周明在中央研究院六號会议室的白色长桌上铺开了三份文件。第一份是天枢os数据治理框架的现状描述——一份由郑工团队花了三周时间从全部接入天枢os的系统中梳理出来的数据流拓扑图,图上密密麻麻標註著从產线传感器到临床標註终端到生態应用日誌的每一个数据节点,总计超过六千个。第二份是联合检测验证工作组第二次技术磋商后发来的正式质询清单,其中第三条明確要求未来科技说明其內部数据治理规则的统一性和可审计性。第三份是李明哲从日內瓦发来的一份备忘录,標题只有五个字:“审计是护城河。”
“补天v1的发布证明了我们的设计工具链可以被外部验证,追光產线合规验收证明了製造端的透明化,天罡生態兼容標准第二版证明了生態规则制定的开放性。”周明把三份文件並排摆好,抬起头看向会议室里的每一个人,“但所有这些『可验证性』都建立在一个共同的底座上——数据。如果我们的数据治理规则本身不统一、不透明、经不起审计,那么底座一旦被证明有裂缝,上面盖的所有楼层都会晃动。”
坐在会议桌对面的郑工面前摆著一台笔记本电脑,屏幕上显示著天枢os数据採集模块的架构图。他把架构图投到会议室的大屏幕上,用雷射笔圈出了六个不同顏色的数据域。红色的是製造域——追光產线的全部设备传感器数据、工艺参数和良率记录。蓝色的是设计域——补天工具链的代码提交日誌、仿真结果和版图叠代记录。绿色的是医疗域——神农ai的心电波形原始数据、標註记录和模型训练日誌。黄色的是生態域——天罡os的设备激活日誌、应用崩溃记录和街边店技师反馈数据。橙色的是金融域——產业扶持基金的评审记录、资金流向和项目进展报告。紫色的是法务域——合规审计日誌、合同条款变更记录和跨境数据流动审批单。
“六个域,六种数据格式,六套採集协议,六个存储集群。”郑工的雷射笔在每个色块上停了一秒,“但如果你去问这六个域的数据治理规则分別是什么,答案是不一样的。製造域的数据保留周期是三十六个月,医疗域是二十四个月,生態域是十八个月。製造域的访问审批需要三级签字,医疗域需要二级,生態域只要一级。製造域的数据脱敏標准用的是国標,医疗域用的是欧陆医疗器械標准,生態域用的是天罡os开发者协议里附带的数据处理条款——那个条款还是两年前法务团队一位实习生写的初稿。”
郑工说完后,会议室里沉默了几秒。秦教授最先打破了沉默。他面前放著一份神农ai临床验证流程的文档,是安德松教授访问合城后留下的那份推荐信的附件。“医疗域的数据治理规则之所以和製造域不一样,不是因为没人想统一,而是因为医疗数据的合规要求本身就和工业数据不在一个框架里。欧洲医疗器械標准对临床数据的存储期限要求是至少五年,而不是二十四个月。如果我们强行把医疗域的数据保留周期拉到和製造域一样,等於在欧陆合规审查中自断手脚。”
“问题不在於六个域的规则不一样。”周明站起来走到屏幕前,用手指在六个色块之间画了一条虚线,“问题在於,这六套规则从来没有被整合成一套统一的元规则。什么是元规则?就是不论数据来自哪个域,所有数据都必须遵守的共同底线——比如,任何数据的採集都必须有明確的目的说明,任何数据的访问都必须留下不可篡改的审计日誌,任何数据的跨境传输都必须经过独立合规官的批准,任何数据治理规则的修改都必须经过一个跨部门的治理委员会投票表决,投票记录对外公开。”
他在屏幕右侧空白处写下三行字,每一行字都像是一条法律条文那样简短有力。第一行:採集有目的,存储有期限,访问有记录。第二行:治理规则本身被治理——规则的制定、修改和废止过程全程留痕,接受外部审计。第三行:数据主权归数据產生方所有,任何数据共享行为必须在可独立验证的授权框架內进行。
方程从新加坡通过视频接入,他在屏幕上的小窗口里听完周明的三条元规则后,把天罡生態兼容標准第二版起草时用过的“十四条起草原则”调出来放在旁边做参照。“兼容標准第二版的核心经验是——规则一旦不再由单一主体单方面定义,规则的权威性就会从制定者身上转移到规则本身。数据治理细则的制定可以沿用同样的联合技术委员会机制,在委员会里引入独立的外部委员参与投票。”
