Artificial intelligence as medical device in radiology in 2025: the regulatory scenario in the EU, USA, and China.
高達 52% 醫學論文未定義去識別化與匿名化,揭開多中心影像研究與 AI 訓練潛藏的法規與資料外洩地雷。
- 近半數醫學文獻完全沒有定義去識別化與匿名化,且 32% 學者將兩者誤用為同義詞,法規遵循風險極高。
- 資訊科學家佔據 36.7% 的隱私技術論文發表量,臨床醫師僅佔 15%,導致文字報告等非結構化資料處理困難。
- 沒有演算法能兼顧完美隱私與資料價值,分享影像資料時,必須簽署嚴格的資料使用協議來彌補技術限制。
只有 15% 的醫學論文能同時給出去識別化與匿名化的明確定義,高達 52% 的研究者在文章中大談隱私保護,卻完全沒有定義這些關鍵詞彙。我們每天為了訓練 AI 或發表多中心影像研究,耗費心力清除 DICOM 標頭與放射報告上的個資,卻可能連自己採用的是「De-identification」還是「Anonymization」都分不清楚。這種名詞混用不僅是學術定義的口舌之爭,一旦發生資料外洩,面對日趨嚴格的法規究責時,這將決定我們是合法合規盡職免責,還是面臨天價的違規罰款。
跨界撈取 7972 篇文獻的 Scoping Review 設計
自從美國國家衛生院(NIH)在 2003 年強制要求年度經費超過 50 萬美元的計畫必須提出資料共享方案後,醫療資料的次級使用(Secondary use)迎來了爆發性成長。為了釐清生醫社群究竟如何看待隱私保護,本研究團隊透過 Scoping review(廣泛性文獻回顧,用於盤點複雜且未經全面整合的領域)進行了深度分析。從研究設計來看,作者鎖定 MEDLINE 資料庫,針對 2007 年至 2017 年間發表的文獻進行系統性檢索。
研究團隊使用了包含 de-identification、anonymization 及其各種拼字變體作為檢索詞,初步撈取了 7972 筆紀錄。經過嚴格的 PRISMA 流程與兩位審查員獨立篩選,排除掉單純處理影像、影片或地理位置資料的文章,最終納入 60 篇聚焦於文字與電子病歷隱私保護的全文本。根據原文 Table 2 的時間分佈,這股研究熱潮呈現指數型增長:2008-2009 年僅佔 8%,而到了 2016-2017 年已飆升至 38%(23/60)。
這 60 篇文章發表於 32 種不同的科學期刊,其中高達 53% 集中在生醫資訊學(Biomedical informatics)領域。對於放射科醫師而言,這意味著當我們熱衷於收集影像資料時,真正主導隱私保護技術與標準的話語權,其實掌握在生醫資訊與工程學界的同儕手中。
| 篩選階段 | 文獻數量與處理細節 |
|---|---|
| 初步檢索記錄 | 7,972 筆 |
| 人工篩選 | 135 筆 (排除單純影像/影片資料) |
| 最終納入分析 | 60 筆全文本 |
| 爆發性成長 | 2016-2017 年發表佔比達 38% |
基於 MEDLINE 2007-2017 的檢索結果
Table 3 與 Table 5 點出的定義分歧與亂象
如果連專家都無法統一術語,我們又怎能期待第一線的臨床醫師正確處理資料?Table 3 呈現了令人擔憂的現況:在 60 篇文章中,高達 52%(31 篇)完全沒有為 de-identification 或 anonymization 提出任何定義。只有 48% 的文章嘗試定義這些詞彙,而能同時定義兩者的僅有區區 15%(9 篇)。
把焦點拉到 Table 5 探討學者們如何「使用」這兩個詞。在同時使用這兩個名詞的 38 位作者中,觀點竟然完美對立:有 32%(19/60)的作者將它們視為完全相同的同義詞並交替使用;另外 32%(19/60)的作者則堅持它們代表截然不同的技術與概念。剩餘的文章則語意模糊。
原文作者進一步剖析了這種分歧的來源。在生醫文獻中,「De-identification」通常指涉基於規則的技術,例如遵循 HIPAA(美國健康保險隱私及責任法案)的 Safe Harbor 規範,移除 18 種 PHI(受保護的健康資訊,如姓名與日期)。相反地,「Anonymization」則常被用來描述統計或機率學上的擾動技術,目的是不可逆地切斷資料與個人之間的連結。然而,就算是探討移除 PHI,各家說法也不一:有人主張移除 18 種,有人寫 17 種;有人說要「隱藏」,有人說要用假名「替換」。這種混亂直接威脅了多中心資料共享的可靠性。
去識別化與匿名化究竟是同義詞還是不同概念?
