v3.9: Complete 6 remaining gaps for near-perfect coverage

- GNX token securities analysis with Howey Test (1.7)
- Smart contract upgrade strategy: Transparent Proxy + multisig + timelock (4.3.6)
- Security incident response plan: P0-P3 grading, emergency freeze, bug bounty (4.4.2)
- Privacy deletion rights vs blockchain immutability resolution (3.7.3)
- Critical third-party dependencies with backup options (4.7)
- Issuer B-end Web2 UX: template-based coupon creation, no blockchain knowledge needed (3.10.3)

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

docs/券金融平台-软件需求规格.md

@@ -160,6 +160,39 @@ Genex = **券交易领域的区块链基础设施平台先行者**
 
 > **Phase 1只开放Utility Track（消费型券），不开放Securities Track。完全规避SEC证券合规风险。Securities Track待取得法律意见书和相关牌照后再开放。**
 
+### 1.7 GNX原生代币合规分析
+
+> **券的证券属性已在1.5/1.6中详细分析。但Genex Chain的原生代币GNX本身也可能被SEC认定为证券，其影响面比券更大——如果GNX是证券，整条链的Gas机制、治理模型、质押经济都会受影响。**
+
+#### Howey Test分析（GNX代币）
+
+| 要素 | 判断 | 说明 |
+|------|------|------|
+| 投入资金 | **是** | 用户购买GNX需支付资金 |
+| 共同事业 | **是** | GNX价值与Genex平台整体发展直接相关 |
+| 期望利润 | **关键** | 质押收益 = 利润预期；Gas使用 = 功能性消耗（非利润） |
+| 依赖他人努力 | **是** | 平台团队的运营和开发决定GNX价值 |
+
+#### GNX的双重属性
+
+| 用途 | 性质 | 证券风险 |
+|------|------|---------|
+| **Gas消耗**（支付交易费用） | 功能性使用（消耗品） | **低**——类似"汽油"，用了就没了 |
+| **治理投票**（参与链参数决策） | 功能性使用（治理权） | **低**——类似"投票权"，非利润导向 |
+| **质押收益**（验证节点质押获得奖励） | **可能构成投资合同** | **高**——质押获利 = 期望利润 |
+| **二级市场交易**（交易所买卖GNX） | **可能构成投资合同** | **高**——买入持有等升值 = 期望利润 |
+
+#### 合规策略
+
+- [ ] **MVP阶段GNX不上交易所**：Phase 1中GNX仅用于Gas（平台补贴，用户不接触），不开放二级市场交易，回避证券风险
+- [ ] **功能性优先定位**：GNX的首要用途是Gas和治理，不宣传为"投资品"
+- [ ] **质押开放时机**：质押功能在取得法律意见书后开放，可能需Reg D/Reg S豁免
+- [ ] **代币经济设计**：聘请代币经济学顾问和证券律师共同设计，确保功能性消耗占主导用途
+- [ ] **参考先例**：研究SEC对ETH（非证券）、BNB（SEC诉讼）、SOL等代币的分类逻辑
+- [ ] 如GNX被归类为证券：需调整链经济模型（如改为纯Gas代币无质押收益），或进行证券注册
+
+> **MVP策略：Phase 1中用户完全不接触GNX（Gas由平台补贴），GNX仅作为链内部运行机制。待法律意见书明确GNX分类后，再决定是否开放质押和交易。**
+
 ---
 
