
【课程定位】
面向中医药企业中高层管理者的信息安全与数据合规管理能力提升,聚焦职业经理人的主体责任边界、离职人员风险管理、AI 时代新挑战及可落地的安全管理流程。
【课程目标】
(1)理解中医药企业面临的独特信息安全与数据安全风险
(2)掌握职业经理人在信息安全方面的法律主体责任
(3)学会离职人员安全沟通与交接的标准化流程
(4)掌握 AI 时代中医药数据安全的新挑战与应对策略
(5)获取可直接使用的安全管理工具与模板
【授课对象】
中医药企业 CEO、总经理、分管副总、IT/信息安全负责人、HR 负责人、法务合规负责人、研发/生产/质量部门负责人。
【课程大纲】
一、形势与背景—中医药企业为何成为信息安全“重灾区”
1、政策监管框架:从“原则”到“问责”
当前中国网络安全与数据保护治理已从立法阶段进入实质性执法阶段。2025 年~2026 年,监管呈现出三个结构性转向:立法从“原则框架”向“可执法接口”转化,企业从“纸面合规”向“工程合规”转化,执法从“单点合规”向“全链条合规”转化。企业需要回答的不再是“法律要求是什么”,而是“我们能不能证明我们做对了”。
与中医药企业直接相关的核心法规包括:
(1) 《网络安全法》(2025 年修订版) :2026 年 1 月 1 日起施行,违法处罚力度加大,三法实现系统衔接。
(2)《网络数据安全管理条例》 :自 2025 年 1 月 1 日起施行,从行政法规层面将《网络安全法》《数据安全法》《个人信息保护法》的核心义务织成可实施、可检查的制度网络。
(3)《个人信息保护合规审计管理办法》 :自 2025 年 5 月 1 日起施行,推动企业合规从“做过”走向“可证明”。
(4)《关于促进数字中医药发展的若干意见》 (国家中医药管理局+国家数据局):明确要求实施数据分类分级保护,建立中医药数据流转、开发利用安全规范和安全风险评估机制。
2、中医药企业数据的“含金量”与独特风险
中医药企业的数据资产具有极高的战略价值,主要体现在三个层面:
第一层: 核心商业秘密
中医药企业的核心竞争力主要基于其商业秘密,如创新药物研发数据、中药炮制工艺以及临床研究成果。这些关键信息的泄露可能导致企业前期巨额投资付诸东流。以案例为例,南通某老字号产品获得数据知识产权登记证书,标志着其百年验方及相关科研数据正式成为受法律认可和保护的数字化资产。
第二层: 医疗健康数据 (敏感个人信息)
国家标准 GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》明确将“病症、既往病史、检验检查数据等医疗健康信息”列为敏感个人信息。中医药企业处理的患者诊疗数据、健康档案均属于此类,面临极高的合规要求。
第三层: 中医药传统知识与数据知识产权
国家正推进中医药传统知识数据产权制度的建立,探索中医药数据确权授权使用。中医药AI 数据资产已成为知识产权保护的新领域。
3、触目惊心的行业案例—认知冲击
案例一: 国内首例中医Al 商业秘密侵权案
深圳问止中医研发的“中医大脑”系统遭前核心技术人员梁某窃取商业秘密。该公司研发投入超 3000 万元,系统累计服务患者超 10 万人,2024 年营收达 2.4 亿元。警方于 2025 年12 月在梁某住址查获关键证据并采取强制措施。这一案件揭示了中医药 AI 领域内部人员泄密的严峻现实。
案例二: 数据出境合规风险
2025—2026 年,我国数据跨境监管进入实质执行阶段,主管部门强化抽查与执法,重点关注跨境研发、境外部署、设备维护、供应链数据共享等场景。上海网信办发布的典型案例显示,某酒店管理企业在收到数据出境安全评估结果明确数据项出境必要性不足的情况下,仍违法违规出境个人信息,被依法罚款。
案例三: 技术漏洞导致的医疗信息泄露
衡山县中医医院体检系统 MySQL 数据库服务存在弱口令漏洞,且服务映射到公网地址,可从中获取相关医疗信息,被依法处以五万元罚款。
案例四: 制药企业勒索软件攻击
美国制药公司 Inotiv 于 2025 年 8 月遭遇勒索软件攻击,攻击者窃取包含数据库和内部应用程序在内的数据,导致业务运营中断,近万名人员数据泄露。
4、引导讨论
(1) 中医药企业目前有哪些核心数据资产?这些资产的价值如何量化?
