近年来，人工智能（AI）技术在医疗器械领域的应用不断深化，AI辅助诊断、智能影像分析、手术机器人等产品不断涌现。与传统医疗器械不同，AI医疗器械的核心功能来源于算法模型，而算法模型的质量直接取决于训练数据的规模、质量与多样性。这一特性决定了AI医疗器械从研发、注册、上市流通，到上市后持续学习、迭代优化，均与数据的获取、处理和使用深度绑定。数据不仅是产品运行的附属要素，更是帮助企业提升产品核心竞争力的关键资产和基础设施。

正因如此，AI医疗器械领域的数据问题已超越技术范畴，成为涉及多维度法律规制、涵盖多主体权利的复杂合规议题。产业既要依托数据激发技术创新活力，又要严守法律红线规范数据使用，唯有统筹技术创新与合规发展并行，才能推动AI医疗器械产业稳健发展，为我国医疗健康产业持续赋能。

产业发展现状

在相关政策的引导与支持下，AI 医疗器械已实现多场景应用，赋能医疗健康产业升级。

产业发展态势

近年来，AI技术与医疗器械产业的融合发展已成为全球医疗健康领域最具变革性的趋势之一。我国高度重视这一发展趋势，一系列政策正加速推进AI医疗器械的创新发展，为行业发展划定方向、提供支撑。

2017年7月，国务院印发《新一代人工智能发展规划》明确，新一代人工智能在智能制造、智能医疗等领域得到广泛应用。2023年3月，中共中央办公厅、国务院办公厅印发《关于进一步完善医疗卫生服务体系的意见》提出，加快推进人工智能、大数据等在医疗卫生领域中的应用。2025年8月，国务院发布《关于深入实施“人工智能+”行动的意见》，重点关注“人工智能+”民生福祉，有序推动人工智能在辅助诊疗、健康管理、医保服务等场景的应用。2025年10月，党的二十届四中全会审议通过的“十五五”规划建议明确将脑机接口纳入未来产业。2026年《政府工作报告》提出，要深化拓展“人工智能+”，推动重点行业领域人工智能商业化、规模化应用。

在监管端，国家药监局持续推进医疗器械审评审批制度改革，通过鼓励创新、加强监管来促进医疗器械产业的高质量发展。根据国家药监局公开数据，2025年批准医疗器械产品3402个，其中创新医疗器械76个，获批产品覆盖医学影像设备、手术机器人等多个领域。2025年7月，国家药监局发布《关于发布优化全生命周期监管支持高端医疗器械创新发展有关举措的公告》，针对医用机器人、高端医学影像设备、人工智能医疗器械和新型生物材料医疗器械等，提出优化特殊审批程序、完善分类和命名原则、持续健全标准体系等十方面支持举措。

AI医疗器械有望依托政策支持，持续突破技术瓶颈，推动医疗健康产业向更高效、更精准、更便捷的方向发展。

典型应用场景

AI医疗器械按用途可划分为辅助决策类与非辅助决策类两大类。

其中，辅助决策类产品占据主流。此类产品通过输出诊疗建议，为使用者提供医疗决策支持。主要应用场景涵盖基于病灶识别、性质判定、用药指导、治疗方案制定实现的辅助分诊、检测、诊断与治疗等，如医学影像辅助诊断、病理辅助分析、AI手术辅助等。

非辅助决策类产品仅提供医疗参考信息，不直接参与医疗决策，主要应用场景集中于数据记录、病情监测、流程优化、诊疗驱动等，如成像流程简化、诊疗流程简化、成像质量改善、自动测量三维重建等。

数据类型与来源

从政策端来看，根据市场监管总局、国家标准委发布的《信息安全技术 健康医疗数据安全指南》，健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据及公共卫生数据六个类别。

从数据形态的角度来看，AI医疗器械所涉数据主要包括影像类数据（医学图像、视频等）、文本类数据（病历、报告、处方等）、结构化数据（检验指标、体征参数等）、组学数据（基因组、蛋白质组等）以及行为类数据（用户使用行为、运动数据等）等。

