國家數據飄在“云”上阿里健康危及國家安全？

阿里健康承接藥品電子監管信息之后，迅速推出相關互聯網產品。原來的裁判下場踢球，讓球員怎么混？

針對企業可能實施的商業行為，國家食藥總局強調：藥品電子監管碼所有數據信息都歸該局所有，任何一方都不能用于商業服務。

2015年春節前，一個營銷人員拜訪廣東眾生藥業股份有限公司總經理陳永紅，希望利用數據為這家上市藥企設計一個市場解決方案。

“這是我們公司的數據??？”看到方案，陳永紅覺得不可思議，因為方案所用的數據，包括各類藥品的批次、流向和數量都來自眾生，但陳永紅卻從未看過。

陳永紅稱數據來自掌握全國藥品監管信息的阿里健康，這讓他擔心企業的信息安全。實際上，中國大多數藥企負責人并不系統掌握自己生產的藥究竟流向何方。按照國家食品藥品監督管理總局（以下簡稱國家食藥總局）的監管要求，這些數據都被儲存在一個叫做“藥品電子監管網”的數據庫，高高掛在“阿里云”上。

2015年“兩會”期間，全國人大代表、湖南老百姓大藥房連鎖有限公司董事長謝子龍公開向國家食藥總局建議，藥品電子監管信息涉及國家安全，“應立即停止藥品電子監管碼系統由企業運營”，矛頭直指進軍醫藥行業的阿里健康。

實際上，在這場醫藥行業的大數據游戲中，真正讓連鎖藥店和藥企這些“運動員”不安和恐慌的是，有一天要跟阿里健康這樣的“裁判員”同場競技。

對此，國家食藥總局在接受南方周末記者采訪時強調：藥品電子監管碼搜集、產生、存儲的所有數據、文檔、信息和記錄，都歸該局所有，“任何一方都不能用于商業服務”。

裁判下場球員抗議

“作為裁判員，不應下場踢球。”謝子龍反復強調這一點。

藥品電子監管相當于藥品的“電子身份證”，監管部門希望借此實現藥品生產、流通、消費的全程監控。

從2006年開始，“藥品電子監管網”的數據平臺由中信21世紀公司運營。2014年1月，阿里巴巴耗資10億元人民幣，控股中信21世紀公司（該公司股票后改名阿里健康）

讓醫藥企業警惕的是，此后不久，阿里健康就推出了相關的互聯網產品。

2014年7月，阿里在手機淘寶和支付寶錢包中推出“藥品安全計劃”；同年11月，“阿里健康”App上線，其中也包括“藥品安全識別功能”。

在這些平臺上，用戶只要掃描藥盒上的監管碼，就能快速查詢到藥品用法、禁忌、生產批次及藥品流向。

藥品生產企業不知道自己的藥賣給了誰，但數據平臺的運營者阿里健康，卻能在短時間內推出移動互聯網產品。

“現在的態勢表明，即使不直接盈利，阿里健康也會利用數據演化出一個盈利模式。”陳永紅說。

謝子龍為此連夜寫成《關于將藥品電子監管系統交由國家食藥總局統一管理，確保信息安全的建議》帶上2015年“兩會”。

如題所示，謝子龍建議國家食藥總局收回藥品電子監管碼系統管理權限，停止強制企業向電子監管平臺上傳數據，并公開招標尋求“廉價”的管理模式。

“我反映的是行業意見，不是我個人的意見。”在2015年3月4日召開的醫藥界“兩會”代表座談會上，謝子龍對南方周末記者說。

與西裝革履的藥企代表委員不同，謝子龍走平民路線：他穿深紫色帽衫、粉紅色襯衣，將發言嚴格控制在5分鐘，不多也不少。同時，他也不忘強調行業內大佬們對自己的支持：“兩會上好幾個人過來對我說：‘哎呀，你這個意見很好，本來我們都要提的。’”

