意大利数据保护局(Garante Privacy)为在全境部署 AI 医疗服务作准备,依据本国法规、判例和欧盟 GDPR 发布了医疗领域使用人工智能的”十诫”守则。守则确立了一组基本原则:处理健康数据必须有明确法律依据、必须做数据保护影响评估(DPIA)、自动化决策须有人工参与、算法须可知且非歧视。
TL;DR
为公共利益处理健康数据的机构,其处理活动必须以欧盟法律或成员国法律为合法依据,且该法律须与真实处理目的相符、尊重数据保护权本质、并规定保护数据主体的具体措施。AI 处理健康数据难免涉及用户画像和自动化决策,这两项功能本身要求只有在成员国法律明确规定时才能使用。守则同时强调”隐私设计”(privacy by design)和默认设置,主张把数据保护原则嵌入生成式 AI 的设计与运行。
与其他数据活动一样,GDPR 依据各方在处理链中的实际角色分配义务。数据控制者是就健康数据处理的目的和方式作出基本决定、并承担一般责任(问责)的主体。守则明确,角色分配必须与实际执行的活动相对应,各方不得通过协议”撇清”角色以逃避责任。这一点在部署第三方 AI 医疗系统时尤为关键——采购方通常仍是控制者,责任不因外包而转移。
依据 GDPR 与近期判例,守则确立三项算法工具必须遵守的原则。可知性原则:数据主体有权知道是否存在自动化决策流程,并获得关于处理目的的有意义信息。非排他性原则(人工参与):决策过程必须保留人工干预,能够检查、验证或推翻自动决策;在算法训练阶段也须保持人工监督,把最终决定权留给医护人员而非 AI。算法非歧视原则:控制者应使用可靠系统、降低不透明性、减少技术与人为误差,定期验证模型有效性并采取适当的技术与组织措施,以纠正数据不准确、避免对个人健康产生歧视性后果。自动化决策的监管走向可对照英国 DUAA 改写自动化决策、ICO 更新 ADM 指南。
守则要求控制者依 GDPR 第 35 条对处理进行影响评估(DPIA);当拟采取的技术与组织措施不足以缓释风险时,须依第 36 条事前咨询监管机构。意大利的 AI 医疗联通系统将大规模处理敏感数据,DPIA 是强制项,评估须覆盖数据质量、撤回同意后的处理、跨系统互联导致的重新识别、以及数据被用于不兼容目的等风险。
数据质量是另一条主线:过时或不准确的健康数据会直接损害 AI 系统输出的有效性,控制者须持续更新并及时删除或纠正错误数据。透明方面,守则要求以清晰、简明的语言告知处理逻辑与特点,公布影响评估报告,并规定 AI 医疗服务须由医护人员明确要求后激活、而非默认自动运行。AI 监管的整体框架可参考欧盟通过 AI Act 简化提案:高风险合规期限延后与EDPS 发布 AI 管理新指南。
对面向欧洲医疗市场的 AI 企业,Garante 的守则划出了清晰底线。处理健康数据要先确认法律依据,把 DPIA 作为强制前置动作而非事后补件;在系统设计中保留人工监督环节,确保自动化输出可被医护人员检查和推翻;对训练数据的质量、偏差和可解释性建立持续验证机制。选择供应商时,优先考虑在产品上市前就完成数据保护评估、并能提供 AI 影响评估的一方——但这不减免控制者自身的问责义务。