(2) 如果企业的核心配方或研发数据被竞争对手获取,对企业意味着什么?
二、中医药企业核心数据资产识别与分级保护
1、中医药企业数据资产全景图
中医药企业的数据资产可分为六大类:
| 类别 | 典型数据 | 敏感等级 | 泄露后果 |
| 处方与配方数据 | 经典名方、院内制剂配方、中药复方配比、炮制工艺参数 | 极高 | 导致核心竞争力丧失 |
| 研发数据 | 新药研发数据、临床前研究数据、临床试验数据 | 极高 | 造成数千万研发投入损失 |
| 患者诊疗数据 | 病历、健康档案、诊疗记录、用药历史 | 高 | 面临法律处罚与声誉损害 |
| 供应链数据 | 药材来源、供应商信息、采购价格、库存数据 | 中高 | 引发供应链安全风险 |
| 市场与客户数据 | 客户名单、销售数据、市场策略、招投标信息 | 中 | 导致商业机会丧失 |
| 经营与财务数据 | 财务报表、成本结构、利润数据、员工信息 | 中 | 造成竞争劣势与合规处罚 |
2、数据分类分级方法论
根据国家关于数据分类分级保护的要求, 中医药企业应建立“核心数据—重要数据—一般数据”三级分类体系:
(1) 核心数据(含中药核心配方、炮制工艺、研发成果等):采取“境内存储、出境评估、专岗双人操作、加密存储、审计追溯”五重防护机制。
(2) 重要数据(含患者诊疗数据、临床试验数据、供应链关键信息等):实施“加密传输、脱敏展示、最小权限访问、定期安全评估”四级防护策略。
(3) 一般数据(如公开产品信息、非敏感经营数据):统一遵循网络安全等级保护制度(2.0 标准)进行管理。
3、中医药企业数据资产盘点实操
数据资产盘点三步法:
(1) 识别:绘制企业数据流图,识别所有数据产生、存储、传输、使用的节点
(2) 分类:按照上述六大类进行分类,标注数据格式、存储位置、访问人员
(3) 定级:根据数据泄露可能造成的危害程度,确定每类数据的密级。
三、AI时代的新挑战—从“数据泄露”到“智能体安全”
1、Al 时代安全风险的范式转变
制药与生命科学行业的网络风险正从传统数据泄露转向更隐蔽却更危险的数据滥用与 AI驱动的合规暴露 。2026 年,人与 AI 智能体身份比例预计达 82:1,身份冒用、权限越界、数据外泄、工具违规调用风险激增。
2、五大Al 安全风险
风险一: 员工使用未经批准的Al工具
60%的制药企业在2024 年部署了 GenAI 试点项目,但建立 AI 治理框架的企业不到一半 。影子 IT 和未经批准的 AI 工具在各个部门快速扩散,员工可能将企业敏感数据输入公共 AI平台,导致数据泄露。
风险二: Al模型被 “投毒” 或反向攻击
攻击者可能通过训练数据投毒、模型反推等方式,窃取企业 AI 模型中的商业秘密。中医药企业的 AI 辅助诊疗系统、中药方剂推荐模型都可能成为攻击目标。
风险三: Al生成内容导致的数据污染
AI 生成的错误数据可能进入生产系统或临床决策流程,影响药品质量和患者安全。行业 AI安全实践报告指出,模型运维环节缺乏操作标准,技术标准定性多定量少。
风险四: Al赋能的网络攻击
攻击者利用 AI 技术进行更精准的钓鱼攻击、漏洞发现和权限突破。2026 年两会网络安全议题中强调,AI 被赋予人类数据权限,突破了传统角色权限管理体系。
风险五: 第三方Al 工具的供应链风险
第三方供应商引入新型风险向量:模型泄露、未经授权的数据暴露、未经验证的机器学习流程。
3、中医药企业AI安全治理框架
行业 AI 安全治理体系以“端到端、分层解耦”为核心思路,构建“1+3+1”(基础设施+数据/模型/Agent+运营管理) 的全生命周期协同框架:
(1) 数据安全:遵循分类分级、全链防护、合规可控三大原则,覆盖数据采集、存储、使用、传输、销毁五大阶段
(2) 模型安全:通过供应链安全管理、对抗训练、后门防御等措施实现模型的可信根基
(3) Agent 安全:聚焦运行、交互、内容、业务逻辑安全及可解释性与审计五大方面
4、引导讨论
(1) 贵企业是否有员工在使用 ChatGPT 、DeepSeek 等 AI 工具处理工作?是否有相应的使用规范?
