第一百三十二章 五零七
A栋507是一间小会议室,两张椅子,一张桌,桌上没有摆任何东西。
陆衍推门进去,韦东来已经坐在里面了,桌上放着一个文件夹,翻开,两页纸。
「坐,」他说,「不用长,就几个问题。」
两人中间隔着那张桌子,他坐下了。
「访问日志里有一个进程,」韦东来说,「`pddai_helper.exe`。你申报的工具,后台组件是这个?」
「是,」陆衍说。
「那个进程在两个小时内访问了三百四十七个文件。」
「建索引,」陆衍说,「工具需要先扫描所有文件的目录结构,才能提供章节检索。」
「好,」韦东来在纸上记了一行,没有停,「索引建好以后,有没有把文件内容发到外部?」
「有,」陆衍说,「工具是云端服务,本地进程负责调用,文档内容作为输入传入分析端点,结果返回本地使用。」
「分析端点,」韦东来重复了一遍,「外部地址。」
「对。」
「那个地址是什么?」
他报出了端点地址,一串API域名。
他写下来,看了两秒。「这个服务,是你公司授权的IT资源吗?」
「工具在申报范围内,」陆衍说,「端点是工具的后台,没有单独列出来。」
「没有单独列出来,」韦东来说,「意思是没有申报这个外部地址。」
「申报覆盖了工具的使用范围,」陆衍说,「端点是实现细节,通常不在申报层面说明。」
笔放下,他抬头看着陆衍。「我换一个问题。」
他翻到第二页纸。「柯庭集团的技术文件,它属于什么类型的资料?」
「受控技术资料,」陆衍说,「评审方有阅览权,无复制权,无外传权。」
「对,」韦东来说,「无外传权。」他在第二页纸上划了一道线,「你在评审过程中,把这些受控技术文件的内容,通过你的工具发到了一个外部API端点。这个动作,有没有获得柯庭的授权?」
他没有立刻回答。
这个问题,他和豆包推演过。有三条可以走的路:一,说技术上不构成外传,因为传出的是结构化摘要、不是完整文件;二,把问题推回授权定义,说评审工具条款覆盖工具的运作方式;三,承认需要补充说明,把漏洞定性为程序缺口而不是主动违规。
前两条,韦东来有材料可以反驳。第三条,不正面承认,但不否认事实,把解释权留在程序层面。
「数据处理方式,」他说,「是传入脱敏后的文本结构摘要,获得分析参考,外部不留存原始内容。服务端处理后清除,传输全程加密。」
「授权,」韦东来说,「不是技术细节。」
「评审合同里,」陆衍说,「有一条允许评审方使用评审工具的条款。」
「评审工具,」韦东来说,「是指评审使用的分析软件,不是指把受控资料传输到第三方服务器。」
房间里安静了几秒。
「你把柯庭的技术文件,」韦东来说,语速放慢,「发出了公司边界。这个动作,合同里没有明文授权。」
他看着桌面,没有说话。
「你是否认为,」韦东来说,「这个动作,在合同授权范围内。」
这是一个可以被记录在案的问题。
「我认为,」陆衍说,「工具使用属于评审工作范围,相关数据处理符合行业通行实践。但如果合规判断认为需要明文授权,这块有缺口,可以补。」
「可以补,」韦东来重复,把这句话写下来。「好。」
他合上文件夹。「我会把今天的谈话整理成记录,你收到以后确认一下内容。」
陆衍站起来,「好。」
他走出507,走廊里灯光白亮,一直延伸到尽头。
他把今天的那句话在脑子里过了一遍:工具使用属于评审工作范围,相关数据处理符合行业通行实践。
这句话没有错。
但它也没有正面回答韦东来的问题。
快到电梯的时候,手机震了一下。
是豆包。
「会面记录已经落档了,」它说,「你今天的那句话,合规库里给了一个分类标签:'承认边界模糊,存在授权缺口'。」
「这个标签,」豆包说,「是下一步正式调查的前提之一。」