周明把这个建议记在了会议纪要里,同时加了一个更激进的条款——数据治理委员会中,外部委员的比例不低於三分之一,外部委员从星环科研奖励机制学术委员会、联合检测验证工作组认可的独立审计机构和补天计划高校团队中遴选。这个比例设定意味著未来科技在任何涉及数据治理规则的修改中都不拥有绝对多数票。
林薇从中央研究院封闭开发区拨进视频时,正在天权6號的功耗仿真数据前做最后的收敛验证。她听完周明的提议后没有討论外部委员的比例,而是直接切入了数据治理细则中最核心的一个技术难题——数据脱敏標准的跨域统一。“製造域的晶圆缺陷分布数据、设计域的版图层数数据、生態域的用户行为日誌,三者的脱敏要求完全不一样。如果把製造域的数据脱敏標准强行套到生態域上,生態数据里的异常功耗触发条件——就是阿贡发现的那种——就会被脱敏算法当作『异常值』自动抹掉,而这些异常值恰恰是我们做质量改进最有价值的信號。”
郑工敲了几下键盘,屏幕上弹出一张表格。表格里列著六个数据域中每一种数据类型在脱敏处理中的最小颗粒度要求。製造域的晶圆缺陷坐標精度可以脱敏到五十微米而不影响工艺分析,设计域的版图数据需要脱敏到標准单元级別才能保护设计机密,生態域的用户设备型號必须保留完整而不能被泛化——因为阿贡发现的基带晶片功耗异常只有在特定设备型號和特定运营商频段组合下才会触发,一旦泛化就丟失了定位故障的全部线索。
“脱敏標准不能一刀切。”郑工说,“但脱敏標准的制定过程可以一刀切——不论哪个域,脱敏规则的制定、审批、修改和生效日期都必须走同一套治理流程,每一条脱敏规则的背后都必须附著明確的业务理由和风险评估,且全部留痕。”
周明在会议纪要上写下数据治理细则的第一条核心条款草案:“数据脱敏標准由各数据域负责人根据业务需求提出,经数据治理委员会审议批准后生效。每一条脱敏標准均需附带业务必要性说明和风险评估报告,审议过程保留完整记录,记录对外公开。”
討论进入数据访问权限分级时,秦教授提出了一个让在场所有人都不得不正视的问题。神农ai的临床数据目前採用的是二级审批——数据使用者提交申请,经秦教授和医院伦理委员会两位委员共同批准后即可获取脱敏后的数据。但安德松教授在访问时无意中发现,神农ai的模型训练日誌——不是原始临床数据,而是模型在训练过程中的中间参数更新记录——同样被纳入了二级审批的范围。这个设计导致赵静团队在做预调度模型与神农ai的联合调优时,每一次调参都要等至少两个工作日的审批周期。
“临床原始数据的严格审批是对的。”秦教授说,“但模型训练日誌的安全级別不应该和原始临床数据一样。把两者的审批门槛拉平,表面上是提高了安全標准,实际上是降低了研发效率——而且这种降低不会换来任何实质性的安全保障,因为模型训练日誌里根本没有可追溯的个人信息。”
周明把这个问题放大到了全部六个数据域。追光產线的设备传感器数据、补天工具链的代码提交日誌、天罡os的应用崩溃记录——这些数据的敏感级別各不相同,但目前的访问审批规则大多是在各自为政的状態下临时设定的,有的过於宽鬆,有的过於严格,几乎没有跨域的一致性。
他提出的解决方案是在数据治理细则中建立一套三级数据访问权限体系。一级是公开数据——任何內部员工和签署了数据使用协议的合作伙伴均可直接访问,包括设备稼动率匯总统计、天罡os装机量公开数据、补天工具链的公开文档和基础模块代码。二级是受限数据——需经数据域负责人审批后方可访问,包括產线工艺参数的详细记录、晶片设计版图的非核心区域数据、生態应用的非敏感用户行为统计。三级是受控数据——需经数据治理委员会全票批准后方可访问,包括晶片设计版图的核心电路区域数据、神农ai的原始临床数据、用户个人身份关联数据和產业链供应商的核心工艺参数。
