夜雨聆风
林勇涛丨医疗人工智能、医疗决策与医疗说明义务———德国经验与中国借鉴丨学术前沿
点击上方↑蓝色字体关注我们
【作者简介】林勇涛,德国科隆大学法学院博士研究生
目录概览
一、 问题的提出
二、 医事法路径:德国医疗AI说明义务的传统规范展开
(一) 医疗AI与医疗器械认证
(二) 医疗AI通过医疗器械认证后的医疗说明义务
(三) 医疗AI未通过医疗器械认证时的医疗说明义务
1. 新型疗法、另类疗法与治疗试验
2. 加强的医疗说明义务
三、 数据法路径:德国医疗AI说明义务的辅助规范因应
(一) 医疗AI的自动化决策
1. 非全自动决策
2. 全自动决策
(二) 医疗AI非全自动决策时的医疗说明义务
1. 信息义务
2. 知情权与获得解释权
(三) 医疗AI全自动决策时的医疗说明义务
1. 说明义务之主体
2. 说明义务之内容
(1)信息义务和知情权
(2)基于知识产权的考量
四、 规范反思:医疗器械认证导向与数据告知义务转化
(一) “医疗器械认证”作为风险评估的起点
(二) 从“数据保护告知义务”到“医疗说明义务”的转化
五、 启示借鉴:比较法视野下中国医疗AI说明义务的建构
(一) 德国双重规范协同路径的借鉴意义
(二) 我国医疗AI说明义务的本土化制度建构
1. 结合医疗器械法规确定传统医疗说明义务之内容
2. 结合数据保护法规扩充医疗AI说明义务之内容
六、 结 语
一、问题的提出
近年来,人工智能(Artificial Intelligence,以下简称为AI)在医疗领域的应用呈现爆发式增长,涵盖图像识别、自然语言处理与临床决策支持系统等多种形态,广泛嵌入诊断、治疗与病情评估环节。在实践层面,AI系统正逐步成为医疗决策链条中的核心组成部分。谷歌DeepMind开发的乳腺癌筛查系统识别准确率高达92.4%,显著优于医师的平均识别率(73.2%),而IBM Watson for Oncology系统则可依托海量文献提供个体化治疗建议,与专家意见一致率超过90%。[1]在我国,医疗AI的临床应用亦已取得显著进展。根据国家卫生健康委员会2020年组织的医疗AI临床应用案例评选活动数据,全国共有245项AI应用项目申报参评,涵盖医学影像、呼吸、消化、心血管等多个临床重点科室。[2]
尽管医疗AI在效率与准确性方面展现出显著优势,但其技术特性亦引发了一系列法律与伦理风险。其中最为核心的便是其黑箱特性所造成的可解释性缺失。相较于传统医疗行为中可控、可追溯的逻辑链条,AI系统的算法判断往往难以理解或溯源。其次,AI模型对数据质量高度敏感,存在输入数据被操控的风险。有研究指出,若攻击者篡改MRI图像中的像素点,AI系统可能将原本良性的组织误判为恶性,从而对患者安全构成直接威胁。[3]再次,在模型训练阶段,由于AI系统依赖大规模临床数据,算法偏见亦难以完全消除。例如,在乳腺癌风险评估中,黑人女性接受高风险基因突变检测的概率显著低于白人女性,进而导致系统对黑人患者的风险判断存在系统性低估,从而形成隐性歧视。[4]此外,AI的运算逻辑目前主要依赖相关性推断,尚未实现因果推理,因此在个案处理上易产生方向性偏差。里奇·卡鲁安纳(Rich Caruana)的研究发现,某肺炎死亡率预测模型错误地将哮喘患者评为低风险,与临床经验明显背离,若被采信可能造成严重误判。[5]除上述技术风险外,由于AI系统广泛收集和处理患者敏感信息,如病史、基因数据与影像信息,个人数据所面临之风险在AI技术运用下越发明显。[6]
在此背景下,AI所带来的最直接法律挑战之一,便是对医疗说明义务的结构性冲击。传统医疗伦理强调医患间的信息对称与信任建构,医师需向患者说明诊疗过程、潜在风险及替代方案等内容,以保障患者自决。《中华人民共和国民法典》(下文简称为《民法典》)第1219条更是明确将医疗告知说明规定为法律义务。然而,在医疗AI介入诊疗过程的情境下,说明义务的履行面临两大难题———首先是是否需要告知患者医疗AI之存在及其作用;其次是如何进行告知。而后者更可能面临两种失衡的极端状态:其一,由于AI的黑箱属性及医师对其内部逻辑的有限掌握,此情况下医师可能倾向于仍以传统人工作业为基础进行医疗告知,导致患者在不知AI存在的基础上作出决定。其二,医师为规避风险,可能转向防御性说明,[7]即详尽披露所有其了解的AI系统的技术细节与潜在风险,但此类信息往往超出患者认知范围,可能导致患者的同意行为因存在认识障碍而失效。如何在技术复杂性与达致知情同意之间取得平衡,成为当下医疗说明义务制度必须回应的新问题。
为解决上述困境,德国法在医疗说明义务领域逐步构建起“医事法+数据法”双重规范协同路径:一方面,依据《德国民法典》第630c条与第630e条,继续维系传统治疗说明与自决说明体系,并根据医疗AI是否取得医疗器械认证,通过动态风险评估调整说明内容的范围与深度;另一方面,引入《通用数据保护条例》(General Data Protection Regulation,下文简称为GDPR)及欧盟《人工智能法》(AIAct)中关于自动化决策的数据主体权利条款,作为AI说明义务的补充性规范基础,并基于AI在医疗决策过程中的功能角色区分全自动决策与非全自动决策,设定不同的告知内容、模式与程度。虽然数据法规范并非传统医疗说明义务的核心渊源,但在AI高度介入、解释困难的语境下,确可作为建构医疗说明义务的有力辅助。[8]在我国AI技术高速发展的当下,明确医疗AI介入诊疗过程时医疗说明义务的具体内容与边界,对落实患者知情同意具有重要现实意义。国家卫生和计划生育委员会2017年发布的《人工智能辅助诊断技术管理规范》和《人工智能辅助治疗技术管理规范》规定了医疗AI运用的医疗说明义务,但其内容只是对《民法典》相关条款的简单移植,并未具体回应AI本身所具有的不透明特性给医疗说明义务带来的实施难题。[9]而文献中虽开始探讨AI自动化决策情境下医师的参与程度以及其对患者主体性的影响,但多侧重于“是否需要告知”的判断,尚未深入探讨医疗说明义务应当包含哪些内容以及如何履行的问题。[10]有鉴于此,本文拟以德国医事法中的医疗说明义务制度为基础,结合文献、判例与数据保护法规,介绍德国医疗AI介入诊疗过程时医疗说明义务的内容、限度与法律结构安排,借以提出适应我国本土情境的规则构建方案。
二、医事法路径:德国医疗AI说明义务的传统规范展开
医师对患者的治疗通常是在以医疗契约为基础的法律关系框架内进行,《德国民法典》中,与医疗说明义务直接相关的是第630c条的信息义务(Informationspflichten)和第630e条的说明义务(Aufklärungspflichten),在本文的语境下统称为“医疗说明义务”。本文遵循以“责任之产生方式”为分类标准,将医疗说明义务之内容区分为“治疗说明”(Therapeutische Aufklärung)与“自决说明”(Selbstbestimmungsaufklärung)。治疗说明对应的是《德国民法典》第630c条。在治疗说明中,医师需要解释治疗所涉及的诊断、可能的病情发展、治疗以及治疗期间要采取的措施(安全说明),以及以文字形式告知患者预计的治疗费用(经济说明)。自决说明对应的是《德国民法典》第630e条。其内容聚焦于诊断结果,未经治疗和治疗之后可能出现的健康状况(诊断说明);医疗干预的性质,严重程度,痛苦程度以及在风险或成功的机会方面有重大差异的替代方案(过程说明);特别是医疗干预的风险(风险说明)。
在当前实践中,医疗AI通常被归类为医疗器械(Medizinprodukt)。原则上,医疗器械作为医师操作的辅助工具,无需向患者进行特别说明。[11]然而,当AI不仅作为被动工具,而是以“参与式智能”的形式介入医疗决策过程时,情形便发生了根本性转变。AI的技术优势之一在于其无需预设特征,便可自主识别潜在模式或发掘新的生物标志物,这种算法驱动的创新能力决定了其在医学领域的作用远非传统医疗器械所能比拟。[12]因此,无论是在我国还是德国,医疗AI在临床应用中触发医疗说明义务已无实质争议。[13]医疗器械的法律地位通常通过行政审批确立。这一认证状态在德国尤其关键:若医疗AI已被正式认定为医疗器械,其说明义务则适用标准疗法路径;反之,若其仍属“非标准疗法”,例如新型疗法、另类疗法等,则将显著影响医疗说明义务的范围与深度。[14]因此,在进一步讨论说明义务的适用边界前,应先厘清德国关于医疗AI的医疗器械认证制度及其法律后果。
(一)医疗AI与医疗器械认证
根据《欧盟医疗器械法规》〔MPVO(EU)2017/745,下文简称为MPVO〕第2条第1款之规定,医疗器械是指根据制造商的声明专供人类使用的产品,其目的在于单独或组合实现一项或多项医疗功能,尤其用于疾病的诊断、预防、监测、预测、预后、治疗或缓解等。因此,并不是每一种在医疗环境中使用的软件都是医疗器械。然而,根据欧洲法院的判决,如果软件中的某个功能允许使用患者数据,以便确定与医疗器械的功能有关的禁忌症、药物相互作用和过量用药情况,那么该软件就是医疗器械,即使其不直接作用于人体。[15]故而决定性因素应是软件在特定患者和具体医疗范围内的特定医疗用途。[16]另外,需注意的是,医疗器械并不包括用于保持健康的软件,例如为健身目的测量心率的应用程序等。[17]医疗AI属于MPVO所规制的医疗器械应无疑问。
