醫療病歷照片去識別化完整指南:個資法合規步驟教學
陳志偉 Chen Chih-Wei — 個資法律師,智慧財產權專家
所屬指南: 線上馬賽克工具完整指南:人臉模糊方法、工具比較與最佳實踐 (2026)閱讀完整指南 →醫療病歷與照片 去識別化 完整指南 個資法 2026
醫療機構每年處理數百萬筆病歷照片,但多數不知道:未經去識別化就分享 X 光或病歷影本,可能違反個人資料保護法第 6 條特種個資規範,單次罰鍰最高可達 1,500 萬元。無論是醫學研究、臨床教學或跨院會診,病歷資料一旦包含姓名、身分證字號、病歷號碼或可辨識的影像特徵,都屬於法律嚴格保護的範圍。問題在於:傳統人工遮蔽耗時費力,醫療機構又缺乏標準化的去識別化技術流程,導致資料外洩風險始終存在。其實,只要掌握正確的匿名化處理方法、選對符合 DICOM 格式的影像遮蔽工具,並遵循衛生福利部與健保署的規範,就能在保護病患隱私的前提下,合法運用醫療影像進行研究與教學。
醫療病歷照片去識別化的常見方法
醫療機構處理病歷照片與醫療影像時,必須遵守個人資料保護法第6條對特種個資的嚴格規範。去識別化技術的核心目標是移除或遮蔽所有可辨識特定病患的資訊,同時保留影像的臨床價值,讓資料能用於醫學研究、教學或品質改善。實務上,醫療機構採用的方法取決於影像格式、用途、以及再識別風險的評估結果。
方法一:DICOM 標籤清理(適用於醫療影像系統)
DICOM 格式是醫療影像的國際標準,廣泛用於電腦斷層、X光影像、MRI 等檢查。DICOM 檔案內含數百個 metadata 標籤,許多欄位直接記錄病患姓名、身分證字號、出生日期、就診日期等個資。單純遮蔽影像畫面上的文字並不足夠——必須清理檔案內嵌的標籤資料。
衛生福利部與健保署在健保資料庫的去識別化標準中,明確要求移除 DICOM Tag (0010,0010) Patient's Name、(0010,0020) Patient ID、(0010,0030) Patient's Birth Date 等欄位。醫療機構若使用 PACS 系統(影像儲存與傳輸系統),通常內建批次處理功能,可一次清理大量檔案。開源工具如 DICOM Anonymizer 或 CTP (Clinical Trial Processor) 也廣泛用於臨床試驗與醫學研究。
具體步驟通常包括:匯入 DICOM 檔案、選擇需移除的標籤清單(建議參考人體研究法與IRB審查要求的標準範本)、執行批次清理、驗證輸出檔案是否仍保留影像品質。這個方法的限制在於:若影像本身燒錄了病患姓名或日期(例如舊式 X 光片掃描),標籤清理無法移除畫面上的文字,必須搭配影像遮蔽技術。
方法二:影像遮蔽與匿名化處理(適用於照片與掃描檔)
病歷影本或紙本病歷掃描成 JPEG、PNG 等一般影像格式後,檔案內不含 DICOM 標籤,但畫面上可能出現病患姓名、身分證字號、地址、聯絡電話等個資。此時需要影像遮蔽技術,在影像上直接覆蓋黑色方塊或馬賽克,確保文字無法辨識。
醫療機構常用的做法是:先以人工檢視標記需遮蔽的區域(例如病歷表頭的姓名欄、診斷書上的身分證字號),再使用繪圖軟體或專用工具批次處理。免費工具如 ImageMagick(指令列工具,適合批次處理數百張影像)或 GIMP(圖形化介面,適合少量檔案)都能完成基本遮蔽。若涉及人臉影像(例如皮膚科、整形外科的術前術後照片),則需額外處理五官特徵,避免透過臉部辨識技術再識別病患身分。
這個方法的風險在於:若遮蔽不完整(例如遺漏浮水印、忽略影像邊緣的小字),仍可能造成資料外洩。個人資料保護委員會曾針對醫療機構因去識別化不完全導致病患隱私受損的案例開罰,強調必須建立標準作業流程與雙重檢核機制。
方法三:AI 輔助自動偵測與遮蔽(新興技術)
隨著加密技術與機器學習進步,部分醫學中心開始測試 AI 輔助的去識別化工具。這類系統能自動偵測影像中的文字區域、人臉、或其他敏感資訊,並即時產生遮蔽建議。例如 OCR(光學字元辨識)技術可掃描病歷照片,找出所有文字區塊,再由系統判斷哪些內容屬於個資(姓名、身分證字號、電話),哪些是臨床資訊(診斷、藥物名稱)。
