拿单时请注意安全：别再随意拿客户信息当成功案例来作秀

未经客户同意，使用客户系统或其他保密信息进行演示。你做过吗？小心退潮时被发现“裸泳”!

《网络安全法》自2016年11月7日公布至2017年6月1日起正式实施。网络安全问题可以说在互联网和科技界引起了前所未有的关注。《网络安全法》第三章网络运行安全部分第21条规定，网络运营商应当按照网络安全等级保护制度的要求履行法定的安全保护义务，确保网络免受干扰、损坏或未经授权的访问，防止网络数据泄露、盗窃、篡改。

除了广泛关注的个人信息收集和使用（如销售）外，简单地帮助您分享企业客户信息使用不当的案例和潜在问题。可以毫不夸张地说，这样的案例在中国企业圈并不少见。

案例:网络安全公司拿单走秀，登录客户系统做功能演示

硅谷网络安全公司Tanium最近遇到了一系列困难，其中之一就是未经客户同意登录客户系统进行功能演示。

网络安全公司提供的软件可以帮助客户以极快的速度进行网络映射，帮助客户找到每台需要更新内部网络防病毒软件的计算机，或者需要安装最新的微软Windows系统补丁。该产品的优点是可以快速检测和修复企业的安全威胁，可以广泛应用于构成物联网的传统计算机基础设施和系统中。

该公司在2017年5月的危机中仍获得了新一轮1亿美元的融资，此前已获得数亿美元的投资。2016年财年收入增长100%以上，安全性和IT该领域属于罕见的典范公司。客户群包括美国15家顶级银行中的12家和10家零售商中的6家，包括100强财富公司和美国政府机构。当然，在业务快速增长的背后，也有一些过于激进甚至涉嫌违法的做法。

2017年4月，《华尔街日报》报道称，该公司在软件产品演示期间暴露了加州一家医院的网络问题。该公司的产品演示在产品推广视频中暴露了加州El Camino医院的私人网络信息包括安全漏洞、服务器和计算机名称、可能过期的防病毒软件版本和一些人员信息。客户公司通常会密切监控这些信息，因为它们可能被用来恶意访问公司网络。

Tanium该软件将向连接到公司网络的设备发送信号。它将询问运行软件的名称、最后一个安全补丁的日期和其他问题，然后每个设备将此数字对话发起到网络上的其他设备。最终的结果是快速发现连接的设备是什么，哪些设备最容易受到攻击。该公司表示，它可以在15秒内了解整个网络的安全性。

该公司在向潜在客户推广该技术时，Tanium销售人员利用医院的内部网络进行现场演示。据媒体报道， 从2010年到2015年，该公司CEO医院网络也用于各种产品演示；Tanium该软件产品由其合作伙伴安装在医院系统中。

据媒体报道，在数百次现场演示中，医院有时被命名，有时被模糊为医院；当医院名称未指明时，观众有时会要求公司销售代表进行具体查询，然后查询结果将返回医院名称及其网络中包含的计算设备信息。

另外，据说公司CEO企业首席信息安全官员和首席信息官也经常参加这样的演示活动。Tanium该公司的产品演示暴露了连接到医院网络的设备名称和其他严密保密信息，如没有软件升级的计算机补丁。

东窗事件发生后公司该怎么办？

据媒体报道，媒体报道，Tanium现场演示通常在开始时发表免责声明：医院允许公司分享IT从创业公司获得免费服务的环境。

然而，该医院在4月份得知情况后发表了相反的公开声明：

“El Camino医院最近了解到，提供桌面管理程序的前第三方供应商Tanium医院的桌面和服务器管理信息用于其产品推广演示，El Camino医院从不知道这种做法，也从不授权Tanium在任何销售材料或演示中使用医院信息，El Camino医院正在彻底调查此事，并将非常认真地承担维护医院系统(安全)完整性的责任。需要强调的是，Tanium根据我们迄今为止的检查，该公司尚未获得患者信息，患者信息仍然安全。需要强调的是，Tanium根据我们迄今为止的检查，该公司尚未获得患者信息，患者信息仍然安全。”

