-
行业资讯
INDUSTRY INFORMATION
2026年,国央企正在“十四五”收官与“十五五”衔接的关键节点上重新审视HR数字化。业人融合已成为高频目标,但真正决定项目能否走深走稳的,往往不是系统是否互联,而是安全合规与权限体系是否先行。本文面向国央企HR数字化负责人、信息化管理者及集团管控相关决策者,回答一个现实问题:业人融合为什么不能先接系统再补治理,并给出可执行的建设框架。
近两年,围绕中央企业数字化转型、数据安全治理、系统合规建设的要求明显趋严。尤其进入2025—2026年后,国资监管、数据安全法治化以及信创替代进程三股力量开始在企业内部汇合,HR系统不再只是人事管理工具,而逐步成为组织治理、干部管理、成本分析、监管报送的重要数据节点。
问题也由此变得更尖锐。很多企业希望通过业人融合,把业务系统中的经营数据与HR系统中的组织、人效、薪酬、绩效等数据联动起来,形成更强的分析能力和决策支持能力。但一旦融合推进,原本相对封闭的人事数据就会进入更大范围的流转链路。此时,如果数据分级分类不清、访问边界不明、授权逻辑粗放、审计追踪缺位,那么融合带来的就不只是效率提升,也可能是合规暴露面急剧扩大。
因此,本文要回答的不是“业人融合值不值得做”,而是另一个更关键的问题:业人融合为什么要先做安全合规与权限体系。从研究视角看,这既是一个技术命题,也是一个组织治理命题。
一、业人融合的本质是数据跨域流动——安全合规风险被系统性放大
业人融合真正改变的,不是界面上多了几个接口,而是数据开始跨系统、跨部门、跨层级流动。对于国央企而言,一旦流动发生,风险就不再停留在单一系统内部,而会沿着组织链条和业务链条扩散。
1. 业人融合的三层数据流动,决定了风险暴露面的扩大逻辑
很多项目在立项时把业人融合理解成“HR系统接业务系统”,这种表述太轻,容易掩盖真实复杂度。更准确地说,业人融合是把原本在HR域内相对封闭的数据,放入更广泛的业务协同与集团治理场景中使用。数据一旦流动,边界就必须重画。
第一层是HR域内闭环。这一阶段的数据主要在组织人事、薪酬绩效、干部档案、合同管理等模块内部流转,参与者相对稳定,访问边界也较易控制。虽然数据已经高度敏感,但风险更多来自内部权限粗放、日志不完整、账号共用等传统问题。
第二层是HR与业务系统双向互通。例如,人力成本与经营成本联动分析,绩效指标与业务指标挂钩,岗位需求与人才画像联动。这一步的关键变化不在“是否集成”,而在于HR数据开始进入业务判断,业务数据也开始反向塑造HR决策。访问主体增多,数据使用目的增多,原本单一的人事用途扩展为经营用途、管理用途和分析用途,合法性判断自然更复杂。
第三层是集团多业态跨域共享。在集团化国央企中,业人融合往往不会停留在单一单位,而会进一步延伸到集团人效看板、跨板块人才调配、监管报表穿透、干部任用协同等场景。这意味着数据不仅跨系统,还跨组织、跨层级、跨业态流动。每增加一层共享,合规暴露面就会明显上升。
图表1:业人融合中的三层数据流动结构与合规暴露面
这也是为什么我们说,业人融合的核心不是系统对接,而是数据跨域流动管理。
2. 国央企HR数据具有天然“高敏”属性,合规门槛并不低
并非所有企业都面临同等强度的数据治理要求,国央企尤其特殊。HR系统中的薪酬、绩效、劳动合同、干部档案、组织任命、人员调配、奖惩记录等数据,本身就同时具备个人信息、组织秘密、经营敏感信息等多重属性。某些场景下,还会与干部管理纪律、涉密岗位管理要求、重大决策流程留痕要求发生交叉。