根据MPVO第52条第1款之规定,在将医疗器械投放市场之前,制造商必须根据该法规附件Ⅸ—Ⅺ的规定适用合格评定程序对有关产品进行合格评定。这些合格评定程序不是由公共当局执行,而是由私营的“列举机构”执行,这些机构需要获得认证,并可在整个欧盟范围内采取行动。列举机构的测试及认证的范围和内容取决于有关医疗器械的类别。欧盟的相关法规设定了四个不同的类别:Ⅰ、Ⅱa、Ⅱb和Ⅲ,相应器械所属的类别由制造商自己确定。[18]列举机构应在成功通过合格评定程序后向制造商颁发证书。在合格评定证书的基础上,制造商根据MPVO第19条之规定发布符合性声明。在该声明中,制造商自行负责,确认已经进行了合格评定程序,并且产品符合技术要求。在此基础上,制造商依照MPVO第20条自行负责在产品上贴上CE标记,从而授权将产品投放市场。
(二)医疗AI通过医疗器械认证后的医疗说明义务
医疗AI系统经过医疗器械认证程序后,即被视为德国法律意义上的医疗器械。此种情形下,其在医疗活动中之使用原则上应比照标准疗法处理。
在治疗说明层面,医师的说明范围及详略程度应根据个案情况与治疗成功的需要加以判断。[19]具体到医疗AI的使用,其说明内容应涵盖AI系统的基本功能、在诊疗过程所起的作用,以及患者在诊疗过程中的配合行为等指示性信息。
在自决说明层面,《德国民法典》第630e条第1款要求医师告知所有对取得患者有效同意至关重要的事实。这包括诊疗措施的性质、范围、实施方式、风险及可能的后果。德国联邦最高法院(Bundesgerichtshof,下文简称为BGH)进一步强调,说明义务的范围应由所涉及风险的发生概率与严重程度共同决定。[20]此处所采用的评估标准为客观标准,即根据一般患者在给定情境下可期待的风险理解。尤其是在使用AI系统的情境中,医师还应根据AI系统所参与决策的权重来判断说明的深度。例如,在图像识别辅助分析与AI直接决定手术必要性的场景中,AI的作用层级显著不同,相应说明的详尽程度亦应有所区分。根据知情同意的原则,医疗专业人员还应告知患者AI系统是否通过了合规性评估程序,以及该系统在市场准入前所接受的安全性与质量验证。这一点不仅涉及法律上的最低要求,也是患者信任机制建立的重要一环。为提升AI相关干预措施的透明度与理解度,医师还应明确告知AI系统的预期用途、基本准确率,并说明本次诊疗中系统是否将使用患者的特定数据输入,以参与个体化判断。[21]
在常规情况下,医疗说明义务还要求医师使用患者能够理解的话语和表达方式进行告知。在AI辅助诊疗中,为确保医疗告知说明的可理解性与可信度,有学者提出区分两种解释方式:原因解释与方法解释。前者是以增强患者信任为目标,遵循透明原则。以已被批准上市的AI支持的糖尿病视网膜病变诊断系统(以下简称为IDx-DR)为例,医师可告知患者,IDx-DR已于2018年获得美国食品药品监督管理局(FDA)的批准作为医疗设备软件,从而借由权威认证增强患者对技术的信心。后者则侧重合理性,简要说明系统基于机器学习训练从而可识别图像中疾病模式的基本原理。例如,医师可以告知患者,IDx-DR是一种基于机器学习的医疗AI系统,经过训练可识别图像中的疾病模式。[22]为促进信任,可简化系统工作原理的描述,通过解析系统中部分易于理解的子流程来解释其功能。
在此框架下,医疗AI的潜在风险必须在说明义务中得到强调。首先是医疗AI的算法不匹配。医师可以通过提供系统的敏感性与特异性数据向患者说明其准确性边界。例如,IDx-DR系统具备87.2%的敏感性与90.7%的特异性,但其假阳性与假阴性风险仍需适度说明。同时应指出,这种准确性局限并非AI所独有,医师诊断同样存在判断偏差。[23]其次,部分AI系统依赖云端运行和互联网连接,可能因技术访问门槛或硬件成本限制服务可及性,进而涉及公平性问题,这亦应作为说明内容之一。[24]而更具挑战性的是算法偏见风险的告知说明。IDx-DR等系统虽表现稳健,但其所依赖的训练数据集样本结构单一,这可能导致模型过度拟合,泛化能力下降,从而误导对特定人群的诊断结果。[25]对此,医师应适度说明训练数据的代表性限制以及其对诊断可靠性的潜在影响。但是需要注意的是,BGH认为,并不需要对所考虑的风险进行精确的医学描述,“大体”解释治疗的机会和风险就足够了。[26]对于在使用标准疗法的情况下,尽管医疗AI在个别情况下进行了测试和多次使用,但仍可能出现以前未知的风险,在此情况下无需提及这种可能性。[27]
此外,按照BGH之见解:“只要医师使用的是标准疗法,他就没有义务向患者说明替代医疗方案,以及这些方案的利弊。”[28]因此,如果使用特定的医疗AI来支持医疗决策符合医疗标准,这方面的最低要求是所使用的医疗AI已被认证为医疗器械,[29]则原则上无需单独对现存的替代疗法进行说明。但若AI系统本身可能引发严重副作用或在医学上已有公开争议,则应按照一般风险说明标准进行告知。总体而言,对AI系统的说明应聚焦于其基本原理、用途边界与潜在风险,而非技术细节或完整算法逻辑。[30]
(三)医疗AI未通过医疗器械认证时的医疗说明义务
医疗器械通过合格评定后在该医疗器械上所粘帖的CE标志不是质量标志,其只证明了产品的可销售性,并没有说明将该医疗器械归类为标准疗法。2021年,BGH在“腰椎间盘假体案件”中表示,尽管该假体已通过医疗器械认证并贴有CE标志,但是其尚未成为普遍认可的疗法,仍属于新型疗法(Neulandmethode)。[31]而如果医师所使用之医疗AI没有被认证为医疗器械,则适用另类疗法(Außenseitermethode)或治疗试验(Heilversuch)之规则。[32]
1.新型疗法、另类疗法与治疗试验
医学中有一些处于试验阶段的方法和药物仍然存在不小争议,但又可能在未来被接受为标准,这种方法在德国被称为新型疗法。[33]与新型疗法相对应的是标准疗法,其特点是有科学证据和医学经验,以及足够的医学研究。此外,还有一些方法是众所周知的,但由于其有效性受到怀疑或其风险范围似乎不可接受而未得到承认,这些方法在德国被称为另类疗法。[34]与医疗标准不同,另类疗法的特点是缺乏科学共识,除了结果的不可检测性和不可再现性之外,其往往强调个别成功,并隐瞒或淡化诸如副作用等关键方面。[35]而治疗试验则是指偏离医疗标准的个别治疗情况,[36]在德国通常表现为对已经用尽所有治疗方法的患者进行药物试验性治疗。基于治疗自由原则,使用这几种疗法并不当然构成医疗过失,但前提是权衡和比较这种疗法的优缺点,并基于患者利益保护证明使用该疗法是合理的。[37]
另类疗法与治疗试验往往没有经过科学探索或研究,其有效性无法证明。故而尽管其意味着更多的风险,但是无法在说明义务上对医师课以比“新型疗法”更多的要求。2007年,BGH在“Racz导管案件”中强调,对另类疗法而言,相较于医疗说明义务,谨慎的医疗注意义务才是决定性的。[38]在该案中,由于Racz导管疗法在当时是一种另类疗法,且疗效尚未得到统计学证实,医师在使用该疗法出现并发症时,没有立即检查并确定并发症的原因,而是继续使用该疗法,因而违反了医疗注意义务。法院明确表示:若出现并发症,只有在医生排除并发症是由治疗所引起,且重新进行风险收益评估后,才能继续治疗。[39]换言之,在此必须着重强调医师的医疗收益与风险之评估义务,以及根据治疗的新发现监测医疗进展之义务。[40]
2.加强的医疗说明义务
若医疗AI系统尚未通过医疗器械认证,或仍无成熟临床应用基础,其在医疗实践中应归入“非标准疗法”范畴。BGH认为,除了履行上文所提及的医疗AI已通过医疗器械认证后的医疗说明义务之外,还“必须对医疗说明义务的内容提出更高的要求,以尊重患者自决权”。[41]
首先,对治疗说明的要求更加严格:医师需特别强调所使用的医疗AI尚未被纳入医学标准。治疗说明旨在确保患者配合治疗,而当治疗方法脱离医学共识时,BGH明确要求“应向患者特别指出所采用的方法不属于标准疗法,而是未经验证之非标准手段”。[42]对医疗AI而言,即便其具备相当精确度,但是AI系统的结果往往来源于不完全可控的算法运行过程,其背后逻辑未必能被医师或患者所充分理解,这种黑箱属性正是非标准的重要标志。因此,仅靠高性能表现或案例成功率,无法消除患者对其不确定性的认知障碍,只要其未通过医疗器械认证,或者未经长期临床验证,则其使用必须获得患者对“试验性”的认可。同时,医师必须明确说明其有意采用医疗AI,并指出这种方法并不符合现行医学标准,属于非标准疗法,甚至可能被正统医学视为禁忌;[43]此外,医师还应阐明其选择使用这种非标准疗法的理由。
其次,在自决说明中,BGH还要求“不论患者是否主动提问,医师都必须主动告知目前所存在的替代医疗方案”。[44]尽管这些替代治疗方案的诊疗效果不如医疗AI,但是其风险可能更低。例如在疑似肿瘤患者的诊疗中使用X射线拍片+抽血查验等传统检查方法,然后由医师根据这些检查报告得出诊断结论。此外还必须向患者解释这两种方法的利弊。[45]相关文献指出,如果当时还没有科学研究能够对这两种方法进行可靠的比较,则给出两种程序之间差异的信息就足够了。[46]此处的重点不是评判哪种方案更优,而是保障患者了解其选择权。因为AI的准确率虽高,但系统可能在特定人群中存在偏倚风险。因此必须保证患者知晓那些基于经验医学的传统方案,并据此作出基于自身风险偏好的抉择。
