医疗保健领域的AI转录工具：企业法务人员需注意的事项

关键要点

• 公司法务应将人工智能（AI）治理视为法律和合规工作的重中之重——而不仅仅是业务部门需要做出的技术决策——因为这些工具可能会产生相关成本和索赔，这些成本和索赔日后可能会在诉讼、调查或审计中浮出水面。
• 一个人工智能转录工作流可以生成多种记录——包括音频、转录文本、摘要、草稿笔记和系统日志——每种记录都存在各自的隐私、访问、保留和披露风险，公司法务必须做好应对准备。
• 公司内部法律顾问应确保《业务合作伙伴协议》（BAA）明确规定人工智能生成内容的所有权和控制权，使数据保留和删除要求与组织的总体政策保持一致，并明确界定数据泄露通知程序及责任。
• 一些州已开始在医患互动中实施针对人工智能的特定知情同意要求，企业法务应确保组织已建立相关流程，以遵守适用的州级隐私、保密、通知和知情同意法律。
• 公司法务应制定相关规程，以应对“影子人工智能”现象——即员工在受监控系统之外使用未经批准的工具，这种行为可能导致一次普通的合规疏漏演变为监管调查。

引言

人工智能正在以近来罕见的速度改变医疗保健行业。其中应用最广泛的应用包括记录诊疗过程、将语音转换为文本、生成草稿记录，并支持预约、接诊、分诊及其他行政工作流的转录工具。这些工具有望显著提高效率，并有助于减轻需要核实准确性的文书工作负担。 但它们也以新的形式带来了熟悉的法律风险：隐私泄露、存储和审查成本、记录完整性问题、计费风险以及潜在的专业责任风险。

这些风险的产生，是因为人工智能转录工具的作用远不止于记录对话。无论在临床还是运营环境中，它们都会生成新的记录，并将口头交流以某种形式保存下来——这种形式可能会影响治疗方案、影响计费条目，或在审计、调查或诉讼期间作为证据被调取。因此，对于医疗机构而言，人工智能治理必须成为法律和合规方面的优先事项，而不仅仅是业务部门做出的技术决策。

监管环境
隐私、保密与数据使用

隐私和保密性通常是合规方面最首要且最紧迫的关切。人工智能转录工具通常会捕获医患对话、口述内容、转录文本、摘要及相关元数据。在医疗保健环境中，这些材料往往包含受保护的健康信息（PHI），并可能触发各州关于隐私、保密、通知及录音法律所规定的义务。

PHI 受《健康保险携带与责任法案》（HIPAA）及各州相关法规（如《加州医疗信息保密法》）的约束。当患者信息在多个系统、供应商和处理环境之间流转时，这些义务会变得更加复杂。因此，组织应首先了解人工智能正在捕获哪些信息、这些信息流向何处、谁可以访问以及受哪些控制措施的约束。

当外部转录服务商代表 医疗机构创建、接收、维护或传输受保护的健康信息（PHI） 时，通常应适用《健康保险流通与责任法案》（HIPAA）的隐私规则和安全规则，以及业务伙伴的相关要求。 AI转录工作流程存在特殊风险，因为它们可能从单次就诊中生成多份包含PHI的记录（例如音频文件、转录文本、摘要、草稿笔记和系统日志），每份记录都涉及各自的访问、保留和披露问题，以及下游存储和审查成本。

在可行的情况下，组织应遵循数据最小化原则，并评估可识别信息对于预期用途是否必要。如果符合《健康保险流通与责任法案》（HIPAA）以及美国卫生与公众服务部（HHS）的指导方针，去识别化处理可能适用于测试、分析或其他二次用途。然而，在实际的转录工作流程中，可识别信息往往难以避免。 实际的合规问题在于：信息是否在明确的技术、合同及内部控制措施下进行收集和使用，且保留时间不超过必要期限。

这些义务也应与数据相适应。业务协议（BAA）及相关数据使用条款应针对转录工具特有的问题作出规定。至少，它们应：

• 明确录音、文字记录、摘要及其他产出的所有权和控制权；
• 限制供应商对所有信息（包括但不限于个人健康信息）的使用和披露，仅限于协议和适用法律允许的范围；
• 制定符合组织记录管理义务、诉讼保留程序及任何适用法律要求的保留和销毁规定；
• 处理传输中和静止状态下的数据加密；以及
• 提供与处理环境相适应的审计权限和违规通知机制。

