域名預(yù)訂/競(jìng)價(jià)����,好“米”不錯(cuò)過(guò)
未經(jīng)客戶(hù)同意,擅自在拿單走秀的過(guò)程中使用客戶(hù)的系統(tǒng)或其他保密信息做演示���,你干過(guò)這事沒(méi)有?小心退潮時(shí)被人發(fā)現(xiàn)“裸泳”!
《網(wǎng)絡(luò)安全法》從2016年11月7日公布到2017年6月1日起正式施行�����,網(wǎng)絡(luò)安全問(wèn)題可以說(shuō)在互聯(lián)網(wǎng)和科技圈引起了空前的關(guān)注���,《網(wǎng)絡(luò)安全法》在第三章網(wǎng)絡(luò)運(yùn)行安全部分的第21條中規(guī)定:網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求�,履行法定的安全保護(hù)義務(wù)����,保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)�����,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取��、篡改��。
除了廣受關(guān)注的個(gè)人信息采集和使用(譬如出售)之外���,簡(jiǎn)法幫今天給大家分享一個(gè)關(guān)于企業(yè)客戶(hù)信息不當(dāng)使用的案例和潛在問(wèn)題�,可以不夸張地說(shuō)�,在中國(guó)企業(yè)圈這樣的案例并不罕見(jiàn)。
案例:網(wǎng)絡(luò)安全公司拿單走秀�����,登陸客戶(hù)的系統(tǒng)做功能演示
硅谷網(wǎng)絡(luò)安全公司Tanium近期遭遇到了一系列困境,其中一項(xiàng)就是媒體披露的未經(jīng)客戶(hù)同意擅自在拿單走秀的過(guò)程中登陸客戶(hù)的系統(tǒng)做功能演示����。
這家網(wǎng)絡(luò)安全公司提供的軟件能夠幫助客戶(hù)以極快的速度進(jìn)行網(wǎng)絡(luò)映射,幫助客戶(hù)在內(nèi)部網(wǎng)絡(luò)中找到需要更新防病毒軟件的每臺(tái)計(jì)算機(jī)��,或者要求安裝最新的微軟Windows系統(tǒng)補(bǔ)丁����。該產(chǎn)品的優(yōu)越性在于能夠快速檢測(cè)和修復(fù)企業(yè)安全威脅,該技術(shù)能夠在構(gòu)成物聯(lián)網(wǎng)的傳統(tǒng)計(jì)算機(jī)基礎(chǔ)設(shè)施和系統(tǒng)中廣泛使用��。
這家公司在2017年5月份的危機(jī)處境中仍然拿到了1億美元的新一輪融資�����,此前已經(jīng)獲得幾億美元的投資���,2016財(cái)年的收入增長(zhǎng)超過(guò)100%,在安全和IT領(lǐng)域?qū)儆谏僖?jiàn)的典范公司����?��?蛻?hù)群包攬美國(guó)15家頂尖銀行中的12家和十大零售商中的6家,包括眾多財(cái)富100強(qiáng)公司以及美國(guó)的政府機(jī)構(gòu)���。當(dāng)然�����,在其業(yè)務(wù)增長(zhǎng)迅速的背后卻也存在著一些過(guò)于激進(jìn)甚至涉嫌違法的拿單做法��。
2017年4月����,華爾街日?qǐng)?bào)報(bào)道了這家公司在軟件產(chǎn)品演示期間暴露了加州一家醫(yī)院網(wǎng)絡(luò)的問(wèn)題����。在產(chǎn)品推銷(xiāo)的視頻中,這家公司的產(chǎn)品演示暴露了加州El Camino醫(yī)院的私人網(wǎng)絡(luò)信息��,包括安全漏洞���、服務(wù)器和計(jì)算機(jī)名稱(chēng)��、可能已過(guò)期的防病毒軟件版本以及一些人員信息��。通常情況下�����,客戶(hù)公司都會(huì)密切監(jiān)控這些信息���,因?yàn)檫@些信息可能會(huì)被人利用來(lái)惡意訪問(wèn)公司網(wǎng)絡(luò)�。