再次,在风险说明义务方面,使用尚未通过医疗器械认证,或无成熟临床应用基础的医疗AI时,医师必须对“不确定性与潜在未知风险”进行加强说明。BGH早在2006年就已明确指出,对于非标准疗法,必须向患者明确说明可能存在未知的风险,哪怕该风险尚未被实证研究所证实。[47]相关文献指出,BGH并不要求医师发表纯粹的假设或推测,因为这实际上也会使患者感到不安和困惑,只有当相关风险迹象已达到足以需要在患者自主决策过程中予以考虑的程度时才需要进行说明。但倘若在这方面无法提供详细的信息,则医师只需向患者作出概括性但明确且可理解的说明。[48]例如,在AI系统用于预测疾病发展或制定治疗路径时,由于其训练数据可能偏倚或系统泛化能力不足,医师应告知患者“长期后果尚不明朗,某些未预测的错误亦不能完全排除”,并提醒存在因算法偏误导致误诊或过度治疗的可能性。[49]同时,为了使病人能够充分地表达其对治疗方法的意愿,必须告知其成功的几率。在非标准疗法中,对成功几率的说明是风险说明中最重要的内容。[50]唯有如此,患者才能决定是否要为治疗失败承担风险。此外,医师还必须告知患者,其有权随时要求停止使用作为治疗试验的医疗AI。[51]
三、数据法路径:德国医疗AI说明义务的辅助规范因应
在传统医疗情境中,数据保护并不构成医疗说明义务的规范基础。然而,随着AI系统深度介入医疗决策过程,尤其是在算法路径不透明等特征影响下,医师难以仅凭既有标准完成有效说明,这进而削弱了患者自主决策的基础。在此情景中,说明义务的履行开始出现结构性障碍。为回应这一困境,学界与实践领域普遍将《人工智能法》及GDPR中有关自动化决策的数据主体的信息权利条款,作为补充性的说明规范加以适用。[52]特别是在AI系统利用患者健康数据进行推理与判断的场景中,GDPR第13—15条关于信息来源、处理逻辑及可能后果的披露义务,虽源自数据保护法规,但其信息内容直接服务于患者“理解治疗”的目标,具备在医患沟通中辅助传统说明义务的功能。而《人工智能法》第86条所规定的“获得解释权”则进一步扩展了这一信息披露义务范围。
根据《人工智能法》第6条的规定,几乎所有医疗AI系统均被归类为高风险AI系统。在实际操作中,医疗机构及医务人员依据该法第26条被界定为“AI的部署者”。[53]在此框架下,《人工智能法》第86条赋予受影响者(患者)获得解释权(right to an explanation),即有权从AI部署者处获知AI系统在决策中所起作用及其主要判断依据。该权利旨在解释决策过程,实现了从单纯的透明度和可解释性到实际解释的转变,[54]因此可被视为医疗AI在数据保护层面的说明义务的规范来源。然而,第86条第3款明确指出,该权利仅在欧盟其他法律尚无相应规定的情况下作为补充性规范适用。学界主流观点认为,GDPR第22条仅适用于全自动决策场景,而《人工智能法》第86条的适用范围更为广泛,涵盖所有基于高风险AI系统作出的决定,只有在医疗AI作出的是全自动决策时,才可能因已有GDPR规定而排除第86条的适用。[55]基于这一分析逻辑,本文接下来将首先区分医疗AI中“全自动决策”与“非全自动决策”两种情形,并结合《人工智能法》与GDPR的相关规定,探讨这两类决策在数据保护层面的医疗说明义务内容。
(一)医疗AI的自动化决策医疗
AI能够独立地执行复杂的选择过程,在尽可能广泛的患者数据基础上进行比较分析,进而得出诊疗建议。在整个医疗决策过程中,一旦采用AI这类自动化手段参与决策,该过程即可界定为自动化决策。其又可分为非全自动决策与全自动决策两类。
1.非全自动决策
非全自动决策包含支持决策与增强决策。在支持决策的模式下,只有收集和分析数据是完全自动化的,医师仍然必须得出自己的结论才能决定使用何种疗法。此种决策模式目前已得到广泛应用,医院中的超声波等仪器之运用均为示例。增强决策是由系统提出多个备选方案,由人类在备选方案之间进行选择作出最终决定。以放射学为例,图像识别软件可以将大量X射线图像与要诊断的图像进行比较,并为医师提供相应的诊断结果以供参考。[56]
2.全自动决策根据
GDPR第22条第1款之规定,全自动决策是指一项决定完全基于自动数据处理而作出。“决定”的事实要素表明必须存在至少两种可供选择的“具有外部影响力”的行为选项。在这方面需将“决定”与“建议”或“准备决定的措施”区分开来,因为“建议”或“准备决定的措施”需要进一步的人为措施,[57]因此单纯用于前期检测或前期诊断的医疗AI不属于全自动决策。同样,该条例也不适用于作出诊断并实施治疗的简单或者纯示意性操作的医疗AI。由于第22条规定的“决定”在处理个人数据方面具有一定的复杂性,需要进行多方权衡,因此,如果医疗AI在透明度不足的情况下评估患者个人数据,在权衡至少两个备选办法后,作出具有外部影响的最终决定,即构成全自动决策。[58]IDx-DR系统可用于检测22岁以上糖尿病患者的视网膜病变的程度,并且无需医师对检测报告进行解读。该软件会基于患者的视网膜数字图像直接向患者提供以下结果:若发现轻度以上糖尿病性视网膜病变,则转诊至眼科医师;若未发现轻度以上病变,则提示12个月内复查。在这种情况下,该系统径直作出病情诊断结论并决定具有外部影响力的治疗方案,在规范层面应满足全自动决策的判定标准。
(二)医疗AI非全自动决策时的医疗说明义务
在医师仅以医疗AI结果作为辅助,并最终由其自行作出医疗决定的情境下,该过程并不构成GDPR第22条第1款的全自动决策。医院作为数据控制者,仅需依照第13条、第14条与第15条履行传统的数据保护告知义务。上述条文均要求在存在自动化处理时告知数据主体相应信息,共同构成广义上的“信息权”。而《人工智能法》第86条作为补充规范不予适用的前提在于信息权可完全替代获得解释权。在医疗AI非全自动决策的场景下,患者有权了解AI系统在医疗决策中所起作用,但告知患者“在决策过程中使用AI系统”与向患者“解释决策过程的基本要素”之间存在根本区别。[59]因此,即使GDPR已规定相关告知义务,《人工智能法》第86条仍有适用空间,尤其是在明确解释AI系统参与程度与决策逻辑基本要素的情况下。
1.信息义务
GDPR第13条、第14条规定了数据控制者的信息义务。第13条是数据控制者从数据主体处直接取得个人数据时,应主动告知数据主体之内容;第14条则是规制间接取得个人数据时所应告知之内容。二者内容大体一致。而在诊疗过程中,个人数据都存储于医院之设备中,医院才是真正的数据控制者,因此这一信息义务在实践中多由医院通过印制书面材料交由患者阅读的方式进行。
具言之,在使用医疗AI进行非全自动决策时,医院必须告知患者如下基础信息:数据控制者的姓名和联系方式;数据保护官员的联系方式;数据类别;处理数据的目的和法律依据;数据的收件人或收件人所属的类别。此外,若医院将患者数据传输至境外,必须告知患者传输的目的,以及传输是否基于欧盟委员会的充分性决定;在提供适当保障进行传输、按照有约束力的内部数据保护规定进行传输,或在没有充分性决定、没有适当保障以及不存在内部数据保护规定的情况下例外进行传输时,应告知患者是否提供适当或充足的保障以及获得其副本的可能性。[60]
此外,为了确保患者的数据能够获得公平和透明的处理,医院应主动向患者提供以下深层信息:数据存储期限,或期限的确定标准;如果处理对于维护控制者或第三方的合法利益是必要的,控制者或第三方的合法利益为何;医院有权知悉有关患者数据,有权更正、删除或限制处理,有权反对处理,有权传输数据;如果处理是基于患者同意而进行的,患者有权随时撤回同意并可向监督机构提出异议。[61]上述信息义务并非必须告知之内容,而是在考量数据处理过程的整体情况后,方能决定告知哪些信息。[62]
除了上述共同的说明义务之外,GDPR也为直接/间接取得个人数据两种场景设置了特殊说明义务。对于直接取得而言,医院必须额外告知患者:提供患者数据是法律或合同要求的,或订立合同所必需的;患者是否有义务提供个人数据,以及不提供将产生哪些后果。尽管这一告知义务被规定于第13条之深层信息中,且只在必要时才需履行,但本款信息义务并不取决于风险衡量,原则上都应当告知患者。[63]例外否定此义务之前提在于,患者对于其是否以及进行何种程度的合作和有哪些不利后果不存在合理怀疑。而对于间接取得而言,其特殊的信息义务在于患者数据的来源,以及在必要情况下告知此来源对于公众而言是否属于公开渠道。“来源”包含“数据取得的对象和方式”。数据取得的对象即将该信息传送给医院或医师的人或机构;而取得方式只有在该方式并不是由数据取得的对象单独决定的情况下才需要告知,因为此时用于收集数据的方法或工具可能会给数据主体带来特殊风险。[64]如果数据是从多种来源取得的,则须如实告知所有来源。[65]
2.知情权与获得解释权