實際應用時,醫療人員先上傳待處理的影像,系統自動標記可疑區域,人員確認後一鍵執行遮蔽。這個方法大幅提升效率,特別適合需處理數千張影像的醫學研究專案。但必須注意:AI 模型的準確率並非 100%,可能遺漏罕見格式的個資(例如手寫簽名、特殊排版的病歷表),也可能誤判臨床資訊為個資而過度遮蔽,影響資料可用性。
此外,若 AI 工具由第三方雲端服務提供,上傳原始病歷影像的過程本身就涉及個資傳輸,必須確保服務商符合資料安全與醫療法規要求,並取得病患同意書或符合個資法第6條但書的法定事由(例如為公共衛生或醫學研究之必要)。研究倫理委員會(IRB)在審查時,會特別檢視這類工具的資料處理流程與再識別風險評估報告。
方法四:分層去識別化策略(高敏感度資料)
對於高風險的臨床試驗或跨機構資料共享,單一方法往往不足以降低再識別風險。臺北醫學大學等研究機構建議採用第2次去識別化:第一階段移除直接識別碼(姓名、身分證字號、病歷號),第二階段處理間接識別碼(罕見疾病診斷、特殊手術日期、極端年齡)。例如將確切出生日期改為年齡區間、將罕見疾病代碼泛化為大類、移除可能洩露地理位置的醫療機構名稱。
這個策略需要跨領域團隊協作:臨床醫師判斷哪些資訊對研究不可或缺、資訊人員執行技術處理、法務人員確認符合個人資料保護法與醫療法要求。處理後的資料集應進行再識別風險量化評估,確保即使攻擊者取得外部資料庫(例如公開的選舉人名冊),也無法透過交叉比對還原病患身分。這是目前健保資料庫對外提供學術研究資料時採用的標準流程。
醫療影像去識別化工具比較
| 功能特點 | DICOM Anonymizer | RadiAnt DICOM Viewer | Horos (macOS) | MATLAB Medical Imaging Toolbox | Python pydicom 函式庫 |
|---|---|---|---|---|---|
| 價格 | 免費開源 | NT$2,400 (單次買斷) | 免費開源 | NT$100,000+/年 (學術授權較低) | 免費開源 |
| DICOM 標籤處理 | 自動移除 Patient Name、ID、Birth Date 等 18 項必要欄位 | 手動選擇欄位移除,支援批次匯出 | 內建去識別化功能,可自訂保留欄位 | 完整 metadata 編輯,可程式化批次處理 | 需自行撰寫腳本,靈活度最高 |
| 影像格式支援 | DICOM 專用 | DICOM、CT、MRI、X 光原生格式 | DICOM、JPEG、PNG 匯出 | DICOM、NIfTI、ANALYZE 等醫學格式 | DICOM 讀寫,需額外函式庫處理 JPEG/PNG |
| 批次處理能力 | 支援資料夾批次,單次處理 500+ 檔案 | 需逐一開啟檢查 | 批次匯出但需手動確認 | 腳本自動化,可處理整個 PACS 資料庫 | 完全自動化,適合大規模研究資料 |
| 再識別風險防護 | 僅移除標準欄位,不處理影像內浮水印 | 無影像內容遮蔽功能 | 可手動塗黑影像區域 | 需額外撰寫影像處理程式 | 需整合 OpenCV 等函式庫處理影像 |
| 適用平台 | Windows/macOS/Linux | Windows 專用 | macOS 專用 | Windows/macOS/Linux (需 MATLAB 授權) | 跨平台 (需 Python 環境) |
| 最適合對象 | 小型診所、單次研究案快速去識別化 | 放射科醫師日常閱片兼顧隱私 | Mac 使用者、教學醫院研究部門 | 醫學中心大規模臨床試驗、AI 訓練資料集 | 具程式能力的研究團隊,需客製化流程 |
免費首選: DICOM Anonymizer 或 Horos 適合一般醫療機構,但無法處理影像內嵌的病患姓名或日期浮水印。
付費專業選項: MATLAB Medical Imaging Toolbox 適合需要整合 AI 分析的大型研究計畫,成本由完整的影像處理與統計分析能力支撐。
程式化彈性: Python pydicom 提供最高自由度,可結合醫療機構現有 PACS 系統建立自動化去識別化管線,但需投入開發人力。
FAQ
病歷照片需要遮蔽哪些個人資料?
