今天分享的题目是“统一业务应用系统之权限体系设计原理(暨适应司法责任制改革的修改与完善)”,首先我们讲一下为何需要把这个主题作为系列分享的第一个主题,大家都知道目前司法改革正在如火如荼的进行中,根据高检院要求,如何将司改落实在我们核心办案系统中,也正是我们研发单位目前正在紧锣密鼓开展的工作之一,截止现在应该有四个省的兄弟姐妹正在加班加点的为统一应用系统适应司法责任改革的试点工作而辛勤努力。正是这样的背景下,作为研发单位的我们感觉这次分享统一业务应用系统的权限体系设计并结合本次司改内容应该对我们马上要开展的司改部署工作有一定的帮助。
ACL是很多几年前盛行的一种权限设计模型,它的核心在于用户直接和权限挂钩。RBAC的核心是用通过角色将用户何功能进行关联,而且角色还具备集成性,这样设计的优点是使得对用户而言,只需明确人员属于什么角色就可以完成授权。ACL和RBAC相比缺点在于由于用户和权限直接挂钩,导致在授予时较为复杂,虽能利用“组”来简化这个复杂性,但仍然会导致系统不好理解,而且在取出判断用户是否有该权限时比较的困难,某些特定的程度上影响了效率。
软件权限从分类上来说主要包含了功能权限和数据权限,功能权限是我们常规说的“菜单权限”、“按钮权限”等,数据权限即是我们常规说的数据过滤、显示、查看等方面的权限。但软件功能很多时候是和数据是有关联关系的,因此在我们更高层次的设计抽象时,把功能和数据都作为软件的权限资源。
因为权限系统是每个软件系统都会遇到的问题,因此我们搞软件的人都非常希望有一套统一的机制能解决所有系统的权限问题,我们用户也希望可以对我们单位的所有软件系统来进行统一的认证和权限管理。其实这样的一个问题本身是能做到的,但是得有一些必要条件,其中第一方面就有每个系统采用的用户体系得基本一致(采用统一用户管理系统基本能搞定,但涉及到的所有已建系统可能都有一定的改造工作量,需要跟统一用户管理系统进行适配);第二方面就是各系统采用的权限模型应该一致(如不能A系统权限模型采用RBAC,B系统权限模型采用ACL,如果是这样肯定两个系统权限就不能统一管理);第三方面也是最容易被忽视的问题是,权限资源定义(权限资源规范)各系统也必须一致,只有达成这三方面的一致才能实际做到统一的权限管理。但实际工作中,却很难达到,因为有较多已有系统是不可能再从底层权限上进行符合这三方面的修改,而对于新建系统的规范性要求如何实实在在的落地同样是一种考验。
让我们简单总结一下,对于A、B、C三个系统来说,如果要采用统一权限管理软件来管理各系统内部权限问题,那么必须做到如下3点:
如果做不到以上3点,多系统内部权限统一管理问题基本上无解。因此在我们做统一门户系统的时候,通过统一的身份认证后进入门户页面,这样一个时间段往往我们只做登录人是否有无某系统的权限,而不会做登录人有无某系统内部的权限,系统内部权限还有由具体系统自己解决。
统一业务应用系统在做权限设计之初,综合考虑到统一软件使用人员广、权限细节要求多。我们第一步来看看统一软件权限需求。
例如:案管前台有案件受理功能、辩护与代理登记及处理功能、案件查询功能等。而承办人需要的是在办、已办、案件查询等相关功能。
例如:案管前台对于未分配案件具备案件分配功能,而承办人拿到案件后将不具备此功能。
例如:受理公诉、侦监案件的前台收案人员,能够最终靠案件查询公诉、侦监案件,但是公诉一科的主管领导只能查询公诉一科办理的所有案件。
例如:同是公诉一科承办人的张三和李四,其中李四除了是承办人还兼任本部门的一部分内勤工作。
例如:张三既是侦监科的承办人,也刚刚调任公诉科的部门副职。过度期间张三需要在两个部门不一样的角色任职。
在司改前主要是采用承办人办案模式,既是承办人收到某案后对此案的全部工作都有其完成,而所有结论均按照相关审批流程进行决定。因此司改前的版本以案为单位做所有资源的管理,其中既包括案卡、文书、流程、用印打印这些基本要素,也包括对案件操作可扩展的外挂型工具(例如:案件分享评估、涉案财物、辩护与代理等)。
b. 案件的只读权限,既是协同办案人、案件查询者只能对案件的所有资源进行查看,不可以进行任何的编辑。(在详细权限上可再进行细化授权,比如说是否能看到在办列表等)