GDPR第15条规定数据主体向数据控制者发动请求之知情权。而《人工智能法》第86条规定了受影响者要求AI部署者对AI系统在决策程序中的作用以及决策内容进行具体解释之获得解释权。知情权带有被动属性,作为信息义务的补充,[66]其旨在增强数据收集和处理的透明度,从而保障数据主体能够知悉数据处理的范围、影响和及时行使异议权等其他权利。[67]具言之,在患者行使知情权发动请求时,医师必须告知患者如下信息:处理目的;数据类别;数据收件人或收件人类别,特别是来自第三国或国际组织的收件人;数据的计划存储期限,或期限的确定标准;更正或删除有关数据的权利、限制或反对医院处理的权利;向监督机构提出异议的权利;如果数据不是从患者处收集的,则需告知有关数据来源的所有可用信息。而获得解释权则要求医师或医疗机构进一步解释AI系统在诊疗判断中所起的作用和决策的基本原理。知情权提供的是对医疗AI数据处理过程的访问与理解,获得解释权则在医疗AI输出被用于决策时进一步强化解释义务。解释应包括决策过程中的抽象要素以及作出的具体决定。解释必须清晰,即决策所涉及的人群能够理解,而且必须包含足够详细的相关信息。[68]对于医师而言,将复杂的跨学科问题解释清楚是一项特殊的挑战,文献中推荐的做法包括:通过可视化、对话式论述或通过案例进行解释等沟通形式。[69]
(三)医疗AI全自动决策时的医疗说明义务
GDPR第22条已就自动化决策规定了必要的保障措施,尤其是GDPR第22条第3款通过“至少”一词,明确其所列保障措施并非穷尽性,为实践中设定其他补充义务留下空间,从而排除了《人工智能法》第86条的适用。在医疗AI全自动决策场景下,说明义务在数据保护层面的规范基础应回归GDPR第22条。尤其是由于医疗AI处理的是第9条第1款所称的“特种个人数据”,根据GDPR第22条第4款及第9条第2款第a项的规定,实施全自动决策须同时满足两项条件:一是数据主体须就特定处理目的作出明确同意;二是数据控制者须采取适当技术与组织性措施,以保护数据主体的权利、自由与其他法益。此种“明确同意”不应仅为抽象授权,而应在充分告知的前提下作出。
1.说明义务之主体
全自动决策使得医师在医疗过程中的决定性地位被医疗AI所替代。首先需要明确的是说明义务的主体。按照《德国民法典》第630e条第1款第1句之规定:治疗者有义务提供信息。治疗者通常是医师,而全自动决策之下治疗者的地位已经归属于医疗AI。然而医疗AI能否充分说明义务尚存疑问。一方面,《人工智能法》第86条将AI部署者界定为患者行使获得解释权之对象,而部署者也包括使用AI的医师。虽然本条规定在全自动决策下无法直接适用,但它描述了获得解释权的条件,对GDPR第22条仍有指导作用。[70]另一方面,医疗说明之目的在于使患者能够了解诊疗的本质、意义和范围,说明的详细程度最终取决于患者行使其自决权所需的信息。因此,说明义务之实施,本质上是医师根据具体病情和当事人认知能力,对告知内容和方式进行内心权衡与判断的过程。有鉴于此,文献中普遍认为未来在德国,仍会由医师来实施医疗说明。[71]因为虽然诊疗行为的实施主体发生变化,但是该诊疗行为依旧是一款真正的医疗活动,[72]且由医师来履行说明义务,也符合《人工智能法》第86条之规定。
2.说明义务之内容
(1)信息义务和知情权
GDPR第22条第1款规定原则上禁止全自动决策,在符合特定条件的情况下方才例外予以许可。并在信息权相关规定中新增与全自动决策相关规定,亦即,GDPR第13条第2款第f项、第14条第2款第g项、第15条第1款第h项均在文字上明定当个人数据处理涉及第22条第2款与第4款全自动决策时,数据控制者必须主动告知或被请求时至少告知以下信息:关于所涉及全自动决策逻辑之有意义信息,以及对数据主体全自动决策之重要性与预期的后果。[73]
GDPR第15条第1款第h项规定了数据主体相应的知情权。而第13条、第14条则规定了在自动化决策时的信息义务。[74]原则上,信息义务和知情权都涉及提供有关所涉系统运作的有意义的信息,但是,由于信息义务和知情权的性质不同,在这一点上的说明内容可能有所不同。[75]信息义务指向的是未来尚未发生的自动化决策,信息需要提前告知,其内容无法包含自动化决策所带来的具体后果等具有预示性的信息。[76]因此医师只需提供该医疗AI系统运作的关键信息。而知情权所关联的是已经完成的自动化决策,医师需要提供关于医疗AI所作决定的具体信息,并解释具体原因。[77]对于这一冲突,欧盟数据保护机关工作小组(下文简称“第29条工作小组”)认为,提供信息的义务和知情权是一致的,即医师只需提供关于医疗AI运作方式的关键信息即可。[78]
机器自学习的加强和本身的复杂性使得提供医疗AI运作方式的关键信息具有挑战性。根据第29条工作小组的见解,提供有关所涉及逻辑的有意义的信息,不一定是所使用算法的复杂解释或完整算法的披露,但是,所提供的信息对于数据而言应该足够全面,以使患者能够理解决策的原因。[79]具言之,“意义”是从数据主体可理解的角度出发,目的在于数据主体能够从所传递的信息中得出关于上下文意义的结论。这种理解要求以人们可以理解的形式说明决策的基础,从而提供一种“可读性”。[80]因此这些信息必须是按照第12条第1款以简单、透明、易懂和易于获取的形式,以清晰和简单的语言说明。特别是在复杂的AI应用中,有时很难相应地处理信息,此时若提供大量信息则可能导致数据主体的信息过载。因此,说明义务之内容是实际形式的权衡结果,其评估参数包括可理解性、信息价值、技术可行性、决定的紧迫性,以及信息和决定的法律利益相关性等。[81]
医师在说明关于医疗AI进行数据处理的意义与设想后果的信息时,必须提供有关预期或未来处理的信息,以及自动化决策如何影响数据。为了使此信息有意义且真实可理解,医师应该给出可能的影响类型的例子,也可以使用其他工具来帮助说明此类效果。[82]
(2)基于知识产权的考量
鉴于信息义务的要求,医师在进行系统运作信息说明时会涉及该医疗AI进行数据加工之方法和标准,比如算法的运作方式等,在涉及工业或商业秘密的情况下,信息义务与知识产权保护间可能会产生冲突。[83]GDPR第15条第4款在知情权方面考虑了医师受法律保护的利益,且GDPR的“第63号衡量事由”(Erwägungsgründe 63)中明确要求知情权不应损害商业秘密或知识产权,特别是软件的版权。然而,对于上述利益的保护不能成为拒绝向数据主体提供任何信息的理由。因此,在进行说明时必须进行利益平衡的考量。而这方面仍然存在争议,有观点主张,医师必须提供关于特征或比较组的权重的信息;[84]另一部分观点认为,BGH关于否认有义务披露有关比较组和特征权重的信息的判决要旨,将继续适用。[85]总之,为了保障患者在AI自动化决策中的知情权,一定程度的抽象化是必须的。对于医师而言,其必须向患者描述医疗AI作出自动化决策的基础运作方式,并在不侵犯知识产权的前提下,对其内部影响因素进行解释;必要情况下可对这些内部因素进行抽象化描述或概括总结。[86]
四、规范反思:医疗器械认证导向与数据告知义务转化
上文的讨论明确了德国在医疗AI说明义务领域采取的“医事法+数据法”双重规范协同路径。然而,这一路径会带来两个问题:其一,以医疗器械是否获得认证作为判断说明义务详略的切入点,是否意味着医疗器械认证可以作为确定说明义务强弱的规范性决定标准;其二,数据保护法上的告知义务与医疗说明义务在目的与适用条件上存在差异,将前者转化为后者是否合理可行。
(一)“医疗器械认证”作为风险评估的起点
在德国法框架下,医疗AI的说明义务的详略程度以其医疗器械认证状况为基础,并结合现有科学证据、临床经验和医学研究,综合判断该医疗AI是否符合医疗标准。若医疗AI已通过医疗器械认证,则需进一步考量其是否属于新型疗法;若未获得医疗器械认证,则通常视之为另类疗法或治疗试验。不同归类下,说明义务的详尽程度和内容要求存在差异。这一思路的制度逻辑在于,认证程序是医疗器械市场准入的前置条件,能够在一定程度上筛选出风险过高、未经验证的技术方案,从而为说明义务的强弱提供参照物,其本身确有操作便利性与制度合理性。[87]然而,这并不意味着医疗器械认证成为德国法确定医疗AI说明义务强弱的规范性决定标准。
原则上,风险说明是医疗告知说明的核心内容,而医疗行为的风险高低并不完全取决于某一医疗器械是否取得认证。临床中,患者个体差异、手术或诊疗环境、医师的经验与操作水平,都会显著影响实际风险,因此医疗说明义务的范围必须针对具体医疗情境做动态判断。[88]而医疗说明义务的核心价值是保障患者自决权,其要求患者在充分了解治疗性质、风险与替代方案的情况下作出自主决定。即便是已获认证的医疗器械,如果涉及高度侵入性操作、潜在的严重副作用,以及治疗目的超出患者预期,仍需详尽告知。而在医疗实践中,说明义务的履行往往依赖医师对风险的主观评估与沟通技巧。[89]即使使用的是已认证的医疗器械,医师在引入新适应症时,依然需要增加告知内容。因此,在德国司法实践中,医疗器械认证更多地作为风险评估的起点,而非说明义务的终点标准。BGH在判决中明确表示,对于试验性治疗,说明义务的详略应当根据治疗目的、科学验证程度以及风险可控性综合判定。[90]在比例原则的约束下,实践中并未以是否通过医疗器械认证这一形式化标准取代实质风险沟通,即使医疗AI已通过医疗器械认证,也不直接认定为标准疗法,而是进一步考量其是否属于新型疗法。在足量的患者中进行医学测试,已得到广泛应用且本质上没有争议,风险较低并有望获得更好的治愈机会,仍是判定是否属于标准疗法的决定性因素。[91]而如果该医疗AI属于新型疗法,其就会适用更严苛说明义务要求。因此,德国法并非单纯依赖认证与否来划定说明义务强弱,而是践行“医疗器械认证—疗法类型判定—基于类别确定说明义务详略”这一路径,并在此过程中融入了具体治疗风险、患者个体情况以及医疗注意义务标准,动态确定说明详略程度。