 ## 2. 用户角色定义
@@ -538,10 +571,32 @@ P = F × (1 - dt) × (1 - rc)
 - [ ] 跨境税务合规（FATCA）
 
 #### 3.7.3 数据隐私合规
+
+**基本要求：**
 - [ ] CCPA（加州消费者隐私法）
 - [ ] GDPR（如服务欧盟用户）
 - [ ] 用户数据存储与删除策略
 
+**核心冲突：用户"删除权"vs 区块链不可删除**
+
+> CCPA/GDPR赋予用户"删除个人数据"的权利。但区块链上的交易记录、转移记录不可删除。平台必须在架构设计上解决这一矛盾。
+
+**解决策略：链上仅哈希/地址，明文在链下（可删除）**
+
+| 数据类型 | 存储位置 | 可删除？ | 说明 |
+|---------|---------|---------|------|
+| 用户姓名、手机号、邮箱、身份证 | **链下数据库** | **可删除** | CCPA/GDPR删除请求可执行 |
+| KYC资料（人脸、证件照片） | **链下数据库** | **可删除** | 同上 |
+| 手机号→地址映射 | **链下映射表** | **可删除** | 删除后地址变为"匿名地址" |
+| 交易记录（TX Hash、金额） | **链上** | **不可删除** | 但链上仅有地址，无个人信息 |
+| Travel Rule身份信息 | 链上=**哈希**，链下=**明文** | 链下可删，链上哈希不可逆 | 哈希不构成"个人数据"（不可逆） |
+
+- [ ] **架构原则**：链上永远不存储可识别个人信息（PII），仅存储地址和哈希
+- [ ] **删除流程**：用户请求删除 → 删除链下所有PII → 删除映射表记录 → 链上地址变为无法关联到个人的匿名地址
+- [ ] **法律论证**：链上地址在映射关系被删除后不再构成"个人数据"（参考CNIL/法国数据保护局2018年区块链指南）
+- [ ] **数据保留例外**：AML/BSA法规要求交易记录保留≥5年，此期间内不得删除（法规要求优先于删除权）
+- [ ] **隐私告知**：用户注册时明确告知"交易记录将永久保存在区块链上（不含个人信息），这是区块链安全性的核心保障"
+
 #### 3.7.4 数据报表
 - [ ] 平台交易日报/月报
 - [ ] 发行方兑付率报告
@@ -602,11 +657,25 @@ P = F × (1 - dt) × (1 - rc)
 - [ ] 多币种支持（法币 + 稳定币）
 - [ ] 多地区合规适配
 
-#### 3.10.3 发行方管理后台
+#### 3.10.3 发行方管理后台（B端Web2体验）
-- [ ] 券管理（查看、下架、召回）
+
-- [ ] 兑付管理（确认兑付、查看兑付记录）
+> **设计原则：发行方同样不需要了解区块链。发行券 = 在后台"创建优惠活动"，链上铸造在后台自动完成。**
-- [ ] 财务管理（销售收入、提现、对账）
+
-- [ ] 数据仪表盘（实时发行/兑付/流通数据）
+**发行方注册与操作流程：**
+```
+企业注册（营业执照+联系人）→ 资质审核 → 审核通过 → 发行方后台
+                                                    ↓
+                                    创建券活动（模板化）→ 设定面值/有效期/使用条件
+                                    → 提交审核 → 平台审核通过 → 自动链上铸造+上架
+```
+
+- [ ] 券管理（查看、下架、召回——用户看到的是"活动管理"而非"链上合约操作"）
+- [ ] 兑付管理（扫码核销/在线核销，后台自动调用Redemption合约，发行方无感）
+- [ ] 财务管理（销售收入、提现、对账——法币视图，不展示链上稳定币细节）
+- [ ] 数据仪表盘（实时发行/兑付/流通/Breakage数据，可视化图表）
+- [ ] **模板化发券**：预设券模板（满减券、折扣券、礼品卡、储值券），发行方填表即可，无需理解NFT/ERC标准
+- [ ] **批量操作**：批量发行、批量核销、批量导出数据
+- [ ] **消费者数据隔离**：发行方后台仅可见自己发行的券的汇总数据（兑付率、销量），不可见消费者个人信息（合约清算保护）
 
