goalkeeper · yao.care

goalkeeper 合規與稽核依據

需要稽核的項目維護者:本服務每道檢查的法源依據、狀態怎麼判讀、隱私與稽核如何保證、規範版本如何鎖定與重現。 串接與欄位細節見 api.md;資安姿態見 security.md。 一句話:本服務收一段「AI 產出的醫療內容」,依台灣醫療法規回報每道檢查的符合狀態不替使用者做整體放行


1. 規範主軸與版本


2. 五道檢查 ↔ 真實法源

合規不是只看一部指引——每道檢查綁多部法律(citation 為陣列)。

檢查 看什麼 核心法源(節選)
disclosure(揭露/免責) 是否註明 AI 生成、可能有誤、僅供參考、必要時由醫事人員確認 指引三(三)4(1);病人自主權利法 §4/§5(告知主體限醫事人員);行政院生成式 AI 參考指引
source_attribution(來源標註) 實質臨床/事實主張是否有溯源 指引三(一)2(2)、三(三)1(2);醫療法 §67(病歷完整);電子病歷辦法 §11/§11-1/§12(製作者識別)
scope_boundary(越權/越級診斷) 是否逾越為「下確定診斷/治療指令」或冒充醫事人員親自執行 醫師法 §11(親自診察);護理人員法 §24(業務範圍須醫師指示);醫療器材管理法 §3(具診斷治療功能軟體=SaMD 須取證);病主法 §5
pii(個資外洩) 是否夾帶可識別個資(身分證、電話、病歷號…) 個資法 §6(特種個資:病歷/醫療/基因/健康檢查);醫療法 §72(病情保密);電子病歷辦法 §3/§4/§5/§21
hallucination(幻覺三子型) ①編造文獻 ②錯誤藥物交互 ③與臨床指引不符 指引二(一)3;TFDA AI 醫材技術指引(臨床/分析效能驗證)

每道檢查回應都帶 citation,可逐關卡追溯到上述法條。線上即時清單見 GET /medical/describe


3. 狀態語意與判讀鐵則

服務只回各關卡狀態、不做整體放行,稽核時須逐關卡判讀。

status 意義
pass 該關卡要求達成
fail 明確違反規範 → 應擋下/要求修正
warning 模糊/部分達成/信心低 → 需人工覆核,不可當通過
error 該關卡未能查核(LLM 逾時、外部查核失敗等)→ 非通過,視為需覆核

判讀鐵則

  1. error ≠ pass:不可只看 summary.fail === 0 就視為合規;warningerror 都算「未通過/需人工覆核」。
  2. summary 只是計數,不能取代逐關卡判讀。
  3. 建議合規門檻:所有關卡皆 pass 才視為自動通過;任一 fail 擋下;任一 warning/error 轉人工。
  4. 臨床指引子型目前定位為輔助提示(多回 warning),以人工複核為準。

4. 隱私保證(個資法 §6/醫療法 §72)

醫療內容受個資法 §6 特種個資與醫療法 §72 保密規範。系統設計上:


5. 稽核軌跡(自助調閱)


6. 已知限制(稽核時應知)

幻覺查核的瓶頸常在授權與資料可得性,不是模型能力。目前定位:

子型 現況 定位
① 文獻 PubMed + Crossref 交叉比對抓假 DOI/捏造文獻;DOI 僅驗存在性,不做書目逐欄位比對 可判 fail;台灣無 DOI 中文期刊需人工
② 藥物交互 openFDA 仿單自由文字 + RxNorm 藥名正規化;無結構化 A×B;中文藥名→成分為 12 種 MVP 靜態表 偏 warning、需人工複核
③ 臨床指引 真實學會語料卡書面授權(免費下載 ≠ 可商用/再散布/AI 訓練),目前接 NullRetriever 一律 warning,不自動判違規

對授權未明、循證假陽性高的領域,務實定位是「降 warning、要人工複核」,而非自動判 fail。法規面與工程面的完整提煉見 notes.md