(二)从“数据保护告知义务”到“医疗说明义务”的转化
数据保护法上的告知义务,旨在确保数据主体能够知悉个人数据的收集、处理和使用情况,并据此自主决定数据处理。医疗说明义务旨在确保患者能够基于充分、可理解的医疗风险信息与替代方案作出自决性的医疗选择。二者形式上均表现为“信息提供”。但文献中有观点认为:数据保护告知义务偏重数据处理的范围、方式与后果,以简单的形式进行告知即可;而医疗说明义务则要求对医疗风险、预期效果、不确定性进行实质解释。[92]前者在告知内容、程度以及形式要求上显著低于后者,将前者直接转化为后者可能出现“内容错位”。这样既不能满足患者的知情需要,也可能造成信息冗余。[93]而且数据保护告知义务涉及AI系统知识,让医师提供相关技术设备运行的全面信息既不合理也不可能。[94]因此,将数据保护告知义务转化为医疗说明义务,可能会忽视医疗情境中“患者个体情况”与“医疗风险沟通”等特殊要求,[95]从而导致说明义务的医疗本位内涵被稀释。
就本文的立场观之,尽管上述批评不无道理,但在医疗AI背景下,将数据保护告知义务纳入医疗说明义务,仍具有相当的合理性。原因在于:首先,医疗AI的介入方式高度依赖数据处理,且AI决策的黑箱特性可能导致患者无法仅凭传统医疗告知说明获知必要的决策背景。在此情况下,数据保护法上的告知义务所要求提供的信息能够补足传统医疗说明义务的缺陷,虽然这些信息涉及AI专业知识而不易理解,但是此处决定性的因素不在于患者是否了解所使用的技术设备的工作原理,而在于使用这些设备时可能会面临哪些风险。[96]就像获取患者关于接受核磁共振成像手术的同意一样,患者无需知道所有细节,但必须了解核心原则,特别是风险。[97]而这些风险的解释说明无法与系统内部信息以及数据信息完全分离,因此将数据保护告知义务纳入医疗说明义务有其现实必要性。其次,医疗说明义务与数据保护告知义务虽规范目的有所差异,但二者并非不可兼容。传统医疗告知说明旨在保护患者对自己人身权益的自决,而数据保护告知说明旨在保护数据主体对自己数据权益的自决。在医疗AI的语境下,二者殊途同归,都是为保护患者自决权而产生的不同面向的行为要求,有其内在契合性。最后,将数据保护告知义务转化为医疗说明义务,并非直接取代医疗说明义务的核心内容,而只是将其界定为医疗说明义务的补充部分,协助重建AI场景下患者的知情基础。这样一来,不仅不会稀释医疗说明义务的医疗本位内涵,反而能与之相辅相成,具有制度合理性。苏黎世大学所进行的一项研究就“是否应当将数据保护告知义务纳入医疗说明义务”采访了不同领域的专家,大部分专家认为基于“避免责任风险或遵守法律要求”,需将数据保护告知义务纳入医疗说明义务,且这一观点在法律专家中已成基本共识。[98]
综上,在医疗AI的应用场景下,这种转化不仅有其现实必要性,也能在规范体系上找到衔接空间。因此,在审慎把握两类义务本质差异的前提下,将数据保护告知义务适度转化并吸纳进医疗说明义务体系的做法,应予以肯定。然而,这一转化也对医师的知识结构提出了更高要求:除了掌握医学知识外,医师还必须了解涉及医疗AI的跨学科知识。[99]在这方面,BGH的一则判例意旨可以提供参考:医师不可能知悉或掌握所用设备的所有技术细节,并不免除其熟悉设备功能的义务。尤其是当设备的使用对患者安全与疗效至关重要时,医师应在科学与技术合理可行的范围内,尽可能地理解和掌握设备的核心功能与工作原理。[100]
五、启示借鉴:比较法视野下中国医疗AI说明义务的建构
(一)德国双重规范协同路径的借鉴意义
德国法将“医事法+数据法”规范协同路径与动态风险评估、功能角色区分相结合,形成了应对医疗AI说明义务挑战的核心框架。这一框架为我国相关制度的完善提供了重要的比较法借鉴价值。
首先,德国法以“动态风险评估”取代单纯依赖医疗器械认证的形式化判断,虽以医疗器械认证作为风险评估的起点,但更强调结合该疗法的成熟度、AI在决策过程中的实际权重,以及个案风险的严重性与发生概率,进行说明义务强度调整。这种基于比例原则所推导出的动态风险评估路径为解决风险不确定性与患者知情权保障之间的矛盾提供了具有参考价值的路径:说明义务的深度与广度必须与技术介入的实质影响、潜在危害及临床不确定性程度动态适配。
其次,德国法采用“规范协同”路径,将数据保护规范的信息权进行功能性转化,使其成为服务于患者知情同意这一核心目标的补充工具,以应对AI黑箱属性对医疗说明义务造成的实质性履行障碍。通过强调医事法(保障身体自决权)与数据法(保障信息自决权)在保障患者自决这一目标上的内在契合性,德国法构建了跨部门法的规范协同机制。这一做法为解决技术不可解释性与法律透明性要求的根本矛盾提供了一条有益思路:当单一法律领域难以独立应对技术挑战时,跨越部门法藩篱实现功能互补不失为一项有效策略。
最后,德国法对医疗AI进行“功能角色区分”,依据医疗AI在具体决策过程中的实际功能角色,设定差异化的告知标准。对于非全自动决策,告知的核心在于确保患者知晓AI的参与及其结果的非决定性;而对于AI主导的全自动决策,则要求更高的透明度与患者知情程度。这种基于AI在实际诊疗行为中所扮演的角色而非基于抽象的技术本身来确定告知内容与程度的方法,在一定程度上缓和了人机协作中决策主体模糊化与责任主体确定性之间的矛盾,为划定告知边界、确保医疗说明义务履行提供了保障。
(二)我国医疗AI说明义务的本土化制度建构
医疗AI对医疗说明义务的冲击体现在黑箱属性所导致的解释困境上,这对我国而言同样也是一个难题。在医疗AI情境下,医疗说明义务需同时覆盖“疗法—风险—数据”三个面向。我国在制度设计中,可以借鉴德国法经验,建立跨部门的规范协同路径。《中华人民共和国医师法》(下文简称为《医师法》)第25条规定:医师在诊疗活动中应当向患者说明病情、医疗措施和其他需要告知的事项。相较于《民法典》第1219条之规定,《医师法》补充规定了“其他需要告知的事项”。[101]而在医疗AI的语境下,其他告知事项应当包含个人数据保护的相关内容。这一方面是因为在运用医疗AI之时,数据的获取与使用是前提。另一方面,“其他需要告知的事项”作为一种概括性立法之规定,其内涵可以借由其他规范进行补充明确。而《个人信息保护法》第13—17条以及后续章节规定了与《医师法》相同的知情同意原则,二者具有内在一致性。基于此,我国可以借鉴德国做法,融合数据保护法规拓展医疗说明义务之范围,并在这一前提之下,从传统医疗说明义务与数据保护医疗说明义务两个方面建构医疗AI的医疗说明义务制度。
1.结合医疗器械法规确定传统医疗说明义务之内容
根据《医疗器械监督管理条例》《医疗器械分类规则》等法规的规定,我国目前将用于辅助诊断的医疗AI界定为医疗器械。《人工智能医用软件产品分类界定指导原则》明确指出,未上市或安全性、有效性尚未得到充分证实的AI医用软件,若用于辅助决策,需按照第三类医疗器械管理。[102]我国与德国均对医疗器械施行分类管理,我国具体区分Ⅰ、Ⅱ、Ⅲ三类,其中Ⅰ类风险最低、Ⅲ类风险最高。而德国法将医疗器械分为Ⅰ、Ⅱa、Ⅱb与Ⅲ四类,其分类标准虽会考虑风险因素,但更多的是考虑预期用途等其他因素,例如产品是否具有侵入性,是否可植入,是否是外科产品等。[103]分类标准差异也带来了实践的不同。对于我国而言,国务院药品监督管理部门负责按照风险程度对分类规则和分类目录进行调整更新;而在德国,当确定所属类别之后,该类别原则上不会变动。[104]因此,德国与我国的医疗器械分类制度并无完全对应关系。而德国的“治疗试验/另类疗法—新型疗法—标准疗法”分类虽并非医疗器械法上的正式分级,却是医事法上的实务区分,在风险等级上与我国的医疗器械分类有一定对应关系(Ⅲ:高风险,类似治疗试验/另类疗法;Ⅱ:中风险,类似新型疗法;Ⅰ:低风险,类似标准疗法)。本文主张,我国可以参考德国的“治疗试验/另类疗法—新型疗法—标准疗法”三个阶段的说明义务内容,对医疗AI在我国被归类为“第Ⅲ类—第Ⅱ类—第Ⅰ类医疗器械”时设定其相应的说明义务。
我国法律中并不存在“治疗试验、另类疗法、新型疗法”之表达。然而,《民法典》第1219条明定需要特殊检查、特殊治疗的,医师应当进行加强说明,除病情、医疗措施外,还需告知医疗风险、替代医疗方案等情况。而按照《医疗机构管理条例实施细则》第88条的规定,特殊检查、特殊治疗包括有一定危险性、可能产生不良后果的检查和治疗以及临床试验性检查和治疗。[105]医疗AI由于其本身所带有的风险因素,当其在我国被归类于第Ⅱ、Ⅲ类医疗器械时,即使其运用不能归入临床试验性检查和治疗,也必须按照特殊检查、特殊治疗来进行告知说明。而德国的“治疗试验/另类疗法—新型疗法—标准疗法”是围绕疗法成熟度与风险不确定性建立的说明义务分层模式;我国的“特殊检查、特殊治疗”概念,同样是以风险性、可能的不良后果、试验性特征作为触发条件。二者虽表述不同,但在规范逻辑上都属于“因高风险或不确定性而加强告知说明”的范畴,因此可在医疗AI较高风险阶段类比适用。
