| 項目 | 內容 |
|---|---|
| 系統名稱 | 好記 Hoki — AI 輔助諮商紀錄系統 |
| 資料控管者 | 使用本系統之心理諮商機構(甲方) |
| 資料處理者 | 開發者 Ethan(乙方) |
| 資料保護聯絡人 | Vagabondpsy@gmail.com |
| 評估執行者 | Ethan(系統開發者兼資料保護負責人) |
| 評估日期 | 2026 年 2 月(第二版修訂) |
| 預計複評日期 | 2026 年 8 月(每半年或重大變更時複評) |
本系統協助心理師將諮商會談錄音轉換為結構化之 SOAP 紀錄(Subjective, Objective, Assessment, Plan),以減輕行政負擔並提升紀錄品質。
| 資料類別 | 資料內容 | 當事人 | 保留期間 |
|---|---|---|---|
| 諮商錄音 | 會談音檔 | 個案(來談者) | 轉錄完成後立即刪除 |
| 逐字稿 | 錄音轉文字內容 | 個案 | 僅存於記憶體,不持久化 |
| 原始 SOAP 報告 | 含可能個資之報告 | 個案 | 僅存於記憶體,不持久化 |
| 去識別化報告 | 經處理之 SOAP 報告 | 個案(已去識別化) | 2 天(系統自動刪除,輔助筆記不長期保存) |
| 使用者帳號 | 帳號、顯示名稱、密碼雜湊 | 心理師 | 帳號存續期間 |
| 個案代碼 | 假名化編碼 | 個案 | 帳號存續期間 |
| 使用紀錄 | 操作時間、使用量統計 | 心理師 | 90 天 |
| 稽核紀錄 | 操作事件、IP、時間戳 | 心理師 | 365 天 |
| 評估面向 | 分析 |
|---|---|
| 處理之必要性 | 心理師依法需撰寫諮商紀錄。本系統透過 AI 輔助,將原需 30-60 分鐘的紀錄工作縮短至數分鐘,顯著降低行政負擔。目的明確且與蒐集範圍相稱。 |
| 資料最小化 |
|
| 替代方案評估 |
|
| 當事人權利保障 |
|
| # | 風險情境 | 原始風險 | 緩解措施 | 殘餘風險 | 狀態 |
|---|---|---|---|---|---|
| R1 | 諮商錄音外洩 | 高 |
|
低 | 已緩解 |
| R2 | 資料庫遭竊取或非授權存取 | 高 |
|
低 | 已緩解 |
| R3 | 去識別化失敗(個資殘留) | 中 |
|
低 | 已緩解 |
| R4 | 帳號遭暴力破解 | 中 |
|
低 | 已緩解 |
| R5 | 傳輸過程遭截取 | 中 |
|
低 | 已緩解 |
| R6 | AI 模型產生不當或錯誤內容 | 中 |
|
低 | 已緩解 |
| R7 | 未經同意處理個案資料 | 高 |
|
低 | 已緩解 |
| R8 | 內部人員濫用存取權限 | 中 |
|
低 | 已緩解 |
| R9 | 資料遺失(硬體故障等) | 中 |
|
低 | 已緩解 |
| R10 | Session 劫持或 Token 外洩 | 中 |
|
低 | 已緩解 |
| 措施類別 | 實施內容 |
|---|---|
| 加密(靜態) | SQLCipher 256-bit AES 全資料庫加密。啟動時驗證 DB_KEY 存在且格式正確。 |
| 加密(傳輸) | HTTPS/TLS 加密傳輸。客戶端加密(AES-256-GCM + RSA-4096)確保音訊即使經過中間節點亦無法被解密。CORS 限制特定來源。 |
| 存取控制 | 二層 RBAC(superadmin / therapist)。每個 API 端點皆有角色驗證。治療師資料依 user_id 隔離。系統管理員不可存取個案之諮商紀錄內容。 |
| 身分驗證 | bcrypt 密碼雜湊。密碼政策 12+ 字元含大小寫、數字及特殊字元,含常見密碼黑名單。5 次失敗鎖定 15 分鐘(DB 持久化)。 |
| Session 管理 | 256-bit 隨機 Token。7 天過期。15 分鐘閒置自動登出。伺服器端 Session 銷毀。 |
| 去識別化 | 雙層處理:AI 角色替換 + 正規表達式(身分證、電話、信箱、地址、中文姓名)。 |
| 資料最小化 | 音檔即刪。逐字稿僅存記憶體。去識別化報告僅保留 2 天。個案以代碼識別。 |
