今天做 SAP 项目,个人数据几乎无处不在。员工主数据里有姓名、手机号、邮箱,供应商和客户主数据里有联系人、银行信息、通信地址,接口报文里会带人员标识,SAP Fiori应用的搜索条件、应用日志、错误重处理记录里,也常常会把这些内容顺手带出来。很多团队把数据保护当成上线前补的一份检查表,仿佛只要把权限配一配、把 HTTPS 打开、把几份制度文件存档,事情就结束了。可 SAP 官方对这个话题的表述非常克制,文档明确写了,SAP 不提供法律建议,产品只是通过安全特性和与数据保护相关的功能来帮助企业满足要求,而且很多法律合规要求并不能靠某一个产品功能自动覆盖,最终判断还得结合具体系统 landscape 和适用法规逐案处理。这个边界一旦没看清,项目里最容易出现的情况就是,系统功能已经交付了,合规责任却还悬在半空。(SAP Help Portal)
这件事放到ABAP Platform的世界里去看,会更清楚一些。数据保护从来不是一个单独功能点,它更像一条横着穿过系统全栈的线,从持久化表、CDS暴露、RAP服务、SAP Fiori launchpad授权、接口监控,到日志、归档、删除、阻断,几乎每一层都可能成为问题入口。SAP 官方在相关页面里强调的重点,不是告诉你某个开
