South Korea's Artificial Intelligence Framework Act: A Guide for Healthcare Professionals.
韓國 2026 年上路的 AI 基本法,將醫療 AI 視為須強制記錄 5 年的高風險系統。
- 醫療 AI 全數落入「高風險系統」,人為推翻 AI 的決策軌跡依法須保存 5 年。
- 善用「避風港條款」:具備正規醫材認證的軟體可直接抵充新法規的嚴苛審查,免去重複造冊。
- 生成式 AI 寫的報告必須具備標示機制,且醫師有義務向病患解釋 AI 判讀背後的關鍵邏輯。
買一套合法醫材 AI 軟體,醫院竟然要扛起高風險營運者的法律責任,且醫師推翻系統的決策紀錄必須強制保存 5 年。韓國於 2025 年 1 月正式通過《人工智慧基本法》,並給予一年緩衝,於 2026 年 1 月 22 日全面施行。這部涵蓋全國的法案徹底顛覆過去醫界認為「只要軟體拿到食藥署查驗登記就萬事太平」的單純採購思維,直接將醫療 AI 提升到社會與技術交織的治理層次。它與歐盟人工智慧法案及美國 FDA 最新的監管方向高度一致,強制要求醫療機構與開發者建立涵蓋風險管理、人機協作監督與透明度說明的全新作業流程。
高風險 AI 框架與 30 天官方判定機制
這部法案並非針對單一產業,而是橫跨所有領域的上位法規,其核心架構將人工智慧營運者(AI Business Operator)拆分為開發者與利用事業者。當放射科導入一套演算法來輔助閱片時,醫院便自動轉換為「利用事業者」。法案明確定義出「High-impact AI(高風險 AI,指可能顯著影響人類生命、安全或基本權利的系統)」,並挑明用於提供醫療服務、開發醫療器材的系統,幾乎全數落入此分類。無論你買的軟體被包裝成單純的決策支援工具,還是具備高度自主性的診斷模型,只要它會影響臨床判斷、病患分流順序或治療決策,在法律上就是高風險 AI。
面對這項嚴格分類,法規並未採取全面封殺的禁止態度,而是轉向建立信任機制的監管模式。營運者被期待實施完整的風險管理計畫,確保系統運作時有實質的人類監督,並在技術可行的範圍內向病患提供解釋。倘若廠商或醫療機構對引進的系統是否屬於高風險類別存有疑慮,《人工智慧基本法》施行細則提供了一條明確的官方確認管道。營運者可直接向韓國科學技術情報通信部提出判定申請,政府機關依法必須在 30 天內給予正式答覆(最多得展延一次)。這項機制為準備進入市場的新創團隊與準備編列預算的醫院,提供了極為關鍵的法律明確性。
Table 1 賦予醫療機構的 5 年保存與治理義務
從醫療機構的視角出發,導入醫療 AI 再也不是單純由資訊室安裝一套軟體,而是機構層級的重大決策。細看 Table 1 為醫療服務提供者統整的實務意涵,醫院必須建立內部治理機制,要求供應商提供安全與風險管理的文件證明。最直接衝擊第一線放射科醫師日常運作的,是「人類管理與監督」這項條文。法規要求臨床醫師必須具備審查、推翻(override)或忽略 AI 產出結果的明確程序。這意味著 PACS(醫療影像儲傳系統)介面不能只有單向接收 AI 標註的功能,還必須留存醫師修改或拒絕 AI 建議的軌跡。
不僅如此,Table 1 特別強調紀錄保存與事件通報機制。當放射科醫師發現一套偵測氣胸的 AI 頻繁出現偽陽性,甚至可能誤導急診醫師插管時,醫院必須備妥標準流程來暫停或修正該系統的使用。所有與 AI 運作相關的關鍵決策、監督動作及安全防護措施,其書面或電子紀錄依法面臨強制保存 5 年的硬性規定。這對醫院的資料庫架構與儲存成本無疑是一項全新考驗。同時,醫療機構也必須對患者落實透明度義務,在將 AI 應用於常規診療流程時,應主動告知病患其病情評估涵蓋了人工智慧的輔助判斷。
| 核心面向 | 實務意涵與要求 |
|---|---|
| 機構治理 | 須以高風險 AI 規格審查導入流程,並確認醫材認證是否滿足避風港條件 |
| 廠商當責 | 要求供應商提供安全、風險管理文件或視同合規的證明 |
| 人類監督 | 必須制定明確程序,讓臨床醫師能審查、推翻或拒絕 AI 產出 |
| 生成式 AI 標示 | 使用生成式 AI 撰寫報告或互動時,必須清楚揭露內容為 AI 產生 |
| 透明與解釋 | 須告知病患使用 AI,並建立能解釋 AI 輔助決策關鍵原則的協定 |
| 紀錄保存 | 關鍵決策與安全防護紀錄,面臨強制保存五年的硬性規定 |
