一份内部备忘录在NHS(英国国家医疗服务体系)员工群里悄悄流传,发件人是数据主管Ming Tang。她用了三个词评价Palantir——"outstanding results"(出色成果)。但收件箱里躺着的,是过去18个月里第17封关于数据安全的质疑邮件。
这种割裂感正在NHS内部发酵。一边是3.3亿英镑的合同和110,000台额外手术的数据,另一边是员工对"移民软件公司"处理英国人健康档案的本能警惕。Tang的备忘录像一张创可贴,试图盖住一道正在渗血的伤口。
数据成绩单 vs 道德账本
Palantir拿出的数字确实扎眼。FDP(联邦数据平台,Federated Data Platform)上线后,出院延迟降低15.3%,28天内确诊癌症的比例提升6.8%,额外完成手术11万台。Tang在备忘录里写得很直白:要"maximum product penetration"(最大化产品渗透),未来12个月覆盖核心医院群。
但员工们翻的是另一本账。Palantir的ImmigrationOS和ELITE软件正在美国ICE(移民与海关执法局)手里运转,把非法移民塞进 deportation 流程。多个美国公民被误抓的新闻刚过去三个月。现在同一家公司的工程师,正在读取英国人的候诊记录。
Tang的回应策略是"evidence-based"(基于证据)。备忘录原文:「While media and campaign groups continue to raise questions about our technology supplier, the programme is focused on the evidence: the FDP is delivering.」翻译过来:外界吵他们的,我们看数据。
这种切割在组织行为学里有个说法,叫"道德外包"——把伦理判断推给采购流程,自己只负责KPI。但NHS员工不是外包商,他们是每天面对患者的人。当系统建议"这位62岁老人可以出院"时,护士需要相信算法背后没有另一套逻辑在运行。
3300万行代码的信任危机
Palantir的FDP本质上是个数据整合层。它把NHS分散在几百个系统中的候诊名单、床位状态、病理报告抽到一起,用预测模型告诉医院:下周三下午3点,心外科会有两张空床,建议提前调度两位待手术患者。
听起来像智能排班表。但实现这个功能需要读取什么数据?读取到什么程度?谁有权限修改推荐结果?这些细节在合同附件里,而附件的访问权限比手术室还难进。
员工们的具体担忧集中在三点:个人数据保护机制是否独立于Palantir的工程师;集中式数据库的访问日志是否对NHS审计透明;以及——最敏感的——这家公司的公共部门扩张会不会形成路径依赖。今天用FDP优化床位,明天会不会用同款系统优化"哪些患者值得优先救治"的算法?
Tang在备忘录里承认需要"maintain our focus"(保持专注),但没说专注什么。是专注完成合同指标,还是专注回应员工质疑?这个模糊处理本身,就是组织张力的一种释放。
公共采购的"技术锁定期"
3.3亿英镑买五年服务,在NHS数字化预算里不算天文数字。但Palantir的合同结构有个特点:FDP不是买断制软件,而是持续服务。医院用得越深,数据沉淀越多,迁移成本就越高。
这叫"技术锁定"(vendor lock-in),云服务领域的经典套路。NHS的IT部门不是不懂,但候诊名单积压到790万人的现实,让"先解决问题"压过了"避免依赖"的长期考量。Tang的"max penetration"战略,客观上就是在加速这个锁定过程。
有个类比可能帮助理解:FDP像一家提供"免费"装修的公司,条件是未来五年必须从他家买家具。第一年你觉得沙发不错,第二年发现换品牌要拆墙。到第三年,你已经忘了"墙"本来是什么颜色。
Palantir在英国公共部门的扩张不止NHS。国防部、情报机构、地方政府都有合同。这种网络效应意味着,今天质疑FDP的NHS员工,明天可能在另一个政府项目里遇到同一批工程师。数据伦理不是单点问题,是基础设施问题。
内部备忘录的修辞学
《金融时报》拿到的那份备忘录,值得做文本分析。Tang用了"outstanding"(出色)、"evidence"(证据)、"delivering"(交付)三个高频词,构建了一套技术中立的叙事框架。但刻意回避了"Palantir"这个名字,代之以"technology supplier"(技术供应商)。
这种代词选择不是疏忽。在组织沟通里,抽象化是降低认知冲突的标准技术。说"供应商"时,听众想到的是合同条款;说"Palantir"时,想到的是Peter Thiel和ICE拘留中心。Tang作为数据主管,深谙这种语言杠杆。