这些数据大多来自医疗机构临床数据、公开数据集与科研数据库、可穿戴设备与移动应用数据等。需要注意的是，这些信息大多属于个人信息，有些甚至属于敏感个人信息的范畴。

现行法规体系

我国AI医疗器械领域的法律体系呈现“多法并行、多部门监管”的复合模式。

在上位法层面，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）《中华人民共和国网络安全法》与《中华人民共和国民法典》等法律共同搭建起AI医疗器械数据安全、个人信息保护及网络安全多维度法律规制框架。

在医疗器械监管法规层面，《医疗器械监督管理条例》（以下简称《条例》）作为我国医疗器械监管法规体系的核心，AI医疗器械的注册、生产、经营与使用活动，均受《条例》及其配套规章规制。同时，《人工智能医疗器械注册审查指导原则》《深度学习辅助决策医疗器械软件审评要点》《医疗器械网络安全注册审查指导原则（2022年修订版）》等文件，针对AI医疗器械的注册审查等方面提出了具体合规要求。

在数据监管层面，《数据出境安全评估办法》《促进和规范数据跨境流动规定》《人口健康信息管理办法（试行）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》等，确保数据来源合法、内容准确、使用合规、全程可追溯，为AI医疗器械企业的数据合规管理明确了监管要求。

在AI法规层面，《生成式人工智能服务管理暂行办法》《人工智能生成合成内容标识办法》《人工智能科技伦理审查与服务办法（试行）》等文件，对AI训练数据合法性、数据标注规范、算法备案、科技伦理审查管理等方面作出规定。

值得关注的是，全国人大常委会2025年度立法工作计划已将人工智能健康发展相关立法列为预备审议项目。作为高风险人工智能应用场景的代表，AI医疗器械领域将随着未来人工智能专门立法的出台，迎来更为完善、体系化的数据合规法律框架。

常见法律问题

AI医疗器械产业快速发展，相关技术、法规正不断探索、完善。与此同时，随着数据在AI医疗器械研发中的广泛应用，数据合规使用也产生了一系列法律层面的问题与挑战。企业在使用各类数据开展研发的过程中，需警惕相关法律风险，做好合规管理。

训练数据来源的合法性问题

AI医疗器械的算法性能主要取决于训练数据的规模和质量，而各类数据的获取途径均存在不同程度的合规风险。

与医疗机构合作获取数据，医疗机构是否有权将其留存的患者诊疗数据提供给第三方企业用于商业化的AI算法训练？根据《个人信息保护法》，医疗机构在诊疗活动中收集患者数据的合法性基础是“为订立、履行个人作为一方当事人的合同所必需”或“为履行法定职责或者法定义务所必需”，但将数据用于商业化的AI算法训练显然超出了这一范围，因此需要重新取得患者同意。

使用公开数据集，虽然公开数据集在形式上降低了数据获取的合规门槛，但企业仍需注意审查数据集在原始采集中是否经过合法的伦理审查和知情同意程序、数据集的使用许可协议是否允许商业用途、数据集是否存在标注偏差或样本不均衡等质量问题。尤其需要注意的是，对于来源于境外的公开数据集，企业还需要评估其采集和共享是否符合数据来源国家（地区）的法律要求。

使用产品运营中积累数据，部分AI医疗器械产品上市后，会通过持续运营积累临床使用数据，用于算法的迭代优化。此种做法需重点把控三大合规要点：产品的用户协议和隐私政策中，是否明确告知了数据的此种使用目的；在产品部署的医疗机构环境中，患者的知情同意是否覆盖了数据的二次利用；数据的持续学习是否触发算法的重大变更，进而需要重新申请注册审评。

对此，企业需筑牢数据合规防线，重点做好三方面工作：一是建立数据合法性审查机制，完善全流程溯源档案；二是规范医企合作协议，明确数据使用权责，将患者知情同意作为数据交付的前置条件；三是严格落实数据脱敏处理要求，对数据进行匿名化、去标识化处理，依规做好个人信息全周期保护。

