其算法对病变部位进行自动识别,并提供明确的诊断提示,则其风险级别相对较高,分类目录中相关产品按照第三类医疗器械管理。例如,第21-05体外诊断类软件(如用于对疾病进行筛查、评估的血糖数据分析软件),分类目录将其作为第二类医疗器械管理;第21-04决策支持软件(如由计算机软件对病变进行自动识别,对病变的性质等给出临床诊断治疗依据和/或建议的肺部计算机辅助诊断软件),分类目录将其作为第三类医疗器械管理。因此,如果企业研发的AI软件具有疾病诊断或治疗功能(包括提出诊断建议),例如预期用于疾病管理、目标人群为医护人员和患者或处理分析监测医疗数据/图像,原则上都有可能被认定为医疗器械(“AI软件医疗器械”)。而如果AI软件不涉及诊断或治疗功能,例如医院信息管理系统、诊疗预约系统、医保支付或核算系统等,或者用于健康管理、目标人群为健康人群、分析统计健康信息,则不会被归为医疗器械。当然,实践中会存在AI软件是否属于医疗器械难以判断的情况,研发企业可以通过规定程序向药监局医疗器械标准管理中心申请进行医疗器械的分类界定,包括是否属于医疗器械的界定。

二、AI软件医疗器械在获得注册前是否可以投入临床使用

根据《医疗器械监督管理条例》第63条、第66条的规定,企业不得生产、销售未获得注册的第二类、第三类医疗器械,医疗机构也不得使用未获得注册的第二类、第三类医疗器械。国家卫健委发布的《人工智能辅助诊断技术管理规范》(2017年版)也要求医疗机构使用经过国家食品药品监督管理总局批准的人工智能辅助诊断技术的计算机辅助诊断设备及器材。

因此,在AI软件医疗器械未获得注册之前,企业不得向医疗机构进行销售,医疗机构也不得将AI软件医疗器械用于临床诊疗用途,如向患者出具诊断报告。否则将会面临相应的行政处罚,包括没收产品、没收违法所得、罚款、对责任企业的医疗器械许可申请不予受理等。实践中存在不少医疗机构使用未经注册的医用软件或未履行医疗器械注册变更手续的医用软件而被处罚的案例。即使AI软件医疗器械完成药监局的注册,软件的开发企业还需要申请获得医疗器械生产许可证,才能“制造”、销售自身研发的AI软件医疗器械。

三、AI软件医疗器械是否要进行临床试验

根据《医疗器械监督管理条例》第17条的规定,申请第二类、第三类医疗器械产品注册,应当进行临床试验,除非按规定免于进行临床试验的医疗器械。在《免于进行临床试验的医疗器械目录》(2018年修订)中,第21大类中有若干独立医用软件可以免于进行临床试验,例如21-02-02医学图像处理软件。此外,如果AI软件作为医疗器械硬件的一部分组件存在,而该医疗器械硬件根据上述目录属于免于进行临床试验的范围,则该AI软件也可以免于进行临床试验。除此之外,凡是未被上述目录排除的AI软件医疗器械,原则上都应当按规定在注册前进行相应的临床试验,以验证AI软件的安全性和有效性。

此外,实践中有不少研究者发起的临床研究在医疗机构中对AI软件诊疗的临床效果进行研究。研发企业通过与医疗机构的合作参与这些临床研究。但是这些临床研究产生的数据未必一定能用于医疗器械注册。

四、非临床研发中数据收集的脱敏要求

研发AI软件需要“投喂”大量的数据以开发和训练算法。数据主要通过合作的医疗机构采集,包括现有的历史数据。因此研发企业获取数据可能涉及从医疗机构至研发企业的数据转移。由于医疗机构采集的数据中可能包含大量个人信息以及个人健康医疗信息,为了保护患者的隐私和其他权益,药监局医疗器械审批中心发布的《深度学习辅助决策医疗器械软件审评要点》(2019年)(“审批要点”)中要求采集的数据应当进行数据脱敏,即由医疗机构转移至研发企业的数据应当是脱敏数据。而根据《信息安全技术——个人信息安全规范》(GB/T35273-2017)中的规定:个人信息经匿名化处理后所得的信息不属于个人信息;转让经去标识化处理的个人信息,且确保数据接收方无法重新识别个人信息主体的,可以无需事先征得个人信息主体的授权同意。因此,如果医疗机构就数据转移不再获取患者(个人信息主体)的授权同意,其应当确保该数据已经经过匿名化处理,或者经过去标识化处理达到研发企业无法重新识别个人信息主体的程度。

五、临床试验中个人健康医疗信息的收集

如上文所述,除了免于进行临床试验的软件外,原则上AI软件医疗器械需要进行临床试验。临床试验的目的是验证AI软件的安全性和有效性。一般认为,在临床试验中研发企业(申办者)和临床试验机构(医疗机构)共同承担数据控制者的角色。[2]因此研发企业应当按照相关法律法规、国家标准项下个人信息控制者所应承担的义务履行在个人信息的收集、保存、使用、转让等环节的职责。

《审批要点》要求临床试验的实施机构应当具备代表性和广泛性,应当不同于上述训练数据的主要来源机构。临床试验需要获得入组受试者签署的《知情同意书》,关于受试者个人信息的接收方、用途、使用方式、信息控制者采取的保护措施等内容可以在《知情同意书》或相关文件中予以规定。如果研发企业希望将临床试验中收集的数据用于其他研究目的的,可以考虑在《知情同意书》或其他相关文件中对授权范围作明确的约定,但是前提是通过伦理委员会的审查同意。

六、回顾性临床研究中数据的收集

回顾性临床研究是指研发企业以新产品开发和验证为目的,或验证现有产品的临床反应,或以优化现有产品为目的,从医疗机构获取既往数据进行的临床研究。在AI软件医疗器械的研发中,取决于软件的风险级别,回顾性临床研究可以用作临床预试验作为临床试验的补充或者替代临床试验。

回顾性临床研究原则上应获得受试者的知情同意,但是如果(1)已无法追溯到患者,或获取受试者知情同意代价太高,或(2)数据主体已签署知情同意书,范围包含现有范围,可以考虑在采取去标识化等措施的前提下,向伦理委员会申请知情同意豁免。[3]

七、

AI技术投入医疗领域的时间并不是很长,中国关于个人信息保护的法规也尚处于完善的过程中,因此在AI软件医疗器械研发过程中遇到的很多合规问题还没有明确的答案,相关规定也较为粗略。与此同时,AI软件的安全性和有效性,以及在研发过程中使用到的大量数据(包括个人健康医疗数据)却伴随着很大的风险。因此,我们建议研发企业密切关注这一领域相关法规、标准和指南的立法和实施进展,通过遵守各项合规要求和最佳实践,降低企业所面临的风险。


[1] 软件也有可能作为医疗设备的一个组件、部分或附件,而在整个医疗设备进行医疗器械注册时被药监局审查。
[2] 《信息安全技术——健康医疗信息安全指南》(征求意见稿,2018年12月26日版),7.6.2。
[3] 《涉及人的生物医学研究伦理审查办法》(2016年)第39条;《信息安全技术——健康医疗信息安全指南》(征求意见稿,2018年12月26日版),7.6.4.2。