 ---
 
@@ -812,7 +881,45 @@ P = F × (1 - dt) × (1 - rc)
 └─ 清算结果              └─ 数据分析
 ```
 
+#### 4.3.6 智能合约升级策略
+
+> **智能合约部署后代码不可修改。如果发现漏洞或需要功能迭代，必须有安全的升级机制。同时SOX审计要求所有合约变更有完整审计追踪。**
+
+**升级模式：Transparent Proxy（透明代理模式）**
+
+```
+用户/前端 → Proxy合约（地址不变，存储不变）→ Implementation合约（可替换）
+                                                    ↓
+                                            新Implementation（升级后）
+```
+
+- [ ] 核心合约（Coupon、Settlement、Compliance等）均采用Transparent Proxy模式部署
+- [ ] Proxy合约地址固定不变，用户和前端不需要感知升级
+- [ ] 升级仅替换Implementation合约，Proxy存储层（资产数据）不受影响
+
+**升级治理流程（多签+时间锁）：**
+
+```
+发起升级提案 → 多签审批（3/5多签） → 时间锁等待期（48小时） → 自动执行升级
+                                              ↓
+                                    等待期内可紧急取消（安全委员会）
+```
+
+- [ ] **多签授权**：合约升级需Governance合约3/5多签批准（平台核心成员+独立安全审计师）
+- [ ] **时间锁（Timelock）**：升级提案通过后强制等待48小时才执行，给社区/用户时间审查
+- [ ] **紧急升级通道**：发现严重安全漏洞时，安全委员会可走紧急流程（缩短时间锁至4小时，需4/5多签）
+- [ ] **升级前审计**：每次升级前必须通过第三方安全审计（CertiK/Trail of Bits/OpenZeppelin等）
+- [ ] **升级日志链上记录**：每次升级的提案、投票、执行全部记录在Governance合约事件日志中（SOX审计追踪）
+- [ ] **回滚能力**：保留前一版Implementation合约地址，紧急情况可回滚至上一版本（需多签）
+
+**不可升级的合约（安全红线）：**
+- [ ] CouponFactory中的券类型标记逻辑（Utility/Security）——类型一旦设定不可修改
+- [ ] Coupon合约中的所有权记录——所有权不可被升级操作篡改
+- [ ] 链上转售计数器——防止通过升级绕过Utility Track转售次数限制
+
 ### 4.4 安全要求
+
+#### 4.4.1 基础安全
 - [ ] HTTPS全站加密
 - [ ] 敏感数据加密存储
 - [ ] 接口签名验证
@@ -822,6 +929,38 @@ P = F × (1 - dt) × (1 - rc)
 - [ ] 智能合约审计（第三方）
 - [ ] 私钥管理方案（MPC/HSM）
 
+#### 4.4.2 安全事件响应计划（Incident Response）
+
+> **金融平台必须有完整的安全事件响应计划。保险公司核保、SOX审计、Nasdaq上市审查均会评估IR能力。**
+
+**事件分级：**
+
+| 级别 | 定义 | 响应时限 | 示例 |
+|------|------|---------|------|
+| **P0（紧急）** | 资产被盗/合约漏洞被利用 | 立即响应，15分钟内启动应急 | MPC密钥泄露、合约被攻击、大规模资产异常转移 |
+| **P1（严重）** | 数据泄露/系统被入侵 | 1小时内响应 | 用户数据泄露、映射表被篡改、管理后台被入侵 |
+| **P2（中等）** | 局部服务异常/可疑活动 | 4小时内响应 | 单一API被攻击、异常登录行为、链上可疑交易模式 |
+| **P3（低）** | 潜在风险/安全隐患 | 24小时内评估 | 依赖库漏洞披露、安全扫描告警 |
+
+**P0应急流程：**
+
+```
+检测到资产异常 → 自动触发紧急冻结（Governance合约）→ 安全团队15分钟内到位
+        → 评估影响范围 → 链上资产冻结（多签确认）→ 取证与根因分析
+        → 用户通知（≤24小时）→ 修复方案 → 事后报告 → 流程改进
+```
+
+- [ ] **紧急冻结能力**：检测到大规模异常转移时，自动触发Governance合约冻结涉案地址（需多签确认生效）
+- [ ] **数据泄露通知**：CCPA要求72小时内通知受影响用户和加州总检察长；各州时限不同，以最严格标准执行
