摘要
- Fujitsu 在 Horizon 丑闻中并非单独行动,但其供应商地位使其技术知识至关重要:缺陷记录、支持干预、远程访问证据和专家解释可能影响副邮政局长是被相信还是被指控。
- 高等法院 Horizon Issues 判决、上诉法院刑事判决、Post Office Horizon IT 调查证据、Fujitsu 声明、政府赔偿数据和议会审查使该案成为供应商诚信问题,而非仅仅是公共机构失灵。
- 供应商诚信不仅仅是在被迫时如实回答问题。它意味着在客户、检察官、法院或部长将系统输出作为决定性证据之前,主动升级已知的不确定性。
- 补救和修复性正义是必要的,但它们不能替代在技术数据成为强制权力之前披露缺陷、限制和远程访问的更早义务。
- 持久的控制是公共服务供应商规则:当供应商的系统输出可用来指控某人时,供应商的日志、警告和专家限制必须随证据一起提供。
供应商并未执掌起诉之笔,但它掌握系统知识
Fujitsu 的责任问题容易被误解。Post Office 做出了机构决策,在相关案件中提起诉讼,进行民事追偿,处理分支机构合同,并控制了大部分面向公众的流程。政府监督、法律顾问、调查人员、审计员、法院和部长都处于更广泛的记录中。Fujitsu 不应成为对所有 Horizon 损害负有单一责任的主体。那将过于简单。
但相反的简化也是错误的。技术供应商可以塑造公共丑闻,而无需签署起诉文件。它设计、运营、支持、修复、解释和记录系统,其输出可能被他人视为真相。如果供应商知道错误、缺陷、远程干预、支持限制或证据警告,这些知识不是普通的后台信息。它可能是一个有争议的余额与改变人生的指控之间的区别。
公共来源记录清楚地表明了这一点。Horizon Issues 判决可通过Judiciary PDF和BAILII获取,详细审查了错误、缺陷和远程访问。上诉法院的Hamilton 判决后来展示了不可靠或未披露的 Horizon 证据的刑事司法后果。这些判决无需将 Fujitsu 列为唯一责任方,即可说明供应商知识为何重要。
供应商诚信标准由此开始。如果公共服务系统产生的证据用于针对个人,供应商的技术不确定性必须在机构依据确定性行动之前披露。诚信不仅仅是多年诉讼后的法庭美德。它是系统记录开始具有强制权力时的运营职责。
缺陷日志本应是公共风险证据
软件缺陷并不罕见。复杂系统存在错误。责任问题在于当已知缺陷可能影响余额、短缺、分支账户或提供给调查人员和法院的解释时会发生什么。在这种情况下的缺陷日志不仅仅是工程队列。它是公共风险证据。它告诉决策者一个数字是否足够安全以支持债务追偿、停职、解雇、民事索赔或刑事起诉。
Horizon 记录显示了将缺陷知识视为内部技术材料而用户面临外部后果的危险。分支运营商无法平等访问日志、代码历史、支持记录、远程访问事件和专家解释。供应商和客户机构可以。这种不对称意味着掌握技术知识的一方不应等待被指控者提出完美问题。系统所有者和供应商应主动披露重大不确定性。
Post Office Horizon IT 调查的证据门户使事后证据架构的规模变得可见。证人陈述、笔录、物证和报告是重建技术和机构行为者所知内容所必需的。这种公共重建是有价值的,但它也是一个警告。如果证据只有在多年的诉讼、上诉、公众压力和调查工作之后才变得可见,那么原始系统并未承载自身的诚信。
Fujitsu 自己的2024 年 1 月声明承认了此事的严重性并道歉。这很重要,但更困难的责任问题是更早的:应该有什么规则使得缺陷知识在被指控者被指控时不可能被低估?答案不是每个错误都立即证明每个短缺是错误的。答案是缺陷相关性应在机构要求信任之前被测试和披露。
远程访问不是技术脚注
远程访问之所以重要,是因为它挑战了分支级会计证据的实际含义。如果一个系统可以被远程更改、影响或支持,那么短缺记录就不能被视为仅来自分支用户的行为。关键问题不是每次远程操作是否不当。问题是远程访问能力、日志、干预和限制是否足够可见以供公平挑战。