(2) 如果 AI 生成的错误数据影响了中药配方推荐,责任如何划分?
四、职业经理人的信息安全主体责任
依据《数据安全法》第二十七条及《网络数据安全管理条例》第九条规定,网络数据处理者“对所处理网络数据的安全承担主体责任”。该主体责任明确界定为企业主要负责人及管理层,而非仅限于信息技术部门。
职业经理人需承担的三大法律责任如下:
(1) 制度建设责任:建立并完善全流程数据安全管理制度,组织数据安全教育培训活动。
(2) 技术保障责任:实施加密、备份、访问控制、安全认证等技术措施, 以确保数据安全。
(3) 事件处置责任:在数据安全事件发生时,须立即启动应急预案,采取遏制措施防止危害扩大,并及时向主管部门报告。
2、处罚后果—管理者的“高压线”
行政处罚:对直接负责的主管人员可处一万元以上十万元以下罚款;造成严重后果的,处五万元以上二十万元以下罚款,并可责令暂停相关业务、停业整顿、吊销营业执照- 刑事责任:非法获取数据罪、侵犯商业秘密罪等均可追究刑事责任。案例:某医药代表非法获取医疗数据被判处有期徒刑五年三个月,并处罚金 100 万元
3、职业经理人日常履职的“安全履职清单”
| 履职事项 | 执行频率 | 责任人 |
| 审查信息安全管理制度落实情况 | 季度 | 总经理 |
| 参与数据安全应急演练 | 半年度 | 所有管理层成员 |
| 审阅数据安全事件报告 | 实时 | 分管副总经理 |
| 参与重要数据出境安全评估 | 事前 | 分管副总经理及法务部门 |
| 审阅数据分类分级清单更新 | 年度 | 数据安全负责人 |
| 参加数据安全合规培训 | 年度 | 所有管理层成员 |
4、实操建议
(1) 建立“信息安全责任制”书面文件, 明确每位管理层成员的具体职责
(2) 将数据安全合规纳入职业经理人的年度绩效考核指标
(3) 建立“安全合规一票否决”机制,重大安全事件可影响晋升与奖金
五、离职人员安全管理—从入职到离职的“全周期管控”
1、离职人员安全风险全景
离职人员是中医药企业数据泄露的最大风险源之一。案例中的问止中医商业秘密案,正是前核心技术人员离职后带走核心技术数据导致的。离职人员泄密通常发生在三个时间点:
(1) 离职前:主动或被动下载/复制敏感数据
(2) 离职交接期:利用交接漏洞获取未授权数据
(3) 离职后:利用未注销的账号或记忆中的数据开展竞争
2、入职即管理—防范于未然
入职安全管理的“三道关”:
(1)背景调查关:对核心岗位(研发、IT、高管)进行背景调查,重点关注前雇主关系、竞业限制协议履行情况
(2)保密协议关:入职即签订保密协议,明确保密范围(包括处方、配方、工艺、客户信息等)、保密期限、违约责任
(3)权限分配关:按照“最小必要原则”分配数据访问权限,新员工入职初期仅开放与工作直接相关的数据权限
3、在职期间的安全管理
持续管控措施:
(1)定期安全培训:每半年进行一次信息安全意识培训,内容包括数据分类识别、保密义务、泄密后果
(2)权限动态审查:每季度审查员工的数据访问权限,调岗及时调整权限
(3)异常行为监控:部署数据防泄漏(DLP )系统,监控异常的大规模数据下载、复制、外发行为
(4)核心数据接触记录:对研发、配方、患者等核心数据的访问进行详细日志记录,定期审计
4、离职安全沟通与交流流程
标准化离职安全流程(七步法)