為了在藥盒上加印電子監管碼，企業必須在生產線上加裝傳送帶和讀碼處理器，還得安裝價值不菲的軟件，聘請專門員工管理。

“我很看好阿里健康，現在又很支持謝子龍。”河北新興藥房連鎖有限公司董事長郭生榮說。新興是石家莊第一家使用電子監管碼的連鎖藥店，同時跟阿里健康有其它合作關系。

藥店發難藥企“鬧累了”

“因為政府行政命令，企業花錢做電子監管碼。但所有信息又交給另一個同行競爭企業。這應不應該經過提供數據的企業許可？”對于醫藥企業的質疑，《E藥經理人》出品人郭云沛這樣總結。

事實上，此次發難的大多是流通領域的藥店，產業鏈上游的藥企大佬們卻已“放棄抵抗”。

“這個就不要再提了。”四川科倫實業集團董事長劉革新對南方周末記者說，“在8個月前，它曾經是一個很重要的問題，但現在已經解決。”

“解決”似乎意味著“妥協”。

研究藥品政策的國家行政學院副教授胡穎廉告訴南方周末記者，早在2007年左右，藥業大佬們就有不同看法。

2006年，原國家藥監局就已開始建立特殊藥品的電子監管碼。此后，賦碼范圍不斷擴大，從麻醉藥品、精神藥品到基本藥物，直到現在所要求的全環節覆蓋。

推進基礎藥品電子監管碼時，原國家藥監局曾給出時間表：2011年4月1日起，對未入網及未使用藥品電子監管碼統一標識的品種，一律不得參與基本藥物招標采購。

用行政命令要求企業上交所有藥品信息的合法性，是當時藥企大佬們不滿的焦點。

“我國藥品管理法、《麻醉藥品管理辦法》，對于麻醉和精神類藥物，需進行實時監管，但對其他藥品，行政許可法的原則是，政府不能人為用監管加強企業的責任。”胡穎廉說。對于拒絕上交基礎藥品電子監管碼的企業，政府并沒有充分處罰依據。

在美國，建立產品質量追溯體系屬于企業行為，政府并不參與。南開大學法學院教授宋華琳專注藥品管理制度研究，在他看來，政府監管必須考慮成本收益，電子監管碼政策由政府規定，就是用行政力量給企業設定義務。

眾生藥業從2003年起，就已建立了藥品溯源系統。陳永紅記得，眾生當年的系統，賦碼方式和“藥品電子監管網”的一模一樣：“不過，2006年全國的系統一出來，什么都廢了。”

鬧歸鬧，業內也認同依托電子監管碼建立的追溯體系“有一定意義”。

“電子監管碼從源頭就統一標識，可以知道藥從哪一個藥店賣出去，或者醫院開給了誰。”科倫藥業董事長劉革新說。

國家食藥總局在回應南方周末記者采訪時認為，監管部門、生產經營企業、醫療機構在加入藥品電子監管網時，要經過嚴格身份驗證，“這種閉環運行，保障了公眾用藥安全”。

不過，電子監管碼對假藥繼續走“野路子”影響不大。“追溯系統中只有主動掃碼入庫的藥，假藥一直都在系統之外。”宋華琳說。

義務承擔“全部費用”？

阿里巴巴入主中信21世紀后，將原本儲存在“甲骨文”公司數據庫中的藥品監管網數據，轉移到“阿里云”。

北京郵電大學信息安全中心副主任辛陽推測，現在國家食藥總局掌握的信息“可能都沒有他們全”。

在被阿里收購之前，中信21世紀在業界幾乎沒有存在感，在資本市場上更不引人注目。1972年在港上市時股價一度低迷，《紐約時報》中文網甚至用“死氣沉沉”形容這一階段。