Tanium的軟件會(huì)向連接到公司網(wǎng)絡(luò)的設(shè)備發(fā)送信號(hào)���,它會(huì)詢(xún)問(wèn)正在運(yùn)行軟件的名稱(chēng)����,最后一個(gè)安全補(bǔ)丁的日期和其他問(wèn)題��,然后每個(gè)設(shè)備都對(duì)網(wǎng)絡(luò)上的其他設(shè)備發(fā)起這種數(shù)字對(duì)話(huà)���,最終結(jié)果就是迅速發(fā)現(xiàn)連接的設(shè)備有哪些以及哪些設(shè)備是最容易受到攻擊�。該公司表示可以在15秒內(nèi)了解整個(gè)網(wǎng)絡(luò)的安全狀況�。
這家公司在向潛在客戶(hù)推銷(xiāo)這種技術(shù)時(shí),Tanium銷(xiāo)售人員曾使用這家醫(yī)院的內(nèi)部網(wǎng)絡(luò)進(jìn)行現(xiàn)場(chǎng)演示�����。據(jù)媒體披露��, 2010年至2015年期間��,該公司CEO也在各種產(chǎn)品演示中使用了該醫(yī)院的網(wǎng)絡(luò);Tanium的軟件產(chǎn)品是由其合作伙伴之前被在安裝在該醫(yī)院系統(tǒng)中��。
據(jù)媒體報(bào)道�����,在數(shù)以百計(jì)的現(xiàn)場(chǎng)演示中�����,這家醫(yī)院有時(shí)被指名道姓�,有時(shí)則被模糊稱(chēng)為某家醫(yī)院;沒(méi)有指明醫(yī)院名稱(chēng)時(shí),現(xiàn)場(chǎng)觀眾有時(shí)會(huì)要求該公司銷(xiāo)售代表進(jìn)行具體查詢(xún)���,然后查詢(xún)結(jié)果就會(huì)返回醫(yī)院的名稱(chēng)及其網(wǎng)絡(luò)當(dāng)時(shí)所包含的計(jì)算設(shè)備信息��。
此外���,據(jù)稱(chēng)該公司CEO也經(jīng)常出席這樣的演示活動(dòng),活動(dòng)通常面向企業(yè)的首席信息安全官員和首席信息官����。Tanium公司的產(chǎn)品演示暴露了連接到該醫(yī)院網(wǎng)絡(luò)的設(shè)備名稱(chēng)以及其他嚴(yán)密保密的信息����,譬如哪些計(jì)算機(jī)沒(méi)有打軟件升級(jí)的補(bǔ)丁�����。
東窗事發(fā)后公司該如何應(yīng)對(duì)?
媒體報(bào)道稱(chēng),Tanium的現(xiàn)場(chǎng)演示通常會(huì)在開(kāi)始的時(shí)候呈現(xiàn)免責(zé)聲明:醫(yī)院已經(jīng)允許公司共享其IT環(huán)境,以便從創(chuàng)業(yè)公司獲得免費(fèi)服務(wù)�����。
然而�����,這家醫(yī)院在4月份獲悉該情況后做出了相反的公開(kāi)表態(tài):
“El Camino醫(yī)院最近獲悉��,提供桌面管理程序的前第三方供應(yīng)商Tanium在其產(chǎn)品推廣演示中使用了醫(yī)院的桌面和服務(wù)器管理信息���,El Camino醫(yī)院從不知道這種做法,也從未授權(quán)過(guò)Tanium在任何銷(xiāo)售材料或演示中使用醫(yī)院的資料���,El Camino醫(yī)院正在徹底調(diào)查此事���,并且會(huì)非常認(rèn)真地承擔(dān)維護(hù)醫(yī)院系統(tǒng)(安全)完整性的責(zé)任。需要著重強(qiáng)調(diào)的是�,Tanium公司沒(méi)有獲取患者信息,并且根據(jù)我們迄今為止的檢查����,患者信息仍然安全。”
此外�����,產(chǎn)品銷(xiāo)售演示的視頻曾被發(fā)布在視頻網(wǎng)站上�����。不過(guò)��,媒體開(kāi)始調(diào)查之后�����,據(jù)稱(chēng)視頻就被刪除掉了����。