Horizon Issues 判决将远程访问视为可靠性记录的一部分。这正是它应属之处。远程访问应随证据一起提供。如果分支余额被用于针对某人,相关时期应包括远程访问披露:谁有访问权限,发生了什么活动,存在什么日志,缺少什么日志,干预是否可能影响余额,以及哪位专家可以解释影响。没有这些信息,被指控者可能是在与一个无形的架构作斗争。
这是一个供应商诚信问题,因为远程访问通常存在于供应商的操作知识中。客户机构可能不完全理解每个支持途径。分支运营商几乎肯定不理解。法院可能认为系统记录比实际更独立,除非供应商和机构清楚解释支持架构。因此,诚信意味着在数字被使用之前,使系统的操作现实可见。
远程访问并非 Horizon 独有。现代公共系统使用托管服务、支持工具、云控制台、数据库管理员、远程监控和紧急补丁。这些安排可以是合法且必要的。当受系统输出影响的人看不到谁还能接触、更改、修复或误解数据时,它们就变得危险。Horizon 的教训是,支持架构就是证据架构。
专家证据需要限制,而不仅仅是结论
专家证据具有特殊权威,因为法院和机构通常依赖技术专家来翻译复杂系统。在公共服务技术争议中,专家的职责不是为系统辩护。而是解释系统可以证明什么,不能证明什么。这包括已知缺陷、搜索限制、缺失日志、原因不确定性以及替代解释。一个没有明确限制陈述的自信结论可能成为机构压力的工具。
一般起诉披露原则,如皇家检控署的披露指南,是有用的背景,因为技术材料可能未被使用、不利或解释性。具体的 Horizon 记录显示了为什么这种背景很重要。系统的表面可靠性不能与机构和供应商对其例外的了解分开。如果专家的知识通过合同忠诚或狭隘指示被过滤,证据可能变得不完整,即使个别陈述措辞谨慎。
因此,供应商诚信规则应要求公共服务系统的专家证据检查清单。在技术陈述用于执法、民事追偿或起诉背景之前,应确定系统版本、已知相关错误、执行的缺陷搜索、远程访问检查、审查的支持记录、不可用的日志、做出的假设以及超出专家范围的问题。如果专家无法回答问题,该空白应可见。
这样的规则保护双方。如果系统输出是合理的,完整的专家文件有助于证明它。如果输出不确定,文件阻止机构夸大案情。目标不是使公共系统无法用作证据。而是使其仅在其警告附件下可用。
合同升级不应等待丑闻
供应商合同通常包含服务水平、支持义务、保密条款、责任限制、变更控制规则和争议程序。当系统的输出可用于针对个人时,这些条款是不够的。合同还应指定证据风险的升级规则。如果缺陷、远程访问或支持干预可能影响用户责任,供应商应有义务向独立治理机构升级,而不仅仅是客户经理。
国家审计署关于Post Office Horizon IT 系统管理的调查将 Horizon 置于公共治理背景下。这很重要,因为供应商问题不仅限于私人软件维护关系。该系统位于一个具有法律、财务和人类后果的公共服务网络中。合同管理本应反映这一后果。
升级也应经受住客户的不情愿。供应商可能面临不破坏旗舰系统信心的压力。它可能担心声誉损害或商业后果。它可能相信客户机构会处理披露。Horizon 显示了为什么这不够。如果供应商的知识对公正至关重要,诚信不能完全取决于客户对尴尬事实的接受程度。
未来公共服务系统的合同应将“证据缺陷”定义为特殊类别。它应触发日志保存、向指定法律和治理联系人披露、独立审查、适当时通知受影响用户,并暂停强制性依赖直至问题解决。这比普通事件管理更严格,因为伤害更严格。软件缺陷可能成为对人的指控。
公开调查使延迟的诚信变得可见
Post Office Horizon IT 调查的官方网站和第一卷报告显示了公开调查如何重建在最重要时未充分可用的记录。在这种规模的丑闻中,调查工作是必要的,但它也是早期失败的一个标志。证据必须因为原始披露架构未保护受影响者而在公众压力下收集。