Table 6 顯示資訊科學 36.7% 的跨界主導權
為了理解是誰在制定這些隱私保護規則,研究團隊分析了 60 篇文章的作者背景。Table 6 總結了 163 位作者(擷取第一、第二與最後作者)的學術領域,並給出了總計 248 個背景積分。數據顯示,資訊科學(Computer science)以 36.7%(91 分)高居榜首,其次是生醫資訊學的 19.0%(47 分),而我們臨床醫師(Medicine)僅佔 15.3%(38 分)。
這個分佈極度值得放射科同行警惕。我們的臨床痛點是希望快速匯出大量去識別化的 DICOM 影像與中文報告,以利進行 radiomics(從影像自動抽上千個量化特徵)分析。但從論文分佈來看,高達 90% 的貢獻集中在前七大數理與工程領域。這些資工專家開發的演算法,往往面臨 NLP(自然語言處理,讓電腦看懂人類寫的文字)在非英語系國家的瓶頸。
文章提到,結構化資料(如表格內的抽血數值)相對容易處理,但非結構化資料(如放射科醫師打的自由文字報告)需要耗費大量時間,且極度依賴手動介入。當資工專家抱怨缺乏泛用型指標來評估去識別化結果時,臨床醫師若不參與其中提供領域知識(例如:某些罕見的骨折型態或特定的腫瘤表現,本身就具有極高的個資識別度),雙方將難以建立真正可用的大型醫療語料庫。
根據 Table 6 的背景積分換算 (總分 248 分)
Figure 3 呈現美國領跑與歐洲法規的黃金交叉
法規環境直接形塑了各國的研究動能。若細看 Figure 3 所繪製的地理與時間趨勢圖,美國在總發表量上以 42%(25/60 篇)居冠。特別是在 2010 到 2012 年間,美國研究團隊展現了壓倒性的優勢,這歸功於美國極早確立了 HIPAA 法規,為研究者提供了 Safe Harbor 與 Expert Determination 等具體可遵循的去識別化路徑。
然而,轉折點發生在 2014 年之後。隨著全球對於健康資料二次利用的重視,歐洲國家的論文數量急起直追。到了 2015 年之後,歐盟研究團隊的發表量已追平甚至超越美國。作者在 Discussion 中明確指出,這與 GDPR(歐盟一般資料保護規則,極嚴格個資法)的推動與落實有直接關聯。
有趣的是,GDPR 的條文當中甚至沒有使用「de-identification」這個詞,而是強調假名化與匿名化。這種跨國之間的法律定義差異,成為現今國際醫學合作最大的絆腳石。當我們試圖將台灣的影像資料集與歐美團隊進行聯邦式學習(Federated Learning)時,我們以為已經符合美國去識別化標準的資料,在歐洲學者眼中可能仍屬於具有高度重新識別風險的敏感個資。
重新識別風險與資料實用性的零和博弈
在 Discussion 階段,作者坦承了隱私保護技術難以跨越的先天限制:世界上沒有任何一種演算法能夠同時提供「完美的隱私保護」與「完美的分析實用性」。為了降低重新識別(Re-identification)的風險,我們必須扭曲或抹除資料細節,但這無可避免地會破壞資料品質。
更大的威脅來自於時間維度。作者指出,重新識別的風險會隨著時間推移而持續上升。這是因為外界可用的輔助資料庫(Auxiliary databases)不斷增加。即使你在今年釋出了一批完美移除姓名與病歷號的腦部 MRI 資料集,未來有心人士依然可以透過「資料連結技術」,將這批影像上的特定入院日期、罕見病灶特徵,與五年後外洩的保險理賠紀錄進行交叉比對,進而破解病患的真實身分。
此外,特定類型的醫療資料被認為具有「本質上的識別性」。如同大型基因定序資料被視為幾乎不可能完全匿名化一樣,在放射科,擁有獨特解剖變異的 3D 影像、或是伴隨罕見疾病診斷的文字報告,其重新識別風險遠高於一般的胸部 X 光片。這就是為什麼單純依賴技術手段來保護隱私,被專家一致認為是不可靠的危險行為。
放射科醫師面對多中心 AI 研究的防身守則
面對這些技術與語意上的限制,放射科醫師在實務上該如何自保?原文統整了專家的強烈建議:最高層級的保護絕對不能只靠演算法,必須結合組織、法律、倫理與技術四個層面的多重防護。
首先,當我們向 IRB(人體試驗委員會,負責審查醫學研究倫理)申請免除知情同意時,必須清楚交代我們使用的是規則性的去識別化,還是機率性的匿名化。其次,不要過度迷信去識別化軟體。當你準備將 5000 筆資料匯給外部團隊訓練 nnU-Net(自動調架構的切割框架,能精準圈選病灶)時,與其花費無數小時試圖抹去報告裡每一個可能暗示身分的線索並毀掉資料價值,不如簽署一份極度嚴格的 DUA(資料使用協議,規範資料用途的合約)。
嚴格的合約條款可以在法律層次禁止合作方進行任何重新識別的嘗試,藉由法規的約束力來彌補技術保護的不足。這不僅能保留影像與報告的豐富細節供 AI 學習,也能在萬一發生資料外洩時,為提供資料的放射科醫師與醫院建立起堅實的法律防火牆。
下次匯出 DICOM 給資工系跑模型時,別以為把 PACS 上的名字與病歷號蓋掉就算安全,記得簽署嚴格的資料使用協議,用法律合約補足演算法無法保證的隱私盲區。