接續上一篇的問題
兩週前我寫過一篇〈院外資料的歸屬:從『機構擁有』到『病人主導連續』的範式轉移〉,談的是 4 家平台都在說「資料跟著病人跑」,但實際上跑的是 access、agency、custody 這三層,continuity 那條戰線根本沒有玩家。
前輩看完文章後,問:
「如果『病人擁有自己的資料』是必然發生的趨勢,為什麼 20 年了還沒到?」
這個問題我們想了三天。今天這篇是答案的一部分。
我們的答案是:這不是趨勢還沒到,是過去 20 年所有嘗試都被同樣的三道結構障礙擋住,而且這三道彼此互為因果——而 LinkedIn 在 2003 到 2018 那 15 年,剛好把這三道障礙的某個對應版本跨過去了。醫療紀錄沒有 LinkedIn-equivalent,是市場縫隙,不是時代未到。
而 post-acute(術後復健、慢性病管理、出院後行為追蹤)這個區段,剛好是這三道障礙最有機會繞過的地方。
LinkedIn 在 15 年做了什麼
先把 LinkedIn 拆開。
LinkedIn 不是一個「履歷網站」。它做的事情是把職業聲望(professional reputation)這個東西的主權從雇主端遷到使用者端。
2003 年以前,你的職業身份散在不同雇主的 HR 系統裡——A 公司的人事檔案、B 公司的離職證明、C 公司的推薦信。要證明你是誰,你得回頭去跟前雇主拿。雇主是 source of truth,你是申請者。
15 年後,LinkedIn 上你的 profile 變成了「正本」。雇主在它之上做 endorsement、寫 recommendation、認證 employment,但 profile 本體屬於你,你帶著它換工作、換國家、換產業,它不被任何一個雇主鎖住。
LinkedIn 完成這件事用了 6 個 primitive:
| Primitive | 意義 | 誰是 source |
|---|---|---|
| Profile | 身份、學歷、技能的自我宣告 | 使用者 |
| Job history | 時間軸式的職涯經歷 | 使用者(雇主可驗證) |
| Endorsements | 同事一鍵肯定某項技能 | 第三方(弱信號) |
| Recommendations | 有來歷的推薦文字 | 第三方(強信號) |
| Connections | 社交圖譜 | 使用者 + 系統 |
| Activity feed | 長期動態歷程 | 使用者 + 系統 |
關鍵不在哪一個 primitive,而在主權的方向:6 個 primitive 全部 anchor 在使用者帳號,雇主是 verifier 不是 owner。
醫療紀錄的對應版本應該長這樣:
| LinkedIn primitive | 醫療等效物 |
|---|---|
| Profile | 健康輪廓(病史、手術、慢性病、自報指標) |
| Job history | 就醫旅程的時間軸(episode timeline) |
| Endorsements | 醫師對某項復健指標的肯認 |
| Recommendations | 跨醫師、跨機構的轉診摘要 |
| Connections | 照護團隊 + 家屬陪同者的關係圖 |
| Activity feed | 復健軌跡、PROM 變化、回診紀錄 |
理論上每一個都應該存在,每一個都應該以病人為 anchor。
但實際上,過去 20 年沒有任何一家公司把這 6 個 primitive 完整做出來,而且都 anchor 在病人端。
為什麼?