调查记录作为公共问责对象尚未完成。其进展更新显示最终报告工作、Maxwellisation 和发布顺序仍在进行中。这一持续过程应使当前的评论谨慎。它不应在所有调查结果公布之前冻结责任。它也不应延迟一般控制教训:供应商诚信必须早于调查诚信。
公开调查证据改变了激励。一旦记录、文件和处理结果公开,供应商和公共机构就知道内部知识最终可能被暴露。这可以改善未来行为,但只有当转化为合同和治理规则时。对后来尴尬的恐惧是一种弱控制。已定义的信息不确定性披露义务更强。
调查还显示补救和修复性正义需要技术证据。受系统输出伤害的人不仅需要金钱。他们需要承认用于反对他们的证据是不安全或不完整的。Fujitsu 在修复性声明中的作用,包括联合修复性正义声明,之所以重要,是因为供应商参与修复是事后诚信的一部分。预防的教训是让这种诚信在生活被破坏之前到来。
赔偿数据是延迟的证据
政府赔偿数据,包括Post Office Horizon 财务赔偿和法律费用数据 2026,是必要的公共问责。它显示资金流动、计划运作和行政进展。它也显示了延迟。不公正后的赔偿是必要的,但它不同于不公正前的及时缺陷披露。
上议院图书馆关于赔偿进展简报和国家审计署的赔偿计划教训有助于框架行政挑战。计划必须识别人员、评估索赔、处理证据、公平支付,并避免增加新的程序性伤害。但供应商诚信分析提出了一个更早的问题:为什么人们必须首先成为索赔者?
赔偿记录应反馈到供应商治理。每一类伤害应追溯到允许它的证据失败。是缺陷未披露?远程访问被误解?专家证据不完整?分支机构投诉被视为孤立?日志不可用?决策者对系统输出过于自信?赔偿记录不应只关闭索赔;它应分类预防失败。
这种分类对其他供应商很重要。如果供应商构建或运营的公共系统输出影响福利、税收、许可、移民、医疗、教育、警务或司法,它应将 Horizon 视为警告。伤害不限于一个遗留会计平台。这是供应商知识被困在商业和技术渠道内,而公共当局将系统输出用于针对人的普遍风险。
更换不会消除供应商债务
Computer Weekly 关于Horizon 更换交易的报道是次要的,但它指向一个更广泛的问题:更换系统或改变供应商不会消除证据债务。旧系统的记录、缺陷、支持文件和解释仍与赔偿、上诉、调查结果和公众信任相关。退役系统应包括证据保留计划。
该计划应明确。保留哪些日志?哪些缺陷数据库仍可搜索?哪些支持票证被保留?哪些员工或专家可以解释历史行为?哪些远程访问记录存在?哪些合同条款保护过渡后的证据?赔偿方案和法律审查需要哪些数据?如果更换在没有保留证据记录的情况下进行,机构可能减少未来运营依赖,同时削弱过去问责。
这是一个供应商诚信问题,因为离任供应商通常保留技术知识。他们可能不再运行系统,但他们可能仍持有或理解受影响用户需要的记录。公共服务买家不应让过渡变成失忆。合同应要求在运营关系改变后与赔偿、调查、诉讼和独立审查合作。
更换也创造了设计机会。下一个系统应从开始就包括挑战日志、审计导出、用户可见的争议记录、独立证据包、远程访问透明度和缺陷通知工作流。如果这些功能被视为可选的,新系统可能更现代,但重复旧的证据不平衡。
议会审查保持供应商问责的当前性
议会审查,包括上议院关于Fujitsu 政府合同的辩论和委员会活动如商业和贸易委员会证据会议,使供应商问责不成为档案问题。公共买家仍在采购复杂系统。Fujitsu 和其他供应商仍活跃在政府市场。问题是过去的证据失败如何影响未来信任。
采购排除或合同谨慎可能在政治上诱人,但更深的控制是证据义务。政府买家应询问每个主要供应商:如果您的系统输出可能影响个人的责任或权利,缺陷将如何披露?远程访问将如何记录?专家证据将如何陈述限制?用户如何挑战记录?独立审查员如何访问技术材料?合同退出后您将如何合作?
