对于医疗保健领域的人工智能公司来说,数据就是一切。它能提升模型性能,推动产品差异化,还能决定可扩展性。然而,在商业协议中,数据权往往被模糊定义或完全忽略。这是一个严重的错误。
无论您是与医疗系统签约、与数字医疗平台整合,还是与企业供应商合作,您的数据战略都需要在合同中得到清晰准确的体现。否则,您可能会发现自己无法获得发展所需的资产,更有甚者,还可能因违反监管规定而承担意想不到的责任。
本文概述了我们认为医疗人工智能公司面临风险最大的三个领域:培训权、撤销和保留条款以及责任分担。这些不仅仅是技术合同要点。它们是您的估值、合规态势和长期防御性的基础。
1.培训权:准确定义
大多数健康人工智能供应商都希望获得使用客户数据来改进或训练其模型的权利。这是意料之中的。问题在于,许多协议使用了 "改善服务 "或 "分析目的 "等不精确的语言来描述供应商实际可以使用数据做什么。在医疗保健领域,这可能会造成法律问题。
根据 HIPAA 规定,受保护健康信息 (PHI) 的使用目的超出了承保实体对患者的治疗、支付或医疗运营,通常需要患者授权。因此,像模型培训或产品改进这样的用例需要有充分的理由证明该活动符合承保实体的医疗业务--否则就需要患者授权。即使是所谓的 "匿名 "或 "去标识化 "数据,如果没有根据 HIPAA 去标识化标准进行适当和完全的去标识化,也不一定安全。
如果您的业务模式依赖于使用客户数据进行通用模型培训,您需要在合同中明确说明这一点。这包括明确数据是可识别的还是去识别的,使用何种去识别方法,以及培训的输出是仅限于特定客户的模型还是可用于整个平台。
另一方面,如果您提供的模型即服务是为每个客户定制的,并且不依赖于集中的培训数据,那么您应该明确说明这一点,并确保合同支持这种结构。否则,您就有可能在今后的道路上就如何使用数据或客户之间是否不适当地共享了输出结果而产生纠纷。
如果您正在处理 PHI,将此条款与您的业务协作协议 (BAA) 保持一致也至关重要。商业条款与 BAA 之间的不匹配会引发合规问题并引起警示,尤其是在调查过程中。请记住,在大多数情况下,如果您的商业协议规定您可以对数据进行去身份化处理,但您的 BAA 规定禁止去身份化处理,则 BAA 很可能会在涉及 PHI 时优先适用,这是因为 BAA 中的典型冲突语言倾向于 BAA。
2.撤销和保留:解决合同终止时的问题
太多的人工智能合同对合同终止后数据、模型和产出的处理方式只字未提。这种沉默给双方都带来了风险。
从客户的角度来看,允许供应商在终止合同后继续使用客户的数据来训练未来的模型,可能会在 HIPAA 下产生问题,甚至会让人感觉有违信任。从供应商的角度来看,失去对以前访问过的数据或训练过的输出的权利可能会破坏产品的连续性或未来的销售。
关键是要确定数据或模型输出的使用权是否在终止后继续有效,以及在什么条件下继续有效。如果你想在终止后保留使用数据或训练模型的能力,这应该是一项明确的、讨价还价的权利。如果不是,您必须准备好解除这种使用权,销毁任何保留的数据,并可能从头开始重新训练模型。
当涉及衍生模型时,这一点尤为重要。一个常见的陷阱是允许供应商声称,一旦数据被用于训练模型,该模型就不再与基础数据相关联。如果该模型继续反映敏感的患者信息,法院和监管机构可能不会同意。
您的协议至少应回答三个问题:
- 供应商能否保留并继续使用合同期间获取的数据?
- 对训练有素的模型或输出结果的任何权利在终止后是否仍然有效?
- 关系结束后,是否有义务销毁、去标识化或归还数据?
对于价值较高的关系,可考虑通过谈判获得终止后仍然有效的许可,并附带适当的补偿和保密义务。在医疗保健领域,这种终止后许可一般只涉及去标识化数据。否则,应加入数据返还或销毁条款,概述必须返还或销毁数据的方式和时间。
3.分担责任:明确下游危害的责任
医疗人工智能合同中最容易被忽视的问题之一是责任分配。人工智能生成的建议会影响医疗决策、计费方式和患者沟通。一旦出现问题,问题就变成了:谁该负责?
人工智能供应商通常将自己定位为医疗服务提供商的工具,并试图拒绝对任何下游使用承担责任。另一方面,医疗服务提供商越来越希望供应商能够支持自己的产品。尤其是当这些产品生成临床笔记、诊断建议或其他受监管的输出时,更是如此。
现实情况是,双方都有风险,您的合同需要反映这一点。免责声明固然重要,但不能取代深思熟虑的风险分配策略。
首先,供应商应要求其客户声明,客户已根据适用法律(包括 HIPAA、《联邦贸易委员会法》和州隐私法)对供应商在协议中设想的所有数据处理进行了适当的授权或同意。应在协议中明确规定将客户数据用于培训和处理或其他用途。这有助于在客户日后声称不知道其数据被如何使用或使用不当时为您提供保护。
其次,考虑与滥用第三方知识产权、侵犯患者隐私或监管执法行动相关的赔偿条款。例如,如果您的模式依赖于 PHI,而该 PHI 未根据 HIPAA 进行适当授权或去标识,从而引发民权办公室的调查,那么您可能要承担责任。
第三,对责任限制要深思熟虑。许多软件即服务(SaaS)协议使用的标准上限与前 12 个月支付的费用挂钩。在健康人工智能领域,这可能是不够的,尤其是在临床环境中使用该模式时。基于用例(如文档记录与临床决策支持)的分级上限可能更合适。
外卖
数据条款不是医疗人工智能合同的模板。它们是您的业务模式、合规态势和市场防御能力的核心部分。如果您不明确自己在培训、撤销和责任方面的权利,别人就会明确,通常是在诉讼或监管行动中。
对于人工智能供应商来说,目标应该是通过透明度建立信任。这意味着要有清晰的语言、合理的限制和可辩护的用例。在这一领域取得成功的公司不仅会建立良好的模型,还会围绕模型建立良好的合同。
如果您希望实施这一战略,请在本季度审核您的五大合同。标记任何模糊的数据权限、不匹配的 BAA 或终止差距。如有必要,在您的模型性能、客户信任或法律风险受到考验之前重新谈判。
欲了解有关人工智能、远程医疗、远程保健、数字健康和其他健康创新的更多信息,包括团队、出版物和代表经验,请联系Aaron Maguregui或Jennifer Hennessy,或福理的网络安全和数据隐私部或医疗保健业务部的任何合伙人或高级顾问。
