
由美国医疗机构评审联合委员会(JCI)、医疗AI联盟(CHAI)联合制定的《医疗健康领域负责任使用AI》认证标准日前生效。

这是美国首份面向医疗健康领域的AI全流程落地治理指导文件,被联合委员会主席乔纳森·珀林(Jonathan Perlin)定义为“帮助医疗机构进行‘AI自我治理’的轻量化、落地型的治理指南”。

图片来源:TJC 官方网站
专家表示,认证标准不是为了验证具体AI产品的有效性,而是为了评估医疗机构使用AI的治理体系和流程是否健全。换句话说,它问的不是“你的AI准不准”,而是“你管理AI的机制是否到位”,这是一个从技术问题向治理问题的根本性转向。近日,基于该指南的自愿性认证项目正式启动。
根据美国医学会数字健康与人工智能中心今年3月发布的《2026医师增强智能调研》报告,已有超过81%的医师在执业专业场景中使用AI。人工智能已不再是实验室里的新奇工具,而是临床决策中的日常存在。当技术的渗透速度远超治理框架的建立速度时,这份指南的出现可谓恰逢其时。
该指南将健康AI工具定义为应用于临床、行政和运营场景的算法解决方案,涵盖从决策支持、诊断、治疗计划到排程、编码、事前授权等,这种宽泛的定义本身就传达了一个信号:AI治理不能只盯着几个高风险临床工具,而必须覆盖整个机构的AI生态。指南主要围绕七大核心要素展开:

图片来源:TJC 官方网站
AI政策与治理结构。指南要求医疗机构建立正式的书面AI政策和跨学科治理架构,管理其机构内健康AI工具的负责任使用,让医院管理主体了解AI使用、结果和潜在不良事件的机制,从而对相关医疗运营和行政服务中的AI工具进行监督。治理部门不必是一个单独的团队,但应包括指定的一名或多名具有适当技术专长的人员,以领导AI工具在整个医疗机构中的实施和使用。治理建立了问责制,这将有助于推动AI工具的安全使用。
比如,一家医院引入AI辅助诊断系统,不是由IT部门直接采购上线,而是由AI治理团队审核其是否符合机构政策、评估使用风险等级、监督部署流程,并在使用后每季度向受委托董事会提交关于该工具误报率、使用频率和涉安全事件的报告。
患者隐私与透明度。指南强调双重义务:隐私保护与主动透明。医疗机构应制定有关数据访问、使用和保护以及有关AI赋能工具的消费者透明度披露或教育的政策。确保患者数据免遭未经授权的使用或泄露,同时建立机制向患者及家属披露AI的使用情况。在适当情况下,当AI直接影响患者的护理以及他们的数据如何在AI背景下使用时,应通知患者,并在相关和适当时,应获得患者同意。
比如,医院使用AI进行病理切片分析,应在检查前告知患者“您的病理结果将由AI系统初步分析,最终诊断由病理医生复核确认”,并说明数据将如何用于AI系统改进。
数据安全与数据使用保护。这是最具操作性的章节之一。医疗机构有特定义务保护数据免遭未经授权的访问或窃取,在部署或采购AI时,每个机构必须确保患者信息的所有使用都符合隐私保护、安全和违规通知规则。保护数据的要素至少应包括数据加密、访问控制、定期安全评估,事件响应计划等,在数据使用协议中应包含允许用途、数据最小化、禁止重识别、第三方义务及审计权等,对于维护患者隐私、维持消费者对医疗机构的信心以及保护机构免受风险至关重要。
比如,医院与AI肺结节检测公司签约时,合同中明确写入:供应商仅能使用去标识化数据用于本次合同约定的算法验证,不得用于其他商业目的,医院有权随时抽查其数据存储和访问日志。
持续质量监测。由于AI算法会更新、数据输入会随时间“漂移”,部署后的持续监测成为强制要求。指南要求医疗机构应建立一个流程来监控和定期评估AI赋能的临床工具的安全性能。监测力度遵循“基于风险”原则,越是直接影响临床决策的工具(如危重症预测),监测频率越高;行政辅助工具可适当降低。并且,医疗机构应制定全面的政策,概述监控和评估本地AI工具的流程并确定责任方。包括定期验证和测试AI工具的相关性能和可靠性、确保AI工具依赖最新数据、评估AI数据的质量和可靠性、开发AI仪表板等协议内容。
比如,对于预测败血症风险的AI工具,IT团队可以每周计算其灵敏度和特异度并与历史基线对比,一旦准确率下降超过阈值,系统自动触发警报,通知治理团队审查并联系供应商处理。
AI安全相关事件的自愿、匿名报告。指南主张医疗机构应建立一个流程,通过自愿、匿名报告的方式共享AI相关不良事件或未遂事件,以监控和定期评估AI工具的安全性能。报告应提交给能向整个行业反馈的独立实体(如联邦认证的患者安全组织),目的是在不泄露医院身份和患者隐私的前提下,让整个行业能从个体机构的错误中学习。
比如,医院发现其AI分诊系统对特定种族患者的病情严重程度存在系统性低估,医院通过患者安全组织提交了去标识化报告,使其他机构能够检查自家系统是否存在类似问题,而不必暴露自身身份。
指南还对风险与偏见评估、教育与培训等进行了规定。专家表示,对于中国来说,也许我们要借鉴的,不在于照搬条款,而在于其提供的治理思路。
具体而言,有三点值得借鉴:治理主体的明确化,中国医疗机构引入AI时多由IT部门主导、临床科室使用,缺乏统一的治理架构和问责机制;风险分级的管理逻辑,对国内医院如何差异化地管理日益增多的AI应用具有直接参考价值;数据安全与外部学习机制,中国在医疗数据出境、第三方数据使用等方面的监管仍在完善中,类似的数据安全协议约束和行业学习机制值得参考。

编辑:陈伟祥

夜雨聆风