Skip to content
reader.me

醫療 PDF:臨床紀錄與病患隱私

在 GDPR 之下,臨床紀錄屬於特殊類別資料。為什麼健康 PDF 絕不該碰上傳網站,以及如何在自己的機器上安全地處理它們。

AG Antonia González · 2026年7月4日 · 7 分鐘閱讀

一位病患用電子郵件寄給診所一份舊出院摘要的掃描 PDF。櫃台人員需要在醫生看到之前,把它和另外兩份報告合併起來。於是他們打開了跳出來的第一個免費 PDF 工具,把三個滿是診斷、用藥清單和一組國民健康號碼的檔案拖進去,然後按下合併。

看起來沒有任何不對勁。合併後的檔案下載好了,醫生讀了它,這一天繼續過下去。但那三份文件剛剛離開了診所,落在一個陌生人的伺服器上,而它們並不是普通的文件。

這不是法律或醫療建議。我不是你的資料保護長,每家診所都有自己要遵守的規則。但在 GDPR 之下,健康資料被放進一個獨立、更嚴格的箱子裡,而那會改變你應該如何對待每一份載有它的 PDF。

為什麼健康資料被特別對待

在 GDPR 之下,大多數個人資料本來就受保護。健康資料則多了一層。法規把它稱為特殊類別,它和宗教信仰、性傾向、生物特徵資料等東西並列。特殊類別資料的基本規則是:處理它是被禁止的,除非你符合一份短短清單上的特定條件之一,例如病患的明確同意,或由醫療專業人員提供照護。

「處理」這個詞涵蓋很廣。它包含讀取檔案、儲存它、變更它和分享它。合併兩份報告算。把一份紀錄拆開以便寄出其中一頁算。壓縮一張掃描檔以便用電子郵件寄出也算。所以一旦牽涉到一份健康 PDF,你處理的就是法律所承認最敏感的那一類資料,而粗心對待它的門檻也高出許多。

一份臨床紀錄通常也不只載有診斷。上面通常有姓名、出生日期、地址、病患 ID,有時還有保險號碼。這些每一項單獨就足以辨識身分。一旦和某種醫療狀況綁在一起,它們就在一個人最私密的時刻,拼出他完整的樣貌。

上傳網站實際上會對檔案做什麼

當你把那份 PDF 送到一個線上工具時,檔案就離開了你的掌控。它前往一個你並不營運的伺服器,在那裡被處理,並可能在任何東西傳回來之前被快取、排入佇列或複製。在 GDPR 之下,那家公司成為一個替你行事的處理者,而你——診所或執業人員——仍然是對資料負責的控制者

只要一牽涉到處理者,控制者就立刻扛起實實在在的義務。你需要和那家公司簽一份書面合約,載明他們能拿這份資料做什麼、以及他們何時刪除它。對於特殊類別的健康資料,你還需要確定整套設置具備正確的保護措施。一個你透過搜尋找到的免費工具,幾乎不會給你這些東西的任何一項。你沒有和他們的合約,你不知道他們的伺服器在哪裡,你也說不出還有誰可能碰到這個檔案。

健康資料還有一個更尖銳的稜角。如果伺服器在歐盟之外,你就做了一筆特殊類別資料的跨國傳輸——這正是 GDPR 設下最多阻力的那種事。對於一張度假照片,這無關緊要。但對於一份病患的腫瘤報告,你就悄悄製造了一個你無法記錄在案的問題。

那個你不得不通報的外洩事件

健康紀錄正是攻擊者與資料掮客想要的東西。一段外洩的病史無法像密碼那樣被重設。如果敏感的病患資料透過一個你無法擔保的服務被曝光,那可能就是一起個人資料外洩事件,而牽涉健康資料的外洩,正是監理機關看得最嚴重的那一種。通報義務、病患通知,以及對診所聲譽的打擊,全都源自於一次粗心的上傳。

令人沮喪的是,這個任務本身——合併或壓縮幾個檔案——根本就不需要離開大樓。

把檔案留在自己的機器上

解法在這裡,而且它比問題輕巧。如果 PDF 從不離開你的裝置,就沒有外部處理者碰到它。不用追著合約跑、不用為傳輸辯護、沒有可能外洩它的第三方。你仍然是控制者,仍然欠病患該有的那份小心,但一整層的風險就這麼不存在了,因為資料留在原地。

這就是那些完全在你瀏覽器裡執行的工具背後的想法。程式碼在本機、在你電腦的記憶體裡完成工作,而檔案留在原處。我們就是這樣打造 reader.me 的。當你合併、分割或壓縮一份臨床 PDF 時,它在你的瀏覽器裡被處理,從不抵達我們的任何伺服器。如果你想要證據,打開瀏覽器的開發者工具,在你操作時看著 Network 分頁,你會看到沒有任何帶著你文件的東西被送出去。

對健康檔案來說,有兩件日常工作最重要:

  • 當一份紀錄帶著密碼送來,而你知道那組密碼時,你可以在本機 移除那組密碼,讓檔案更好處理,而不必把它送到任何地方。
  • 當你需要把一份紀錄寄出去、而想先把它鎖好時,你可以就在你的機器上用密碼 加密這份 PDF,再透過病患預期的管道分享它。

給診所、醫生與病患的習慣

幾條簡單的規則就能讓健康 PDF 遠離麻煩:

  • 把每一份臨床文件都當成特殊類別資料。 出院摘要、檢驗結果、處方、轉診信和同意書全都算,即使只是單獨一張掃描頁也一樣。
  • 絕不要把病患紀錄拖進隨手找來的線上工具。 沒有合約、伺服器位置不明,就代表它拿不到你病患的資料,沒有例外。
  • 例行工作就預設用在瀏覽器裡執行的工具,例如合併、分割或壓縮。如果它在本機就能用,就沒有處理者要審查,也沒有東西跨越國界。
  • 在寄出之前先把檔案鎖好。 替 PDF 設一組密碼、加上一個合理的傳遞管道,勝過一個敞開的附件。
  • 如果你是病患,就問問你的診所是怎麼處理你的檔案的。 你有權這麼做。

健康資料的相關規則聽起來沉重,它們也確實沉重,因為資料本身就沉重。但日常的解法很小。把檔案留在你的機器上,使用不會上傳的工具,那麼這個問題最沉重的部分就永遠不會落到你身上。如果你想看上傳如何觸發這些義務的更長版本,我另外寫了一篇 GDPR 與上傳 PDF