本文件依據《一般資料保護規則》(General Data Protection Regulation, GDPR)第 30 條之規定,完整記載「好記 Hoki」AI 輔助諮商紀錄系統(以下簡稱「本系統」)所涉及之所有個人資料處理活動,以確保處理活動之透明性與可稽核性,並作為資料保護合規之重要佐證文件。
以下表格詳列本系統所涉及之各項個人資料處理活動:
| 處理活動 | 處理目的 | 資料主體類別 | 個人資料類別 | 接收者類別 | 保存期限 | 安全措施 |
|---|---|---|---|---|---|---|
| 使用者帳號管理 | 身分驗證、存取控制 | 系統使用者(心理師、管理員) | 使用者名稱、密碼雜湊值(bcrypt)、顯示名稱、所屬機構 | 系統管理員(Superadmin) | 帳號存續期間 | SQLCipher 256-bit AES 加密資料庫;密碼以 bcrypt 演算法雜湊儲存,不保留明文 |
| 諮商錄音處理 | 產生諮商逐字稿,以供後續 SOAP 報告產生 | 諮商案主(間接) | 諮商對話之音訊錄音 | 無(系統自動處理) | 處理完成後立即刪除 | 全程於 Google Cloud 台灣區域專屬運算環境處理,不上傳至任何外部 AI 服務;處理完成後自動刪除原始音訊檔案 |
| 逐字稿產生 | 將音訊轉換為文字,作為報告產生之輸入資料 | 諮商案主(間接) | 諮商對話之逐字稿文字 | 無(系統自動處理) | 僅存於記憶體,不寫入磁碟儲存 | 使用自主部署於 Google Cloud 台灣區域專屬運算環境之 Whisper 模型進行語音辨識(不呼叫外部 AI API);逐字稿僅於記憶體中暫存,不持久化儲存 |
| SOAP 報告產生與儲存 | 產生與保存諮商紀錄 | 諮商案主(去識別化) | 去識別化之 SOAP 報告、案主代碼 | 負責之心理師(系統管理員不可存取諮商紀錄內容) | 2 天(系統自動刪除,輔助筆記不長期保存) | 雙層去識別化處理(AI 模型 + 正規表達式);加密資料庫儲存(SQLCipher 256-bit AES) |
| 使用紀錄與統計 | 額度管理、使用量統計 | 系統使用者 | 操作時間戳記、使用之報告範本名稱 | 系統管理員 | 90 天 | 加密資料庫儲存(SQLCipher 256-bit AES) |
| 稽核紀錄 | 安全監控、HIPAA 合規稽核 | 系統使用者 | 事件類型、使用者 ID、IP 位址、時間戳記 | Superadmin(專屬存取) | 365 天 | 加密資料庫儲存;僅 Superadmin 可存取稽核紀錄 |
| 登入安全 | 防止未授權存取 | 系統使用者 | 登入失敗紀錄、TOTP 驗證密鑰 | 系統管理員 | 登入失敗紀錄:30 天;TOTP 密鑰:帳號存續期間 | 加密資料庫儲存;密碼以 bcrypt 雜湊處理;Superadmin 啟用 TOTP 多因子驗證 |
本系統不進行任何個人資料之跨境傳輸。所有資料處理活動均於 Google Cloud 台灣區域(asia-east1)之專屬運算環境中執行,資料儲存與處理皆在台灣境內完成,不將個人資料傳輸至第三國或國際組織。
使用者與伺服器間之通訊透過 HTTPS/TLS 進行加密傳輸。此外,音訊資料於瀏覽器端以 AES-256-GCM + RSA-4096 混合加密後上傳,確保即使傳輸中間節點亦無法解密內容。
本系統依據 GDPR 第 32 條之要求,採行下列技術與組織措施以確保個人資料之安全:
本處理活動紀錄應至少每年檢視一次,並於下列情況發生時進行即時更新:
所有文件修訂均應記錄於下方版本紀錄表中,確保變更之可追溯性。
| 版本 | 日期 | 修訂內容 | 修訂人 |
|---|---|---|---|
| 1.0 | 2025-02-15 | 初版制定 | Ethan |
| 2.0 | 2026-02-21 | 更新保留期間(session 2天/usage 90天/audit 365天);RBAC 改為二層;新增客戶端加密、資料殘留防護、數位浮水印;密碼政策 12+;備份排除諮商紀錄 | Ethan |