Вы зайдите здесь в чей-нибудь профиль. Увидите емейл? Вряд ли. Думаете из-за того, что вы не в той группе? Отчасти да, но главное - у вас просто нет прав. Смысл политик безопасности должен быть в том, есть у вас права или нет. Не важно в какой вы группе. У анонимуса может быть больше прав, чем у администратора. Все зависит от настроенных политик. К примеру, у меня это так:
{if $modx->hasPermission('some_perm')} Some code... {/if}
И я не парюсь в какой группе пользователь. Или у него есть права, и он увидит, или у него нет прав.