笔者结合实务经验,总结了人工智能(AI)医疗器械企业一些常见合规问题,供读者参考:
1、人工智能(AI)医疗器械的产品的注册监管
据公开报道,目前国家药品监督管理局(简称
“NMPA"
)颁出的第三类人工智能医疗器械注册证已经多达二十多张。
[5]
2022年6月份,上交所发布实施《上海证券交易所科创板发行上市审核规则适用指引第7号——医疗器械企业适用第五套上市标准》,将科创板第五套上市标准的适用企业范围拓宽至医疗器械企业,进一步为处于研发阶段尚未形成一定收入的医疗器械类企业创造良好的资本环境,其中规定发行人的核心技术产品研发应当取得阶段性成果,至少有一项核心技术产品已按照医疗器械相关法律法规要求完成产品检验和临床评价且结果满足要求,或已满足申报医疗器械注册的其他要求,不存在影响产品申报注册和注册上市的重大不利事项。所以,获得第三类人工智能医疗器械注册证的最直接的“效益",可能是获得了一张可以谋求境内或境外上市的“通行证"。由此,获得第三类注册证也是目前各大人工智能(AI)医疗器械企业的“必争之地"。各大资本在介入时,尤其会关注人工智能(AI)医疗器械第三类注册证的取得情况。目前,通过国家药品监督管理局的数据查询系统
[6]
,就可以查询到第三类注册证的备案信息。
值得关注的是,根据监管要求,人工智能(AI)医疗器械企业需要开展与软件安全性级别相匹配的产品质量保证工作,将风险管理、可追溯分析贯穿于生存周期全程,形成记录以供体系核查。同时,第三类人工智能医疗器械的注册证,人工智能算法作为人工智能医疗器械的核心,在医疗器械获得注册并上市后也需要持续开展算法泛化能力研究,若所使用的人工智能算法更新,以算法更新影响有效性或安全性为核心判断标准,注册人需要申请变更注册。反之,人工智能算法更新若未影响到人工智能医疗器械的安全性和有效性则属于轻微软件更新,通过质量管理体系进行控制,无需申请变更注册,待下次变更注册时提交相应注册申报资料。
2、符合人工智能(AI)医疗器械的定义,但未取得医疗器械注册证的合规风险
NMPA于2021年7月1日发布并同时生效的《人工智能医用软件产品分类界定指导原则》(简称
《分类界定原则》
)中指出,“人工智能医用软件"即为基于医疗器械数据、采用人工智能技术实现其医疗用途的独立软件。同时,在进一步判断某一人工智能软件是否属于医疗器械时,《分类界定原则》亦明确:(1)若软件产品的处理对象为医疗器械数据,且核心功能是对医疗器械数据的处理、测量、模型计算、分析等,并用于医疗用途的,作为医疗器械管理;(2)
若软件产品的处理对象为非医疗器械数据(如患者主诉等信息、检验检查报告结论),或其核心功能不是对医疗器械数据进行处理、测量、模型计算、分析,或不用于医疗用途的,不作为医疗器械管理。
实践当中,对于人工智能(AI)医疗器械的判定并不是泾渭分明,所以《分类界定原则》的规定具有较强的理论指导意义。
进一步,如果能够分辨出人工智能医疗器械的边界,则应取得而未能取得医疗器械注册证将面临合规风险。据《条例》的相关规定,企业生产、经营、使用未取得医疗器械注册证的第二类、第三类医疗器械软件可能会受到相应处罚,包括没收违法所得、没收违反生产经营的医疗器械和设备、罚款、责令停业等。
[7]
实践中,对于使用未取得医疗器械注册证但属于医疗器械软件的行为,已出现类似行政处罚案例。
[8]
3、医疗器械数据合规性问题
伴随着《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的实施,医疗数据的内涵及安全保护也亟待得到国家法规层面的规定与回应。根据CMDE发布的《人工智能指导原则》,医疗器械数据是指医疗器械产生的用于医疗用途的客观数据,如医学影像设备产生的医学图像数据(如X射线、CT、MRI、超声、内窥镜、光学等图像)、医用电子设备产生的生理参数数据(如心电、脑电、血压、无创血糖、心音等波形数据)、体外诊断设备产生的体外诊断数据(如病理图像、显微图像、有创血糖波形数据等);在特殊情形下,通用设备(非监管对象)产生的用于医疗用途的客观数据亦属于医疗器械数据,如数码相机拍摄的用于皮肤疾病诊断的皮肤照片、健康电子产品采集的用于心脏疾病预警的心电数据等。
