未經(jīng)客戶同意，擅自在拿單走秀的過程中使用客戶的系統(tǒng)或其他保密信息做演示，你干過這事沒有？小心退潮時被人發(fā)現(xiàn)“裸泳”！

《網(wǎng)絡(luò)安全法》從2016年11月7日公布到2017年6月1日起正式施行，網(wǎng)絡(luò)安全問題可以說在互聯(lián)網(wǎng)和科技圈引起了空前的關(guān)注，《網(wǎng)絡(luò)安全法》在第三章網(wǎng)絡(luò)運行安全部分的第21條中規(guī)定：網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行法定的安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。

除了廣受關(guān)注的個人信息采集和使用（譬如出售）之外，簡法幫今天給大家分享一個關(guān)于企業(yè)客戶信息不當使用的案例和潛在問題，可以不夸張地說，在中國企業(yè)圈這樣的案例并不罕見。

案例：網(wǎng)絡(luò)安全公司拿單走秀，登陸客戶的系統(tǒng)做功能演示

硅谷網(wǎng)絡(luò)安全公司Tanium近期遭遇到了一系列困境，其中一項就是媒體披露的未經(jīng)客戶同意擅自在拿單走秀的過程中登陸客戶的系統(tǒng)做功能演示。

這家網(wǎng)絡(luò)安全公司提供的軟件能夠幫助客戶以極快的速度進行網(wǎng)絡(luò)映射，幫助客戶在內(nèi)部網(wǎng)絡(luò)中找到需要更新防病毒軟件的每臺計算機，或者要求安裝最新的微軟Windows系統(tǒng)補丁。該產(chǎn)品的優(yōu)越性在于能夠快速檢測和修復(fù)企業(yè)安全威脅，該技術(shù)能夠在構(gòu)成物聯(lián)網(wǎng)的傳統(tǒng)計算機基礎(chǔ)設(shè)施和系統(tǒng)中廣泛使用。

這家公司在2017年5月份的危機處境中仍然拿到了1億美元的新一輪融資，此前已經(jīng)獲得幾億美元的投資，2016財年的收入增長超過100％，在安全和IT領(lǐng)域?qū)儆谏僖姷牡浞豆尽？蛻羧喊鼣埫绹?5家頂尖銀行中的12家和十大零售商中的6家，包括眾多財富100強公司以及美國的政府機構(gòu)。當然，在其業(yè)務(wù)增長迅速的背后卻也存在著一些過于激進甚至涉嫌違法的拿單做法。

2017年4月，華爾街日報報道了這家公司在軟件產(chǎn)品演示期間暴露了加州一家醫(yī)院網(wǎng)絡(luò)的問題。在產(chǎn)品推銷的視頻中，這家公司的產(chǎn)品演示暴露了加州El Camino醫(yī)院的私人網(wǎng)絡(luò)信息，包括安全漏洞、服務(wù)器和計算機名稱、可能已過期的防病毒軟件版本以及一些人員信息。通常情況下，客戶公司都會密切監(jiān)控這些信息，因為這些信息可能會被人利用來惡意訪問公司網(wǎng)絡(luò)。

Tanium的軟件會向連接到公司網(wǎng)絡(luò)的設(shè)備發(fā)送信號，它會詢問正在運行軟件的名稱，最后一個安全補丁的日期和其他問題，然后每個設(shè)備都對網(wǎng)絡(luò)上的其他設(shè)備發(fā)起這種數(shù)字對話，最終結(jié)果就是迅速發(fā)現(xiàn)連接的設(shè)備有哪些以及哪些設(shè)備是最容易受到攻擊。該公司表示可以在15秒內(nèi)了解整個網(wǎng)絡(luò)的安全狀況。

這家公司在向潛在客戶推銷這種技術(shù)時，Tanium銷售人員曾使用這家醫(yī)院的內(nèi)部網(wǎng)絡(luò)進行現(xiàn)場演示。據(jù)媒體披露，?2010年至2015年期間，該公司CEO也在各種產(chǎn)品演示中使用了該醫(yī)院的網(wǎng)絡(luò)；Tanium的軟件產(chǎn)品是由其合作伙伴之前被在安裝在該醫(yī)院系統(tǒng)中。

