『如果章节错误,点此举报』第(2/3)页
道;外联信息疑似外泄导致恐吓短信出现,属于对项目交付的现实威胁。公司如果不补证,追溯结论就会停留在‘无法锁定’,风险就会反复发生。补证是组织自保,不是个人猎巫。”
他停顿了一秒,补上最关键的一句:“如果公司认为补证请求不应由我提出,可以。请明确由谁提出、何时提出、补证范围是什么,并在纪要里写清楚。否则风险事件持续存在,影响交付节奏,责任不能落到执行人身上。”
这句话像把门关上:要么你们接手补证并写明责任,要么你们默认我提出补证的必要性。对方想让他闭嘴,就得先把责任接过去。
信息安全代表明显开始不自在。他翻了翻“风险点清单”,终于抛出他们准备好的核心攻击:“我们发现你的账号在共享盘里创建了多个‘追溯’相关目录,存在‘收集敏感信息’的嫌疑。尤其是你归档了门禁、访问日志、短信截图,这些都属于敏感数据。你有没有获得公司授权?”
周砚没有被“敏感信息”吓住。他把梁总那条“追溯专项说明草案”邮件打印件放到桌上,指尖点在梁总要求他“整理事实材料”的那行字上:“这是授权。梁总明确要求我整理事实材料并补充专项说明。归档的目的不是收藏敏感信息,而是形成可审计证据链。所有归档都在公司共享盘、最小权限范围、用于项目事故风险评估与追溯核验。短信截图我做了加密相册存放,未在共享盘公开,并已向梁总报告。这是最小化处理。”
阿远的眼神在那封梁总邮件上停了一瞬,脸色微不可察地沉了下去。周砚看得清楚:对方最怕的就是梁总的纸。
HR主管试图重新把矛头对准“个人信息承诺”:“那我们回到承诺书。你坚持写工具清单,这点梁总同意了。但你在执行中是否完全按清单走?比如你给王珊发送的脱敏名单,有没有经过审批?”
周砚把邮件索引表翻到对应条目:“脱敏名单是按甲方要求提供,用于现场接待安排,属于项目交付。邮件发送收件人仅王珊,抄送梁总,附件为脱敏版,且声明‘仅用于接待安排,不得二次传播’,并附隐私告知证据。审批链路在项目授权范围内,梁总全程抄送。你们如果认为需额外审批,请把审批流程写进纪要,并从今天开始执行;但不能用今天的规则回溯昨天的动作。”
这句话把“合规陷阱”拆得干净:不允许用新增规则回溯既往动作来扣帽子。
法务专员沉默了几秒,终于开口:“好。那我们纪要里写:现阶段周砚的用户信息处理动作未发现外联违规证据,但需继续按最小化原则执行,且后续新增审批流程由HR/法务另行书面通知。”
周砚点头:“可以。但请同时写明:追溯资料的访问权限按最小化原则继续执行,行政共享账号整改为实名账号,并停止共享账号下载权限。否则追溯外泄风险仍在,影响项目交付。”
阿远忍不住插话:“你总要把话题扯回共享账号。现在讨论的是你。”
周砚看着他:“共享账号下载追溯材料发生在行政区,时间窗与外泄恐吓出现高度相关,这是项目风险链的一部分。讨论我而不讨论漏洞,就是把风险留在组织里。你要讨论我,可以,但必须在同一份纪要里同时讨论漏洞,否则纪要会成为选择性定性的工具。”
会议室里空气再次僵住。HR主管看了一眼法务,又看了一眼信息安全代表,最后不得不点头:“纪要会写进整改动作。”
09:58,会议结束。阿远站起来时椅子腿没有拖地,但他走过周砚身旁时,低声丢下一句:“你以为你拿着梁总的授权就安全了?梁总也不是永远站你这边。”
周砚没有回应。他只做了一个动作:把会议纪要要点当场写在自己的“会议记录底稿”里,标注“待对方纪要核对”。所有“口头威胁”都不值得争,但所有“会议结论”都必须落纸。只要纸落下,立场就不再轻易摇摆。
10:16,周砚回工位,刚坐下,梁总的电话就打进来:“你那边会开完了?”
