*安全承诺:第三方符合某国际安全标准(未提供证书编号);
*保密条款:限制披露节点清单与架构细节。
林昼看完这些点,第一反应是:他们终于承认了“缓存中短时驻留”。这比“完全不存储”更真实,也更危险。短时驻留依旧是数据处理行为,依旧可能构成跨境传输与数据出境的合规触发点,尤其在医疗场景。你可以说驻留很短,但你必须证明驻留期间的加密、访问控制、日志审计、以及跨境合规评估。
第二个致命点是:“不保证固定路径”。这句话几乎等于承认:你无法保证邮件不会跨境。你只能设置区域优先级,但不保证。对一般互联网邮件可能可接受,但对涉及医疗机构关键系统变更通知、以及可能包含系统配置细节的邮件,这个“不保证”会被视为重大合规风险。
第三个点是审计链条:第三方不直接对医院或监管开放,必须由供应商发起调取。这意味着供应商掌握审计开关――想给多少给多少,想筛选就筛选。对监管来说,这是不可接受的,因为它让审计依赖被审计对象的配合。
林昼立刻给梁组长发:“这份摘要已经足够支撑监管升级:
1)‘缓存短时驻留’+‘不保证固定路径’→需要跨境评估数据出境合规说明;
2)日志仅供应商可查→审计独立性缺失,需要监管直接调取机制或第三方出具直接证明;
3)日志留存90天,合同要求乙方审计日志≥180天→存在留存期限不一致,要求解释如何满足合同。
下一轮问询重点就锁定这三点。”
梁组长回:“监管也注意到了180天与90天冲突。”
林昼补:“再加一条:tok+0900节点是否属于该第三方网络?如果是,第三方节点可能位于日本或使用日本时区配置。要求第三方出具节点区域证明或节点调度日志摘要(按区域统计)。供应商不能代替第三方作证。”
梁组长回:“会追。”
---
下午四点五十,原医院信息科联系人终于开口了。监管问他:“1920那封邮件你是否收到?你是否知晓证书更新与热修复?”他回答很谨慎:“我收到过变更告知,但内容很简略,只说‘例行证书更新与策略热修复’,未明确提示可能触发自动回滚,也未要求确认。我当时在值班,未回复。”
“收到过,内容简略,未提示自动回滚,未要求确认。”
这句话像一把钥匙,插进了“通知义务”的锁孔:供应商说已通知,医院说收到但告知不充分。告知不充分不等于医院无责,但它更说明供应商的风险管理粗糙:重大变更只提前20分钟通知、内容简略、没有确认闭环、关键期照做。
闭环缺失,常常比故障更危险。因为它不是偶发,是习惯。
林昼让法务把这段口头陈述纳入“证据链节点”:
*1920告知邮件收到(医院信息科口头确认)
*告知内容简略,未提示自动回滚风险
*未要求确认,医院未回复
他随即对梁组长说:“请监管要求供应商提供变更告知邮件正文摘要(脱敏),核对是否确实未提示自动回滚。并要求其说明:为何重大变更不要求确认?是否存在变更确认制度?没有就是制度缺失,有却未执行就是执行缺陷。”
梁组长回:“监管会写进提纲。”
---
傍晚六点,父亲转科评估结果出来:可以在明天上午转入普通监护病房。医生说这句话时脸上终于有一点轻松的表情。林昼站在走廊里,第一次在这些天里感到一种真正的松动――不是证据链的松动,是心里的松动。
可这松动没有把他带向放松,而是把他带向更清晰的决心:如果父亲能活下来,那他更应该把这条链路钉死。不是为了报复谁,而是为了让“托管”不再是一句免责词,为了让“全球加速”不再是一块遮羞布,为了让任何“短时驻留”“不保证固定路径”在医疗场景里必须被合规解释。
晚上八点二十,供应商再次试图抢回叙事。他们向监管提交“合规说明”,强调:
*变更告知已发送且医院已收到;
*邮件加速服务符合行业通行做法;
*不涉及医疗数据正文,仅为变更通知;
*跨境风险可控,已采用tls加密;
*自动回滚保障连续性,不影响安全。
监管的回应很冷:“请提供跨境评估合规备案依据或内部评估编号;请提供tls加密配置与证书管理说明摘要;请提供第三方安全标准证书编号;请说明日志留存如何满足合同180天要求。”
所有“可控”都要编号来证明。
---
夜里十点半,法务室只剩林昼与值班法务。窗外城市的灯像稀薄的星。林昼把今天新增的信息再一次写进索引,写得很慢:
*第三方平台:注册地新加坡(监管已记录全称)
*服务:邮件中继与加速
*数据:不持久化存储正文,但存在缓存短驻留
*路径:全球调度,不保证固定路径,可配置区域优先级
*日志:传输元数据日志≥90天;审计接口仅对供应商开放
*冲突:合同要求审计日志≥180天
*医院确认:收到告知但内容简略,未提示自动回滚风险,未要求确认
*下一步:跨境评估依据、tls证书管理摘要、第三方安全证书编号、节点区域证明、90天与180天差异解释
写完最后一个“解释”,他放下笔,抬头看向走廊尽头。那里是icu方向,白光仍在,但明天父亲就可能离开那里。白光对他来说不再只是恐惧,它也成了一种见证:见证他如何把一个模糊的威胁变成一串字段、编号、签章与记录。
他在心里把今天定格成一句话:
“第三方一旦出现,就必须给出可审计的边界;边界不给,所谓合规就只是口头。”_c