+- [ ] **取证与证据保全**：安全事件发生后立即保全日志、链上记录、系统快照，配合执法机构调查
+- [ ] **用户沟通**：安全事件发生后24小时内通过App推送+邮件+官网公告通知用户，说明影响范围和补救措施
+- [ ] **事后报告**：每次P0/P1事件后出具事后分析报告（RCA），纳入SOX内部控制评估
+
+**漏洞披露与Bug Bounty：**
+- [ ] 建立负责任漏洞披露政策（Responsible Disclosure Policy）
+- [ ] Bug Bounty计划：严重漏洞奖励$10K-$100K（智能合约漏洞上限更高）
+- [ ] 与第三方安全平台合作（Immunefi/HackerOne）
+
 ### 4.5 灾难恢复与业务连续性（DR/BCP）
 
 > **金融交易平台必须具备灾难恢复能力，Nasdaq上市审计也会审查BCP**
@@ -886,6 +1025,8 @@ P = F × (1 - dt) × (1 - rc)
 | **消费** | 出示券码/扫码核销 | 调用Redemption合约 | 合约清算+券销毁 |
 | **查看余额** | 打开"我的余额" | 聚合链上+链下余额 | 查询链上代币余额 |
 | **查看记录** | 打开"交易记录" | 交易哈希→订单号映射 | 读取链上事件日志 |
+| **发行券**（B端） | 填写券模板，点"发布" | 调用CouponFactory合约铸造 | 链上ERC-721/1155铸造 |
+| **核销**（B端） | 扫码/输入券码，点"核销" | 调用Redemption合约 | 合约清算+券销毁 |
 
 - [ ] **手机号/邮箱→地址映射服务**：维护手机号↔链上地址的安全映射表（见下方安全方案）
 - [ ] **Gas代付服务（Paymaster）**：所有标准模式用户的链上操作Gas由平台代付，用户零感知
@@ -931,6 +1072,26 @@ P = F × (1 - dt) × (1 - rc)
 - [ ] Pro模式可直接使用MetaMask等外部钱包操作
 - [ ] 标准模式与Pro模式可随时切换（自托管→平台托管需转移资产）
 
+### 4.7 关键第三方依赖与备选方案
+
+> **平台依赖多个关键第三方服务。任何单一依赖中断都可能导致业务停摆。必须对每个关键依赖有备选方案。**
+
+| 依赖 | 主选方案 | 备选方案 | 中断影响 |
+|------|---------|---------|---------|
+| **稳定币** | USDC（Circle） | USDT（Tether）、PYUSD（PayPal） | 用户无法入金/交易 |
+| **跨链桥** | Axelar | Wormhole、LayerZero | 外部链资产无法桥入Genex Chain |
+| **KYC供应商** | Jumio/Onfido | Veriff、Sumsub | 新用户无法注册/升级KYC |
+| **OFAC名单** | Chainalysis | Elliptic、TRM Labs | 合规筛查中断（必须暂停服务） |
+| **法币通道** | 主银行合作方 | 备用支付处理商（≥2家） | 法币出入金中断 |
+| **MPC钱包服务** | Fireblocks/自建 | Fordefi、Liminal | 标准模式用户无法操作 |
+| **Travel Rule协议** | TRISA | TRP、OpenVASP | 大额P2P转移暂停 |
+
+- [ ] 每个关键依赖至少有1个已评估的备选方案
+- [ ] 法币通道和OFAC筛查必须有热备（自动切换），因中断 = 合规违规
+- [ ] 稳定币支持多币种（USDC+USDT），用户可选择，降低单一稳定币风险
+- [ ] 跨链桥安全评估：桥是历史上最大安全漏洞源，选择时安全性优先于速度
+- [ ] 年度供应商评审：评估各依赖方的财务稳定性、安全记录、合规状态
+
 ---
 
 ## 5. 未来扩展需求（白皮书第八章）
@@ -1105,7 +1266,7 @@ P = F × (1 - dt) × (1 - rc)
 
 ---
 
-*文档版本: v3.8*
+*文档版本: v3.9*
 *生成日期: 2026-02-09*
 *来源: 券的金融本质与短期资金募集机制白皮书 (draft v0.1)*
-*更新: 三级资产控制模型（标准/提取到外部钱包/Pro，3.4.1），映射表MPC防篡改方案（4.6.2），CARD Act冲突处理（3.7.1），术语统一（方案A/B→标准/Pro）*
+*更新: GNX代币合规分析（1.7），智能合约升级策略（4.3.6），安全事件响应（4.4.2），隐私删除权方案（3.7.3），第三方依赖备选（4.7），发行方B端UX（3.10.3）*