如果没有这些合同和技术保障措施，即便是出于善意的AI部署，也可能演变为需上报的违规事件，从而引发严重的监管后果和声誉损失。

准确性、可靠性与下游责任

然而，隐私问题只是风险的一部分。由于转录工具不仅会影响病历记录，还会影响报销及未来的临床护理，因此它们同时也带来了成本、文书工作及法律责任方面的风险。

自动转录和摘要工具缺乏临床判断力，且可能存在错误。它们可能会误判发言者身份，混淆发音相似的姓名、疾病或药物名称，遗漏缩写词或专业术语，误解交织的对话内容，或错误记录药物名称、诊断结果、剂量或随访指示。此外，它们还可能保留那些本不该成为正式记录内容的旁白、未完成的思路或背景讨论。 在临床环境中，这些错误可能影响病历的完整性；在运营环境中，则可能扭曲合规会议、同行评审讨论、董事会审议或内部调查的结果。

从治理角度来看，转录工具应作为文档辅助工具，而非最终的临床记录。它们虽可减轻行政负担，但不能取代专业判断或对最终成果的仔细审查。如果工具未能准确听清或误解了某段陈述、遗漏了重要信息，或生成了不准确的摘要，由此产生的记录可能会不完整或具有误导性。 责任归属往往取决于该机构是否明确界定了该工具的作用，并要求在将输出结果纳入病历或用于运营目的之前，必须经过实质性的人工审核。

这些风险不仅限于患者护理。不准确的转录可能会影响编码、计费、理赔支持、医疗服务利用审查以及后续审计。 保留的录音及相关输出内容在审计、调查或诉讼中也可能产生高昂的审查成本。如果将人工智能生成的文本未经充分审核就纳入病历，且该文本随后支持了不准确的索赔，可能会导致面临超额支付风险，在某些情况下甚至可能受到《虚假索赔法》的审查。如果工具的准确性日后受到质疑，验证、用户审核和性能监控有助于建立更具说服力的病历记录。

医疗机构还应关注性能波动问题。转录工具的性能表现可能因口音、方言、背景噪音、多人交谈或句式结构等因素而有所不同。这些问题不仅涉及技术层面，还可能影响文档质量、记录的可靠性，并在某些情况下影响不同患者群体间的公平性。医疗机构应在部署前对这些问题进行测试并记录，并在使用过程中持续监控。

人工监督与问责

在医疗保健领域，病历的责任不能转嫁给人工智能转录工具。在任何医疗保健机构使用人工智能转录工具的过程中，人工监督都是一项至关重要的保障措施。持证专业人员及其他授权人员必须继续负责决定哪些内容准确、完整且适合纳入病历。技术可以辅助工作，但并不能免除医疗保健机构对此承担的责任。

各机构应密切审查转录工具的使用情况，包括输出内容是否经过适当审核，以及工作流程是否导致了本可避免的错误。 每项工具都应针对特定用途获得批准，在实施前进行评估，并在部署后进行监控。此类监督工作还应形成书面记录。如果记录的完整性、患者预后或计费做法日后受到质疑，该机构将需要证明其对系统进行了合理的监督，且未允许未经审核的自动化流程取代专业人员的判断。

人工审核还有助于缓解自动化偏见——即在缺乏充分独立评估的情况下，过度依赖机器生成的内容。建立一个由临床领导层、合规部门、信息安全部门、健康信息管理部门及法律顾问等多方组成的跨学科监督机制，有助于确保治理责任得到分担，并在问题演变为执法问题之前及时上报。

知情同意、信息披露、通知与患者信任

透明度仍是人工智能转录工具面临的重要法律风险来源。在许多医疗保健场景中，人们可能并未意识到对话正在被人工智能平台录音、转录、摘要或处理。当该技术应用于临床诊疗、护理管理通话或患者服务互动时，这一问题尤为突出。

各州法律在此领域正发挥着越来越重要的作用。部分州对通信录音设定了通知和同意的要求，而其他州则开始更直接地规范人工智能在医疗保健互动中的应用，包括要求持证专业人员在使用人工智能工具录制或转录治疗过程前，须告知录音事宜，并同时获得口头（录音中）和单独的书面同意。 因此，机构在部署这些工具前，应评估适用的州级录音、同意及保密法律，特别是在治疗、行为健康及其他敏感场景中。

知情同意仍是符合伦理和法律的医疗实践的基石。当技术在记录诊疗过程方面发挥实质性作用时，医疗机构应考虑是否已向患者清晰说明了该技术的作用。应更新知情同意书、隐私声明和工作流程指南，用通俗易懂的语言说明人工智能的参与情况，并培训临床医生以一致的方式向患者说明这些信息。这些措施既能降低法律风险，又能增强患者的信任。

