普查跑完,系统吐出一份异常名单,真正卡住流程的往往不是「谁去复核」,而是「谁有权点开这些学生的报告」。名单能看到、报告点不开,复核就停在门口;反过来把报告权限放太开,又等于让一批不该看临床细节的老师提前接触到高敏感信息。这道题的解法,是把复核拆成「行政核对」和「专业研判」两段权限。
先分清复核的两段动作
异常名单复核不是一个动作。第一段是行政层面的核对:这个人是不是应测对象、是不是无效卷误判、名单里有没有重名串号,这一段不需要打开完整报告,只需要看到「是否触发、触发类别」这种最小信息。第二段才是专业研判:由具备资质的心理老师打开完整报告,判断预警是否成立、要不要约谈或转介。把这两段用同一个「查看报告」权限承载,就会出现要么谁都点不开、要么谁都能点开的极端。
让报告权限跟着流程节点走
更稳的配置是让报告的可见性绑定复核状态:名单生成后默认只有心理老师和指定复核人能进入报告层,行政协助人员只拿到脱敏的核对视图。每一次打开报告都写日志,含操作人、时间和对象;复核完成后,报告回到「按角色常态权限」,避免复核期临时放开的口子一直挂着没收回。这里最容易被忽略的是临时授权到期——很多泄露不是配错,而是复核结束后没人把口子关上。
脱敏视图到底给哪些字段
行政核对那一层不能只是「把报告藏起来」,而要主动定义能看到什么。合理的脱敏视图通常保留:学生标识(学号或姓名,视核对需要)、是否触发预警、触发的类别或等级,以及作答是否有效这类判断名单真伪必需的信息;同时挡掉因子分明细、临床倾向描述、逐题原始作答。这样行政人员足以完成「这个人是不是应测、是不是误判、有没有串号」的核对,却拿不到需要专业解读的内容。字段给多了,脱敏就名存实亡;给少了,行政核对又做不动,这条线要按实际核对动作逐字段划。
配置好不好,用两个反例检验最快:一是让一个只做行政核对的账号去点异常学生的完整报告,应该被拦在脱敏视图之外;二是复核结束后再用同一账号回看,之前的临时权限应该已经失效。两个反例都挡住了,复核才既跑得动又不越界。名单能不能点开报告,本质是权限跟不跟流程走,而不是把权限一次性放大。
