凌晨四点零二,接收医院普通监护病房外的走廊安静得像被人用手捂住了声音。
只有监护仪隔着门板传来的滴声,像远处的灯塔。林昼靠在窗边,手里捏着手机,屏幕上停留在第三方平台那句简短却致命的说明――“节点调度记录留存30天”。
三十天,是这条链路最真实的锋刃。
它不是威胁,不是恐吓,甚至不是拒绝。它只是一个系统默认值:数据库定期清理,冷热分层,成本控制。可这类“默认”一旦落在医疗关键系统上,就会变成一把看不见的刀。刀不砍人,它只砍“原因”。没有原因,只有结果。结果可以被解释成“不可避免”。不可避免,就是结构最喜欢的词。
林昼盯着屏幕,忽然想起那句匿名短信:“九十天不是90,是30。”他曾以为那可能是干扰,结果却比干扰更像帮助。有人在里面看见了断点,提醒他快一点。
快一点,不是冲动,是加速流程。
---
早上七点五十五,监管对第三方平台发出第二封协查函:要求对涉及1920通知邮件的节点调度记录实施专项延长保全,并在48小时内出具“调度原因证明材料”。同时,监管向供应商发出补充问询:要求解释为何其此前只披露“元数据留存90天”而未披露“调度记录仅30天”,并要求其提交内部合规评估中关于日志分层留存与审计独立性的说明。
梁组长把这两封函件的要点发给林昼:“监管强调:调度原因是判断路径是否可控、是否存在跨境风险、以及是否存在人为配置的重要依据。供应商必须协助获取。”
林昼回:“很好。调度原因要在第三方层面出具,不能由供应商代写。供应商代写会变成自证。”
梁组长回:“第三方说可出具,但需要把‘节点调度事件id’与message-id关联。关联步骤仍需供应商授权。”
林昼回:“要求第三方先做‘双层保全’:冻结调度记录原始分区,冻结关联索引。授权可以后补,但保全必须先行。否则30天窗口会吞掉。”
梁组长回:“监管已写明‘先保全后定位’。”
林昼放下手机,走到病房门口看父亲。父亲的呼吸比前几天更平稳,眼皮偶尔颤动,像在做一个很长的梦。林昼没有打扰,只在门口停了几秒。他需要把自己的情绪压在门外,因为今天的战场在另一个地方:第三方平台的调度记录。
调度记录决定“为什么走tok+0900”。
“为什么”决定责任边界。
---
上午九点三十,供应商向监管提交了所谓“调度原因初步说明”(盖章版),措辞非常熟练:
*路径选择为系统自动化调度;
*调度依据包括节点负载与网络质量;
*1920邮件被调度至apac边缘节点属于常规优化;
*不涉及人为指定具体国家或节点;
*无法提供第三方调度记录原文,需待第三方出具。
这份说明看似配合,实际上是提前设定结论:“常规优化、无人为指定”。
林昼看完只回一句给梁组长:“让他们先说结论没用。调度记录必须出具。并且要求他们定义‘无人为指定’:是否存在配置参数(区域优先级、地理围栏、节点排除名单)?这些参数若由人配置,就属于人为。不能把‘没有人点某个节点’等同于‘没有人为配置’。”
梁组长回:“监管会追参数。”
林昼补:“同时要求他们提交变更单chg-im-2024a-1127中关于‘区域优先级’配置的附件摘要。既然他们能在协议里写‘可配置区域优先级’,那么变更实施时是否调整过?是否临时提高apac优先级?要核对。”
梁组长回:“明白。”
---
上午十一点,第三方平台发来第一份正式文件:**传输证明函(签章版)**。
监管把证明函的关键内容摘要给到梁组长,梁组长转给林昼。证明函包含:
*message-id:与1920通知邮件一致;
*传输链路节点id:四跳,其中第二跳为apac-edge节点;
*apac-edge节点时区:+0900;
*各跳时间戳:与原医院邮件头received链一致;
*投递状态:delivered;
*日志哈希:sha-256哈希摘要,用于核验;
*备注:该邮件的路由由“dynamicroutingpolicy”自动选择。
“dynamicroutingpolicy”――动态路由策略。
证明函把“tok+0900”钉成第三方签章事实,供应商再说“只是时区配置”就站不住。现在的问题只剩一个:动态路由策略在当时为何把邮件送进apac-edge?这就是调度原因。
第三方证明函还不够,因为它只告诉你“走了”,没有告诉你“为什么走”。但证明函已经把供应商的退路堵住:你不能否认路径存在,也不能否认路径由第三方网络承载。下一步你必须解释“策略”。
策略不是算法细节,但策略一定有“可配置项”。可配置项就是人为边界。
林昼回梁组长:“证明函很好,下一步锁定‘dynamicroutingpolicy’的配置项:
1)是否启用apac优先级?
2)是否启用地理围栏(仅境内)?若未启用,为什么?
3)是否存在故障回退策略,导致临时选择apac节点?若存在,故障证据是什么(当日节点故障告警摘要)?
4)是否存在成本优化策略,把部分邮件分流到apac节点?若存在,合规评估依据是什么?
这些问题不需要算法,只需要配置与事件摘要。”
梁组长回:“监管会按这个问。”
---
下午一点四十,第三方平台终于提交了“调度记录保全确认函”:确认已对涉及该message-id时间窗口(1900-2000)的节点调度事件记录实施延长保全,保全期限暂定180天,可按监管要求延长。同时,第三方表示将在24小时内出具“调度原因摘要”,但需供应商提供“路由策略配置快照”以核对当时的策略版本。
“策略配置快照”。又需要供应商。
林昼看到这里,反而冷静了。供应商越无法避免,就越会试图把关键材料握在手里。但现在监管已经介入,且第三方已保全。供应商即便拖,也拖不掉保全。拖不掉保全,就只能在“快照内容”上做文章――给一个经过删减的快照。
删减可以,但删减必须可解释。删减到不剩配置项,监管不会接受。
林昼对梁组长说:“请监管明确:策略配置快照可脱敏,但必须包含配置项是否启用与参数范围(例如区域优先级列表、地理围栏开关、节点排除列表是否为空)。不需要具体节点清单。”
梁组长回:“监管会写明‘最小必要字段’。”
---
下午三点二十,供应商提交了一份所谓“路由策略配置快照摘要”(盖章版),内容像被刀削过:
*路由策略:dynamicroutingpolicyv2.7
*区域优先级:启用(优先级序列:cn>apac>global)