“开完了。”周砚简要汇报四条结论:未发现外联违规证据、后续审批流程需书面通知、追溯权限最小化继续、共享账号整改写入纪要。他没有提阿远那句威胁,因为那句没有证据,提了只会引战。
梁总沉默两秒:“好。十点半我会发正式版专项说明。你把今天HR会的‘结论要点’以邮件形式发我,作为附件索引补充,避免后续有人扭曲。”
“收到。”
10:24,周砚把HR会议要点写成三段邮件,语气极简,附“会议底稿”与“待核对纪要要求”。发出后截图归档,更新合规清单。
10:31,梁总的正式邮件发出。标题没有情绪,只有冷冰冰的组织语言:
《熙湖云庭项目:追溯专项说明与整改要求(权限模板/共享账号/监控缺口补证)》
抄送范围很广:部门负责人、HR、法务、安全部、行政负责人、项目群归档邮箱。邮件正文四点:事实摘要、风险定性(组织漏洞)、整改动作、时限要求。附件里附了周砚提供的事实材料索引表与哈希值。
纸,终于先落下去了。
周砚盯着这封邮件,心里没有轻松,只有更高的警惕。因为组织纸一落,对方要么收手,要么反扑;而反扑一定会更狠、更直指“用工”。
果然,11:07,HR主管又发来一封邮件,标题比任何一次都更锋利:
《试用期终审补充材料提交通知(与项目合规相关)》
内容要求周砚于今日17:00前提交:
1)个人信息处理全流程自查报告;
2)外联沟通清单(含与甲方的全部联系记录);
3)权限调整与共享盘目录变更说明;
4)个人设备使用自查(是否使用私人手机拍摄工作内容等)。
这不是合规检查,这是“终审材料”。他们要把所有动作集中到一天内,让他在高压中出错、漏项、措辞不严谨,然后用“未按时提交/说明不清”扣上“配合度差”或“风险不可控”。
周砚看着邮件,手心没有汗。他甚至觉得对方来得太快——快到暴露焦虑。因为梁总的专项说明已经把“组织漏洞”写死,对方再拖下去,追溯就会继续向深处推进;他们只能用“用工终审”这个更大的框,把他关进另一个房间,让他从“追溯链路”上被迫抽身。
他不可能抽身。抽身就意味着节奏断档,意味着对方目的得逞。
所以,他要把这份“终审材料”也做成自己的武器:把它写成一份更完整的“合规自证底稿”,并且让每一条都回到梁总已落纸的组织框架内——强调“在组织授权与制度边界内执行”,强调“最小化必要”,强调“全程可核验”。
11:22,周砚开了两个文档:
A文档:《个人信息处理自查报告(D1-D7)-证据链与口径说明》
B文档:《外联沟通清单与交付确认记录(抄送梁总)-索引版》
A文档结构像审计报告:范围、口径、流程图、证据索引、异常处理、风险控制点。每一个流程节点都挂证据:隐私告知截图、表单勾选记录、CRM录入日志、脱敏导出规则、到访名单分发范围。最后一页写“未发现外联违规证据,所有工具使用均在公司认可清单内,清单更新需联合书面通知(引用梁总指令)”。
B文档更像法庭目录:每一次对甲方邮件、每一次抄送梁总的记录都按时间列出,主题、摘要、附件哈希、存放路径。它的意义不是“证明我勤奋”,而是“证明我从未绕开管理层,所有对外沟通均可追溯”。
12:30,周砚暂停十分钟吃了个面包。他没有离开工位,只把水杯放到键盘旁边。因为他知道,对方最常见的手段就是在你最疲惫的时候塞一个“紧急动作”进来,让你因为饥饿和疲惫而写错一行字。写错字不致命,致命的是被对方抓住写错的字说你“态度不严谨”。
13:06,安全部负责人发来消息:“热点补证我们查到SSID了,但涉及个人设备,需HR参与谈话。梁总已安排。”
周砚回:“收到。补证材料请走正式邮件,抄送梁总与法务,避免口头结论被扭曲。”
对方回了个“OK”。
13:40,王珊又发来消息:“周砚,周六加场开放日我们领导要你们现场也能做‘核验演示’,最好准备一张‘核验路径一览’的展板,来的人一眼能看懂。”
周砚回:“可以。展板今晚给你版式,明早出印刷稿。内容只放三类:数据来源、实测证据、隐私告知。每项对应二维码直达核验路径。”
他把这条甲方需求同步到项目群,抄送梁总。对方越想把他从项目里踢出去,他就越要让甲方的需求与他的动作绑定得更紧密。不是靠“我不可替代”,而是靠“甲方点名要求某种交付能力”,而这能力目前由他落地。
14:55,HR会议室外又出现了熟悉的脚步声。不是阿远,是财务BP。她站在隔板边,声音压得很低:“周砚,梁总的专项说明一发,很多部门开始紧张。你今天提交终审材料时,注意一个点:别把自己写成‘单兵英雄’,你要写成‘在组织授权下推进整改’,这样梁总才能站得住。”
周砚点头:“明白。我会引用组织指令与流程,不写主观判断。”
财务BP看了他一眼:“还有,王XX那条线,今天可能会谈话。你不要在任何场合提名字,尤其不要在项目群提。你只提‘事实链路’与‘补证需求’。”
“明白。”
财务BP走了。周砚看着她的背影,心里更清楚:组织已经开始从“围观”转为“站队”,而站队越明显,对方反扑越狠。
15:28,阿远终于在项目群里发了一条长消息,表面是工作安排,实则是切割:“鉴于近期合规追溯与外部舆情,项
(本章未完,请翻页)
第36章 纸先落下 我把废案写成爆款
