2026年5月,欧盟人工智能法案(EU AI Act)的 enforcement timeline 已进入冲刺阶段。距离2026年8月2日高风险AI系统合规义务全面生效仅剩83天,涉及人工智能功能的医疗器械(Software as a Medical Device, SaMD)企业正面临一场**的合规大考。
这不是遥远的监管威胁,而是即刻生效的法律义务。根据EU AI Act*6条和*52条,用于诊断、**、监测或预测患者健康状况的AI驱动SaMD,被明确归类为"高风险AI系统",必须满足全生命周期的合规要求。8月2日之后,未完成的合规缺口将直接转化为市场准入障碍。
一、EU AI Act对SaMD的核心合规框架
EU AI Act为高风险AI系统建立了"金字塔式"合规结构,SaMD企业必须逐层达标:
**层:风险管理系统(Risk Management System)
企业需建立贯穿AI系统全生命周期的风险管理体系,覆盖设计开发、验证确认、上市后监测和退役处置。这与ISO 14971医疗器械风险管理标准高度协同,但EU AI Act额外要求纳入"不可接受风险"评估——即AI系统是否可能操纵用户、利用弱势群体弱点或实施社会评分。
层:数据治理与训练数据质量
AI模型的训练、验证和测试数据集必须具备"适当的统计代表性"。对于SaMD而言,这意味着临床数据集必须覆盖目标人群的人口统计学特征、疾病谱分布和临床场景多样性。企业需保留数据清洗、标注、增强的完整记录,证明数据集无系统性偏差。
*三层:技术文档与记录保存
技术文档必须包含AI系统的目的、设计选择、开发过程、性能指标、测试协议和结果。记录保存期限为AI系统退役后10年,这对企业的数据归档能力提出了长期要求。
*四层:透明度与用户信息
AI驱动的SaMD必须在产品标签和使用说明中明确告知用户"该产品使用AI技术",并说明AI的功能、局限性和预期性能。自动决策系统还需提供"人工监督"选项,确保医疗专业人员可随时介入。
*五层:人工监督与纠正措施
企业需设计"人在回路"(Human-in-the-loop)机制,确保AI输出不会替代医疗专业人员的立判断。同时建立纠正措施流程,当AI性能偏离预期时,能够快速响应并通知所有受影响用户。
二、8月2日前必须完成的6项具体动作
动作1:完成AI系统分类确认
对照EU AI Act Annex III和MDR法规,确认产品是否属于"高风险AI系统"。模糊地带产品建议寻求法律意见,避免误判导致合规缺位。
动作2:任命AI系统负责人(Responsible Person)
EU AI Act要求高风险AI系统必须"负责人",该角色可与MDR法规下的PRRC(法规合规负责人)合并,但需额外具备AI和算法治理的专业能力。
动作3:建立AI特有的风险管理文件
在现有ISO 14971风险管理文件基础上,补充AI特定风险分析:算法偏差、数据漂移、对抗性攻击、模型可解释性不足等。
动作4:完成训练数据集质量审计
委托第三方或内部团队,对训练数据的代表性、完整性、无偏性进行审计,出具书面。数据集如涉及欧盟境外数据,需确认符合GDPR跨境传输要求。
动作5:编制EU AI Act技术文档
技术文档需立于MDR技术文件,但可与MDR文件交叉引用。核心内容包括:系统架构图、算法描述、性能验证报告、偏见测试结果、网络安全评估、上市后监测计划。
动作6:与公告机构协调CE+AI双重认证
SaMD需同时满足MDR的CE认证和EU AI Act的符合性评估。企业应尽早与公告机构沟通,确认其是否具备AI系统审核资质,以及双重认证的整合路径。
三、常见误区与规避策略
误区一:"我们的AI只是辅助诊断,不算高风险"
EU AI Act的判定标准是"用途"而非"辅助程度"。只要AI输出用于诊断、**或监测决策支持,即属高风险。企业不应自行降分类。
误区二:"MDR CE证已经有了,AI Act自动满足"
MDR和EU AI Act是平行法规,CE标志不涵盖AI合规。企业需额外完成AI Act的符合性评估,获取相应的合规声明。
误区三:"算法黑箱是商业机密,不需要解释"
EU AI Act明确要求高风险AI系统具备"可解释性"。企业需准备算法决策逻辑的技术说明,供监管机构和用户理解,不能以商业秘密为由拒绝。
四、多市场协同合规建议
对于同时布局美国、中国市场的企业,建议建立"**AI治理框架":
欧盟:EU AI Act + MDR双重要求,强调和透明度
美国:FDA AI/ML指导原则,强调算法变更控制和真实世界性能监测
中国:NMPA人工智能医疗器械审评要点,强调算法训练数据量和临床验证路径
三者的共同点在于:都要求AI系统的全生命周期管理、数据质量控制和上市后性能监测。企业可基于ISO 13485质量体系,建立统一的AI治理模块,再根据各市场要求输出本地化合规文件。
SPICA角宿团队可提供EU AI Act合规全流程服务,包括AI系统分类确认、风险管理文件编制、训练数据质量审计、技术文档撰写、PRRC/A负责人资质支持及公告机构协调。SPICA已深度研究EU AI Act与MDR的交叉要求,可协助SaMD企业在83天内完成双重合规,确保8月2日后产品顺利进入欧盟市场。
http://bys0613.b2b168.com