三道結構障礙 — 彼此互為因果
我們把所有失敗的嘗試攤開看,發現它們被同樣三道障礙擋住。這三道不是獨立的牆——驗證成本造成責任不對稱,兩者合在一起讓雙邊網路幾乎不可能 bootstrap。
障礙 1:Verification cost 太高
LinkedIn 上的 endorsement,同事按一下「同意你會 Python」就生效。沒有人會去查證、沒有人要為這個 endorsement 承擔法律責任。Endorsement 是 weak signal,但因為成本接近零,量大了仍有意義。
醫療上的對應動作是醫師簽核「這份檢驗結果為真」、「這個診斷成立」、「這項處置適當」。每一個簽核都帶 clinical validity 責任 + HIPAA / 個資法 / 醫療法的疊加合規負擔。一個簽核要 5 分鐘,要承擔的是醫療糾紛風險。
同樣是「肯認」,LinkedIn 接近零成本,醫療接近無限成本。這個無限成本的成因,正是下面的障礙 2。所以醫療上的 endorsement 不可能 scale。
障礙 2:Liability asymmetry — 障礙 1 無限成本的成因
LinkedIn 上你的雇主 endorse 你,雇主近乎零風險——最壞的情況是 endorsement 不準,但這不會讓雇主賠錢。
醫療上一位醫師 co-sign 另一位醫師的診斷,等於把自己的 malpractice exposure 接過來一份。這就是上面「無限成本」的因,不是另一個獨立事實。在美國這是律師會盯著看的事。在台灣這是醫療糾紛訴訟會引用的事。
於是醫師有強烈動機不去 endorse、不去 co-sign、不去 cross-attest——他們的職業生存仰賴這個沉默。LinkedIn 雇主之間的 endorsement 網路因此在醫療裡長不起來。
障礙 3:Bilateral network effect — 障礙 1、2 共同造成的結果
LinkedIn 之所以 bootstrap 起來,是因為它單邊就能擴張:只要 professionals 邀請 professionals,每個新加入的成員都直接讓網路更有價值。雇主進來是 nice-to-have,不是 critical。
醫療上不一樣:病人 + 醫師雙邊都要 onboard,這個 network 才有 value。病人沒醫師驗證的資料是自說自話;醫師沒病人的縱向資料只能看當下這一刻。一旦障礙 1、2 讓醫師端不願意簽核,雙邊網路就形成不了。雞生蛋蛋生雞——多數嘗試卡在還沒長到 critical mass 就死了。
把三個障礙並排:
| Barrier | LinkedIn 怎麼跨 | 醫療為什麼一直跨不過 |
|---|---|---|
| Verification cost | Endorsement = 一鍵零成本 | 醫師簽核帶法律責任 + 合規負擔 |
| Liability asymmetry | 雇主 endorse = 近乎零風險 | 醫師 co-sign 等於接過 malpractice 風險 |
| Bilateral network | 單邊(professionals)就能 bootstrap | 病人 + 醫師雙邊雞生蛋,由 (1) (2) 共同放大 |
這三條合起來——而且不能拆開來看——足以解釋為什麼 LinkedIn 跨過了那道牆,而醫療紀錄被擋了 20 年。
過去 20 年的嘗試 — 一份誠實的 audit
我們把這 20 年的嘗試攤開看,沒有任何一家做出 full LinkedIn-equivalent for medical records。但每一家都解了其中一塊:
| 嘗試 | 做到了哪 | 被擋在哪 |
|---|---|---|
| PatientsLikeMe (2004+) | Profile + Activity feed + Connections(社群層);產出 structured 病人自報資料至今仍用於研究 | 沒有 verification 層 — 醫師端從不接這套作為紀錄來源 |
| Apple Health Records (2018+, 800+ 美國 health systems) | Aggregation infra 跨數百個機構 scale 成功 | 架構仍把醫院 EHR 當正本;iPhone 是 viewer 不是 source of truth |
| 23andMe | 單一領域(genome)的「以使用者為正本」真的成功了,約 1,400 萬 reported users | 沒擴出 genomics 以外 |