c. 案件的审批权限,即是审批人对待审批的文书具备相应的权限之外不具备操作案件其他资源的权限。
综合上述统一软件在权限方面的主要几个需求,在同一软件中我们采用的是RABC和ACL相结合的方案,常规授权采用RABC,通过这一种方式最大程度降低授权的工作量,对于特殊情况,我们采用ACL模型允许针对个人再进行不同授权。因此在我们的权限配置工具中可看见我们既可以对角色授权,也可以对人授权,而某人的最终权限及来自于对角色权限的继承,也来自于自身的特有权限。当继承权限和个人权限相冲突时,我们将优先采用个人权限。
1.根据《关于完善人民检察院司法责任制的若干意见》要求,“根据履行职能需要、案件类型及复杂难易程度,实行独任检察官或检察官办案组的办案组织形式”。
系统应该要依据要求确定的办案组织形式,支持为独任检察官配置检察辅助人员(检察官助理、书记员)开展工作,支持建立固定或临时的检察官办案组,将系统现有的“承办人一人一案”操作模式调整为“办案组多人一案”操作模式,实现同一案件多人分工协作共同办理。
因此检察人员在统一业务应用系统内的操作权限、审批权限、查询权限均要进行一定的调整,检察官助理、书记员将以自己的身份登录,为独任检察官或检察官办案组承办的案件进行协助办理。系统还需对司法办案过程中的操作全程留痕,各负其责。
2.《意见》明确要求“建立随机分案为主、指定分案为辅的案件承办确定机制”。
3.《意见》规定:“人民检察院案件管理部门对司法办案工作实行统一集中管理,全面记录办案流程信息,全程、同步、动态监督办案活动”。
系统需对案件办理进行“全程留痕”。拟从人员信息、办案组织信息、案件信息、审批流转信息、卷宗信息等方面,加强对办案过程中有关信息的全面采集,同时拟通过在系统中设置案情查阅记录、司法干预记录等措施,落实保障检察官依法履职的要求。
独任检察官、检察官办案组的主任检察官为办案组织的负责人。办案负责人在检察长和分管副检察长的领导下开展工作,接受部门负责人的行政管理和监督;在检察长授权范围内,依法独立行使案件办理的决定权、建议权和监督权;负责带领检察官助理、书记员进行案件办理,对案件办理的全过程负责,对案件办理结果终身负责。
办案负责人可以将具体办理的个案文书拟制、案卡填录、前台动作等权限赋予检察官助理、书记员,但拥有文书审批权并可以对办案过程进行全程监控。授权后,办案负责人对案件仍具有完整的操作权限。考虑到个别地区独任检察官没有配备辅助人员的情形,系统升级后,仍可由独任检察官自己全部操作办理。
《意见》规定,“检察长(分管副检察长)参加检察官办案组或独任承办案件的,可以在职权范围内对办案事项作出决定”。对这种情形,系统拟进行权限合并(以最高权限判定文书生效条件),防止检察长、副检察长自报自批的情况。
独任检察官配置的检察官助理、检察官办案组中的普通检察官和检察官助理,均为案件的协同办案人,协助办案负责人办理案件。协同办案人向主任检察官或独任检察官负责,协助开展各项法律业务工作,在主任检察官或独任检察官的指导下行使部分检察职权。协同办案人参与司法办案工作的,根据授权和分工,承担对应的司法责任。
不同于之前系统中的“协同办案人”只能查看案件,系统改造后,协同办案人可以实际协同办案。协同办案人根据办案负责人授权,可以草拟法律文书、进行案卡填录、执行前台动作等。协同办案人可以就草拟的法律文书提出拟制意见并报主任检察官、独任检察官审批,但不能直接向副检察长、检察长发送审批。
书记员是指协助检察官从事记录、整理、归档等事务性工作的辅助人员。书记员向检察官负责,在检察官具体指导下,协助开展有关规定法律事务工作。
系统内,书记员根据办案负责人授权可进行法律文书用印、案卡填录、打印等事务性工作。
系统通过随机轮案方式,按照预先配置的自动分流、自动分配规则,将案件自动随机分配到独任检察官、检察官办案组,实现“随机轮案、科学分案”。
对于特殊情况系统还能够使用案管或部门指定轮案的方式解决过渡时期和特殊案件的轮案问题。