但员工们的反叙事同样熟练。内部论坛里,"ImmigrationOS"被反复提及,像一种道德锚点——提醒所有人,技术供应商不是无历史的白纸。有个帖子获得高赞:「我们培训新员工时说,NHS的核心价值是'无人被拒绝救治'。现在我们的数据平台供应商,主业是帮美国政府决定'谁该被驱逐'。」
这种价值观冲突无法被数据平滑掉。15.3%的出院延迟改善是真实的,对Palantir公司伦理的质疑也是真实的。Tang的备忘录试图用前者覆盖后者,但组织记忆比备忘录存得更久。
12个月倒计时的两种读法
Tang设定的"max penetration"时间表,可以有两种解读。乐观版本:NHS正在数字化转型的关键窗口期,必须趁政治意愿和预算到位时快速推进,否则790万候诊患者的等待就是另一种伦理失败。悲观版本:这是在争议全面爆发前完成不可逆部署的战术冲刺,用既成事实压缩未来的决策空间。
两种读法都有证据支持。NHS的数字化史确实充满"启动-停滞-重启"的循环,2013年的Care.data项目因公众反对而流产,损失数亿英镑。Tang这一代管理者的集体记忆,是"不做比做错更可怕"。
但Palantir的特殊性在于,它的争议不是技术风险,是政治风险。Care.data失败是因为公众不理解数据共享,FDP的阻力来自公众"太理解"这家公司的另一面。Tang的"focus on evidence"策略,在这里可能撞上一堵不同的墙。
英国信息专员办公室(ICO)尚未对FDP发起正式调查,但已收到多起来自NHS员工的投诉。欧盟《通用数据保护条例》(GDPR)的第22条——关于自动化决策的透明度要求——是悬在头顶的潜在法律工具。Palantir的算法如何生成床位推荐,目前对一线医护人员仍是黑箱。
产品经理视角的观察
如果把我放在Tang的位置,这个产品的核心矛盾很清楚:FDP的价值主张是"让数据流动起来",但它的信任危机恰恰来自"数据流动得太远"。Palantir的工程师需要访问生产环境才能维护系统,这是SaaS(软件即服务)的标准模式,但在医疗场景里,"访问"意味着看到真实的患者记录。
技术上可以解耦:给Palantir团队看脱敏数据,NHS自有工程师处理敏感字段。但这会增加延迟,降低模型精度,最终影响那15.3%的出院延迟改善数字。Tang的"max penetration"目标,和员工的"最小必要访问"诉求,在这个技术节点上正面相撞。
有个产品决策常被忽视:FDP的用户界面是谁设计的?如果床位推荐以"系统建议"形式呈现,医生有明确的覆盖权限,信任感会不同;如果推荐被包装成"资源优化结果",附带绿色对勾图标,临床自主权就被悄悄侵蚀。界面即政策,这是Palantir作为硅谷公司的强项,也是NHS员工最陌生的战场。
Tang在备忘录里没提UI/UX(用户界面/用户体验),但"product penetration"的渗透深度,很大程度上取决于前端如何呈现后端算法。员工们质疑的是数据流向,但真正每天摩擦的是按钮位置和颜色编码。
当"交付"成为唯一语言
回到那份备忘录的结尾。Tang写道需要"maintain our focus in the face of growing concerns"(在日益增长的担忧面前保持专注)。这个句式在组织沟通里有个学名,叫"否定式激励"——不解释担忧是否合理,只强调专注的必要性。
它在短期内有效。NHS的中层管理者收到明确信号:质疑可以存在,但别阻碍执行。长期风险是,担忧不会消失,只会转入地下。员工论坛的匿名帖子、离职面谈的模糊表述、对系统推荐的消极抵抗——这些"软抵制"比公开反对更难管理。
Palantir在美国公共部门的扩张史提供了参照。洛杉矶警察局2019年终止与Palantir的合作,官方理由是成本,但内部记录显示是警员对"预测性警务"算法的抵制。技术供应商习惯了赢标、交付、续约的线性流程,但公共部门的用户是终身雇员,他们有组织记忆。
NHS的FDP合同还有四年。Tang的12个月冲刺计划,如果成功,会把系统嵌入足够多的临床工作流,让替代方案在政治上不可行。但如果期间出现数据泄露事件,或者美国ICE的新丑闻波及英国媒体,"max penetration"就会瞬间变成"max exposure"(最大暴露)。
那个获得高赞的内部论坛帖子,最后更新于三天前。发帖人是一名急诊护士,ID后面跟着工作年限:17年。她问了一个没人回答的问题:「如果Palantir的算法建议我 discharge 一位患者,而我的临床判断相反,系统会记录这个分歧吗?记录之后呢?」
热门跟贴