这意味着,国央企HR数据不能被简单视为一般经营数据。即使某项数据在技术上可以调用,也不代表在管理上就应当共享;即使某类分析在业务上有价值,也不意味着在合规上当然成立。特别是在《数据安全法》强调分级分类治理、《个人信息保护法》强调合法基础与最小必要原则之后,HR数据处理的评价标准已经从“能不能传”转向“为什么传、给谁传、传到什么程度、留下什么痕迹”。
从实践看,最容易被忽视的是“聚合后的敏感性放大”。单看一项字段,可能只是普通员工信息;但一旦与薪酬、绩效、岗位层级、经营单元、干部身份等数据叠加,就可能形成高敏画像。国央企推进业人融合时,风险往往不是单点字段泄露,而是多源数据拼接后产生新的暴露能力。
3. “先融后治”的常见问题,往往不是技术故障,而是治理失序
不少企业在推进融合时,最先遇到的并不是接口打不通,而是接口打通后不知道该不该用、谁该看、看到什么程度。这类问题一旦出现,系统本身反而会成为责任争议的放大器。
典型情形包括:业务主管为了做人效分析,直接看到个人薪酬明细;绩效联动场景中,敏感字段未脱敏就跨系统传输;干部任用相关数据被普通管理链条误读或误取;多个系统之间权限口径不一致,导致同一人员在A系统能看、在B系统不能看;发生访问争议后,日志只有操作记录,没有授权依据、审批链条和访问目的说明,审计难以穿透。
这些问题说明,所谓“先融后治”并不是先干业务、再补制度那么简单。它的真正代价在于,数据一旦流动,后续再补边界,往往要面对历史接口整改、权限回收、组织博弈和审计追溯四重成本。也就是说,融合越快,返工可能越大。
因此,安全合规在业人融合中并不是附属条件。它首先回答的是数据主权归属与使用边界,其次才是技术实现路径。这个顺序不能倒置。
二、国央企面临的“三重叠加”合规压力——为何比民企更需先行
国央企之所以更需要在业人融合前先做安全合规与权限体系,不是因为数字化意愿更弱,而是因为所处制度环境更复杂。它受到的不是单点监管,而是多维约束叠加后的整体治理压力。
1. 国资监管要求的是可追溯、可穿透、可核查,而不是表面互联
在国资监管场景下,数字化系统不仅服务内部管理,也承担流程留痕、责任还原、监管支撑的功能。尤其涉及“三重一大”事项线上流转、干部选拔任用过程管理、组织人事调整记录、集团管控数据报送等事项时,系统输出不能只是结果,还要能够解释过程。
业人融合会让业务数据与人事数据相互参照,这本来有助于形成更完整的管理视图,但同时也增加了审计链条的复杂度。例如,一项经营绩效调整若影响绩效分配,再进一步影响干部评价或薪酬结构,那么系统需要回答的不只是“结果是什么”,还要回答“谁发起、谁审批、谁有权查看、依据什么规则推送、是否经过合规授权”。
如果权限体系不清晰,审计就会出现断层。表面看数据打通了,实质上却难以证明每一步访问都符合组织授权和流程规则。对于国央企而言,这种不可解释性本身就是治理风险。
2. 数据安全法规对HR数据处理提出了更细的边界要求
《数据安全法》强调数据分级分类管理,《个人信息保护法》强调合法、正当、必要原则以及最小必要处理逻辑。放在业人融合场景中,这些要求都会变得具体而尖锐。
例如,业务部门为进行成本分析,是否可以读取薪酬数据?如果可以,是读取汇总后的成本口径,还是读取到个人级明细?为了做绩效联动分析,是否有必要同时调取员工个人识别信息?如果只是看组织效能趋势,是否应当采用去标识化或脱敏展示?再如,跨子公司人才调配场景中,集团是否可以查看所有候选人的完整绩效档案,还是应当按任用流程分阶段开放?