这套三级体系的命名直接沿用了天罡edge接口安全分级的框架——不是巧合,是周明刻意为之。他在会议桌上摊开了天罡edge接口三级安全分级体系的文档,指著上面“一级公开、二级受限、三级受控”的分类標籤说:“天罡edge的安全分级已经在联合检测验证工作组那里作为参考基准案例。数据治理细则沿用同一套分级逻辑,可以最大限度减少外部审计的理解成本——审计方不需要重新学一套新的分类体系,只需要確认同一套逻辑是否被一致地应用到了数据治理领域。”
方程在视频那端翻出了天罡edge安全分级体系的设计文档。文档的起草人是林薇,当时在天罡edge全球合作试验决策会上,陈醒以“被审计比被怀疑强”定调之后,林薇用了一个周末把接口安全分级的第一版草案写了出来。“天罡edge安全分级从草案到正式发布用了六周。数据治理细则能不能更快?”方程问。
“不能。”周明回答得很乾脆,“因为数据治理细则不是一份技术文档,而是一部制度立法。每一个条款都要经过六个数据域负责人的逐条確认,每一个定义都要在真实数据流上做回归验证,每一个审批流程都要在试运行中暴露问题、叠代修正。最重要的是——数据治理委员会的外部委员遴选需要时间。星环学术委员会、补天高校团队和独立审计机构各自推荐候选人,候选人背景审查,利益衝突申报,全部走完至少需要四周。”
苏黛从產业扶持基金评审会的中场休息中拨进视频,听到周明的时间表后问了一个財务维度的问题:“数据治理细则的落地需要多少预算?”
周明给了一个在座所有人都没有预料到的答案:“直接成本不高——天枢os的数据治理模块已经写好了大半,郑工团队只需要把元规则嵌入现有的数据流中间件。外部审计机构的年度服务费大概在六百万左右。真正的成本是效率损耗——数据访问审批从一级变成三级之后,研发团队的日常工作效率会有大约百分之八到百分之十二的下降。这个下降不是浪费,而是合规的代价。”
“合规的代价。”苏黛把这四个字记在笔记本上,在后面加了一行字:“与不合规的代价相比,合规的代价是可控的。”
会议从上午九点一直开到下午四点半,中间只有一次二十分钟的午餐休息。当周明在会议室的白板上写下数据治理细则的最后一条草案条款时,整个白板已经被写满了——正面是六条元规则和十四条实施细则,背面是数据治理委员会的组织章程框架和三组外部委员的遴选標准。
定稿后的核心条款被周明整理成了一份一页纸的摘要。摘要的標题是:“天枢os数据治理细则——草案第一版”。標题下方是六条元规则:一、数据採集遵循目的限定原则,每一条数据採集需求必须在数据治理委员会备案其业务目的和存储期限,未备案的数据採集需求不得部署至生產环境。二、数据分级遵循三级体系——公开、受限、受控——分级標准由数据域负责人提出、数据治理委员会审批。三、数据访问遵循最小权限原则,任何跨域数据访问需经数据治理委员会全票批准。四、数据跨境传输需经独立合规官批准,跨境传输日誌实时同步至数据治理委员会的审计看板。五、数据治理规则本身的制定、修改和废止过程全程留痕,治理委员会的投票记录和审议纪要对外公开。六、每半年度由独立外部审计机构对数据治理体系进行合规审计,审计报告全文对外发布。
摘要的最下方是周明加的一行附註:“数据治理细则不是一份內部管理文件,而是未来科技在联合检测验证工作组框架下证明自身数据治理能力可被外部审计的核心制度证据。它的受眾不只是未来科技內部员工,更是日內瓦、欧陆和全球任何有意愿验证我们技术体系可信度的第三方。”
章宸在当天晚上审阅了草案全文。他在第四条“数据跨境传输”条款的旁边加了一条补充建议——跨境数据传输的审批流程中增加一个“区域数据主权代表”的角色。当数据传输涉及缅老柬或南洋其他国家用户的数据时,审批流程中必须包含至少一名来自数据来源国合作方的代表,该代表拥有否决权。“数据对等原则不仅要写在生態合作的备忘录里,也要写进数据治理的制度底座里。”章宸在批註中写道,“让数据来源方拥有否决权,不是自缚手脚,而是用制度设计把『数据对等』从一个承诺变成一条规则。”