(1)轮案组定义:轮案组是随机轮案的组织形式,包括本轮案组办理案件范围定义和本轮案组参与轮案检察官定义两个基本功能。每个轮案组不可以少于两名检察官,每名检察官能参加多个轮案组。
(2)普通轮案组设置:一般情形下,同一个办案部门下存在一个普通轮案组,本办案部门下的检察官均进入普通轮案。
(3)专业轮案组设置:为适应扁平化管理和专业化建设相结合的要求,充分的发挥专业办案组作用,系统支持在部门下新建若干专业轮案组。专业轮案组应当预先配置的分流规则(如:案由、嫌疑人身份、犯罪地等)。
(4)特殊轮案组设置:各地可根据本地情况设置特殊轮案组,将诸如重大疑难复杂案件进行专门的轮案,确保特殊案件的轮案公平性。
需要说明的是,普通轮案组、专业轮案组、特殊轮案组通过配置实现,均为统一的随机轮案组模型。各地可根据真实的情况仅选择普通轮案组,也能够准确的通过办案实践设置多个轮案组。
系统存在三种案件受理位置:案管受理案件、部门受理案件、承办人受理案件等。其中,案管受理案件和部门受理案件统一适用自动分流规则规制。
(1)案管受理案件,案管点击自动分流后,系统首先是根据办案部门自动分流规则自动选择案件的承办部门;确定案件承办部门后,系统根据轮案组自动分流规则自动选择轮案组。
(2)部门受理案件,由部门内勤受理,内勤点击自动分流后,系统根据本部门的轮案组自动分流规则自动选择轮案组。
根据办案任务不同,设置检察官轮案系数m/n(m=n),一般地,检察官的轮案系数为1/1,即一般的情况下,每一轮分配一个案件。
系统支持检察长、副检察长、专委、部门负责人按照一定的权重系数参与随机分案。各地也可结合实际,不将检察长、副检察长、专委纳入自动轮案,在满足办案数量的基础上指定分案。
在系统进行本轮次随机分配前,调用“同一规则”直接确定检察官。如:实行捕诉一体化的部门或单位,根据审查逮捕案件直接确定办理一审公诉案件的检察官;通过查重算法(如嫌疑犯身份证号码相同),直接确定当前案件由被重复案件检察官办理。
在同一个轮案周期内,系统调用“互斥规则”(案件回避、复议案件)排除本案不参与轮案检察官后随机选择参与本轮轮案的检察官,实现真正的随机分案。系统应当优化随机算法,防止诸如先后两个轮案周期,检察官连续被分配到案件的情况。
案件管理部门进行自动分流、自动分配时,均调用相关规则自动进行,系统通过轮盘方式提供可视化随机分配界面。
b.通过优先分配(同一规则)新受理案件的检察官本轮已被随机分案的,不参与下一批次轮案。
c.通过变更办案组织功能将其他轮次案件调整到当前批次的检察官,不参与当前批次轮案。已经在当前批次中被分配案件的,不参加下一批次轮案。原检察官在本批次除正常轮案外,还应当补偿多分配一个案件。当前批次案件发生变更,不做操作。
在人员信息中增加“身份证号码”“人员类型”“所在部门”等信息,记录检察官、检察官助理、书记员的相关信息。系统支持查询本院及下级院行政机构(含子部门)的实际人员并导出列表;系统支持对本院及下级院检察人员分类查询、统计并导出列表。
在案件总表中新增办案负责人身份证号码字段,建立“案件-负责人”的对应关系,如果办案组织发生变更,该信息同步更新,以解决检察人员部门调整、跨院调动后的案件查询问题。
客观记录该案的办案组织(办案负责人、协同办案人、书记员)及其变更情况(变更日期、变更原因、审批人)。
建立案件流转全流程表单,客观记录协同办案意见、审核审批意见、案卡填录日志、前台动作操作记录等内容,以实现参与办案的所有人员的操作均能“全程留痕”,可看可控。
为加强系统账号安全管理,规范USB-Key使用,系统记录所有账号登录统一业务应用系统的方式、登入登出时间、IP地址、MAC地址等,系统对登录异常提供报警功能。
为加强案件保密管理,系统记录所有打开过个案详情的检察人员姓名、查阅时间等(在个案门户中新增“最近访问”功能,显示最近访问的人员姓名),检察长、监督管理人员、主任检察官、独任检察官等可实时掌握查询所办理案件的人员信息情况。
统一业务应用系统的主要负责人之一,从2007年以来一直从事检察机关核心业务信息化工作,曾负责高检院和省、市院等十几个系统的总体架构和设计工作。
下一篇:低空经济及其应用系统