这些问题没有一个可以靠“业务需要”四个字自动解决。因为数据处理的合法性,不只取决于用途合理,还取决于范围是否收敛、路径是否可审计、授权是否有据可循。对国央企来说,合规不是阻碍分析,而是在决定分析可以走到哪一步。
3. 等保与信创要求,把接口安全和权限控制推到了前台
很多企业把等保和信创理解为IT部门的事项,但在业人融合中,这两者会直接影响HR数字化方案设计。HR系统如果普遍要满足等保三级要求,那么数据访问控制、身份鉴别、日志审计、接口安全、边界防护等控制点都不是可选项。融合越深,接口越多,攻击面也就越大。
与此同时,信创替代推进意味着系统运行环境、数据库、中间件、适配方案都可能发生变化。原本在单体应用中可用的权限控制逻辑,到了多系统集成、国产化环境、多组织多租户架构下,未必仍然稳定。此时,如果没有统一授权中枢和清晰的权限策略,接口只会越接越多,控制却越来越碎。
表格1:国央企业人融合面临的三重合规压力图谱
| 合规维度 | 核心法规/政策 | 对业人融合的关键约束 | 典型风险场景 |
|---|---|---|---|
| 国资监管 | 国资委数字化转型通知、“三重一大”制度 | 审计可穿透、流程可追溯、数据可核查 | 业务-人事数据交叉后审计链路断裂 |
| 数据安全法规 | 《数据安全法》《个人信息保护法》 | 数据分级分类、最小必要、合法基础 | 薪酬/绩效数据跨域访问缺乏授权依据 |
| 等保信创 | 等保三级标准、信创替代要求 | 接口安全、国产化适配、安全可控 | 多系统集成接口成为攻击面 |
三类压力叠加后的结论很清楚:民企可以在部分低风险场景中边做边调,国央企则更适合采用“先治后融”的推进模式。不是因为动作慢,而是因为治理要求本身更重、更细、更难回避。
三、权限体系——从“管控工具”到“融合基础设施”的认知升级
当业人融合进入实操层面,很多分歧最终都会落在权限问题上。不是因为权限最显眼,而是因为权限决定了数据能否以可控方式流动。权限体系如果停留在旧框架里,融合越深入,组织越容易陷入两难:要么看得过多,要么干脆不敢开放。
1. 传统权限体系的局限,在融合场景下会被迅速放大
多数企业早期的权限管理更偏向功能授权,即谁能进入哪个模块、使用哪个菜单、提交哪类流程。这种模式在单系统、单部门、单用途环境下通常够用,因为用户与数据场景相对固定。
但业人融合并不满足于功能层级控制。业务主管可能需要看本部门人力成本趋势,却不应看到个人薪酬条目;集团管理层可能需要看跨单位组织效能对比,却不应直接读取下属单位完整的敏感结构信息;项目负责人可能需要基于技能标签和岗位画像识别人才,却不应反查员工全部绩效明细与合同细节。
这说明传统的“菜单级授权”已经无法支撑融合后的数据治理要求。因为真正敏感的,不是是否进入某个页面,而是进入页面后能看到哪一列、哪一行、哪一类字段,以及这些信息能否导出、能否二次传播、能否长期保留。权限颗粒度如果不下沉,系统表面上有控制,实质上仍然粗放。
2. 业人融合需要的是数据级、策略级、跨域级的权限能力
业人融合对权限体系提出的新要求,至少体现在三个方向。
第一,从功能授权转向数据授权。授权对象不再只是模块和按钮,而是字段、记录、数据集和分析结果。尤其在薪酬、绩效、干部、合同、任用等敏感场景中,字段级控制几乎是基本要求。
第二,从静态角色转向动态策略。传统RBAC适合定义稳定岗位角色,但在国央企复杂场景中,仅靠角色往往不够。是否可访问某项数据,还可能取决于组织层级、管理关系、业务场景、时间窗口、审批状态、访问目的等条件。此时就需要RBAC与ABAC结合,既保留组织治理中的角色逻辑,又引入策略判断能力。