训练数据的著作权侵权风险

AI医疗器械在训练数据使用环节还涉及著作权合规问题。

在AI医疗器械的研发实践中，以下五类训练数据容易引发著作权风险：一是医学专业图书、教材、临床诊疗指南、医学图谱、解剖图示等受《中华人民共和国著作权法》（以下简称《著作权法》）保护的出版物；二是商业数据库收录的医学影像数据集、病理切片库、标注数据集，如其对内容的选择或者编排体现出独创性，可能构成汇编作品；三是医学期刊发表的学术论文、病例报告、影像图片及配套说明；四是由医学专家付出独创性智力投入形成的标注信息、诊断结论与分析意见，可能构成独立的作品或演绎作品；五是商业医学软件生成的分析报告、算法模型参数等，在现行法律框架下存在获得《著作权法》保护的可能。

我国《著作权法》第二十四条对合理使用采取“列举+兜底”的封闭式立法模式，其中列举了包括个人学习或研究、适当引用、新闻报道、课堂教学或科学研究等有限情形。从文义解释来看，大规模商业化的AI模型训练，难以直接纳入其中任何一项法定合理使用情形。同时，《生成式人工智能服务管理暂行办法》第七条明确要求，生成式人工智能服务提供者开展预训练、优化训练等训练数据处理活动需要遵守的规定包括“使用具有合法来源的数据和基础模型”“涉及知识产权的，不得侵害他人依法享有的知识产权”等；《生成式人工智能服务安全基本要求》明确，语料用于训练前，应对语料中的主要知识产权侵权风险进行识别。这两项规定从行政规范与技术标准层面为训练数据的著作权合规设定了原则性要求。

对此，AI医疗器械企业应从以下几个方面着手，防范著作权侵权风险：一是建立著作权专项审查机制。在训练数据获取环节，除开展传统的个人信息与伦理合规审查外，应单独设立著作权合规审查环节，评估数据是否享有著作权、权利归属是否清晰、使用授权范围是否覆盖AI训练目的。二是优先采用授权数据与自有数据。对于存在著作权风险的数据来源，应优先通过付费许可、合作协议等方式取得明示授权。三是审慎使用网络抓取数据与公开数据集。在未取得明示许可的情况下，不宜通过网络爬虫大规模抓取医学文献、影像图片、临床指南等内容用于模型训练。四是明确标注成果的著作权归属。企业应在标注委托协议中明确约定标注成果的著作权归属与使用权范围，避免因权利归属不清而在日后产生纠纷。五是完善输出端的版权侵权防控。在AI医疗器械算法输出环节，应嵌入相似度检测与过滤机制，避免模型输出内容与训练数据中受保护作品构成实质性相似；对于可能触及他人著作权的输出场景，应设置相应的技术限制与提示机制。六是关注立法动向。建议企业持续关注《著作权法》修订动向及人工智能相关立法进程，积极参与相关立法讨论，推动构建与产业发展相适应的AI训练数据合理使用制度。对于已开展的训练活动，建议留存数据来源、使用范围、许可凭证等完整记录，以便后续规则更加明确后的合规溯源与补正工作奠定基础。

患者知情同意的合规挑战

知情同意是医疗数据处理的核心合法性基础之一，也是AI医疗器械数据合规实务中最具挑战性的问题。传统的知情同意机制建立在“一事一议”的基础上，而AI医疗器械的数据处理活动具有使用目的多元、处理过程复杂和技术不断迭代等特点，使得传统知情同意机制面临严峻挑战。

具体而言，AI医疗器械的数据处理活动可能同时服务于临床诊疗、AI算法训练和优化、产品安全性和有效性评估、学术研究和科技创新等。在数据采集时，并非所有后续使用目的都能被预见和充分告知。特别是在算法的持续学习场景中，数据的使用目的可能随着技术迭代不断扩展，若要求患者在数据采集之初就对所有潜在用途给予“一揽子同意”，既不现实，也不符合知情同意的本质要求。同时，《个人信息保护法》也赋予个人撤回同意的权利。然而，在AI算法训练的场景中，一旦数据被用于模型训练，即使删除原始数据，也难以彻底消除该数据对模型的影响。如何在技术层面实现有效的“数据遗忘”，仍是一个尚未成熟的课题。