據(jù)媒體報道，在數(shù)以百計的現(xiàn)場演示中，這家醫(yī)院有時被指名道姓，有時則被模糊稱為某家醫(yī)院；沒有指明醫(yī)院名稱時，現(xiàn)場觀眾有時會要求該公司銷售代表進行具體查詢，然后查詢結(jié)果就會返回醫(yī)院的名稱及其網(wǎng)絡(luò)當時所包含的計算設(shè)備信息。

此外，據(jù)稱該公司CEO也經(jīng)常出席這樣的演示活動，活動通常面向企業(yè)的首席信息安全官員和首席信息官。Tanium公司的產(chǎn)品演示暴露了連接到該醫(yī)院網(wǎng)絡(luò)的設(shè)備名稱以及其他嚴密保密的信息，譬如哪些計算機沒有打軟件升級的補丁。

東窗事發(fā)后公司該如何應(yīng)對? ??

媒體報道稱，Tanium的現(xiàn)場演示通常會在開始的時候呈現(xiàn)免責聲明：醫(yī)院已經(jīng)允許公司共享其IT環(huán)境，以便從創(chuàng)業(yè)公司獲得免費服務(wù)。

然而，這家醫(yī)院在4月份獲悉該情況后做出了相反的公開表態(tài)：

“El Camino醫(yī)院最近獲悉，提供桌面管理程序的前第三方供應(yīng)商Tanium在其產(chǎn)品推廣演示中使用了醫(yī)院的桌面和服務(wù)器管理信息，El Camino醫(yī)院從不知道這種做法，也從未授權(quán)過Tanium在任何銷售材料或演示中使用醫(yī)院的資料，El Camino醫(yī)院正在徹底調(diào)查此事，并且會非常認真地承擔維護醫(yī)院系統(tǒng)（安全）完整性的責任。需要著重強調(diào)的是，Tanium公司沒有獲取患者信息，并且根據(jù)我們迄今為止的檢查，患者信息仍然安全。”

此外，產(chǎn)品銷售演示的視頻曾被發(fā)布在視頻網(wǎng)站上。不過，媒體開始調(diào)查之后，據(jù)稱視頻就被刪除掉了。

2017年4月19日，該公司?CEO在一封致客戶的公開信中承認了錯誤，盡管信中沒有明確提到加州這家醫(yī)院的名稱：

首先，我想直接面對我們被問到的問題，即我們是否將客戶的環(huán)境用于產(chǎn)品演示。我們公司是一個內(nèi)部部署的平臺。除非您明確允許我們（我們絕大多數(shù)客戶永遠都不應(yīng)該也不會允許），否則我們無法訪問您本地內(nèi)部安裝的Tanium產(chǎn)品，我們也不會提出這樣的訪問要求，除非是為您提供幫助和支持，而且這種情況下的（獲準）訪問也僅限于提供幫助和支持的目的。我們確實有一些客戶已經(jīng)同意我們使用他們的環(huán)境進行外部演示，并為我們提供了訪問權(quán)限。但從2015年以來，我們堅持要求，在客戶愿意讓我們演示使用其環(huán)境之前，無論他們?yōu)槲覀兲峁┝耸裁礃拥脑L問權(quán)限，我們都以書面形式記錄并列明我們可以展示哪些數(shù)據(jù)，以確保不會發(fā)生任何誤解。除了已經(jīng)簽署了這些文件并為我們提供其Tanium平臺遠程訪問權(quán)限的少數(shù)客戶之外，我們并沒有而且也不能使用Tanium展示客戶的環(huán)境。

即便如此，我們對使用這個特定客戶演示環(huán)境的錯誤承擔責任。我們本應(yīng)該更好地將客戶的數(shù)據(jù)匿名化。在過去幾年時間里，觀眾已經(jīng)不再將演示的環(huán)境與該客戶相聯(lián)系，我們相信我們從來沒有因為使用我們演示的數(shù)據(jù)讓我們的客戶面臨風險。再次觀看這些產(chǎn)品演示，使我們意識到我們本應(yīng)該采取但沒有實施的簡單措施，讓相關(guān)信息進一步模糊化和匿名化。

