去識別化(遮罩)
De-identification / Masking
在處理醫療文本前,先把身分證、電話、病歷號等可識別個資遮蔽,使後續判定不接觸原值的隱私保護手法。
醫療內容受個資法第6條特種個資與醫療法第72條保密規範。去識別化先行,意指呼叫方送原文後,服務先在內部遮罩可識別欄位,全程只在遮罩後文本上判定;原文與個資原值不寫入稽核、不進 LLM prompt/回應。
個資偵測採「寧可錯抓不漏抓」(格式即觸發,含通用長數字樣式);若去識別化失敗,採 fail-closed——整請求回 error,絕不在未遮罩文本上判定。
重點
- 原值永不持久化,稽核只存遮罩文雜湊(HMAC)
- 偵測寧可錯抓不漏抓
- 去識別化失敗 → fail-closed