医疗器械这个行业,技术壁垒高不高的关键,很大程度上看认证。一个产品想拿到CE认证进入欧洲市场,从临床试验到技术文档再到质量管理体系,前前后后要花好几年时间和上千万的费用。而这张"入场券"的核心技术文档,是所有医疗设备企业最珍贵的东西。
有一家做二类医疗器械的企业,已经拿到了好几款产品的CE证书。他们在国内也算小有名气,靠着这些认证,每年出口业务占了营收的一大块。保管这些认证技术文档的,是他们的销售总监。
这位销售总监在公司干了八年,平时和研发、注册、质量部门都有交集,文档柜和服务器上的权限也比较大。他不是研发出身,但因为是公司高管,很多核心文档对他都是开放的。
2021年初,这位销售总监提出离职,理由是"家里有事"。离职手续办了一个星期。就在最后一周里,他做了一件以后让公司损失惨重的事。他拿了一个空光盘,走到公司的文件服务器上,把CE认证相关的核心技术文档全部刻录到了光盘里。那些文档包括了产品的设计图纸、材料清单、生物相容性报告、临床评价报告、风险管理文件——几乎就是全部注册技术档案。
他刻光盘的理由是"备份历史项目资料"。当时的IT管理员觉得他是高管,没多问。光盘就被他顺利带出了公司。
半年之后,市场上突然有一家新的医疗器械公司拿到了同款产品的CE认证。老东家一看产品描述和技术参数,几乎完全一样。再往下查,那家新公司的技术负责人就是这位前销售总监。
销售总监的角色是最有迷惑性的。他管的是销售,大家觉得他不懂技术,拿走那些文件也没用。但是他没有自己用,他是卖掉了。他把这套CE认证技术文档卖给了另一家正在寻求快速拿证的企业。对方省掉了几年做技术文档和临床评价的时间,直接照搬就能用。据传闻,这套文档卖了将近两百万。
因为医疗器械的CE认证技术文档中有相当部分是有模板性的,尤其是在临床评价这块。只要核心的数据和报告是真实的,文书的框架和结论拿过来一改就能用。这和其他行业不太一样,认证文档本身既是技术成果也是申请材料,一旦泄露,竞争对手等于直接抄了你的作业。
这个案例最大的教训是,完全不应该让不需要技术文档的岗位拥有核心认证资料的访问权限。销售总监接触客户、管理渠道就够了,研发文档和注册文档为什么要对他开放?权限管理不能只看职级,得看岗位需求。还有,所有核心文档的物理输出——无论是刻光盘、打印还是拷贝——都应该有审批和留痕。光盘刻录机在绝大多数办公室里已经没有存在的必要了,直接把驱动器拆掉是最省事的办法。另外,离职审计要做到实物盘点,文件服务器上的登录记录要回溯,光盘刻录日志要核查。这个案例里如果IT当时看一眼刻录日志,就什么都拦住了。