就实践操作而言,我国法律规定的特殊检查、特殊治疗所对应的告知内容并无区别,而德国法的治疗试验、另类疗法、新型疗法所对应的说明义务也并没有实质性的区别,用“特殊检查、特殊治疗”来囊括这三者具有可操作性。具体而言,特殊检查、特殊治疗所要求的“医疗风险、替代医疗方案等情况”的解释完全可以涵盖德国法所要求的告知内容。现阶段,我国将医疗AI归类为第Ⅲ类医疗器械,对应德国法的治疗试验/另类疗法。在说明义务方面的要求是,除了病情、医疗措施、医疗风险、替代医疗方案之外,还应当强调“医疗AI之利弊与治愈几率”。同样需要强调的是,尽管被归类为治疗试验/另类疗法时,医疗AI可能伴随较高风险,因此告知内容应当更加全面,但由于缺乏与标准疗法同样完善的数据,此处可以参照德国做法,不在说明义务上对医师课以过多的要求,而是在判定是否尽到医疗注意义务时采取更严格的标准。如果随着AI的普及,医疗AI被归类为第Ⅱ类或者第Ⅰ类医疗器械,则对其说明义务内容也可以按照新型疗法、标准疗法的要求进行相应的调整。虽然对于我国而言,医疗器械被归类为Ⅰ、Ⅱ、Ⅲ三类本身就意味着风险的高低,即等同于德国的动态风险评估结果,但是此处仍应遵循动态判定体系,结合个案具体情况来确定医师是否尽到医疗说明义务。
2.结合数据保护法规扩充医疗AI说明义务之内容
将数据保护所要求的告知说明界定为医疗说明义务之新内涵,还需在具体的告知内容层面进行制度设计。从医疗决策的角度观之,结合《个人信息保护法》关于自动化决策之规定,本文认为,我国可参考德国法,基于医疗AI在自动化决策中的功能角色区分全自动决策与非全自动决策,设定相应的医疗说明义务。
首先是非全自动医疗决策下我国医疗AI的说明义务之内容。《个人信息保护法》将医疗健康信息归类为敏感个人信息,并规定对此类信息的处理应当取得个人单独同意。[106]为获得当事人同意,个人信息处理者应当以显著方式、清晰易懂的语言,真实、准确、完整地向个人告知:(1)个人信息处理者的名称或者姓名和联系方式;(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(3)行使《个人信息保护法》规定权利的方式和程序;(4)敏感医疗数据使用的必要性;(5)对个人权益可能造成的影响。[107]此外,《个人信息保护法》第48条明确规定了个人有权要求个人信息处理者对其个人信息处理规则进行“解释说明”。不同于“告知”,其所要求的是更加详细的诠释,以使数据主体能够真正理解个人信息处理规则。在嵌入医疗场景时,应在告知的形式上保持灵活性。例如,影像识别系统和医学专家系统的告知形式可采用多渠道告知机制,例如入口处或候诊区张贴简明告示,就诊时由医师口头说明核心要点,并在需要时提供纸质或电子告知单。在患者理解力适配上,医师应根据患者年龄、文化水平、健康状况等调整解释方式。例如,对老年患者应使用类比法和口语化表述,对低文化水平患者应避免技术术语。考虑到我国医疗机构超负荷的现实情况,本文认为,在医疗AI非全自动决策之场景下,关于数据保护的医疗说明可以采取相对简易的模式进行。但若患者行使知情请求权,要求医师解释说明,则应启动更详尽的沟通程序,例如使用患者知情同意教育视频等形式。
其次是全自动医疗决策下我国医疗AI的说明义务之内容。对我国而言,医疗AI全自动决策尚属未来图景。然而,正如苏珊娜·贝克(Susanne Beck)所言,等待和不及早处理当前事态发展后果的趋势是有风险的,特别是对法律研究而言。[108]因此,及早处理医疗AI之全自动决策有其必要性。《个人信息保护法》与全自动决策直接相关的规定集中在第24条。但与GDPR不同,《个人信息保护法》对全自动决策采取的立法逻辑是“非禁止即许可”,[109]整体上呈现为更加宽松的规制。在告知说明的启动上,《个人信息保护法》第24条第3款仅表述为“个人有权要求个人信息处理者予以说明”。[110]需要注意的是,个人有权要求说明的内容仅限于“与全自动决策有关的内容”,对于一般的信息处理要求,信息处理者仍有义务进行说明。因此,非全自动医疗决策下的医疗说明义务在此也可适用,但其告知不能仅仅采取简易模式,相反应当由医师针对患者通过口头与书面告知,进而取得患者的具体明确同意。例如,医师可以在就诊环节向患者提供详细告知书,并由患者签署确认,以满足其单独同意的法律要求;在高风险场景(如重大手术方案制定)中增加一次面对面沟通,明确解释该决策系由AI独立生成,且医师不直接干预。在患者理解力适配上,应重点解释“全自动”意味着医师不对诊断结果进行实质复核,同时提供可选择的非自动化诊疗途径。而“与全自动决策有关的内容”,目前法条尚无明确规定。对此,我国可以德国法为参考,要求医师提供该医疗AI系统运作的关键信息即可。因为全自动决策以AI算法模型运转为基础,若要求医师解释全自动决策的运作过程,既不可能,也不必要。而这种只披露关键信息的解释,也契合知识产权保护之要求。
需要注意的是,《个人信息保护法》第24条关于个人有权要求个人信息处理者予以说明之规定,适用于自动化决策,即其包含全自动与非全自动决策。因此,只要是使用医疗AI进行自动化决策,医师就必须告诉患者自动化决策之存在。然而,在此规范之基础上,若患者要求医师予以告知,医师的告知内容和告知程度似乎很难界定。本文认为,此处或可参考德国做法,在非全自动医疗决策时,医师只要告知患者自动化决策之存在即可。而在医疗AI全自动决策时,医师应告知有关所涉医疗AI运作的有意义的信息,并解释处理的意义和设想的后果,同时考虑到知识产权保护之要求。
举例言之,一位患者通过医疗AI系统被诊断出有98%的糖尿病患病风险。医师除了告知患者个人信息的处理目的、方式等常规数据保护事项之外,在解释“与自动化决策有关的内容”时,如果医师只是参考其诊断结果,则只需告知这是AI系统进行判定的结果,而非最终结论。同时,医师还需要结合其他检测(例如血液检测)来综合衡量该患者是否确诊糖尿病,再告知其最后的诊断结果。而若此时是医疗AI全自动决策,那么医师除了告知患者该结果是AI系统自己作出的结论与处方,还需要向其提供可理解的全自动决策的主要因素,如体重、遗传倾向,以使其了解“糖尿病风险”诊断结论的依据。这在技术上可以通过LIME模型(Local Interpretable Model-agnostic Explanations)来实现。这是一种机器学习方法,通过利用局部可解释模型对黑盒模型的预测结果进行近似解释,能够识别特定决策周围的相关因素或神经元活动。在诊断糖尿病风险的情况下,该模型可能会发现超重、遗传倾向等因素与结果有关。这些因素对于患者这样的普通人来说足够简单且易于理解(可解释)。通过参考诊断和可理解的因素,患者能够以自我决定的方式理解决策过程,并利用这种解释来评估决策是否基于正确和适当的因素。在这里,医师只需要提供该医疗AI系统运作的关键信息,告知导致其作出决策的相应因素即可。
六、结语
医疗AI背景下的医疗说明义务,已成为我国医疗实践与理论研究中的难题。考虑到现实中医疗说明义务纠纷在医疗纠纷中所占比例极高,而医疗AI技术的应用速度持续加快,如何在现行制度框架内解决这一难题具有迫切的现实意义。遗憾的是,国内学界对此问题的关注仍显不足。在此背景下,借鉴域外经验,特别是与我国民法体系具有高度亲和性的德国法,成为一个具有可行性的路径选择。本文在系统梳理德国医疗AI说明义务规范体系的基础上,提出我国可构建以“传统医事法路径+现代数据保护法路径”为双重支撑的医疗说明义务体系。在传统医疗说明义务方面,我国可以将医疗AI所归属的医疗器械类别作为基准,借鉴德国的“治疗试验/另类疗法—新型疗法—标准疗法”三级框架,同时结合我国《民法典》的“特殊治疗、特殊方法”的分类,分别设定差异化的说明义务内容。在医疗说明义务的数据保护方面,可结合《个人信息保护法》,基于医疗AI在自动化决策中的功能角色区分“全自动决策”与“非全自动决策”两类场景,进而具体化说明义务的告知内容、告知形式及其程度,以实现对患者知情权的有效保障。囿于篇幅所限,本文只是尝试提出医疗AI的医疗说明义务架构,并在架构之下对告知内容进行整体建构。对于在这一架构之下如何对医疗告知内容进行具体细致的安排与设定,留待以后再以专文进行较深入探讨。
参考文献
[1]Kristina Astromske˙/Eimantas Peicˇius/Ρaulius Astromskis, “Ethical and legal challenges of informed consent applying artificial intelligence in medical diagnostic consultations”, AI & SOCIETY, Vol. 36, No. 2, 2021, pp. 509-520, here p. 510.