结合实务经验，笔者建议相关主体可关注和探索动态知情同意模式，优化场景化授权设计，提升数据授权的灵活性与合规性，从而适配数据使用场景及权限范围的动态调整需求，破解传统知情同意机制在AI医疗器械领域的适用难题。

数据安全管理与责任分配问题

AI医疗器械的数据处理链条涉及多个参与主体，包括医疗机构、AI医疗器械企业、数据标注服务商、云计算服务提供商，甚至终端用户等。从数据的采集、传输、存储、处理、标注，到算法训练、模型部署、运营维护，每个环节都存在特定的安全风险。在这一复杂的数据处理生态中，各参与主体间的数据安全责任边界往往模糊不清，容易形成管理盲区。

对此，AI医疗器械企业应建立全链条数据安全管理体系。建议企业以数据全生命周期为主线，建立覆盖数据采集、传输、存储、处理、标注、训练、部署、销毁各环节的安全管理制度和技术防护措施。具体包括：建立数据分类分级制度，根据数据敏感程度划分等级，对不同级别的数据实施差异化的保护措施。实施数据加密、访问控制、审计日志、脱敏处理等技术安全措施，依托基于角色的访问控制模型，限制对敏感训练数据的访问权限。建立数据安全应急响应预案，定期开展安全演练等。与第三方签订规范的数据处理协议或安全保密协议，明确数据处理的范围、方式、安全标准和违约责任；对供应链中的核心数据服务商，开展安全能力评估和定期审计，确保数据安全。

算法训练中的数据偏见与公平性问题

AI医疗器械的算法性能直接受训练数据分布特征的影响。如果训练数据存在系统性偏差，如特定性别、年龄、种族、地域、社会经济地位的样本过多或过少，算法模型可能在实际应用中对某些特定群体产生歧视性结果，进而导致诊断准确率不均衡、漏诊率或误诊率过高等问题。

为应对数据偏见问题，建议企业将公平性考量融入AI医疗器械算法开发全流程。在数据采集阶段，应合理设计采集策略，确保不同亚组人群在训练数据中具备充分的代表性；对于数据分布明显不均衡的情况，应通过跨机构合作采集、数据增强、迁移学习等方式进行校正。产品上市后，企业应通过不良事件监测、真实世界数据分析等手段，持续监测算法在不同人群中的实际应用表现；建立偏见监测预警机制，及时发现和纠正可能存在的偏见问题，并依法履行相关报告义务。

数据跨境传输的合规挑战

AI医疗器械相关的医疗健康数据跨境传输，也是合规管理中的重点与难点。

根据我国现行法律，医疗健康数据的跨境传输需要注意个人信息保护、数据安全等合规问题。同时，区域化、场景化的数据跨境便利化机制也正在加速探索。例如，国家互联网信息办公室与香港特区政府创新科技及工业局于2023年6月签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，并于2023年12月发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，为粤港澳大湾区医疗机构和AI医疗器械企业提供了区域化数据跨境合规路径。

对AI医疗器械企业而言，应全面梳理自身业务涉及的数据跨境传输场景，明确出境数据的类型、数量、接收方信息、传输目的等关键要素，梳理形成数据出境活动清单。对于能够在技术上实现本地化处理的场景，优先考虑在境内完成数据处理和算法训练。对于确需开展跨境协作的场景，可探索采用联邦学习、安全多方计算、差分隐私等隐私计算技术，或借助可信数据空间等新型基础设施，在遵循“原始数据不出域、数据可用不可见”的前提下，实现跨境协作。

