一次常见的扯皮是这样开始的:某员工投诉自己的心理测评明细被人翻看过,追查时却发现,那个能看到明细的账号既给了外部 EAP 供应商的咨询师使用,也给了内部 HR 使用,系统日志里只留下一个共享账号的名字。到底是谁在什么时候看的,查不出来。共享账号在出事的那一刻,就已经失去了追责能力。
EAP 供应商和内部 HR 共用账号,图的是省事,代价是责任无法落到具体的人。心理数据敏感,一旦出现越权查看或违规导出,分不清是哪一方、哪个人操作的,事后既没法追责,也没法向被泄露的员工交代。更麻烦的是,员工一旦知道 HR 和外部供应商用的是同一个能看明细的账号,对整个测评的信任就会打折,愿意如实作答的人会变少。
操作日志记的是账号,不是人
大多数系统的审计日志,记录的主体是登录账号。账号和自然人一一对应时,日志才有指认能力;一个账号多人共用,日志就退化成「这个账号做了什么」,而回答不了「谁做的」。对普通业务数据,这或许还能忍;对心理测评这种高敏感数据,追不到人就等于没有审计。
每个自然人一个独立身份
分责的前提是先分身份。EAP 供应商的每名咨询师、内部每个 HR、系统管理员,都用各自独立的账号,绑定到具体的自然人,不允许交叉借用。再用角色把权限分开:EAP 咨询师只能看分配给自己的来访明细,HR 只能看去除身份的聚合数据,管理员负责配置和账号管理、但不看测评内容。身份和角色都清楚了,日志里的每一步才追得到人。
日志要记全才分得清责任
一条有用的日志至少要包含:操作者是谁(账号加自然人)、什么时间、动的是哪位来访的哪条数据、做了什么动作(查看、导出、修改、下载报告)、来自哪个客户端或地址。跨组织协作时还要多记一项——操作者属于 EAP 方还是内部。日志本身要只增不改、独立存储,连管理员也不能删改,否则出了事日志先被抹掉,追责无从谈起。
跨组织协作的合同边界
EAP 供应商在数据上属于外部处理方,合同里要写清它能访问的数据范围、数据类型、保留期限,以及合作结束时的数据处置和账号停用。合作到期,供应商侧的账号统一关闭,定期把访问日志导出来双方对账。在橙星云里,可以给 EAP 方和内部 HR 分别建立独立账号、绑定不同角色、开启审计日志,让每一次查看和导出都能追到具体的人和所属组织。账号分清了,日志才谈得上分责,出了问题也才有据可查。
