很多系统都带日志,但不少团队对审计日志的理解还停在“出问题时查一下”。放到心理软件里,这种理解明显不够。因为心理数据足够敏感,谁看过、谁导出过、谁改过配置、谁调整过阈值,这些记录本身就是系统可信度的一部分。
换句话说,审计日志不是后台附属页,而是心理软件的核心能力之一。
心理软件里的日志,首先承担的是责任边界
谁在什么时候查看了什么、是否导出过个体明细、有没有修改预警阈值、谁启用了新版本量表,这些操作如果没有清晰记录,后面一旦出现争议,责任边界就会非常模糊。
对普通内容平台来说,这也许只是管理问题;对心理软件来说,它直接关系到隐私、专业和合规。
没有审计日志,很多风险最后只能靠“大家都说没有”来判断
数据被看到过没有,阈值是谁改的,报告模板什么时候换的,历史版本怎么切的,如果系统里说不清,最后就只能依赖口头回忆。可一旦涉及敏感数据和专业判断,口头回忆本来就不够。
这也是为什么数据安全不只是把数据库锁起来,因为真正的风险常常发生在系统被使用的过程里。
审计日志不仅是看“谁动过”,还要看“动完有没有影响到结果”
稳定的系统日志不应该只记录登录和导出,还应该覆盖量表版本切换、报告模板修改、权限变更、阈值调整、批次删除和结果重算。因为这些动作一旦发生,影响的不只是后台配置,而是后续整个解释链。
日志如果太浅,就很难真正支持追溯。
采购心理软件时,最好把日志粒度单独验一遍
很多团队会问系统有没有日志,但真正该问的是:记录到什么粒度?能追溯多久?支持哪些角色?修改后是否防篡改?能不能关联到具体对象和具体配置?这才决定日志是摆设,还是可用。
审计日志为什么是心理软件的核心能力?因为心理软件真正要守住的,不只是数据本身,还有整个数据被使用和被解释的过程。