同时,CMDE于2022年修订的《医疗器械网络安全注册审查指导原则》(简称
“《医疗器械网络安全原则》"
),对医疗器械相关数据进行了简化的定义,
即医疗器械相关数据可分为医疗数据和设备数据。
医疗数据是指医疗器械所产生的、使用的与医疗活动相关的数据(含日志),从个人信息保护角度又可分为敏感医疗数据、非敏感医疗数据。其中敏感医疗数据是指含有个人信息的医疗数据,反之即为非敏感医疗数据。
[9]
设备数据是指记录医疗器械运行状况的数据(含日志),用于监视、控制医疗器械运行或者医疗器械的维护与升级,不得含有个人信息。
根据《医疗器械网络安全原则》的指引,人工智能(AI)医疗器械企业需基于医疗器械相关数据的类型、功能、用途,结合网络安全特性考虑医疗器械网络安全要求。同时,保证敏感医疗数据所含个人信息免于泄露、滥用和篡改,以及医疗数据和设备数据的有效隔离(如访问权限控制等方法),所以在医疗器械注册阶段需要单独提交自研软件网络安全研究报告,若使用现成软件组件,根据其使用方式提交相应研究资料。投资人在开展人工智能(AI)医疗器械企业尽职调查的过程中,需要对相关信息与资料予以关注和重视,重点关注企业是否在医疗数据方面建立了有效的合规管理。当然,由于国内企业的数据合规管理还在起步阶段,无法做到尽善尽美。投资人也可以在投后管理中,帮助企业系统梳理、整理、搭建数据合规体系。
4、人工智能(AI)医疗器械企业专利的稳定性与侵权风险
专利技术作为人工智能(AI)医疗器械企业的核心资产,需要予以重点维护与布局。人工智能(AI)医疗器械企业的成立时间一般都较短,但在研发及市场化人工智能(AI)医疗器械过程中,会产生大量的专利、专有技术及商标。同时,为了加强相关知识产权的研发能力,人工智能(AI)医疗器械企业可能还会与高校等机构合作开发相关技术,一方面可以增强企业的研究能力,促进相关技术尽快投入到商业化运营中;另一方面双方对于技术的研发的合作细节、科技成果归属、后续衍生开发权利的约定往往不是非常清晰,则会对后续人工智能(AI)医疗器械企业走向资本市场产生一定的影响。所以,人工智能(AI)医疗器械相关的知识产权的研发与归属、维护与建设等问题,成为摆在企业面前的难题。根据《专利法》第45条、《专利法实施细则》第65条的规定,任何单位或者个人认为该专利权的授予不符合本法有关规定的,可以请求国务院专利行政部门宣告该专利权无效。同时,往往人工智能(AI)医疗器械企业成立时间较晚,主要精力用于产品研发及商业化,相关产品及服务并没有经过严格专利清查,因此产品或服务上市后存在侵犯第三方专利权的可能性。所以,就已经获得专利,建议开展专利的稳定性分析,更好地确认相关专利创造性的高低,以便评估相关专利被宣告无效的可能性。同时,可以考虑开展专利清查,预判专利侵权风险,并针对发现的侵权风险点进行技术规避设计,降低知识产权侵权风险。
5、医疗器械企业商业贿赂的合规风险
医疗器械企业的客户群体往往是公立医疗机构,如果企业员工或经销商存在商业贿赂,极容易产生刑事风险,有时可能由于员工或经销商的个人行为,导致企业或其法定代表人承担无妄之灾,进一步使客户流失,严重影响企业的正常运转。所以,医疗器械企业建立起较为完善的合规体系,形成“防火墙"极为重要。进一步,全体员工及经销商签署反不正当支付承诺书、合规制度的制定与定期更新、合规宣传与培训的常态化、合规测试的机制定期运行、合规举报渠道的畅通、合规人员专岗专责都是防止商业贿赂的有效手段。
由于国家政策的大力支持与资本的“垂青",人工智能(AI)医疗器械行业“风头正劲"。同时,由于人工智能(AI)技术具有快速迭代特性,人工智能医疗器械是采用人工智能(AI)技术实现其医疗用途的医疗器械,所以其监管挑战主要源自于人工智能技术所具有的特性。虽然,国家在政策法规层面要求全生命周期管理,但由于人工智能(AI)技术层出不穷,其监管挑战将长期存在,投资人在投资人工智能(AI)医疗器械行业时也需做足“功课",争取做到事半功倍;人工智能(AI)医疗器械行业的合规体系建设也须根据监管政策的不断变化,与时俱进。