这些问题应与价格、交付、安全和正常运行时间并列。一个系统可以达到正常运行时间目标,但如果其证据无法被质疑,仍可能是危险的。它可以交付约定功能,但如果已知不确定性未升级,仍可能无法满足公共问责。Horizon 的供应商教训因此不仅是“选择更好的技术”。它是“将诚信作为所需功能购买”。
议会审查还可以保护公务员和采购团队免受狭隘的商业压力。如果证据义务被公开期望,买家有更强的理由要求它们。如果供应商知道披露架构将被检查,他们有更强的激励设计它。公共问责成为采购要求,而不是丑闻响应。
值得信赖的系统需要社会证据,而不仅仅是工程
NIST SP 800-160 关于系统安全工程是一般指南,但它有助于解释更广泛的原则:可信赖性是通过需求、架构、保障和生命周期工程设计的。Horizon 增加了一个社会证据维度。一个公共系统不仅因为其代码运行而值得信赖。当受其输出影响的人能够理解、挑战和纠正记录时,它才是值得信赖的。
这需要设计特性。每个重要输出应有来源。每次手动或远程干预应留下可见痕迹。每个与争议时期相关的缺陷应可链接到受影响记录。每个专家陈述应包括范围和限制。每次执法使用应将警告与数字打包。每次供应商升级应被保留。这些不是装饰性审计功能。它们是针对那些否则面对拥有更好证据访问权限的机构的人的保护措施。
数据主权和本地性出现在主题列表中,因为证据位置很重要。仅仅说数据存在于供应商环境的某个地方是不够的。受影响的人和决策者需要知道相关记录在哪里,谁可以访问它们,哪个司法管辖区和合同条款管辖它们,以及它们是否可以在伤害发生之前被提供。无法及时获取的证据是薄弱的证据。
SME 服务连续性也很重要,因为副邮政局长是公共服务网络内的小运营商。他们依赖系统运营分支并在被指控时为自己辩护。大机构可以吸收的技术失败可能摧毁小运营商。供应商诚信应针对这种不平衡进行调整。
负责任的问题是供应商知识是否可能逃脱
剩余未知数仍然存在。完整的最终调查记录尚未在所有卷中完成。跨 Post Office、Fujitsu、政府、律师、审计员和检察官的个人责任是复杂的。一些程序仍在继续。赔偿、修复性正义、合同后果和公共采购选择将继续演变。一篇谨慎的文章不应声称超出来源的最终分配。
但供应商诚信测试已经明确。谁对技术知识拥有实际控制权,这些知识能否在伤害固化之前进入司法记录?Fujitsu 控制或帮助控制系统知识、支持记录、缺陷理解、远程访问解释和专家证据。Post Office 控制了对该证据的大部分机构使用。政府和法院在不同阶段控制监督和纠正。副邮政局长对技术记录控制甚少,但承担了最大的个人风险。
对于 Fujitsu,可信的修复不仅仅是道歉。它意味着与调查、赔偿、修复性正义、证据保留和未来使缺陷披露不可避免的采购规则合作。对于公共买家,可信的修复意味着要求诚信而不仅仅是交付的合同。对于法院和检察官,可信的修复意味着在依赖系统输出之前要求技术警告。对于未来供应商,可信的修复意味着设计其输出可以被受影响者挑战的系统。
Horizon 丑闻使本应更早显而易见的供应商义务变得可见:当公共权力依赖于供应商的系统时,供应商知识变成公共问责证据。如果该知识被困在日志、支持台、合同渠道和防御性专家陈述中,系统可能看似权威,而公正已然失败。
供应商诚信登记应独立于交付管理
一个实际改革是为公共系统建立供应商诚信登记,其输出可能影响个人权利、债务、自由或生计。该登记不应只属于试图保持项目稳定的交付团队。它应属于治理、法律、风险和独立保证部门。它将记录具有潜在证据影响的缺陷、远程访问能力、缺失日志、专家证据警告、有争议的用户模式、支持干预和升级决策。它还将记录是否通知了受影响用户、法院、调查人员或计划管理员。
该登记默认不会公开敏感技术细节。它将创建一个纪律性的路线,决定当系统输出被用于针对个人时必须披露什么。测试应是对公平性的重要性,而非对供应商或客户的尴尬。如果已知缺陷可能影响争议时期或账户,应以可用形式进行审查和披露。如果发生了远程干预,记录应说明。如果日志缺失,缺失应可见。
该登记还应保护供应商内部的员工。工程师和支持人员可能在高管或客户想要讨论之前看到问题。清晰的诚信路径为这些员工提供了合法的升级渠道。它减少了警告被软化、丢失或被视为普通工单噪音的机会。它也为负责任的供应商提供了他们在公众伤害可能时确实升级的证据。
公共采购应为可挑战性打分
公共买家例行对功能、成本、安全、实施风险、服务水平和支持进行评分。Horizon 建议另一个分数:可挑战性。受系统输出影响的人能否获得挑战它所需的证据?买家能否解释记录的来源?远程干预能否被揭示?已知缺陷能否链接到受影响的交易?独立专家能否检查相关材料?供应商能否在合同退出后继续支持证据请求?
