第10章 设技术陷阱，抓住偷数据的张浩

十一月中旬的江城，阳光终于穿透连日的阴雨，洒在科创大厦12楼的玻璃窗上。但辰风工作室里的气氛，却比雨天还要凝重——苏晴手里攥着一份《网络安全检查通知书》，是江城市网信办早上送来的，上面写着“接到举报，辰风app涉嫌非法收集用户信息，将于明日上午10点进行现场检查，请配合提供相关数据与代码”。

“肯定是鼎盛集团搞的鬼！”林风把通知书拍在桌上，声音里满是愤怒，“昨天他们刚发声明说咱们收集信息，今天网信办就来检查，这速度也太快了，明显是提前串通好的！”

陈阳坐在电脑前，手指飞快敲击键盘，屏幕上是辰风app的权限设置页面“我查了app的后台日志，咱们只获取了用户的收货地址、联系电话和订单偏好，这些都是外卖服务的必要信息，而且用户注册时会明确弹窗提示‘仅用于订单配送’，没有收集通讯录、定位（除配送时临时定位）等敏感信息，完全符合《个人信息保护法》。”

他调出一份《app合规报告》，是之前开发时特意请律师审核的，上面盖着律所的公章“这是合规报告，还有用户注册时的弹窗截图、后台数据加密记录，都能证明咱们没有非法收集信息。鼎盛集团的声明里，那张‘强制获取通讯录’的截图是伪造的，我已经对比过，他们改了咱们的注册页面代码，添加了不存在的权限选项。”

陆辰接过合规报告，快速翻了几页，心里有了底“明天网信办来检查，陈阳负责演示app的权限设置和后台数据，重点说明咱们只收集必要信息，并且有加密保护；苏晴准备好用户注册弹窗的录屏、律师审核报告，还有之前学生的反馈（证明没有强制授权）；林风负责接待，配合网信办的工作，态度要诚恳，别激化矛盾。”

团队成员立刻行动起来。陈阳把后台数据导出，整理成《数据收集清单》，逐条标注“收集目的”“使用范围”“保存期限”；苏晴从app上线至今的用户注册录屏里，截取了10条不同时间段的视频，证明弹窗提示一直存在；林风则去打印店制作了《辰风app合规说明》海报，贴在工作室显眼的位置，方便网信办检查时查看。

当天下午，张浩突然出现在工作室门口，手里拿着一杯奶茶，脸上带着假笑“辰子，听说你们app被举报了？我来看看能不能帮上忙，毕竟咱们之前是室友，我也不想看到你们出事。”

陆辰心里一警——张浩自从被学校盯上后，很少来工作室，现在突然上门，肯定没安好心。他不动声色地说“谢谢关心，我们已经准备好合规材料了，应该没什么问题。”

张浩的目光在陈阳的电脑屏幕上扫了一圈，看到后台数据的界面，眼睛亮了一下，却很快移开“那就好，我就是来问问。对了，之前你让我帮忙测试app的临时登录密码，我好像记在手机里了，要不要帮你看看有没有过期？”

陆辰心里冷笑——张浩果然是为了app后台数据来的！之前开发初期，为了测试不同角色的权限，确实给过张浩一个临时客服账号（只能查看订单，不能修改数据），后来早就注销了，他现在故意说“记在手机里”，就是想试探能不能登录。

“不用了，临时密码早就过期了，新的密码只有团队成员知道。”陆辰故意提高声音，让陈阳听到，“而且我们的后台有异常登录警报，不是团队成员登录，会立刻锁定账号，还会拍照留存，防止有人偷数据。”

张浩的脸色僵了一下，很快又恢复笑容“是吗？那你们的安全措施还挺严的，我就是随口问问，没别的意思。那我先走了，祝你们明天检查顺利。”说完，他匆匆离开了工作室，脚步比来时快了不少。

“他肯定是想偷数据！”陈阳立刻调出后台的登录日志，“刚才张浩在的时候，有一个陌生ip试图访问客服账号的登录页面，虽然没输入密码，但已经触发了我们的ip监控，我已经把这个ip加入黑名单了。”

陆辰点点头“他受李志强指使，想偷咱们的用户信息和订单数据，一方面可以用来伪造‘非法收集信息’的证据，应付网信办的调查；另一方面，可能想分析咱们的订单规律，针对性地搞低价竞争，或者伪造订单破坏咱们的口碑。”

“那咱们得设个陷阱，让他自投罗网！”林风兴奋地说，“之前他造谣、威胁陈阳，这次要是能抓住他偷数据的证据，就能让学校开除他，还能告他侵犯商业秘密！”

陈阳眼睛一亮，立刻有了主意“我可以在后台设置一个‘虚拟数据分区’，把真实的用户数据和订单数据加密隐藏，再制作一套虚假的‘测试数据’（比如重复的用户信息、虚假的订单地址），放在显眼的位置。然后，我重新激活之前给张浩的临时账号，但只给他访问虚拟数据分区的权限，还设置‘异常操作录像’功能——只要他登录后复制、下载数据，系统就会自动录下他的操作画面，同时锁定账号，把他的ip、设备信息都记录下来。”

“这个主意好！”陆辰拍了拍陈阳的肩膀，“再在登录页面加个‘钓鱼链接’，要是他试图用其他账号登录（比如管理员账号），点击链接就会触发报警，咱们能第一时间知道。另外