周明收到批註后,在草案的第四条下增加了一个子条款:“涉及非本国用户数据的跨境传输,审批流程中设区域数据主权代表席位,由数据来源国的合作方委派。区域数据主权代表对该传输请求拥有否决权。否决权行使记录纳入审计日誌。”
四天后,数据治理委员会的组建方案通过了陈醒的审批。委员会由十五名委员组成,其中未来科技內部委员十名——分別来自製造、设计、医疗、生態、法务、安全、基础设施七个部门——外部委员五名,分別来自星环科研奖励机制学术委员会、补天计划高校团队、欧陆独立技术顾问和南洋渠道联合体。外部委员的比例超过了三分之一,符合周明设定的底线。首批外部委员的遴选邀请函在委员会组建方案获批的当天下午发出,目標是四周內完成全部遴选和背景审查。
郑工在同一天启动了天枢os数据治理模块的最终开发。这个模块的核心功能是將数据治理细则的六条元规则全部编码为自动化执行的中间件——数据採集需求备案的在线表单、数据访问请求的三级审批工作流、跨域数据访问的全票表决系统、跨境数据传输的独立合规官审批节点、以及全部操作的不可篡改审计日誌。郑工把模块的开发代號定为“规则引擎”,在架构文档的第一页写了一行字:“这套代码的作用不是管理数据,而是管理管理数据的规则。当规则本身被编码为自动化流程时,遵守规则就不再依赖於个人的自觉性,而是被系统强制执行。”
秦教授在会议结束后的当天晚上回到了神农ai实验室。他坐在那台存著三百例假阳性原始心电波形的加密伺服器前,逐一核对每一条数据的採集目的备案状態。八十四例心房颤动合併束支传导阻滯病例的原始波形旁边,全部標註了完整的採集目的、患者知情同意书编號和数据存储期限。但他在翻到第四十二例时发现了一个细节问题——该病例的標註医生资质编號少了一位数字,是標註系统在数据录入时的截断错误。这个错误不影响任何诊断结果,但在数据治理细则的框架下,標註医生资质信息的不完整构成数据质量缺陷。
秦教授拿起內线电话打给郑工,描述了截断错误的现象。郑工查了代码后回拨过来,说截断问题的根因是標註系统界面上的输入框字符长度限制设定比医生资质编號的实际长度少了一位,修改只需要加一个字符位,但修正后的系统需要对全部已录入的標註医生信息做一次回溯核查。
“这就是数据治理细则落地的现实意义。”秦教授掛掉电话后对实验室的值班研究员说,“不是等著外部审计来查我们,而是我们自己先把自己查一遍。查出问题不可怕,查不出问题才可怕。”
合城深夜。周明在法务团队的办公室里审完了数据治理委员会外部委员遴选名单的最后一版草案。他的窗外是合城產业园的夜景,追光四期的航標灯和追光五期的打桩机依旧亮著。而在天枢os数据治理框架的六千余个数据节点中,每一个节点都即將被这套正在定稿中的数据治理细则所覆盖——从產线传感器的毫秒级採集,到临床標註的每一份患者知情同意书,到街边店技师群里的一条基带功耗异常分享,到日內瓦磋商桌上的一份审计日誌,所有数据都將运行在同一套元规则之下。
他把草案锁进加密文件柜,在终端上打开了梁志远在下午发来的一份標註著“待处理”的新议题。议题標题是:“三家中东渠道商联合询价——追光三期退役刻蚀设备的二手外销可行性评估。”梁志远在议题下方附了一行批註:“这不是废铁外卖,这是製造能力出口的试水。需要法务端提前评估出口管制风险和技术外溢边界。”
周明在议题末尾批了一行字:“明早八点,合城六號会议室。请方程从新加坡视频接入,请李明哲从日內瓦提供出口管制风险的法律意见。”他保存文档,关掉终端。数据治理的制度底座刚刚浇筑完成,一个新的问题已经从地平线上浮了出来——未来科技的製造能力,正在被全球市场上那些被火龙联盟供应链排斥在外的需求方盯上。