公开演示的医疗平台里,每个患者都是计算机科学的奠基者。Ada Lovelace挂着疼痛评分,Alan Turing的随访日历即将弹窗提醒。他们名下的患者ID写得肆无忌惮——格式错到任何一个真实医疗系统都不可能签发,就像月份栏里出现了“十三月”。这从头到尾都不是bug,而是我今年最得意的一条合规思路。
逼真的假数据,本质是一笔欠着的审计。在HIPAA规则下,没人能光靠肉眼把高质量的假记录和真实记录区分开。一张截图里,假病人“John Smith”配上格式合规的ID,看上去与真实病例毫无差别。一旦它出现在演示文稿、推文或转发的邮件中,就得有人站出来证明它确实无害。而唯一的证明路径,就是回到数据库里查那条不存在的记录——这本身就是一次审计。所以,每一条看起来像回事的假数据,肚子里都揣着一场未来的审计。
风险并没有被消除,只是被搬运到了另一个环节。假数据做得越真,日后澄清它的成本就越高。真正的安全阀门,从来不在逼真度上,而在“假得有多明显”。
一条看起来真实可信的假记录,需要审计才能洗白;而一条一看就假到不可能真实存在的记录,能自己把自己洗干净。对策是直接把“做得像真的”这条旧路堵死,开始造那种“不可能真实”的数据。比如一个叫Grace Hopper的病人,配上任何真人一眼就能看出非法格式的ID——像素级肉眼可断。不需要查库,不需要审计留痕,连会都不用开,清白自己长在画面上。
所以,clearpathecare.ai上那个面向公众的导览,没有一丝像素来自生产控制台。每一屏都是用React手工重建的,照着产品的样子一笔一笔画出来,但运行足迹压根不触碰真实系统。曾经有过一版早期的营销界面,从后台截图起步,病患数据库里塞进过真名假姓的测试人,ID也做得规规矩矩。随后我抛给自己一个问题,那些画面却集体沉默:你能不能给出一帧截图,证明里面没有真实记录? 我不能。于是所有截图被直接删除,整个界面从零重建。
现在的演示页面,所有数据都从同一个文件lib/demo-data.ts里拉取,文件里的每一条记录,都老老实实遵守两条规则。第一条,患者名字必须是计算机领域的先驱——人一看就明白,这是符号化的数据,不是真人。第二条,患者ID的结构必须一眼假,机器仅凭格式检测就会拒收。两条防线,一条面向人,一条面向系统。
同一批数据还被塞进产品内部的引导式演示里。整个体验分成九章,大约四十个步骤,完整走完一名患者从登记入院到生成审计无忧的报销单据全过程。屏幕前端叠了一层透明遮罩,全程只读不写——所有界面细节你都能看,但什么都点不了。配套的患者端App也同样嵌入了演示模式,跑的同样是那批根本不可能存在的假数据。
最终得到的是这样一个结果:导览画面流转起来,不需要任何一道额外审批。随便截屏、发帖、插入方案宣讲的PDF,画面本身就是清白证明。零像素偷取自生产后台,九章演示,大约四十步从入院到报销的完整体验,没有给审计留下一点钻空子的余地。
同一套逻辑我时常在不同的房间里撞见。医疗场景里是这样,换到别处也一样:干脆让假数据显眼到不可能被当真,反而是最省事的合规设计。
热门跟贴