时间戳（允许±10分钟漂移）

项目指纹（project_id+geo_bucket）

4）将以上摘要与nonce一起打包，生成发生签名摘要（attestation_hash），由省端或可信服务签名

5）系统仅保存摘要与签名，不保存原图（原图可选保存于项目方自有系统）

“我们不存照片内容。”林远在RFC说明里写得很清楚，“我们存的是：这张照片是否在某个时间窗、某个项目、某个挑战码下被采集过。”

这句话把隐私争议提前拆掉：你可以说我存内容，但你很难说我存摘要也侵犯隐私。

银行何经理看完RFC-022，直接在群里回：“这才是能进入风控的证据。没有发生签名的图片，银行不会当证据链。”

审计联络也补了一句：“发生签名是链条，不是监控。链条可审计，监控不可控。”

争议来得很快：你们是不是在监控现场？

第二天上午，RFC-022刚上线，协会周秘书长就带着“行业关切”来了。咨询总监更直接，开门见山：

“你们要求现场采集入口，这就是变相监控。企业会抵触，媒体会盯。你们很容易被打成‘数据监工’。”

这句话很毒，甚至有点像专门设计过的。

林远没有急着解释，他先问了一个更现实的问题：“那你们希望怎么证明发生？靠谁写一句话？靠谁盖章？靠谁拍一张相册照片？”

咨询总监沉默了一下：“至少别强制走你们入口。企业自己拍也行。”

“企业自己拍也行。”林远点头，“所以我们留了M0。你想用相册照片做沟通，没问题。但你想用它开消防门、插队、触发例外，那不行。因为那会被卖成门票。”

周秘书长换个角度：“一线没有网络怎么办？现场信号差怎么办？你们又逼基层背锅。”

林远把RFC-022里一条早就写好的“离线缓冲”投出来——他知道这招一定会被拿来打：

离线发生包（Offline Evidence Pack）

这章没有结束，请点击下一页继续阅读！

允许在离线状态下采集，生成本地摘要与时间戳

网络恢复后24小时内补上传nonce绑定

若超时未绑定，则降级为M0（软媒体）

离线使用次数进入周报统计，防止被滥用当后门

“我们允许离线。”林远说，“但离线必须补链。补不上链，就别拿它当硬证据。”

数科副总想抓住“入口”来要权：“那采集入口我们来做，统一接入，省里省事。”

林远看着他：“入口你们可以做，但你们不能控制签名。签名仍然是省端密钥，双人授权，留痕可审计。入口是铲子，签名是地契，别混。”

银行何经理点头：“入口谁做不重要，重要的是签名权不在运维方。”

会议最后落成一个很清晰的结论：

M0自由，M1严格；不存内容，只存指纹；离线可用，但必须补链。

佛山那批照片：从“完美证据”降级成“软媒体”

规则出来，陈毅立刻对佛山那批补交照片跑“发生签名”校验。

结果毫不意外：全部是M0。