| DigiMe (UK 2014+) / Patientory (2017-2022 區塊鏈) | 「以使用者為正本」的 broker 嘗試,架構方向對 | 都沒到 critical mass,需求 < 供給的孤兒問題 |
| EU EHDS (2025/3 生效) | 法規方向對且具拘束力 | 主要適用範圍分段於 2029-2031 年;at-scale 落地仍在前方而非已完成 |
| Estonia X-Road / Australia My Health Record / 台灣健康存摺 | 國家級規模做到了 | 資料留在機構,國家提供瀏覽介面——架構仍是「正本在機構手上」 |
把這份 audit 收斂成一句話:市場是 open 的 — 對的 wedge 還沒出現。
接近文化的(PatientsLikeMe)沒有 verification;接近基礎建設的(Apple)沒有改變正本所在;接近法規的(EHDS)還在分段適用中;接近規模的(國家平台)沒有改架構。
過去 20 年所有嘗試都沒同時解到三個障礙——這合理,因為這三個障礙會互為因果。
一個校準:來自中國的觀察
兩週前那場下午對話裡,前輩提到一句話:「中國病人出院的時候,會把所有資料打包,也有很多數位醫療公司在幫忙做 handoff。」
我們事後做了 DD。結論是:中國的「打包文化」是真的,但它不是「病人就是正本」,它是「機構發給病人的紙本副本」——介於機構持有跟病人擁有之間的半步。
兩件事要看:
第一,實際拿到的是什麼。病人拿到的還是「紙本 / PDF 出院小結 + 病歷複印」,不是 structured FHIR-equivalent 的 portable bundle;source of truth 仍在原醫院。這是「系統對系統 interoperability 不足」的紙本/PDF 變通方案,不是更先進的數位生態。中國個人資訊保護法(PIPL)2021 年 11 月生效,把醫療列為 sensitive personal information;病歷複印是法定權利。其他是慣例。
第二,數位醫療公司的角色。微医、京东健康、阿里健康、平安好医生這幾家主力是線上問診 + 藥品電商;互聯網醫院真的有 discharge follow-up center(病房護士 follow-up call + 線上 reexamination),但這是機構延伸的 continuity,不是 patient broker。
那為什麼「打包」這件事在中國比西方更日常?中國的基層轉診守門(primary-care gatekeeping)歷史上一直比英國 NHS、丹麥 GP 制度、美國 HMO/PPO 網路更弱、約束力更低。病人可以自己跑 2 級、3 級醫院、跨城掛號,沒有家醫制度幫忙把資料接過去。國內跨地域就醫——病人從中小城市去一線城市三甲醫院——已經 20 年讓病人習慣自帶過去的檢查報告。
這個結構條件是「打包需求」浮現的成因。在家醫 / 保險網路把 continuity 制度上承擔起來的地方,這個需求根本不會浮現。
換句話說:
中國不是「比較領先」,是「暴露點不同」。較弱的轉診守門讓病人自帶副本的需求更強,但 source of truth 仍然是 institutional。
這對我們有一個校準:
- 「patient owns data 是必然趨勢」這句話,方向對,但「必然」過強——30 年 HIPAA + 30 年 EMR 進化都沒讓西方真的到達「病人就是正本」
- 真正決定「病人就是正本」能不能落地的不是法規、不是技術,是市場結構 + 行為者誘因
- 沒有外力打破「正本在機構手上」這個結構,西方會卡在「法律允許 + 實際做不到 + 用 Apple Health 拼裝 institutional aggregator」這個半成品
中國 case 不是「比較好」的範本——PIPL government-centric paradigm 對 patient-owned 反而是更大障礙,跨境資料流動更受限。中國 case 的價值是讓西方的卡點顯形:當你拿掉 gatekeeper 這個 buffer,portable copy 的需求會立刻長出來,但 architecture 仍然會卡在 institution-issued 那一層——除非有人從 patient-generated 那端重新蓋。
Post-acute 行為層為什麼是縫隙
回到那三道障礙。我們認為後急性期(post-acute)、行為層(behavioral layer)剛好是這三道互為因果的障礙最有機會繞過去的地方。原因是它的資料起源跟急診、住院、手術那些區段不同。
跳過障礙 1(Verification cost):起源端就是病人
