# Bucket F — 实例权限粒度细化（F11 / 矩阵 #94）

**优先级**：P1
**估时**：1 天

## 背景

矩阵 #94：「实例权限粒度细化 ⚠️ ❌ P1 F11 待修」。
当前 FormInstance 的访问控制偏粗：
- 申请人能看自己的实例 ✓
- 管理员能看所有 ✓
- 审批人能看分配给自己的任务关联的实例 ✓
- **缺**：CC 用户、流程中已经处理过的人、跨组织/跨部门可见性的精细控制

## 范围

### 1. 现状梳理
- [ ] 列出 FormInstance read API 的所有访问检查点
- [ ] 列出 form-instance.service / instance.service 的 assertAccess 调用
- [ ] 与 docs/modules/form-management/05-ui-interaction-spec.md 的可见性矩阵对照

### 2. 实现细化
- [ ] CC 用户视角：能看到被抄送的实例（read-only）
- [ ] 已处理人视角：能看到自己审批过的实例（即使现在不是 assignee）
- [ ] 跨组织/跨部门：按 organizationId / departmentId 过滤（DataScope 自动应用）
- [ ] 否决场景：普通用户访问别人的实例 → 403

### 3. API 契约
- [ ] `GET /form-management/instances` 列表查询的可见集合定义
- [ ] `GET /form-management/instances/:id` 详情的访问决策树
- [ ] 错误码（CROSS_ORGANIZATION_FORBIDDEN / INSTANCE_NOT_VISIBLE 等）

### 4. 测试
- [ ] L1 多用户场景：6 个角色 × 5 类实例可见性矩阵
- [ ] L2 跨身份切换 → 列表/详情可见性符合预期

## 交付物

- 细化后的可见性策略实现
- 测试用例
- 矩阵 #94 / #149 升 ✅
- API 文档对应章节更新

## 完成条件

- 上述测试矩阵全过
- 删除本文件