第37章 预案演练

“离线备份包”列为今天必须完成的交付，责任人写自己，截止时间写17:30。因为他知道，事故永远发生在你“以为网络一定可用”的时候。

13:56，安全部发来一条内部IM：“热点归属初步核验指向行政区某人设备，但需进一步确认。梁总要求暂不扩散。”

周砚回：“收到。请走正式邮件补证，避免口头结论。”

他不问是谁，不追名字。他只要补证。名字在组织里是危险的武器，证据才是。

14:58，开放日事故预演会开始，HR会议室里坐满了人：HR主管、法务专员、信息安全代表、运营负责人、设计组、媒介组，还有阿远。梁总没来，但会议明显是梁总在背后定了调——每个人都带着一种“别出事”的紧绷。

HR主管先开口：“今天主要做事故预演，提前识别风险点，避免开放日现场出现合规问题。周砚，你先讲你的预案。”

周砚把预案清单摊开，第一句话就把框架钉死：“开放日事故本质只有两类：一类是用户体验事故（流程混乱、核验入口崩、接待失序）；一类是合规事故（隐私告知缺失、数据口径漂移、外联传播失控）。预案按全链路拆解，目标是把所有事故转成‘可控的异常’。”

他没有讲自己做了多少，而是逐条过风险点：

“二维码替换：校验码+域名白名单+现场抽检；

网络不可用：离线备份包+纸质核验索引卡；

口径追问：三分钟版标准回答+证据路径落地；

用户信息：表单勾选+隐私告知截图+CRM录入留痕；

现场拍摄：媒介统一口径，任何用户隐私画面需打码，不得现场传播未授权片段。”

阿远插话：“你这套太复杂，现场越复杂越容易出错。”

周砚看着他，语气平静：“复杂不等于难执行。复杂是我们把风险提前拆出来，现场执行反而更简单：只要照脚本走。真正容易出错的是没有脚本、临场发挥。我们现场只执行三件事：核验路径、预约入口、接待导览。其他都用预案兜底。”

法务专员问得更尖：“隐私告知截图你说可以核验，但现场用户如果质疑‘你们是不是诱导勾选’，怎么应对？”

周砚没有辩解“我们没有诱导”，他直接给动作：“现场不做口头解释，直接让用户扫码看到隐私告知全文，并提供‘不勾选也可看房但无法预约’的选项。我们把选择权明确交给用户。选择权明确，诱导指控就站不住。”

信息安全代表补一句：“二维码落地页我们会值守，异常访问触发告警。”

周砚点头：“值守需要一份告警分级规则：轻微异常如何处理、严重异常如何处理、是否触发现场切换到离线方案，谁来拍板。请安全部给一个‘现场切换，权限’授权人，否则告警响了没人敢决定切换，现场会被拖死。”

这句话让会议室里不少人抬头。预案里最难的不是写，而是“谁敢拍板”。没有拍板人，预案就是纸。

HR主管看向法务，法务又看向信息安全代表。信息安全代表犹豫了一下：“我回去请示负责人，给一个值守拍板人名单。”

阿远冷笑：“你看，又要请示。现场哪来那么多时间？”

周砚不理他的嘲讽，只说：“所以今天必须把拍板人写进纪要。没有拍板人，事故不可控，责任会散，最终一定有人背锅。”

HR主管终于点头：“纪要会写：安全部提供值守拍板人名单，现场触发严重异常可直接启用离线备份方案。”

会议走到最后，媒介组提出另一个尖锐问题：“如果现场有人故意挑衅、偷拍视频上网剪辑传播怎么办？”

周砚给出“最小化回应”脚本：“现场秩序规则由主持人先声明：允许拍摄公开区域，不允许拍摄他人隐私与用户资料；若发生挑衅，工作人员不争论，只重复一句——‘欢迎核验，拒绝未经核验的指控’，并引导对方到核验展板；若对方继续闹，交给物业安保处理。所有过程由公司指定摄像位留存，形成事实记录。”

他把“留存”两个字说得很轻，却像在给对方再加一道枷锁——谁想靠挑衅制造事故，留存就是反制。

16:33，预演会结束，HR主管当场承诺“纪要今日内发出”。阿远第一个走，走之前丢下一句：“你别把所有人都当敌人。”

周砚没有回。他知道这句话的真实