Post-acute 的核心資料——術後復健的 PROM 評量、傷口照片、運動 adherence、疼痛日記——起源就是病人本人。病人是 source of truth。
不需要醫師高成本簽核「這份 PROM 為真」,因為它本來就是病人自報。醫師的角色變成看 trend、做臨床判斷,不是 attest。Verification cost 從「每一筆都要簽」變成「看趨勢」,數量級降下來。
跳過障礙 2(Liability asymmetry):行為層不是診斷層
「病人這週做了 4 次 30 分鐘的膝關節屈曲練習」這個事實,不是診斷宣告。醫師看到這個趨勢做出來的判斷,仍然是醫師的臨床責任,但他不需要 co-sign 這筆行為紀錄為真。
這裡要誠實一點:「繞過」不等於「免疫」。一旦病人上傳的傷口照片、疼痛升級、漏服藥訊號被推到醫師眼前,臨床責任仍可能附著。重點是「每一筆紀錄的邊際責任」在行為層遠低於診斷層,不是「零」。我們把設計建立在「看趨勢」而不是「逐筆簽核」上,正是因為逐筆簽核就是讓障礙 2 變無限的那個機制。
跳過障礙 3(Bilateral network):用 caregiver 替代 provider 邊
務實的繞法。Post-acute 場景裡,家屬陪同者(caregiver)通常比醫師更高頻接觸病人——家人每天看、醫師幾週到幾個月看一次。
我們把 caregiver co-signature 設計成 social proof 的一部分。家屬簽認「這位病人這週確實有做運動」,比每筆都要醫師簽核容易約一個數量級。Bilateral network 從「病人 + 醫師」變成「病人 + caregiver + 醫師(事後驗證)」——caregiver 邊比 provider 邊容易擴。
把這三個繞法疊起來,就是 post-acute 行為層為什麼是縫隙。
至於誰付錢 — 是另一個問題。價值導向照護 (value-based care) 合約、Remote Patient Monitoring 給付、家屬直接付費產品,都是可能的 incentive engine,不同市場大概會收斂到不同組合。這篇文章談的是架構論述;給付論述會是另一篇。
不是 ownership,是 architecture
回頭看 6 個 primitive。
說實話,我從第一天並沒有想做「醫療版 LinkedIn」。過去 18 個月我專心想做的事情很簡單:做一個病患和家屬能用得起來的工具,讓醫病雙方能用客觀數據來溝通,做到 care continuity with objective data。
我們映射的 missing primitives——健康輪廓、就醫旅程、醫師肯認、跨醫師推薦、含家屬的照護網絡、復健軌跡,再加上 functional capacity 評分跟跨機構的 patient-mediated verification——大部分已經在 iRehab 上線;少數核心元素(完整 attestation、跨機構的 verifiable credentials)仍在路上。
是巧合嗎?某種程度是。但回頭看才發現,當你從「病人和家屬能不能真的用得起來」這條底線往下推,當你堅持「醫病用客觀數據溝通」,這些 primitive 自然會長出來。不是策略校準的結果,是從約束條件裡長出來的。
回到上一篇文章的收尾。我們提過:
病人不需要實體擁有每一份病歷。病人需要的是對照護旅程的可持續、可撤回、可攜帶的治理權(agency)。
今天這篇要補的是:真正在改變的不是「誰擁有資料」,是「資料的正本長在誰那邊」——不只是「可以撤回」或「可以帶著走」這兩個動作本身,而是讓健康紀錄、就醫旅程、醫師肯認、轉診推薦、照護人脈這幾項,全部以病人為核心。
20 年沒人做到這件事。中國因為基層轉診守門較弱,「病人自己帶資料」的需求比西方更早浮現——但他們拿到的仍然只是醫院發給病人的紙本副本,不是真的以病人為正本。歐盟剛通過 EHDS 健康資料新法,主要適用範圍要分段到 2029-2031 才完成。Apple Health Records 把 aggregation 跨數百個美國 health systems scale 起來,但仍把醫院 EHR 當正本。台灣 4 家平台則各自只做到一半。
醫療版 LinkedIn 不會從醫院病歷開始,會從病人回家後自己長出來的復健紀錄開始。那就是我們在做的縫隙。
本文延續〈院外資料的歸屬:從『機構擁有』到『病人主導連續』的範式轉移〉的論述。中國 case 的 DD 細節與公開來源整理於內部 strategic positioning spec,本文僅引用結論。