持续学习与算法变更的数据合规问题

相较于传统医疗器械，AI医疗器械可依托产品上市后持续学习机制迭代优化算法模型——通过在临床运营阶段持续采集真实临床数据，完成模型更新。而这一技术特性，也衍生出多项数据合规与监管难题。依据现行医疗器械注册管理规则，产品发生影响安全有效性的变更需办理变更注册或变更备案，但AI算法持续学习引发的模型参数动态调整，尚无清晰标准界定产品是否构成重大变更。同时，AI技术的“黑箱”属性导致算法运算逻辑难以解读，产品缺陷与医疗损害之间的因果关系难以举证，增加了法律责任划分的复杂性。此外，企业依托医疗机构临床数据实现算法优化与商业价值提升，却缺乏明确的数据权属划分与收益分配规则。

对此，企业层面应构建完善的内部合规体系：一是在产品部署协议与用户协议中明确AI算法持续学习的数据使用规则，全面告知数据采集、使用及防护相关事宜；二是建立与医疗机构的数据合作收益分配机制；三是健全算法变更全流程管理与评估制度，配套版本管控及回滚机制；四是建立上市后不良事件监测和真实世界数据收集机制，依法履行不良事件报告义务。

医疗数据权属的法律界定争议

在AI医疗器械的研发和运营过程中，医疗数据权属在患者、医疗机构与AI医疗器械企业三方的界定较为复杂。在现行法律框架下，患者的诊疗数据在医疗机构的信息系统中产生和存储，患者对其个人信息享有《个人信息保护法》所赋予的知情权、决定权、查阅复制权、更正权、删除权等权利；医疗机构作为数据的事实控制者，基于法定义务负有数据保管和安全管理的责任的同时，在有限范围内享有持有、使用与经营权；AI医疗器械企业通过与医疗机构合作获取训练数据，对基于这些数据开发的算法模型和数据产品主张使用权。

医疗数据权属制度正在持续探索。2022年12月发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出了建立数据产权制度的方向，明确建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制，推进非公共数据按市场化方式“共同使用、共享收益”的新模式，为激活数据要素价值创造和价值实现提供基础性制度保障；要推进实施公共数据确权授权机制，对公共服务过程中产生的公共数据，加强汇聚共享和开放开发，强化统筹授权使用和管理，推进互联互通；鼓励公共数据在保护个人隐私和确保公共安全的前提下，以模型、核验等产品和服务等形式向社会提供。2025年11月，国家卫生健康委办公厅等五部门印发《关于促进和规范“人工智能+医疗卫生”应用发展的实施意见》提出，建立临床数据授权运营管理制度。

在制度框架尚处于探索阶段的过渡期，AI医疗器械企业应在合同层面做好权利安排，保障自身合法权益。例如，在数据合作协议中，明确约定数据及衍生成果的权利归属，包括原始数据的管理权归属、脱敏后数据集的权利归属、训练模型的知识产权归属、数据产品的经营权归属、基于数据产生的商业化收益分配比例等核心事项。此外，企业还应建立数据资产管理制度，将训练数据集、标注规范、算法模型等数据资产纳入企业的知识产权管理体系，采取适当的保护措施。在具备条件时，企业还可积极参与数据交易所的数据产权登记等实务操作，为数据资产的价值实现和权利主张奠定基础。

AI与医疗器械的深度融合，已然成为驱动医疗健康产业数字化、智能化转型的核心引擎，而数据作为AI医疗器械算法迭代、产品落地与效能升级的核心要素，其合规应用是行业发展的“生命线”。当前，我国AI医疗器械领域监管体系不断完善、技术创新加速迭代。随着AI专门立法的稳步推进、医疗数据要素市场化配置机制的不断健全，以及临床数据授权运营管理制度的逐步建立，我国AI医疗器械的数据合规体系将愈发精细化、体系化。唯有实现技术创新与法治护航的同频共振，兼顾数据价值释放与个人权益保护的双向平衡，才能推动AI医疗器械产业行稳致远，为我国医疗健康事业高质量发展筑牢法治保障、注入技术活力。

（作者：闫春辉，中伦律师事务所；龚博士，北京大学）

(责任编辑：刘鹤)