中信21世紀看似業績不佳，卻一直承擔著藥品電子監管系統開發建設和運營的全部費用。過去，中信21世紀的回應是“為國家做貢獻”。

在建議中，謝子龍提及中信21世紀是香港上市公司，他認為將全國所有藥企的數據交給境外企業有失偏頗。

公開資料顯示，中信21世紀隸屬中信集團。不過，真正讓中信21世紀走入公眾視野的，還是阿里的入股。隨著阿里加入戰團，使互聯網對傳統藥業的威脅，變得近在眼前。

“阿里巴巴的天貓醫藥館處方藥做得很好，95095的藥品批發也做得不錯，我們有合作，也是競爭對手。”郭生榮說。

原來的裁判下場踢球，讓球員怎么混？

收購中信21世紀，馬云花了10億人民幣；將藥品電子監管碼上的數據轉移到“阿里云”，又支付了3720萬元的“分手費”。

“在商業邏輯中，企業要投資，一定要有回報，如果僅僅是幫忙上傳這么大的數據，只是放在那里，什么都不做，哪個企業都不會這么干。”謝子龍說。

對于種種質疑和猜測，阿里健康相關負責人未予以置評。

讓國家數據飄在“云”上

若藥品電子監管網順利鋪開，“阿里云”中儲存的，將是中國各類藥品從生產、流通、經營和消費等所有節點的全部信息。

這個龐大的數據庫是醫藥企業夢寐以求的。但在謝子龍看來，若管理不善，這些大數據非常危險。在建議里，他的主要論點就是“信息安全”。

謝子龍認為，運用大數據的研究方法，分析藥品電子監管碼所蘊含的信息，能夠繪制出國內的疾病發生的時間、地域、周期，進而掌握國人的健康情況；甚至還能通過藥品流轉，繪制出中國各種戰略資源節點圖。

這種說法，得到了多數藥業大佬的支持。“現在大家對數據越來越敏感了。”陳永紅說。

不過，中國疾病預防控制中心原副主任楊功煥認為，這個說法“有點夸大”。

楊功煥曾利用國外數據，預測我國疾病譜未來20年轉變，也曾在中國疾控中心專門負責全國疾病監測系統。在她看來，健康數據中更重要的是患者數據、醫生診斷數據，然后才是相應的藥物數據。 “現在中國的信息化能不能走到那一步，還不確定。”楊功煥說，一種藥品可以治療很多種疾病，藥品和疾病的一一對應關系本就存疑。“單憑這個數據，得到戰略節點是不可能的。”

科倫藥業董事長劉革新也認為這個數據并不核心，其本質和全民健康報告并無區別：“在產業界，重大疾病的用藥、占比是要求統計的，而藥廠的產量和消耗也有行業數據可以參考。”

楊功煥認為，藥品相關數據最多只屬于公共數據，沒有達到涉及國家安全類數據的范疇。

國家食藥總局在采訪回應中稱，2014年該局曾要求中信21世紀委托公安部信息安全等級保護評估中心，針對藥品電子監管網的數據，做三個月的全面測評，測評結果是“基本符合”國家信息安全等級保護的三級要求。

按照2007年公安部、國家保密局等印發的《信息安全等級保護管理辦法》，三級意味著信息系統受到破壞，會對社會秩序和公眾利益造成嚴重損害，或者對國家安全造成損害。

北京郵電大學信息安全中心副主任辛陽告訴南方周末記者，國家信息安全等級一共有五級，理論上，藥品電子監管碼的級別，由國家食藥監總局和公安部共同商議設定。

不過，無論如何，讓信息飄在“云上”，已經成為國家信息戰略的一部分。

藥品電子監管網，是全國首例部署在“云端”的部委級應用系統，其意義被稱為“證明部委級的應用系統，在云上也是安全的”。

但這里的“安全”，僅針對來自外來的危險。金盾信息安全等級保護評估中心銷售部經理李平告訴南方周末記者，平臺公司本身是否能接觸到數據，取決于具體的管理模式。

“到底是明文數據，還是甲方加密后安全存儲的數據，會有很大區別。”李平說。但他也認為，無論怎樣，第三方權限過大都有風險。

無論外界如何猜測，阿里健康對此仍保持沉默，國家食藥總局也沒有透露2006年與中信21世紀簽訂合作協議的細節。

截至2014年6月，中國藥品電子監管網中，已有超過800億條的藥品生產、流通數據，目前都存儲在阿里云計算平臺。