資料來源:論文 Table 1
避風港條款與數位醫療產品法的法規銜接
若嚴格執行上述每一項高風險系統的治理要求,勢必會引發醫界強烈反彈,認為行政負擔過重。為了解決這個困境,施行細則極為聰明地導入了 Deemed Compliance(避風港條款,指利用既有特定法規認證來抵充新法規的審查要求)。這項條款明確指出,如果一套 AI 系統已經通過韓國《數位醫療產品法》或相關醫療器材法規的品質管制與安全審查,在法律上即「視同」已經滿足《人工智慧基本法》中關於風險管理、使用者保護及指定監督管理員等嚴苛要求。
對醫院管理者與科部主任而言,這項避風港條款是極具戰略價值的政策工具。醫療機構不需要為每一套新購置的骨齡判讀或肺結節偵測軟體,從零開始撰寫疊床架屋的安全防護計畫。合規的重點工作,應全面轉向「查核驗證」。醫院的採購招標文件必須明列,要求廠商出具其產品於醫療器材法規下的有效認證,並將其與《人工智慧基本法》視同合規的對應文件妥善建檔。只要緊抓這個查核節點,放射科就能在合法、安全的框架下,免除不必要的行政文書夢魘,專注於臨床影像判讀。
Table 2 規範開發者的生成式 AI 標示與透明度
把焦點拉到 Table 2 所列出的開發者義務,這對許多親自參與模型訓練的放射科醫師來說至關重要。法規發出了一個強烈訊號:單純追求模型在測試集上的 AUC(評估分類模型表現的曲線下面積)與準確率已經遠遠不夠。開發階段的設計與後續報告,必須白紙黑字地交代風險識別與緩解策略,並證明該系統在實際運作時,最終的臨床裁量權確實保留在人類醫師手中。如果開發者已經遵循《數位醫療產品法》建立 QMS(品質管理系統,涵蓋設計、開發到上市後監控的標準化流程),同樣適用避風港條款,能大幅減輕法規負擔。
Table 2 中最引人注目的是對 Generative AI(生成式 AI,例如能自動生成影像報告的語言模型)的嚴格規範。若開發者提供生成式 AI 產品或服務,系統必須內建顯著的提示機制,讓最終使用者與病患明確知道這份內容是由人工智慧所生成。雖然法規允許在「純內部業務使用」或「依上下文極為明顯」的情況下豁免標示,但若放射科將大型語言模型整合進報告系統,甚至開發能直接與病患互動的衛教聊天機器人,這些直接面向病患的介面就必須強制揭露。此外,開發者的風險管理與監督機制紀錄,同樣受限於 5 年的強制保存期。
| 核心面向 | 實務意涵與要求 |
|---|---|
| 高風險分類 | 預設醫療 AI 為高風險;若有疑慮可透過官方 30 天確認程序釐清 |
| 風險管理 | 遵循《數位醫療產品法》建立 QMS 品質系統即可滿足此項要求(避風港) |
| 評估重心 | 模型評估不能只看準確度,須涵蓋病患安全、潛在偏差與危害 |
| 可解釋性 | 開發者必須具備解釋 AI 輸出背後關鍵標準、原則與資料特徵的能力 |
| 人類監督設計 | 系統架構與流程設計必須確立最終臨床裁量權保留在人類專業人員手中 |
| 紀錄保存 | 風險管理、解釋說明與監督機制的相關文件,均需保留五年 |
資料來源:論文 Table 2
放射科終端使用者的法律模糊地帶與溝通重塑
儘管法規架構看似完整,但在 Discussion 中,作者坦承這部新法仍存在適用邊界的解釋空間。與《歐盟人工智慧法案》廣泛涵蓋任何使用系統的「部署者(deployer)」不同,韓國法規中的「利用事業者」字面上傾向指涉將 AI 應用於其商業服務的法人機構。因此,在臨床終端單純操作這些工具的個別放射科醫師,是否嚴格落入該法定義的懲處對象,目前仍有待後續法理釐清。然而,基於醫療服務已被全盤劃定為高風險等級,最明智的作法是假設個別醫師與機構皆受規範約束,直到主管機關發布進一步的豁免函釋。
這部法案也徹底重塑了醫病溝通的風貌。病患依法被賦予了「要求解釋權」,當患者對於人工智慧輔助得出的診斷或處置計畫產生疑慮時,他們有權要求獲得清晰且具意義的說明。放射科醫師不能再以「這是電腦算出來的」含糊帶過,而必須在技術與理性的合理範圍內,說明演算法產出該結果的關鍵標準與原則。這無形中要求我們在引進新系統時,必須深刻理解其背後的訓練資料特徵與邏輯限制。這不僅是防禦性的法律遵循,更是將人工智慧從冰冷的運算工具,真正融入具有溫度與信任的現代醫療體系的核心進程。
放射科引進新 AI 的第一關不再是看準確率,而是先確認廠商能否交出抵充五年法規查核的『避風港』醫材認證。