供应商关系与第三方风险

对于人工智能转录工具而言，一些最具影响力的法律风险其实隐藏在用户界面背后——具体体现在支撑该技术的供应商关系、分包安排以及数据处理实践中。

转录服务商通常会代表医疗机构处理或存储个人健康信息（PHI），如果这些合作关系未能得到严格管控，将导致违反《健康保险流通与责任法案》（HIPAA）及州法律的风险。合同应明确界定录音、转录文本、摘要及相关产出的所有权；限制超出合同约定服务范围的使用；并规定符合该机构合规计划的保留、删除及数据泄露通知标准。 相比缺乏同等安全保障的消费者平台，应优先选择能够证明具备安全、隔离环境并提供有效审计权限的企业级供应商。

“影子人工智能”的兴起进一步加剧了这一风险。当员工使用未经批准的消费级工具时，敏感信息可能会流向受监控系统之外，甚至会破坏供应商精心设计的管控措施。在医疗保健领域，此类非正式采用行为可能会迅速将一次普通的合规疏漏演变为监管调查。

从执法角度来看，这些风险绝非纸上谈兵。个人健康信息（PHI）的无节制披露可能会引起美国卫生与公众服务部（HHS）民权办公室及各州总检察长的审查。滥用人工智能生成的文件，若影响账单结算或理赔申报，还可能导致违反《虚假索赔法》的风险。这些法律义务本身并非新鲜事物。然而，与这些工具相关的风险暴露速度和规模之大，可能会放大错误的影响。

实践中的风险管理

AI转录工具能够为医疗机构带来切实价值，但前提是这些机构在工具广泛应用之前必须建立起适当的防护措施。这些防护措施包括以下内容：

• 建立明确的政策框架。组织应 明确哪些人员有权批准使用转录工具、允许哪些使用场景、如何评估这些使用场景，以及如何记录和上报例外情况。该政策应与现有的《健康保险流通与责任法案》（HIPAA）、隐私、信息安全及记录管理计划相衔接，并应明确指出，人工智能生成的内容（包括音频及其他源材料）可能受保留和法律保留义务的约束。
• 绘制数据流图。通过梳理 录音、文字记录、摘要及相关元数据的生成、存储和共享路径，有助于合规与安全团队将数据流与记录管理、隐私保护及证据披露要求相协调。该审查应明确各数据类别的控制方、访问权限的授予方式、相关材料是否纳入法律医疗记录或其他正式业务记录，以及跨系统如何管理数据的保留与删除。 鉴于这些材料日后可能被视为业务记录，组织应更新保留、法律保留令及删除流程，以避免证据开示缺口和证据灭失风险。较短的保留期限虽有助于控制存储和审查成本，但必须结合适用的保留义务进行评估。若适用诉讼保留令，则可能需要对这些材料进行保存。
• 加强对供应商的监管。应将供应商监管视为公司自身合规风险和义务的延伸。协议中应就数据的使用、保留、删除、数据泄露应对及可审计性提出明确要求。医疗保健机构还必须能够证明其已向供应商传达了这些要求，并确保供应商对合规性负责。
• 为用户设定明确的预期。应培训临床医生和工作人员，使其既了解转录工具的实用性，也明白其局限性，包括在何种情况下必须在使用或签名前对输出结果进行独立审核。培训还应明确指出，禁止使用未经批准的消费级工具，否则可能会使机构面临重大的监管和声誉风险。
• 在实际操作中监控使用情况。各组织 应明确录音的具体场景、哪些人员可以访问录音文字记录和摘要、如何更正错误，以及何时上报问题。
• 全面推广前先进行试点。 在更广泛推广该技术之前，应在 风险较低的环境中测试 人工智能会议和转录工具，以便尽早发现隐私、运营和记录管理方面的问题。 法律、合规、隐私及人力资源部门应从一开始就参与评估。部署过程的每个步骤都 应详细记录，以便组织日后能够证明其在系统建立过程中已尽到应有的谨慎义务。完整的过程记录在广泛部署出现问题时，也有助于识别关键环节。

结论

人工智能转录工具能够带来真正的运营价值，但前提是治理措施必须与应用进程同步。 能够正确处理这一问题的机构，将把这些工具视为任何其他高风险医疗流程一样对待：建立明确的治理机制、审慎签订合同、明确监督职责，并对记录的创建、使用、保存和审查实施切实可行的管控。随着各州立法机构和联邦监管机构继续加强对医疗领域人工智能的关注，那些在应用速度超过监管能力之前就建立起这些框架的机构，将最能有效管理合规风险。