[2]参见李润生:《医疗人工智能临床应用中医疗说明义务的触发条件与衔接机制》,载《深圳大学学报(人文社会科学版)》,2023年第1期,第92-100页,这里第92-93页。
[3]Maximilian Kiene, “Artificial intelligence in medicine and the disclosure of risks”, AI & SOCIETY, Vol. 36, No. 3, 2021, pp. 705-713, here p. 707.
[4]Ravi Parikh/Stephanie Teeple/Amol Navathe, “Addressing bias in artificial intelligence in health care”, Journal of the American Medical Association, Vol. 322, No. 24, 2019, pp. 2377-2378, here p. 2377.
[5]同注③。
[6]Vgl. Dimitrios Linardatos, „Intelligente Medizinprodukte und Datenschutz“, Computer und Recht, Vol. 38, Nr. 6, 2022, S. 571-578, hier S. 575.
[7]Julia Amann/Alessandro Blasimme/Effy Vayena et al. , “Explainability for artificial intelligence in healthcare: a multidisciplinary perspective”, BMC Medical Informatics and Decision Making, Vol. 20, No. 1, 2020, pp. 310-319, here p. 317.
[8]Vgl. Heinz-Uwe Dettling, „Künstliche Intelligenz und digitale Unterstützung ärztlicher Entscheidungen in Diagnostik und Therapie“, Pharmarecht, Vol. 42, Nr. 12, 2019, S. 634-643, hier S. 642.
[9]参见李润生:《医疗人工智能临床应用中医疗说明义务的触发条件与衔接机制》,第93页。
[10]例如陈默、张文沛:《人工智能辅助临床诊断对医患主体性的影响分析》,载《科学与社会》,2024年第4期,第69-81页;李润生:《医疗人工智能临床应用中医师告知义务的触发条件与衔接机制》,第92-100页。
[11]同注①,第92-93页。
[12]Julia Amann/Alessandro Blasimme/Effy Vayena et al. , “Explainability for artificial intelligence in healthcare:a multidisciplinary perspective”, p. 314.
[13]世界卫生组织也持这一观点,其在指南中指出:“在诊断、预后和治疗中使用机器学习算法应纳入知情同意的流程。如果个人拒绝同意,不应限制或拒绝提供基本服务。”“目前尚无要求患者同意使用技术进行诊断或治疗的先例,但在医学中使用人工智能以及未披露其使用情况,可能挑战知情同意的核心原则以及公众对医疗保健的信任。”参见“Ethics and governance of artificial intelligence for health”, WHO, 2021-06-28, https://www. who. int/publications/i/item/9789240029200, 访问日期:2025-08-14。
[14]Vgl. Heinz-Uwe Dettling, „Künstliche Intelligenz und digitale Unterstützung ärztlicher Entscheidungen in Diagnostik und Therapie“, S. 642.
[15]Vgl. EuGH, Urt. v. 07. 12. 2017, C-329/16.
[16]Vgl. Yannick Frost, „Künstliche Intelligenz in Medizinprodukten und damit verbundene medizinprodukte- und datenschutzrechtliche Herausforderungen“, Zeitschrift für das gesamte Medizinprodukte-recht, Vol. 18, Nr. 4, 2019, S. 117-124, hier S. 120.
[17]同注③,S. 637。
[18]Vgl. Sebastian Graf von Kielmansegg, „Kollaborative Automatisierung und Robotik in der klini-schen Forschung“, Medizinrecht, Vol. 37, No. 12, 2019, S. 933-937, hier S. 934.
[19]Vgl. Martin Paul Waßmer, Medizinstrafrecht, Baden-baden:Nomos, 2022, S. 85.
[20]Vgl. BGH NJW 2011, 1088.
[21]Anastasiya Kiseleva/Dimitris Kotzinos/Paul De Hert, “Transparency of AI in Healthcare as a Multilayered System of Accountabilities:Between Legal Requirements and Technical Limitations”, Frontiers in Artificial Intelligence, 2022-05-30, https://www. frontiersin. org/journals/artificial- intelligence#, 访问日期:2025-08-14。
[22]Wolter Pieters, “Explanation and trust:what to tell the user in security and AI?”, Ethics and Information Technology, Vol. 13, No. 1, 2011, pp. 53-64, here p. 60.
[23]Maximilian Kiene, “Artificial intelligence in medicine and the disclosure of risks”, p. 710.
[24]Vgl. Janique Brüning, „Künstliche Intelligenz und strafrechtliche Haftung — Compliance- Anforder-ungen im digitalen Zeitalter mit Blick auf die Finanzwirtschaft“, in Thomas Rotsch [Hrsg. ], Criminal Compliance — Status quo und Status futurus, Baden-baden:Nomos, 2021, S. 63-87, hier S. 68.
[25]Rajiv Raman/Sangeetha Srinivasan/Sunny Virmani et al. , “Fundus photograph-based deep learning algorithms in detecting diabetic retinopathy”, Eye, Vol. 33, No. 1, 2019, pp. 97-109, here p. 102.
[26]Vgl. BGH NJW 2011, 1088.
[27]Vgl. Lena Schneider, Neue Behandlungsmethoden im Arzthaftungsrecht, Berlin: Springer, 2010, S. 174.
[28]BGH NJW 1988, 763.
[29]Vgl. Heinz-Uwe Dettling, „Künstliche Intelligenz und digitale Unterstützung ärztlicher Entscheidungen in Diagnostik und Therapie“, S. 642.
[30]Anastasiya Kiseleva/Dimitris Kotzinos/Paul De Hert, “Transparency of AI in Healthcare as a Multilayered System of Accountabilities: Between Legal Requirements and Technical Limitations”, p. 12.
[31]Vgl. BGH NJW-RR 2021, 888.
[32]同注①。
[33]Vgl. Dorothea Prütting/Jens Prütting, Medizin- und Gesundheitsrecht: Ein am Fall orientiertes Lehrbuch für Studiumund Einstieg in die Praxis, Berlin:De Gruyter, 2020, S. 253.
[34]Vgl. BGH NJW 2011, 1088.
[35]Vgl. Lena Schneider, Neue Behandlungsmethoden im Arzthaftungsrecht, S. 47.
[36]Vgl. Marcus Vogeler, „Die Haftung des Arztes bei der Anwendung neuartiger und umstrittener Heilmethoden nach der neuen Rechtsprechung des BGH“, Medizinrecht, Vol. 26, Nr. 12, S. 697-707, hier S. 701.
[37]Vgl. BGH NJW 2006, 2477.
[38]Vgl. BGH NJW 2007, 2776.
[39]同上。
[40]同上。这也适用于治疗试验,参见BGH MedR 2007,653。
[41]BGH NJW-RR 2021, 886.
