对于医疗健康领域的人工智能企业而言,数据就是一切。它驱动模型性能,塑造产品差异化,更能决定业务能否实现规模化发展。然而在商业协议中,数据权利往往界定模糊甚至被完全忽视——这无疑是个致命错误。
无论您是与医疗系统签订合同、整合至数字健康平台,还是与企业供应商建立合作,都必须在合同中清晰准确地体现数据策略。若未能如此,您可能会发现自己被剥夺了业务增长所需的关键资产——更糟的是,还可能因未曾预料的违规行为而承担法律责任。
本文概述了我们认为健康人工智能公司面临最大风险的三个领域:训练权、撤销与保留条款以及共同责任。这些不仅是技术性合同条款,更是企业估值、合规状态及长期防御能力的基石。
1. 培训权利:精准界定
大多数医疗人工智能供应商都希望获得使用客户数据来改进或训练其模型的权利。这本在情理之中。问题在于,许多协议使用"改进服务"或"分析目的"等模糊措辞来描述供应商实际可对数据进行的操作。在医疗保健领域,此类表述可能存在法律隐患。
根据《健康保险流通与责任法案》(HIPAA),当受保护实体将受保护健康信息(PHI)用于超出患者治疗、支付或医疗保健运营范围的目的时,通常需要获得患者授权。因此,诸如模型训练或产品改进等使用场景必须充分证明该活动属于受保护实体的医疗保健运营范畴——否则仍需患者授权。 即使是所谓的"匿名化"或"去标识化"数据,若未严格遵循HIPAA去标识化标准进行充分处理,也未必安全可靠。
若您的商业模式依赖于使用客户数据进行通用模型训练,则需在合同中明确说明。这包括阐明数据是否可识别或已去标识化、采用何种去标识化方法,以及训练结果是否仅限于特定客户的模型,还是可用于整个平台。
另一方面,若您提供的模型即服务是为每位客户量身定制且不依赖共享训练数据,则应明确说明并确保合同支持该服务模式。否则,未来可能因数据使用权限或输出结果是否被不当共享至其他客户而引发争议。
若涉及处理个人健康信息(PHI),确保此条款与业务合作协议(BAA)保持一致至关重要。商业条款与BAA之间的冲突可能引发合规问题并触发警示信号,尤其在尽职调查阶段。 请注意,在多数情况下,若商业协议允许数据去识别化,但BAA明确禁止此操作,则BAA条款将具有优先效力——这源于BAA中常见的冲突条款设计:当涉及PHI时,BAA条款具有优先适用性。
2. 撤销与保留:处理合同终止时的相关事宜
太多人工智能合同对合同终止后数据、模型和产出的处置未作规定。这种沉默给双方都带来了风险。
从客户角度来看,允许供应商在合同终止后继续使用客户数据来训练未来模型,可能违反《健康保险流通与责任法案》(HIPAA),甚至被视为背信行为。而对供应商而言,丧失对先前访问数据或训练成果的使用权,可能导致产品连续性中断或影响未来销售。
关键在于明确数据或模型输出使用权在终止后是否存续,以及存续的具体条件。若希望在终止后保留使用数据或训练模型的能力,则应将其作为明确协商获得的权利。否则,必须做好解除访问权限、销毁保留数据的准备,并可能需要从头开始重新训练模型。
当涉及衍生模型时,这一点尤为重要。一个常见的陷阱是允许供应商声称:一旦数据被用于训练模型,该模型便不再与基础数据相关联。但若该模型仍持续反映敏感患者信息,法院和监管机构可能不会认同此说法。
至少,您的协议应回答以下三个问题:
- 供应商能否保留并继续使用合同期间访问的数据?
- 终止后,训练模型或输出结果的相关权利是否仍然有效?
- 在关系终止后,是否有义务销毁、去标识化或归还数据?
对于高价值的合作关系,建议协商签订一份终止后仍有效的许可协议,同时附带适当的补偿条款和保密义务。在医疗健康领域,此类终止后许可通常仅涉及去识别化数据。否则,应纳入数据返还或销毁条款,明确规定数据必须返还或销毁的方式及时间节点。
3. 共同责任:明确下游损害的责任归属
在医疗人工智能合同中,责任分配是最容易被忽视的问题之一。人工智能生成的建议可能影响医疗决策、计费实践和患者沟通。一旦出现问题,责任归属便成为关键问题:究竟该由谁负责?
人工智能供应商通常将自身定位为医疗保健提供者的工具,并试图对任何下游使用免除责任。另一方面,医疗保健提供者越来越期望供应商对其产品负责。如果这些产品生成临床记录、诊断建议或其他受监管的输出内容,这种期望尤为强烈。
现实情况是双方都存在风险,您的合同需要反映这一点。免责声明固然重要,但不能替代周密的风险分配策略。
首先,供应商应要求客户声明其已获得适用法律(包括《健康保险流通与责任法案》(HIPAA)、《联邦贸易委员会法案》及各州隐私法)规定的必要授权或同意,以支持协议中涉及的所有数据处理活动。 协议中应明确说明客户数据用于训练、处理或其他用途的情形。此举有助于防范客户事后声称不知晓数据用途或数据被不当使用的情况。
其次,需考虑与第三方知识产权滥用、患者隐私侵犯或监管执法行动相关的赔偿条款。例如,若您的模型依赖未按《健康保险流通与责任法案》(HIPAA)规定获得适当授权或去标识化的个人健康信息(PHI),从而引发民权办公室的调查,您可能需要承担法律责任。
第三,需审慎考虑责任限制条款。许多软件即服务(SaaS)协议采用与过去12个月支付费用挂钩的标准上限。在医疗人工智能领域,此类条款可能不足以应对风险,尤其当模型应用于临床场景时。基于使用场景(例如病历记录与临床决策支持)设置分级责任上限或许更为合理。
核心要点
数据条款在医疗人工智能合同中绝非固定模板。它们是您商业模式的核心组成部分,关乎合规立场与市场抗辩能力。若您未就数据训练、撤销权及责任归属明确自身权利,他人必将代劳——通常是在诉讼或监管行动中。
对于人工智能供应商而言,目标应是通过透明度建立信任。这意味着使用清晰的语言、设定合理的限制条件,并提供可辩护的应用场景。在这个领域取得成功的企业,不仅要构建优质模型,更要围绕这些模型建立完善的合约体系。
若您希望将此策略付诸实践,请在本季度对前五大合同进行审核。标记任何模糊的数据权利条款、不匹配的业务协助协议或终止条款漏洞。如有必要,在模型性能、客户信任或法律风险受到考验之前,及时重新协商条款。
如需了解更多关于人工智能、远程医疗、数字健康及其他医疗创新的信息,包括团队成员、出版物及代表性经验,请联系AaronMaguregui或Jennifer Hennessy,或致电富乐律师事务所网络安全与数据隐私业务组或医疗保健业务组的任何合伙人或高级顾问。