| 稽核紀錄 | 17+ 種事件類型。含使用者、IP、時間戳。僅 superadmin 可查閱。 |
| 備份 | 加密資料庫備份,自動排除諮商紀錄(DELETE + VACUUM)。備份保持 SQLCipher 加密狀態。備份操作受稽核。 |
| 資料殘留防護 | Docker tmpfs 暫存(記憶體檔案系統)。關閉 swap(mem_swappiness=0)。停用 core dump。AI 模型處理完即釋放(keep_alive=0)。 |
| 數位浮水印 | 匯出之 DOCX 文件內嵌隱藏浮水印(使用者、時間戳),供事後追溯。 |
| 專屬雲端環境處理 | Whisper(語音轉文字)與大型語言模型(報告生成)皆自主部署於 Google Cloud 台灣區域專屬運算環境,不呼叫外部 AI API,個資不離開台灣境內。 |
| 措施類別 | 實施內容 |
|---|---|
| 隱私政策 | 公開於系統內,每頁頁尾皆有連結。涵蓋蒐集目的、資料類別、保留期間、當事人權利。 |
| 知情同意 | 紙本同意書供個案簽署。系統內強制同意確認機制。同意紀錄記入稽核。 |
| 委託處理契約 | 11 條 DPA 涵蓋處理範圍、安全義務、通報時限、終止處理。 |
| 安全維護計畫 | HOKI-SEC-001 文件涵蓋組織架構、資料分級、技術措施、定期檢查。 |
| 事故應變 SOP | HOKI-SEC-002 文件涵蓋事件分級、6 步驟處理流程、72 小時通報、紀錄模板。 |
| 使用者訓練 | 依角色分級之訓練規劃。年度複訓。 |
經實施上述技術與組織措施後,所有已識別風險之殘餘等級均降至低。以下為仍需持續關注之殘餘風險:
| # | 殘餘風險 | 等級 | 持續監控方式 |
|---|---|---|---|
| 1 | 去識別化可能遺漏非常見姓氏或語境性個資 | 低 | 心理師審閱報告為最後防線;持續更新去識別化規則 |
| 2 | Session Token 管理 | 低 | 已採用 HttpOnly + Secure + SameSite=Strict Cookie,前端不接觸 Token;搭配 CSP 安全標頭持續監控 |
| 3 | 單一伺服器架構無高可用性 | 低 | 定期備份確保可復原;評估擴展需求 |
| 4 | 傳輸中間節點風險 | 低 | 客戶端加密(AES-256-GCM + RSA-4096)確保音訊於瀏覽器端加密後上傳,中間節點無法解密內容 |
本系統之使用以取得個案書面知情同意為前提。知情同意書(HOKI-LEG-002)已明確告知:
由於本系統使用者為專業心理師,已由心理師向個案充分說明並取得同意。系統於每次錄音前均彈出確認提示,確保同意流程不被省略。
| 觸發條件 | 執行動作 |
|---|---|
| 定期複評(每 6 個月) | 檢視所有風險項目,確認緩解措施持續有效 |
| 系統重大更新 | 評估新功能或架構變更對個資風險之影響 |
| 發生資安事件 | 檢討受影響之風險項目,更新緩解措施 |
| 法規變更 | 確認系統措施符合新法規要求 |
| 處理範圍變更 | 重新評估新增之資料類別或處理目的 |
本資料保護影響評估已系統性地審視「好記 Hoki」系統之個人資料處理活動,評估對當事人之風險,並確認已實施充分之技術與組織措施以緩解所識別之風險。
基於以上分析,本評估結論為:
| 角色 | 姓名 | 簽名 | 日期 |
|---|---|---|---|
| 評估執行者 / 資料保護負責人 | Ethan | ||
| 系統負責人 |
| 文件編號 | 文件名稱 |
|---|---|
| HOKI-LEG-001 | 隱私權政策 (privacy.html) |
| HOKI-LEG-002 | AI 輔助紀錄知情同意書 (consent.html) |
| HOKI-LEG-003 | 個人資料委託處理契約 (委託處理契約.html) |
| HOKI-SEC-001 | 個人資料檔案安全維護計畫 (安全維護說明文件.html) |
| HOKI-SEC-002 | 資訊安全事故應變 SOP (事故應變SOP.html) |
| HOKI-DPIA-001 | 資料保護影響評估(本文件) |