商傳媒|林昭衡/綜合外電報導
為因應人工智慧(AI)在醫療領域應用日益普及所帶來的獨特資安與隱私挑戰,美國 Health Sector Coordinating Council(HSCC)透過其 Cybersecurity Working Group,於近日發布了一份名為「健康產業 AI 網絡治理框架實施指南」(Health Industry AI Cyber Governance Framework Implementation Guide)。此指南旨在協助各規模醫療機構有效識別、管理並緩解 AI 特有的網絡威脅,同時確保符合日益複雜的監管要求。
這份指南的核心目標是解決 AI 專屬的網絡風險,例如數據投毒(data poisoning)、模型漂移(model drift)及對抗性攻擊(adversarial attacks),並確保醫療數據的保護。指南內容涵蓋從傳統機器學習模型到生成式 AI(generative AI)和能自主行動的代理 AI(agentic AI)系統等所有類型的 AI 技術應用。HSCC 強調,隨著 AI 系統日趨複雜,有效的治理已成為確保其永續應用並避免累積技術債務的關鍵。
HSCC 定義的「AI 網絡治理」是 AI 治理的一部分,專注於確保 AI 系統在其整個生命週期中的安全性、防護能力與韌性。這意味著網絡安全考量必須整合到 AI 系統的每個階段,包括評估、開發、部署、監控,甚至到退役。指南進一步指出,AI 網絡安全是醫療服務提供者、技術供應商和醫療設備製造商之間的共同責任,需要跨部門協調以確保全面的監督與問責。
指南針對不同規模的醫療機構提供了具體的治理結構建議:
依機構規模建議治理架構
對於床位少於 200 張的小型機構(如偏遠地區醫院、社區健康中心),AI 治理職責可整合至現有委員會,例如品質、病患安全或法規遵循委員會。可指派一名 AI 治理聯絡人,通常由現任 CIO、CISO 或其他高階主管兼任,以協調各治理單位之間的工作。若機構管理五個或更多活躍 AI 系統,或部署任何高風險/關鍵風險 AI 應用程式,則可能需要設立正式的 AI 治理委員會。
中型機構(200 至 500 張床位)應在現有的治理架構下,如 IT 治理、品質或法規遵循委員會,設立一個常設 AI 治理小組委員會。該小組應包含臨床營運、網絡安全、隱私和法律職能的代表。大型機構(超過 500 張床位)則應設立一個具明確權限、並直接向董事會報告的專職 AI 治理委員會,並由多個小組委員會負責臨床評估、網絡安全、倫理及供應鏈風險等。
遵循法規與標準以強化信任
HSCC 指出,無論機構規模大小,董事會對 AI 部署都負有信託和道德責任。指南鼓勵機構將 AI 治理控制措施與多項聯邦及州法規對應,包括健康保險便利和責任法案(HIPAA)、New York’s SHIELD Act、加州消費者保護方案(California’s CCPA/CPRA),以及美國食品藥物管理局(FDA)針對 AI 醫療設備的規範、聯邦食品、藥品和化妝品法案(FD&C Act)等。
同時,指南也建議 AI 專案應與既有的國際標準與框架保持一致,例如國家標準及技術研究所(NIST)的 AI 風險管理框架、ISO/IEC 42001 與 ISO/IEC 23894、歐盟人工智能法案(EU AI Act)和一般資料保護規範(GDPR),以及開放式網頁應用程式安全專案(OWASP)等發布的相關指引。HSCC 在今年四月也曾發布一份指南,聚焦於管理 AI 驅動供應鏈中的網絡安全風險,強調第三方風險管理和供應鏈透明度對健全 AI 應用的重要性。