[42]同上。
[43]Vgl. Martin Paul Waßmer, Medizinstrafrecht, S. 95.
[44]Vgl. BGH NJW 2006, 2477.
[45]Marcus Vogeler, „Die Haftung des Arztes bei der Anwendung neuartiger und umstrittener Heilmethoden nach der neuen Rechtsprechung des BGH“, S. 705.
[46]Vgl. Christian Katzenmeier, „Aufklärung über neue medizinische Behandlungsmethode — „Robodoc“, Neue Juristische Wochenschrift, Vol. 59, Nr. 38, 2006, S. 2738-2741, hier S. 2740.
[47]同注①。
[48]Vgl. Christian Katzenmeier, „Haftung bei Neulandmethode — Anmerkungen zu BGH, Urt. v. 18. 5. 2021 -VI ZR 401/19“, Zeitschrift für das gesamte Medizin- und Gesundheitsrecht, Vol. 7, Nr. 3, 2022, S. 135-140, hier S. 137.
[49]Kristina Astromske˙/Eimantas Peicˇius/Ρaulius Astromskis, “Ethical and legal challenges of informed consent applying artificial intelligence in medical diagnostic consultations”, p. 510.
[50]Vgl. Lena Schneider, Neue Behandlungsmethoden im Arzthaftungsrecht, S. 165.
[51]Vgl. Adolf Laufs/Bernd-Rüdiger Kern/Martin Rehborn, Handbuch des Arztrechts, München: C. H. Beck, 2019, S. 1670.
[52]Vgl. Heinz-Uwe Dettling, „Künstliche Intelligenz und digitale Unterstützung ärztlicher Entscheidungen in Diagnostik und Therapie“, S. 642; Dimitrios Linardatos, „Intelligente Medizinprodukte und Datenschutz“, S. 573.
[53]人工智能部署者被定义为在其专业范围内使用人工智能系统的任何个人或实体,不包括个人和非专业活动。医疗专业人员和医疗机构在使用人工智能时将被界定为部署者。
[54]Vgl. Christian Djeffal, in Beck’sche Online-Kommentar, KI-Recht, 2. Edition, KI-VO Art. 86 Rn. 30.
[55]J⌀rn Aslak Juliussen, “The Right to an Explanation Under the GDPR and the AI Act”, in Ichiro Ide/Ioannis Kompatsiaris/Changsheng Xu(eds.), MultiMedia Modeling, Berlin: Springer, 2025, pp. 184-197, here p. 189.
[56]Vgl. Anna Lohmann/Annika Schömig, „Digitale Transformation“ im Krankenhaus. Gesellschaft-liche und rechtliche Herausforderungen durch das Nebeneinander von Ärzten und Künstlicher Intelligenz, in Susanne Beck/Carsten Kusche/Brian Valerius (Hrsg.), Digitalisierung, Automatisierung, KI und Recht, Baden-baden: Nomos, 2020, S. 345-364, hier S. 350.
[57]Vgl. Lea Katharina Kumkar/David Roth-Isigkeit, „Erklärungspflichten bei automatisierten Datenverarbeitungen nach der GDPR“, Juristen Zeitung, Vol. 75, Nr. 6, 2020, S. 277-286, hier S. 279.
[58]Vgl. Dimitrios Linardatos, „Intelligente Medizinprodukte und Datenschutz“, S. 573.
[59]Vgl. Christian Djeffal, in Beck’sche Online-Kommentar, KI-Recht, 2. Edition, KI-VO Art. 86 Rn. 43.
[60]参见GDPR第13条第1款与第14条第1款。
[61]参见GDPR第13条第2款与第14条第2款。
[62]Vgl. Jürgen Kühling/Benedikt Buchner, DS-GVO·BDSG, München: C. H. Beck, 2020, Art. 13, Rn. 20.
[63]同上,Art. 13, Rn. 40。
[64]同上,Art. 14, Rn. 21。
[65]同上,Art. 14, Rn. 23。
[66]同上,Art. 15, Rn. 1。
[67]Vgl. Rolf Schwartmann/Andreas Jaspers/Gregor Thusing et al., DS-GVO/BDSG, München: C. H. Beck, 2018, Art. 15, Rn. 1.
[68]Vgl. Christian Djeffal, in Beck’sche Online-Kommentar, KI-Recht, 2. Edition, KI-VO Art. 86, Rn. 31.
[69]同上。
[70]同上,Rn. 46。
[71]Anastasiya Kiseleva/Dimitris Kotzinos/Paul De Hert, “Transparency of AI in Healthcare as a Multilayered System of Accountabilities: Between Legal Requirements and Technical Limitations”, p. 13.
[72]Vgl. Martin Paul Waßmer, Medizinstrafrecht, S. 97.
[73]Vgl. WP 251 Rev. 01, S. 25.
[74]Vgl. David Roth-Isigkeit, „Unionsrechtliche Transparenzanforderungen an intelligente Medizinprodukte“, GesundheitsRecht, Vol. 21, Nr. 5, 2022, S. 278-285, hier S. 282.
[75]Vgl. Stefanie Hänold/Nelli Schlee/Dario Antweiler et al. , „Nachvollziehbarkeit von KI-Anwen-dungen in der Medizin“, Medizinrecht, Vol. 39, Nr. 6, 2021, S. 516-523, hier S. 521.
[76]Vgl. Spiros Simitis/Gerrit Hornung/Indra Spiecker, Datenschutzrecht, München: C. H. Beck, 2019, Art. 13, Rn. 16.
[77]同注②,S. 283。
[78]同注①,S. 26。
[79]同注①。
[80]Vgl. David Roth-Isigkeit, „Unionsrechtliche Transparenzanforderungen an intelligente Medizinprodukte“, GesundheitsRecht, S. 283.
[81]Vgl. Dimitrios Linardatos, „Intelligente Medizinprodukte und Datenschutz“, S. 575.
[82]Vgl. WP 251 Rev. 01, S. 26.
[83]Vgl. Spiros Simitis/Gerrit Hornung/Indra Spiecker, Datenschutzrecht, Art. 13, Rn. 54.
[84]同上,Rn. 16。
[85]同上,Rn. 54。
[86]Vgl. Rolf Schwartmann/Andreas Jaspers/Gregor Thusing et al. , DS-GVO/BDSG, Art. 13, Rn. 58.
[87]Vgl. Sebastian Graf von Kielmansegg, „Kollaborative Automatisierung und Robotik in der klini-schen Forschung“, S. 934.
[88]Thomas Ploug/S⌀ren Holm, “The right to refuse diagnostics and treatment planning by artificial intelligence”, Medicine, Health Care and Philosophy, Vol. 23, No. 1, 2020, pp. 107-114, here p. 109.
[89]Vgl. Martin Paul Waßmer, Medizinstrafrecht, S. 97.
[90]Vgl. BGH NJW-RR 2021, 888.
[91]Vgl. Christian Katzenmeier, „Haftung bei Neulandmethode — Anmerkungen zu BGH, Urt. v. 18. 5. 2021 -VI ZR 401/19“, S. 136.
[92]Vgl. Florent Thouvenin/Bernice Elger/David Shaw et al. , Aufklärung beim Einsatz von KI-Systemen in der medizinischen Behandlung, Zürich: Weblaw AG, 2024, S. 9.
[93]Anastasiya Kiseleva/Dimitris Kotzinos/Paul De Hert, “Transparency of AI in Healthcare as a Multilayered System of Accountabilities: Between Legal Requirements and Technical Limitations”, p. 13.
[94]同注②,S. 14。
[95]同上,S. 9。
[96]同上。
[97]Julia Amann/Alessandro Blasimme/Effy Vayena et al. , “Explainability for artificial intelligence in healthcare: a multidisciplinary perspective”, p. 137.
[98]Vgl. Florent Thouvenin/Bernice Elger/David Shaw et al. , „Aufklärung beim Einsatz von KI- Systemen in der medizinischen Behandlung“, S. 14.
[99]Vgl. Eva Rulands, „Objektive Sorgfaltspflichtverletzung und algorithmusgestützte Diabetestherapie — Zu den Herausforderungen einer interdisziplinären Medizin für die Strafrechtsdogmatik“, Medizinrecht, Vol. 39, Nr. 9, 2021, S. 813-818, hier S. 818.
[100]Vgl. BGH NJW 1978, 584.
[101]《中华人民共和国医师法》第25条。
[102]参见《人工智能医用软件产品分类界定指导原则》第四条“管理类别界定”。
[103]Vgl. Sebastian Graf von Kielmansegg, „Kollaborative Automatisierung und Robotik in der klini-schen Forschung“, S. 934.
[104]Vgl. Erwin Deutsch/Andreas Spickhoff, Medizinrecht, Berlin: Springer, 2014, Rn. 2064ff.
[105]参见《医疗机构管理条例实施细则》第88条第3款。
[106]参见《个人信息保护法》第28条。
[107]参见《个人信息保护法》第17条,第30条。
[108]Vgl. Susanne Beck, „Grundlegende Fragen zum rechtlichen Umgang mit der Robotik, Juristische Rundschau“, Vol. 2009, Nr. 6, 2009, S. 225-230, hier S. 230.
[109]参见李晓辉:《自动化决策拒绝权的属性、功能与限度》,载《法学》,2024年第7期,第15-30页,这里第29页。
[110]《个人信息保护法》第24条第3款。
