全量下载与数据导出治理
全量下载用于从问答结果、表格或图表相关数据中导出完整数据。它对业务分析很有价值,但也可能带来敏感数据外流、权限绕过和审计追踪压力,因此应作为治理能力管理,而不是只当作前端下载按钮。
为什么需要治理
Analytics Agent 支持自然语言生成表格和图表,用户可能在结果中看到“下载全量数据”一类操作。对于普通分析,下载可以帮助用户进一步处理数据;对于敏感分析域,下载也意味着用户可能把明细数据带出系统。
因此,全量下载至少涉及三类控制:
| 控制项 | 作用 |
|---|---|
| 功能权限 | 控制用户是否具备全量下载能力。 |
| 数据权限 | 控制用户能下载哪些资源范围内的数据。 |
| 审计日志 | 追踪是否发生过导出类操作。 |
权限入口
实操中,“全量下载”是角色授权中的功能权限点。
入口:
选择角色后,在“功能 & 操作权限”中可以看到“全量下载”权限点。管理员角色中可见该权限点。
这说明全量下载不是单纯由结果页按钮决定,而应由角色权限统一控制。
建议授权原则
不建议默认授予所有人
业务用户可以查看答案、图表和表格,但不一定都需要下载全量数据。
不建议默认授予:
- 临时访问用户。
- 只需要查看看板的用户。
- 只需要查看聚合结果的业务人员。
- 访问敏感分析域的普通用户。
适合授予的人群
可以考虑授予:
- BI 分析师。
- 数据分析人员。
- 数据运营人员。
- 经过审批的部门数据负责人。
- 需要做离线复核或二次加工的用户。
授予前应确认该用户同时满足:
- 已加入相应分析域。
- 角色数据权限范围正确。
- 行级权限已生效。
- 敏感字段已隐藏或脱敏。
与分析域权限的关系
全量下载权限不应替代分析域权限。
用户即使拥有全量下载功能,也只能在其可访问的数据范围内下载数据。可下载范围仍应受到以下配置共同限制:
- 分析域成员权限。
- 角色数据权限。
- 行级权限。
- 字段隐藏。
- 当前问答结果或图表本身的数据范围。
如果用户不应该看到某类明细数据,应先从分析域、角色、行级权限和字段隐藏上限制,而不是只依赖“不要下载”的操作约束。
与列隐藏和行级权限的关系
列隐藏
列隐藏可以减少敏感字段在 Analytics Agent 问答和结果中的暴露。对于身份证号、手机号、邮箱、内部 ID、薪资等字段,建议优先评估是否需要隐藏。
列隐藏能达到类似列级可见性控制的效果,但仍建议结合底层数据权限和组织安全策略使用。
行级权限
行级权限控制同一张表中不同用户能看到哪些行。例如区域经理只能看到自己区域的数据。
如果行级权限配置正确,用户下载的全量数据也应只包含其权限范围内的数据。上线前应使用测试用户验证这一点。
审计与排查
对于敏感分析域,建议定期检查审计日志中的导出类操作。
入口:
排查建议:
- 选择目标时间范围。
- 操作类型选择导出相关类型。
- 查看操作人、时间和操作内容。
- 如发现异常导出,结合角色授权、分析域权限、行级权限和字段隐藏一起排查。
上线前检查清单
开放全量下载前,建议检查:
- 是否明确哪些角色可以全量下载。
- 是否避免给普通看板查看用户授予全量下载。
- 敏感字段是否已经隐藏或脱敏。
- 行级权限是否通过测试用户验证。
- 分析域是否只包含当前业务场景需要的数据。
- 审计日志是否能追踪导出类操作。
- 是否有内部流程说明用户何时可以导出数据。
常见问题
有了全量下载权限,是否能下载所有数据?
不应这样理解。全量下载权限只是允许用户使用下载功能,实际能下载的数据仍应受分析域权限、角色数据权限、行级权限和字段隐藏共同限制。
只看聚合图表的用户需要全量下载吗?
通常不需要。只查看看板或聚合图表的用户,可以不授予全量下载权限。
下载治理和数据隐私是什么关系?
数据隐私关注敏感数据是否应该被访问、展示或导出;下载治理关注用户能否把可见数据批量导出。两者应一起设计。