rails
devops
SMART on FHIR
AI Coding
安全與隱私 — 您的資料,您做主
前言:便利與安全不是二選一
談到健康資料,很多人會擔心:
「這麼方便,會不會資料被偷?」
「我的健康資料會不會被賣掉?」
「誰可以看到我的資料?」
這些擔心完全合理。健康資料是最敏感的個人資料之一,我們必須嚴肅對待。
火線超人的設計原則是:便利性與安全性可以兼得。
核心原則:您的資料,您做主
原則一:明確授權
未經您的同意,任何資料都不會被存取。
原則二:最小權限
我們只請求必要的資料存取權限。
| 功能 | 需要的權限 | 不需要的權限 |
|---|---|---|
| 查看檢驗報告 | 讀取 Observation | 修改任何資料 |
| 查看用藥 | 讀取 MedicationRequest | 開立處方 |
| 查看預約 | 讀取 Appointment | 修改預約 |
原則三:隨時可撤銷
您隨時可以解除綁定:
解除綁定後:
- 我們立即失去存取您在該院資料的權限
- 您在我們系統中的授權記錄會被刪除
- 您可以隨時重新綁定
身份驗證:如何確保是本人?
驗證責任在醫院端
在 SMART on FHIR 架構中,身份驗證是由醫院負責,而非第三方應用。這是一個重要的安全設計。
授權流程
當您點擊「綁定醫院」時:
用戶點擊「綁定 XX 醫院」
↓
跳轉到醫院的授權頁面(OAuth 2.0)
↓
醫院驗證病患身份 ← 關鍵步驟
↓
病患確認授權範圍
↓
醫院發放 Token 給火線超人
醫院端可能的身份驗證方式
| 驗證方式 | 說明 |
|---|---|
| 醫院病患入口帳號 | 病患在該院已註冊的帳號密碼 |
| 健保卡 + PIN | 透過讀卡機或 NFC 驗證 |
| 虛擬健保卡遠端授權 | 透過健保快易通 App 掃碼或推播授權 |
| 自然人憑證 | 政府核發的數位身份證明 |
| 健保快易通認證 | 透過健保署已驗證的身份 |
| 手機 OTP | 發送驗證碼到病患登記的手機 |
| 雙因素認證 | 結合以上多種方式 |
這個設計的優點
| 優點 | 說明 |
|---|---|
| 應用程式不接觸密碼 | 火線超人永遠不會知道您的醫院帳密 |
| 醫院把關 | 身份驗證的安全性由醫院負責 |
| 標準協議 | 採用業界標準的 OAuth 2.0 協議 |
| 可撤銷 | 病患可隨時從醫院端撤銷授權 |
重點:火線超人只是「被授權的查詢者」,驗證病患身份的責任完全在醫院端。
技術安全措施
資料傳輸安全
資料儲存原則
重要說明:
當您查詢資料時,我們是「即時向醫院請求」,取得資料後直接顯示給您,不會儲存在我們的伺服器上。
資料查詢流程: 您發送查詢 → 我們向醫院請求 → 醫院回傳資料 → 顯示給您(資料不經過我們儲存)
授權 Token 安全
Token 就像一把有時效的鑰匙,讓我們可以代您向醫院請求資料。
Token 的保護措施:
- 加密儲存 — 即使資料庫被入侵也無法直接使用
- 時效限制 — Token 會過期,需要重新授權
- 範圍限制 — Token 只能存取您授權的資料類型
- 可撤銷 — 解除綁定時 Token 立即失效
符合的安全標準
SMART on FHIR 安全規範
SMART on FHIR 本身就是一套強調安全的標準:
| 安全機制 | 說明 |
|---|---|
| OAuth 2.0 | 業界標準的授權協定 |
| HTTPS 強制 | 所有通訊必須加密 |
| Scope 控制 | 精確控制可存取的資料範圍 |
| Token 時效 | 授權有時間限制 |
個人資料保護
我們的做法符合台灣個人資料保護法的要求:
| 法規要求 | 我們的做法 |
|---|---|
| 告知義務 | 明確說明資料如何使用 |
| 取得同意 | 每次授權都需要明確同意 |
| 目的限制 | 只用於提供健康查詢服務 |
| 安全維護 | 技術與管理措施保護資料 |
| 刪除權利 | 隨時可解除綁定並刪除資料 |
誰可以看到您的資料?
資料存取權限一覽
| 誰 | 可以看到什麼 |
|---|---|
| 您本人 | 您授權的所有資料 |
| 您授權的家人 | 您指定分享的資料範圍 |
| FHIR LINE Bot 系統 | 傳輸過程中的加密資料(無法解讀內容) |
| 醫院系統 | 原本就是他們的資料 |
| 其他人 | 完全看不到 |
我們不會做的事
| 我們不會 | 說明 |
|---|---|
| 將資料賣給第三方 | 您的健康資料不是商品 |
| 用於廣告投放 | 不會根據您的健康狀況推送廣告 |
| 進行資料探勘 | 不會分析您的健康資料做研究(除非您另外同意) |
| 分享給保險公司 | 絕對不會 |
| 分享給雇主 | 絕對不會 |
常見問題
Q: 如果我的手機被偷了怎麼辦?
A: 您的健康資料不會因此外洩。
原因:
1. 進入 LINE 需要手機解鎖
2. FHIR LINE Bot 不儲存您的健康資料
3. 您可以從其他裝置登入 LINE,解除 Bot 的綁定
4. 您也可以通知各醫院撤銷授權
Q: 你們的伺服器被駭客入侵怎麼辦?
A: 即使發生最壞的情況,駭客也拿不到您的健康資料。
原因:
1. 我們不儲存您的健康資料原始內容
2. Token 是加密儲存的
3. 即使取得 Token 也有時效限制
4. 我們有入侵偵測機制,會及時發現並處理
Q: LINE 公司可以看到我的健康資料嗎?
A: 不行。
原因:
1. 您的健康資料是從醫院直接傳到您的 LINE 顯示
2. LINE 只是顯示的管道,不會儲存對話內的資料內容
3. 我們顯示的是格式化後的訊息,不是原始資料
Q: 我可以知道誰查看過我的資料嗎?
A: 可以。
您可以查看:
• 授權給哪些應用(FHIR LINE Bot)
• 授權給哪些家人
• 最後存取時間
醫院端也會有完整的存取紀錄。
安全承諾
本章小結
在 火線超人的設計中,安全與隱私不是附加功能,而是核心設計原則:
- 您的資料,您做主 — 明確授權、隨時可撤銷
- 最小權限 — 只請求必要的存取權限
- 不儲存原始資料 — 即時查詢,不留痕跡
- 符合標準 — 採用國際安全標準與法規要求
我們相信:贏得您的信任,比任何功能都重要。
下一章,我們將展望未來,看看這個平台還能帶來什麼可能性。