第三,从单系统权限转向跨系统统一治理。如果HR、财务、经营、审批、档案等系统各自授权、口径不一,那么融合后的控制链就会断裂。企业需要建设统一权限中枢,让授权规则、审批逻辑、访问追踪和异常预警在跨系统环境中保持一致。
表格2:传统权限体系与业人融合所需权限体系对比
| 对比维度 | 传统权限体系 | 业人融合所需权限体系 |
|---|---|---|
| 授权粒度 | 功能菜单级(模块/页面) | 数据字段级(列/行/单元格) |
| 授权模型 | 静态角色(RBAC) | 角色+策略混合(RBAC+ABAC) |
| 管控范围 | 单系统内部 | 跨系统跨域统一 |
| 审计能力 | 操作日志(事后追溯) | 全链路追踪(事前策略+事中监控+事后审计) |
| 敏感数据保护 | 依赖人工判断 | 自动脱敏+动态水印+访问控制 |
除了授权本身,还需要同步建设脱敏展示、动态水印、导出控制、访问留痕、异常告警等配套机制。因为真正可靠的权限体系,不只是“让谁看”,还包括“怎么看、看后留下什么痕迹、超出边界时如何被发现”。
3. 权限体系一旦可信,就会从阻力变成融合加速器
很多管理者对权限体系存在一个误解,认为它主要用来限制共享。实际上,在国央企业人融合中,权限体系更像一套信任基础设施。只有边界清楚,部门之间才愿意共享;只有风险可控,业务场景才可能扩展。
从实践逻辑看,HR部门之所以常常对共享敏感,不是因为反对融合,而是因为担心一旦开放就失控。业务部门之所以对HR数据可用性不满,也不一定是要求无限制访问,而是担心审批过慢、口径不一、共享机制不稳定。双方的矛盾,本质上是缺少一个可信的中间结构。
当企业建立起较精细的权限架构后,这种对立关系会改变。比如,业务部门可以获得经过脱敏处理的人效分析视图,满足经营管理需要;HR部门则保留对高敏字段的严格控制,并通过统一授权中枢、动态策略和审计日志证明共享过程可控。此时,数据实现的是“可用不可滥用”,而不是“开放或封闭”二选一。
某种意义上,权限体系不是融合的门槛,而是融合的轨道。轨道铺得越清晰,组织越敢让更多场景上线。
四、先行路径——2026年国央企安全合规与权限体系的建设框架
真正有效的“先治后融”,不是先暂停一切业务需求,再做一套封闭治理工程;而是围绕融合目标,按治理成熟度逐步推进。它强调的不是保守,而是有顺序地把风险收敛,把能力建设前移。
1. 第一步:数据资产盘点与分级分类,先把边界画清楚
所有治理工作的起点,都是知道自己手里到底有什么数据。对于国央企HR系统来说,这一步不能只停留在字段清单层面,而要把数据来源、数据用途、敏感等级、责任主体、共享条件、保留周期等关键要素一起梳理出来。
尤其要区分哪些数据可在融合场景中直接共享,哪些数据只能以汇总口径共享,哪些需要脱敏后使用,哪些原则上不得跨域传输。比如,人力成本总额与组织效能趋势往往可以在分析层面共享;而个人薪酬明细、干部档案详情、涉密岗位信息等,则需要更高强度控制,甚至仅能在特定审批链和特定系统中查看。
这一阶段的价值,不只是满足法规要求,更是为后续权限设计提供依据。没有分级分类,授权只能靠经验判断;一旦靠经验判断,规则就会在不同部门、不同项目中持续漂移。
2. 第二步:权限体系重构与统一授权中枢建设,把“谁能看什么”制度化
在分级分类基础上,企业需要开始重构权限模型。对国央企而言,较可行的路径通常不是推翻全部旧系统,而是在现有架构上逐步建立统一授权规则与权限中枢。
这里的重点有三类。其一,解决集团—子公司多级授权问题。集团需要穿透式分析,但子公司对本地敏感数据仍应保有边界,授权应体现层级治理而不是简单上收。其二,解决业务—HR跨域授权问题。业务部门为了分析和经营管理可以获得必要数据,但访问范围应与职责对应。其三,解决干部信息特殊管控问题。干部相关数据往往具有更高保密级别,授权不能与一般员工信息一视同仁。