拿客戶信息作秀的法律問題

平心而論，按照Tanium公司CEO所表述的方式展示過往客戶的信息（網(wǎng)絡(luò)環(huán)境）并沒有什么法律問題，關(guān)鍵是公司有沒有得到客戶的明確許可。

在媒體披露的醫(yī)院案例中，醫(yī)院表示自己不知道這種使用自己網(wǎng)絡(luò)環(huán)境信息的做法，也從未授權(quán)過Tanium公司在任何銷售材料或演示中使用醫(yī)院的資料。而這家公司在公開信中沒有針對性地表態(tài)到底有沒有拿到這家醫(yī)院的授權(quán)。

具體情況目前無法知曉，但媒體報道稱Tanium的軟件產(chǎn)品是由其合作伙伴之前被安裝在該醫(yī)院系統(tǒng)中，所以很有可能的情況是合作伙伴將Tanium的軟件產(chǎn)品裝在了前者醫(yī)院客戶的系統(tǒng)中，如果醫(yī)院像聲明主張的那樣沒有給過使用授權(quán)，即便有授權(quán)也可能是從合作伙伴手中獲得，或者根本沒有以正式書面形式獲得授權(quán)。

如果沒有合法有效授權(quán)，擅自使用客戶的保密資料或信息就可能違反與客戶簽署的協(xié)議，尤其是其中的保密義務(wù)。

譬如下文示范合同范本中約定的保密義務(wù)：

即便沒有簽署單獨的保密協(xié)議，常見的業(yè)務(wù)及合作協(xié)議中也會包含相應(yīng)的保密條款，未經(jīng)授權(quán)擅自披露或非正當使用（主要是用于約定項目之外，譬如用于自己的產(chǎn)品演示等市場或銷售活動）就會違反保密義務(wù)，面臨停止侵權(quán)、賠償損失等違約的后果。

哪怕雙方?jīng)]有約定任何保密義務(wù)，擅自使用客戶商業(yè)秘密（如登陸客戶的系統(tǒng)）也可能違反《反不正當競爭法》等禁止侵犯商業(yè)秘密行為的規(guī)定，面臨行政處罰和受損害方的訴訟賠償要求，嚴重情況甚至可能構(gòu)成侵犯商業(yè)秘密罪。

最尷尬的是，擅自使用客戶保密信息不僅可能導致客戶的保密信息被公開，面臨公開的風險（譬如被人不當利用或攻擊），客戶甚至可能因此因為信息安全措施不到位而面臨政府處罰或用戶的訴訟。

在前文案例中，醫(yī)院特別強調(diào)“Tanium公司沒有獲取患者信息，并且……患者信息仍然安全”，其實醫(yī)院最擔心的就是自己信息安全措施不到位可能會面臨政府處罰以及患者（客戶）的起訴。

2017年6月1日起正式施行《網(wǎng)絡(luò)安全法》也在法律上正式確立了網(wǎng)絡(luò)安全等級保護制度，網(wǎng)絡(luò)安全級別越高，信息安全的責任越大，尤其是在公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，就可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，會被國家重點“關(guān)照”。

這就意味著，作為甲方的客戶需要根據(jù)自己的情況更加關(guān)注信息安全的責任，及時采取必要的技術(shù)（網(wǎng)絡(luò)安全）和法律措施（合同、制度等），更要提高信息安全的意識。譬如說，“大多數(shù)客戶永遠都不應(yīng)該也不會允許”第三方訪問你的系統(tǒng)，使用公司保密信息，從而換取更優(yōu)惠甚至免費的服務(wù)。

另一方面，作為乙方的公司在拿單時要注意安全：別再隨意拿客戶信息當成功案例來作秀，即使迫不得已也需要經(jīng)過嚴格的數(shù)據(jù)“脫敏”過程，最好能在合同中事先拿到客戶明確具體的書面同意。否則，你就可能成為退潮之后被人發(fā)現(xiàn)原來是在“裸泳”的人。