今年以来，大规模网络安全事件在欧美频发，既有医疗保健巨头联合健康遭黑客攻击，又有美国网络安全龙头企业CrowdStrike软件更新导致微软系统宕机……

为加强制药行业网络安全防护网，近期，医械企业、药企、律师事务所和科技公司的监管合规专业人士聚集在美国波士顿，在IQVIA Technologies主办的私人活动中讨论人工智能（AI）对质量保证和监管事务（QARA）的影响。

轻视风险不可取

飞利浦的产品安全和监控全球副总裁Carlos Lugo指出，尽管AI正迅猛发展，但不同行业AI的使用程度仍存差距。这一技术在医疗保健领域的用途数以百万计，但真正切实落地的数量有限。

与此同时，数字产品的短板和网络安全问题日益明显。以7月19日发生的CrowdStrike事件为例，IQVIA Technologies产品与战略高级总监Mike King观察，虽然该事件被业内人士判定为“风险较低”，但即使到了7月23日，不少航空公司仍未修复问题，航班依旧延误或取消。

King认为，业内人士对这次事件暴露的显性问题的风险认知都有待提升，更何况行业内的潜在网络安全攻击风险。King和其他小组成员一致认为，QARA专业人员以及其他利益攸关方需要参与企业网络安全风险评估和缓解流程。他直言，与CrowdStrike事件相比，潜在的网络安全攻击更危险。

百特国际公司的副总法律顾问Scott Kaplan表示，许多药企的研发部门可能没有考虑到安全问题和如何保护代码免受恶意活动的侵害。因此，尽早让QARA参与进来有助于解决网络安全问题，未雨绸缪，保证研发顺利推进，避免节外生枝。

Foley Hoag LLP隐私和数据安全组合伙人Christopher Hart建议道，QARA专业人士应该熟悉术语，了解适用的标准及可采取的步骤，并尝试找到适用的ISO标准，制定安全策略。同时，该策略应将企业网络安全保险纳入考量，这样一旦发生网络安全事件，可较为顺利推进保险理赔流程。

此外，企业应确保所有利益相关方（如管理层、IT部门、法务）就网络安全问题保持一致。例如受到勒索软件攻击，是否选择支付赎金；若支付赎金，是否有合适的执行程序；支付赎金是否存在法律风险等。

监管复杂性升级

然而，遵守网络安全法规说起来容易做起来难。Hart认为，与数据隐私法律不同，各国网络安全的法规不一定朝着同一方向发展，无形中产生了监管灰色地带。

此外，与会专家还谈及最近美国最高法院的两项裁决，可能增加监管复杂性：今年6月底，“雪佛龙原则”被推翻，该原则此前扩大了美国行政机构对法律条款的灵活裁量权；7月1日的案件裁决则延长了企业挑战行政机构法规的诉讼时效。

AVAVA公司的首席执行官Irina Erenburg认为，技术越创新，风险就越大，如今监管环境变化使FDA行使职能的难度不断升级。

与会人士提醒，这一复杂监管环境对中小企业影响显著，该类企业必须在保持竞争力的同时，提升抗风险能力。

内外合作是出路

在大会现场，QARA专业人士还对《欧盟人工智能法案》的未来提出质疑。该法案为欧盟成员国制定本国AI法规提供指导，已于今年8月1日开始生效。

尽管《欧盟人工智能法案》旨在减少风险且敦促各界合规使用AI，但许多专家却对其发展表示担忧。

这些业内人士担心该法案可能重蹈2017年通过的《医疗器械条例》和《体外诊断医疗器械条例》的覆辙：乐观而不切实际的实施时间表、含糊其辞的指导意见和容易出现解释漏洞的模糊语言、机构执行能力不足、在许多情况下缺乏国家主管部门的指导等。

艾伯维法规事务助理主任Sarah Fairfield则对未来持乐观态度。她指出，随着欧盟和FDA各自发布指导方针，国际医疗设备监管论坛（IMDRF）也于7月发布了一份指导文件，讨论了AI指导原则。她呼吁国际组织达成共识，以促进医疗技术和药物开发者遵守法规，提升效率。

各国正扩大AI应用，业内人士必须深刻意识到AI监管复杂性这一现实问题，需要社会各界群策群力。推动企业内部的QARA部门进行跨部门以及政府机构合作，是适应不同国家AI法规发展的关键途径之一，必须加以重视。

此内容为《医药经济报》融媒体平台原创。未经《医药经济报》授权，不得以任何方式加以使用， 包括转载、摘编、复制或建立镜像。如需获得授权请事前主动联系：020-37886610或020-37886753；yyjjb@21cn.com。