可挑战性应被设计到系统和合同中。在丑闻之前创建审计导出、缺陷链接工具和证据包要比之后重建便宜得多。它也会改变供应商激励。知道可挑战性将被评分的供应商有理由将透明性构建到架构中,而不是将其视为伤害发生后的法律负担。
这不是反供应商。这是支持信任。一个系统准确的供应商应希望证据包证明准确性。一个有缺陷的供应商应希望在缺陷造成不可逆转的伤害之前披露它。一个依赖该系统的公共机构买家应希望两者。唯一受益于低可挑战性的一方是偏好短期确定性而非公平证据的机构。
修复性正义需要技术记忆
技术丑闻中的修复性正义不能仅依赖于道歉和倾听,尽管两者都很重要。它还需要技术记忆。受 Horizon 伤害的人通常需要知道他们为何被指控,系统无法证明什么,哪些记录被扣留或误解,以及机构将如何防止重复。因此,供应商在修复工作中的角色应包括帮助将技术历史转化为人类可理解的答案。
这很困难,因为技术记忆是混乱的。旧系统会变化。员工离开。日志可能不完整。票证可能模糊不清。缺陷可能有多个名称。远程访问记录可能存储在分开的地方。但困难不是回避工作的理由。它是为什么工作应尽早开始并得到适当资助的理由。每年的延迟都会使技术记忆更弱,人类修复更困难。
对于未来供应商的 Fujitsu 教训是,当系统变得有争议时保留记忆。不要等待调查传票、诉讼披露或媒体关注。当公众伤害可能时,保留缺陷数据库、支持记录、专家草稿、访问日志和升级消息。保留成本与在人们多年被不信后试图重建信任的成本相比很小。
供应商诚信应超越企业声誉管理
企业声誉团队自然希望谨慎的措辞。这是可以理解的,尤其是在法律程序仍在进行时。但供应商诚信不能简化为声誉管理。公共系统需要对技术限制的坦诚承认。供应商可以避免过度声称责任,同时仍然说明已知情况、错误之处、存在什么证据、仍然不确定的内容以及它将提供什么合作。
这种区别很重要,因为防御性语言可能重新伤害人。如果公开声明最小化技术记录或暗示丑闻只是客户机构的问题,供应商可能看起来是在保护自己,而不是提供答案。更好的姿态是有边界的诚信:没有无根据的承认,没有推测,但也不隐藏供应商知识重要的事实。
有边界的诚信也应出现在未来的客户关系中。供应商应告诉公共买家,即使买家偏好沉默,证据不确定性也将被升级。这个条件可能在商业上不舒服。它也是供应商适合运营可能影响权利和生计的系统的原因。Horizon 显示沉默可能成为伤害链的一部分。
诚信义务应附着于输出,而非机构
Horizon 之所以如此重要,原因之一是责任通过许多手传递。供应商构建并支持了系统。Post Office 使用了输出。律师构建了案件。法院听取了证据。政府远程监督。受系统伤害的人面临所有这些角色的联合权威。如果诚信仅附着于提起诉讼的机构,供应商知识可能被困在距离需要它的人一步之遥的地方。
更好的规则将诚信附着于输出。如果系统输出被用于要求金钱、惩戒工人、吊销执照或支持起诉,任何拥有关于该输出可靠性的重要知识的当事方都有义务通过定义渠道使其浮出水面。这并不意味着每个工程师都成为证人。它意味着组织必须保持一条路线,使技术不确定性到达证据文件。
这一规则也将有助于公共买家管理供应商。买家无需在要求披露相关不确定性之前证明恶意。合同已经说明证据使用会触发更高的诚信。供应商将知道普通商业升级是不够的。用户将受益,因为证据包将包括系统的限制,而不仅仅是系统的结论。
独立审查应在不可逆转点之前可用
Horizon 显示,丑闻后的独立审查对许多人来说太晚了。未来系统需要在不可逆转点之前进行独立审查。这可能意味着技术小组、独立保证办公室、专家法院顾问、监察员途径或法定审查员,具体取决于环境。关键是访问:审查员必须能够看到缺陷日志、远程访问记录、支持历史、专家假设和相关交易数据。