从技术实现看,RBAC+ABAC混合模式更适合这一阶段。一方面,角色反映组织治理结构;另一方面,策略反映动态场景条件。两者结合,才能支撑复杂国企环境下的实际授权。
这类建设的关键产出,不只是权限配置表,而是一套可复用的统一授权逻辑:一次授权、跨域生效、动态调整、全程留痕。只有这样,融合项目才不会每上线一个场景就重做一遍权限设计。
3. 第三步:合规评估与融合场景灰度验证,让融合先在低风险处跑通
治理并不意味着等所有问题彻底解决后再启动融合。更务实的做法,是在治理框架明确后,通过合规评估筛选场景,先在低风险、强价值、边界清晰的应用中试运行。
例如,组织层级的人效趋势分析、部门级人力成本汇总分析、岗位编制与业务需求匹配等,通常比个人级薪酬明细联动、干部评价交叉分析更适合作为首批试点。因为前者更容易采用汇总、脱敏、最小必要等处理方式,合规证明链也更容易建立。
在这一阶段,建议对每个融合场景做影响评估。关注的问题包括:该场景是否有明确业务目标;所需数据是否与目标直接相关;是否存在更低敏的替代口径;谁是访问主体;授权依据是什么;是否涉及导出、分享、长期留存;出现争议后能否完整追溯。这些评估结果,最终应形成一套融合场景准入机制。
准入机制一旦建立,业人融合就不再依赖个人拍板,而能转入制度化推进。
4. 第四步:持续运营与动态治理,避免“一次上线、长期失控”
权限体系和安全合规都不是一次性项目。企业组织会变、岗位会变、业务会变、监管要求会变,原本合理的授权,过一段时间就可能不再合理。因此,治理建设的最后一步不是交付,而是运营。
持续运营至少包括四项工作。第一,建立权限定期复核机制,确保调岗、离岗、兼岗、轮岗等组织变化能够及时反映到授权上。第二,建立数据访问异常预警机制,对高频访问、跨时段访问、超范围访问等行为进行监控。第三,建立合规审计自动化机制,把审批依据、访问日志、策略命中情况、异常处理过程纳入统一审计视图。第四,建立规则反馈机制,让试点场景暴露的问题反哺分级分类和策略模型优化。
图表2:2026年国央企“先治后融、以治促融”的四步建设路径
这一路径的意义在于,它把安全合规从抽象要求变成了可执行工程,也把权限体系从后台配置变成了融合战略的一部分。对于2026年的国央企来说,项目推进节奏不应由接口开发进度单独决定,而应由治理成熟度共同决定。
红海云总结
回到开篇的问题,业人融合当然是方向,但对国央企而言,方向正确并不意味着路径可以粗放。真正决定项目成败的,往往不是“能不能连起来”,而是“连起来之后是否仍然可控、可审计、可解释”。在国资监管、数据安全法规、等保信创三重约束下,安全合规与权限体系不是附属模块,而是业人融合的基础设施。
从理论上看,数据治理如果没有权限治理,就很难形成完整闭环;从组织治理上看,数据访问权如果不与组织权责匹配,融合带来的就不是协同,而是边界混乱。从实践上看,2026年国央企更适合把“数据分级分类—权限体系重构—合规评估机制”作为业人融合的先导工程,而不是把它们留到项目后半程被动补课。
可执行的建议,建议聚焦以下五点:
- 先做数据盘点,再谈系统打通。没有数据目录、敏感等级和共享边界,接口越多,后续整改成本越高。
- 把权限体系从菜单授权升级到数据授权。重点建设字段级控制、角色与策略混合模型、跨系统统一授权中枢。
- 为每个融合场景建立准入机制。不是所有场景都适合同步推进,应优先选择低风险、强价值、边界清晰的试点。
- 将合规周期前置到项目立项阶段。建议在业人融合路线图中,预留至少6—12个月用于数据治理、授权模型和评估机制建设。
- 选择真正理解国央企治理逻辑的数字化伙伴。技术能力重要,但更重要的是能否把权限、合规、组织权责和系统落地连成一体。