此外，视频网站上还发布了产品销售演示的视频。然而，在媒体开始调查后，据说视频被删除了。

2017年4月19日，公司 CEO尽管信中没有明确提到加州医院的名称：

首先，我想直接面对我们提出的问题，即我们是否在产品演示中使用客户环境。我公司是内部部署平台。除非你明确允许我们(我们绝大多数客户永远不应该也不会允许)，否则我们不能访问您当地的内部安装Tanium对于产品，除非为您提供帮助和支持，否则我们不会提出此类访问要求，在这种情况下，（批准）访问仅限于提供帮助和支持的目的。我们的一些客户确实同意我们使用他们的环境进行外部演示，并为我们提供访问权。但自2015年以来，我们一直坚持要求，在客户愿意让我们展示环境之前，我们以书面形式记录和列出我们可以显示的数据，以确保没有误解。除了这些文件已经签署并提供给我们Tanium除了少数平台远程访问权限的客户，我们不能使用它Tanium展示客户环境。

即便如此，我们还是要对使用特定客户演示环境的错误负责。我们应该更好地匿名客户数据。在过去的几年里，观众不再将演示环境与客户联系起来，我们相信我们从未使用我们的演示数据来面对风险。再次观看这些产品演示，让我们意识到我们应该采取但没有实施的简单措施，进一步模糊和匿名相关信息。

拿客户信息作秀的法律问题

平心而论，按照Tanium公司CEO显示过去客户的信息（网络环境）没有法律问题，关键是公司是否得到了客户的明确许可。

在媒体披露的医院案例中，医院表示不知道如何使用自己的网络环境信息，也从未授权Tanium公司在任何销售材料或演示中使用医院信息。公司没有在公开信中表示是否获得了医院的授权。

目前尚不清楚具体情况，但媒体报道称Tanium软件产品以前是由合作伙伴安装在医院系统中的，所以合作伙伴很可能会Tanium软件产品安装在前者医院客户的系统中。如果医院没有像声明所要求的那样授权使用，即使有授权，也可以从合作伙伴那里获得，或者根本没有正式书面授权。

未经合法有效授权，擅自使用客户的保密信息或者信息，可以违反与客户签订的协议，特别是保密义务。

例如，以下示范合同模型中约定的保密义务：

即使没有订单独的保密协议，常见的业务和合作协议也将包含相应的保密条款，未经授权披露或不正当使用（主要用于约定的项目，如产品演示等市场或销售活动）将违反保密义务，面临停止侵权、赔偿损失等违约的后果。

即使双方没有约定任何保密义务，未经授权使用客户商业秘密（如登录客户系统）也可能违反《反不正当竞争法》和其他禁止侵犯商业秘密的规定，面临行政处罚和受害人的诉讼赔偿要求，甚至可能构成侵犯商业秘密罪。

最尴尬的是，未经授权使用客户保密信息不仅可能导致客户保密信息披露，还可能面临披露风险（如使用不当或攻击不当），客户甚至可能因信息安全措施不到位而面临政府处罚或用户诉讼。

在上述案例中，医院特别强调“Tanium公司未获得患者信息，……患者信息仍然安全”，事实上，医院最担心的是，如果他们的信息安全措施不到位，他们可能会面临政府处罚和患者（客户）的起诉。

自2017年6月1日起，《网络安全法》的正式实施也在法律上正式建立了网络安全等级保护制度。网络安全水平越高，信息安全责任越大，特别是在公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，一旦损坏、功能丧失或数据泄露，在网络安全等级保护制度的基础上，可能严重危害国家安全、国计民生和公共利益的关键信息基础设施将成为国家的重点“关照”。

这意味着甲方的客户需要更加关注信息安全的责任，及时采取必要的技术（网络安全）和法律措施（合同、制度等）提高信息安全意识。“大多数客户永远不应该也不会被允许”第三方访问您的系统，使用公司的保密信息，以换取更优惠甚至免费的服务。

另一方面，乙方公司在收到订单时应注意安全：不要随意将客户信息作为成功案例，即使必须通过严格的数据“脱敏”在这个过程中，最好在合同中提前获得客户明确具体的书面同意。否则，退潮后，你可能会被发现是在“裸泳”的人。