请教一个权限设计问题

目前的权限设计都是采用RBAC模型进行设计，但是该模式针对某个系统进行，如果系统中某个模块中某个角色的权限需要降低，而不影响其他模块的情况下我们应该如何设计？比如经理角色在A模块和B模块都存在，但是现在想把A模块的经理角色中的审批权限去处，我们应该如何设计？还有如果不是针对模块，而是针对某个经理个人呢？这个是和业务逻辑有关的内容，理应不加在通用权限中，想听听banq和大家的想法和实现，就是表的结构如何去设计？谢谢

另外，功能权限，系统权限，数据权限，经常会看到这几个名词，能详细解释下区别吗？

[该贴被yongbuyanbai于2008-07-29 16:03修改过]