随着《欧盟人工智能法案》(AI Act)的生效,欧洲医疗科技行业正面临前所未有的监管叠加效应。该法案在原有的医疗器械法规(MDR)、体外诊断器械法规(IVDR)及通用数据保护条例(GDPR)基础上,新增了一层针对人工智能的严格合规要求,使得医疗AI解决方案的合规成本与难度显著上升。
尽管瑞士联邦委员会在2025年2月提议采取更灵活的、分行业的人工智能监管模式,甚至倾向于参考《欧洲委员会人工智能公约》,但瑞士的医疗器械制造商和服务提供商仍无法置身事外。任何希望将AI系统推向欧盟市场的企业,必须严格遵守AI Act;同时,出于成本控制和合规便利的考量,瑞士医疗服务提供商也倾向于采购符合欧盟标准的医疗器械。
AI Act的实施将分阶段推进。部分禁令已于2025年2月生效,大多数通用条款将于2026年8月全面适用。对于集成在医疗器械中的AI系统,过渡期延长至2027年8月。目前,欧盟层面正在讨论“人工智能数字一揽子计划”以简化流程,这可能导致上述时间表发生实际推迟。
未来,医疗AI制造商将同时面对MDR/IVDR与AI Act的双重约束。MDR和IVDR侧重于产品的临床有效性和传统安全,而AI Act则引入了专门针对AI技术的额外要求。在此背景下,准确的产品分类成为确定合规义务的关键。根据MDR,大多数具有诊断或治疗决策功能的医疗AI产品被划分为IIa类或更高风险类别(IVD为B、C或D类),必须引入公告机构参与合规评估。
与此同时,AI Act将几乎所有医疗AI系统定义为“高风险AI系统”,要求企业履行完整的合规义务清单。预计未来将出台新的技术标准、欧盟委员会指南以及ISO标准的修订版。虽然MDR/IVDR与AI Act均要求建立严格的质量管理体系(QMS)和风险管理流程,但欧盟允许通过单一公告机构进行合并评估,最终仅颁发一张CE认证,确认产品符合所有适用法规。企业无需建立独立的AI专用QMS,只需在现有ISO 13485体系基础上扩展AI要求即可。值得注意的是,截至2026年3月,专门针对AI Act的公告机构尚在组建中。
此外,高风险AI系统在上市前需进行注册,目前尚不确定该注册是否会与医疗器械数据库EUDAMED整合,短期内可能面临双重注册。2027年12月,《网络弹性法案》(Cyber Resilience Act)将生效,对数字产品的网络安全提出强制要求,企业应将其纳入统一的综合风险管理框架中。在数据治理方面,AI Act补充而非取代GDPR,企业需同时满足数据质量、治理要求以及数据处理的合法性、公平性和透明度原则。
对于中国医疗科技企业而言,欧盟AI法案的落地标志着全球医疗AI监管进入“强合规”时代,这提示中国企业必须将数据治理、算法透明度和全生命周期风险管理前置到产品研发初期,构建适应多法域要求的整合型合规架构,方能在全球市场尤其是欧洲市场获得长期竞争力。