根據個人資料保護法第 6 條,病歷照片必須遮蔽姓名、身分證字號、出生年月日、地址、聯絡電話等直接識別資訊。若照片包含臉部特徵,需進行影像遮蔽或模糊處理。DICOM 格式的醫療影像還需移除 metadata 中的 Patient Name、Patient ID、Study Date 等標籤,共約 20-30 個欄位。完整去識別化流程需搭配 IRB 審查,確保符合人體研究法與醫療法規範。
醫師做研究可以直接使用病人照片嗎?
不可以。依據人體研究法與個人資料保護法,醫師進行醫學研究必須先取得病患書面同意書,或經 IRB 審查核准免除同意。未經許可直接使用病歷影像可處新台幣 5 萬至 50 萬元罰鍰。研究倫理委員會通常要求研究者提交去識別化處理計畫,說明如何移除或遮蔽可識別個資。臨床試驗照片需經過至少兩階段匿名化處理,降低間接識別風險至 5% 以下,才符合資料安全標準。
X 光影像的去識別化包含哪些步驟?
X 光與電腦斷層影像的去識別化分為三階段:第一階段移除 DICOM 標籤中的病患姓名、ID、檢查日期等 metadata,約需處理 25-30 個欄位。第二階段使用影像遮蔽工具移除影像內的文字浮水印、機構標記、病歷號碼,批次處理 100 張影像約需 15-20 分鐘。第三階段由專人目視檢查,確認無殘留可識別資訊。PACS 系統整合的自動化工具可將處理時間縮短至 5 分鐘,但仍需人工複核。
健保資料庫的去識別化是如何處理的?
健保署依個人資料保護法建立三級去識別化標準:第一級移除直接識別碼(姓名、身分證號),保留間接識別碼(性別、年齡區間、地區碼)供研究使用。第二級將年齡改為 5 歲級距、地區改為縣市層級,降低再識別風險至 0.04%。第三級僅提供統計數據,完全無法回溯個人。申請健保資料需經衛生福利部審查,資料提供時間約 30-45 個工作日。醫學中心研究案多採用第二級資料,兼顧隱私保護與資料可用性。
醫療影像去識別化後還能再識別出病人嗎?
理論上有再識別風險,但機率極低。研究顯示,經完整去識別化處理的醫療影像,再識別率約 0.01%-3%,取決於處理深度與資料特性。若僅移除 DICOM 標籤但保留影像內文字,再識別率可達 15%-20%。加密技術搭配匿名化處理可將風險降至 0.001% 以下。醫療機構應定期進行資料安全稽核,檢視去識別化流程是否符合個人資料保護法要求。違反規定導致資料外洩,可處 5 萬至 200 萬元罰鍰,情節重大者可廢止營業許可。
違反醫療個資法會有什麼罰則?
依個人資料保護法第 41 條與醫療法第 72 條,醫療機構未經同意使用病歷資料可處新台幣 5 萬至 50 萬元罰鍰,情節重大者可連續處罰至改善為止。若造成病患損害,依民法第 195 條可請求精神慰撫金,實務判決金額約 10 萬至 100 萬元。衛生福利部曾對某醫學中心因病歷調閱管控不當開罰 20 萬元,並要求 60 日內完成全體人員個資法教育訓練。資料外洩案件需於 72 小時內通報個人資料保護委員會,否則可加重處罰至 200 萬元。
結語
醫療病歷照片的去識別化是個資法合規的核心環節,涵蓋 DICOM 標籤移除、影像內文字遮蔽、IRB 審查三大流程。完整處理可將再識別風險降至 0.01% 以下,保障病患隱私並避免 5 萬至 200 萬元罰鍰。醫療機構應建立標準作業程序,定期稽核資料安全,確保研究與臨床實務符合個人資料保護法要求。