审查应由模式以及个人投诉触发。重复的无法解释的短缺、支持票证集群、重复的缺陷类别或具有相似事实的争议应触发升级。公共系统不应在证据表明共同机制时将每个用户视为孤立。模式检测是一个供应商诚信问题,因为供应商在任何个人用户之前经常看到跨案例的技术信号。
独立审查也保护公共机构免受过度自信。它为决策者提供了一种无需承认最终错误即可暂停的方式。它可以说:“系统输出可能仍然正确,但当前证据不足以采取强制行动。”如果这句话早期可用,它可以防止多年的伤害。
证据包应为普通用户设计
供应商可以在技术上披露大量日志,但如果材料不可用,仍会失败诚信。证据包应易于被分支运营商、地方顾问、调查人员、检察官、法官或赔偿评估员理解。它应以通俗语言识别争议输出、时期、已知相关缺陷、支持干预、远程访问事件、缺失记录和专家警告。技术附录可以位于该摘要之后。
这种设计选择很重要,因为权力通常隐藏在复杂性中。如果受影响者需要昂贵的专家仅仅发现缺陷是否可能重要,挑战路径是不公平的。公共服务系统应产生第一级解释,使非专家能够看到机构为什么相信记录以及仍然存在什么不确定性。这不是过度简化。这是为了公正的可访问性。
包也应版本化。如果在决策后出现新的缺陷信息,应通知受早期决策影响的人。Horizon 的历史显示了知识到达太晚且停留太局部的危险。在一个争议中发现的缺陷可能对另一个争议重要。供应商诚信包括连接这些点的义务。
退出计划应保留证据记录
公共技术合同通常关注供应商退出时的服务过渡:数据迁移、替换系统、员工移交、许可证关闭和支持连续性。Horizon 增加了另一个退出要求。证据记录必须在商业关系结束后存活。如果系统已被用于支持执法、债务追偿、雇佣决策、起诉、赔偿或公共服务决策,供应商和买家应保留足够的技术记忆以回答后来的挑战。
该记录应包括缺陷历史、相关支持票证、远程访问日志、专家证据材料、已知限制、迁移说明以及新旧数据结构之间的映射。还应确定合同退出后谁可以解释这些材料。公共买家不应在后来的审查中发现没有人能解释记录,因为项目团队已经分散且供应商关系已改变。
退出证据不仅是诉讼关切。它是公平关切。受历史系统输出影响的人可能多年后需要答案,尤其是当伤害涌现缓慢或机构抵制挑战时。如果记录不完整,负担再次落在权力最小的人身上。负责任的供应商和买家应在系统退役或更换之前计划这种不平衡。
同一原则应适用于未来公共采购。希望运营重要系统的供应商应能够说明证据记录将保留多长时间、如何搜索、缺陷如何链接到受影响用户,以及独立审查员如何在适当保障下访问材料。这使诚信持久。它防止问责在合同变更时过期。
供应商员工需要受保护的诚信渠道
供应商诚信通常被视为企业义务,但第一个警告可能来自工程师、支持分析师、测试员、服务经理或现场专家,他们在高管之前看到模式。如果这些工人没有受保护的渠道来升级证据风险,组织可能将警告信号转化为普通服务噪声。因此,重要的公共系统应为员工提供正式渠道,以提出关于可靠性、远程访问、日志缺口、专家证据或用户伤害的关切。
该渠道应独立于日常交付压力。项目团队通常因保持服务稳定、达到里程碑和保护客户关系而获得奖励。这些激励可能使不确定性感觉不便。受保护的诚信渠道赋予员工权限说缺陷具有法律或公平意义,即使操作变通方案看似可控。
公共买家应询问供应商该渠道如何运作。谁可以升级?谁审查关切?买家如何被告知?如何考虑受影响用户?记录如何保留?如何防止报复?这些问题不是行政附加物。它们决定技术知识是否能在公共伤害变得不可逆转之前逃离组织。