步骤一: 离职意向确认
责任方:人力资源部( HR)
操作流程:
(1)员工提出离职意向后,HR 需第一时间通知信息安全负责人。
(2)由信息安全负责人评估该员工的涉密等级(一般/重要/核心)。
步骤二: 安全面谈
责任方:信息安全负责人 + 员工直属上级
操作流程:与离职员工进行一对一安全面谈,内容须涵盖:
(1)重申其在职及离职后的持续保密义务与法律责任。
(2)确认其已归还或计划归还所有公司资产(包括电子设备、存储介质、文件资料等)。
(3)签署《离职保密承诺书》。
(4) 如适用, 明确说明竞业限制条款的执行安排。
执行要点:面谈过程应保持专业、客观, 并完整记录、归档。
步骤三:权限即时冻结
责任方:信息安全团队
操作流程:
(1)于安全面谈结束后当日,立即冻结该员工所有系统账号。
(2) 同步中止其邮箱、VPN、各业务系统及云存储平台等一切访问权限。
(3)根据需要,为其工作邮箱设置邮件自动转发规则。
步骤四: 离职前数据审计
责任方:信息安全团队
操作流程:
(1)审计该员工离职前 30 至 90 天的数据访问与操作日志。
(2)重点核查是否存在异常行为,包括:非常规时间访问、批量数据下载或导出、向外部邮箱发送敏感数据等。
(3)若发现任何异常,立即启动专项调查程序。
步骤五: 公司资产回收与处理
责任方:人力资源部 + 行政部
操作流程:
(1)全面回收并清点该员工所持的所有公司资产,包括但不限于:办公电脑、手机、移动存储设备、门禁卡及纸质文件。
(2)对回收的电子设备进行专业级数据擦除或系统重装,确保数据不可恢复。
步骤六: 工作交接与安全审查
责任方:业务部门 + 信息安全团队
操作流程:
(1)完成工作内容、待办事项及相关资料的书面交接。
(2)所有交接文件需提交信息安全团队审查,确保不包含未授权的敏感信息。
(3)交接清单与审查结果需由交接双方及信息安全团队签字确认。
步骤七: 离职后持续跟踪
责任方:人力资源部 + 信息安全团队
操作流程:
(1)在员工离职后三个月内,持续监控其原账号是否存在异常访问尝试。
(2)若签有竞业限制协议,需按规定跟踪其离职后的就业状况。
5、离职安全管理模板
《离职安全面谈记录模板》
《离职保密确认书模板》
《离职数据访问审计报告模板》
六、课程要点与行动建议
1、课程核心要点回顾
(1)形势认知:中医药企业的数据资产具有极高战略价值,也是网络攻击和内部泄密的高风险目标
(2)法律底线:职业经理人对数据安全承担“主体责任”,违法将面临行政处罚乃至刑事责任
(3)AI 挑战:AI 时代安全风险从数据泄露扩展到模型安全、Agent 安全和 AI 赋能攻击
(4)人员管理:从入职到离职全周期管控涉密人员,离职安全管理是重中之重
(5) 流程规范:建立标准化的安全事件处理流程和应急预案
2、行动清单—给中医药企业管理层的五件事
| 行动项 | 责任部门/人员 |
| 开展企业数据资产全面盘点与分类分级工作 | 总经理与信息安全负责人 |
| 制定并发布企业信息安全管理制度 | 分管副总经理 |
| 组织实施全员信息安全意识培训 | 人力资源部与信息安全团队 |
| 建立离职人员信息安全管理标准化流程 | 人力资源部与信息安全团队 |
| 完成数据跨境传输情况专项排查 | 法务部与信息安全团队 |
3、现场答疑与讨论