2017年4月19日�,該公司 CEO在一封致客戶(hù)的公開(kāi)信中承認(rèn)了錯(cuò)誤�����,盡管信中沒(méi)有明確提到加州這家醫(yī)院的名稱(chēng):
首先��,我想直接面對(duì)我們被問(wèn)到的問(wèn)題�����,即我們是否將客戶(hù)的環(huán)境用于產(chǎn)品演示�。我們公司是一個(gè)內(nèi)部部署的平臺(tái)。除非您明確允許我們(我們絕大多數(shù)客戶(hù)永遠(yuǎn)都不應(yīng)該也不會(huì)允許)����,否則我們無(wú)法訪問(wèn)您本地內(nèi)部安裝的Tanium產(chǎn)品,我們也不會(huì)提出這樣的訪問(wèn)要求�����,除非是為您提供幫助和支持����,而且這種情況下的(獲準(zhǔn))訪問(wèn)也僅限于提供幫助和支持的目的��。我們確實(shí)有一些客戶(hù)已經(jīng)同意我們使用他們的環(huán)境進(jìn)行外部演示���,并為我們提供了訪問(wèn)權(quán)限。但從2015年以來(lái)�,我們堅(jiān)持要求,在客戶(hù)愿意讓我們演示使用其環(huán)境之前����,無(wú)論他們?yōu)槲覀兲峁┝耸裁礃拥脑L問(wèn)權(quán)限���,我們都以書(shū)面形式記錄并列明我們可以展示哪些數(shù)據(jù)����,以確保不會(huì)發(fā)生任何誤解����。除了已經(jīng)簽署了這些文件并為我們提供其Tanium平臺(tái)遠(yuǎn)程訪問(wèn)權(quán)限的少數(shù)客戶(hù)之外,我們并沒(méi)有而且也不能使用Tanium展示客戶(hù)的環(huán)境��。
即便如此��,我們對(duì)使用這個(gè)特定客戶(hù)演示環(huán)境的錯(cuò)誤承擔(dān)責(zé)任���。我們本應(yīng)該更好地將客戶(hù)的數(shù)據(jù)匿名化���。在過(guò)去幾年時(shí)間里����,觀眾已經(jīng)不再將演示的環(huán)境與該客戶(hù)相聯(lián)系��,我們相信我們從來(lái)沒(méi)有因?yàn)槭褂梦覀冄菔镜臄?shù)據(jù)讓我們的客戶(hù)面臨風(fēng)險(xiǎn)���。再次觀看這些產(chǎn)品演示�,使我們意識(shí)到我們本應(yīng)該采取但沒(méi)有實(shí)施的簡(jiǎn)單措施�����,讓相關(guān)信息進(jìn)一步模糊化和匿名化��。
拿客戶(hù)信息作秀的法律問(wèn)題
平心而論���,按照Tanium公司CEO所表述的方式展示過(guò)往客戶(hù)的信息(網(wǎng)絡(luò)環(huán)境)并沒(méi)有什么法律問(wèn)題����,關(guān)鍵是公司有沒(méi)有得到客戶(hù)的明確許可�����。
在媒體披露的醫(yī)院案例中,醫(yī)院表示自己不知道這種使用自己網(wǎng)絡(luò)環(huán)境信息的做法���,也從未授權(quán)過(guò)Tanium公司在任何銷(xiāo)售材料或演示中使用醫(yī)院的資料���。而這家公司在公開(kāi)信中沒(méi)有針對(duì)性地表態(tài)到底有沒(méi)有拿到這家醫(yī)院的授權(quán)。
具體情況目前無(wú)法知曉��,但媒體報(bào)道稱(chēng)Tanium的軟件產(chǎn)品是由其合作伙伴之前被安裝在該醫(yī)院系統(tǒng)中�,所以很有可能的情況是合作伙伴將Tanium的軟件產(chǎn)品裝在了前者醫(yī)院客戶(hù)的系統(tǒng)中���,如果醫(yī)院像聲明主張的那樣沒(méi)有給過(guò)使用授權(quán)���,即便有授權(quán)也可能是從合作伙伴手中獲得,或者根本沒(méi)有以正式書(shū)面形式獲得授權(quán)����。
如果沒(méi)有合法有效授權(quán),擅自使用客戶(hù)的保密資料或信息就可能違反與客戶(hù)簽署的協(xié)議���,尤其是其中的保密義務(wù)�。
譬如下文示范合同范本中約定的保密義務(wù):
即便沒(méi)有簽署單獨(dú)的保密協(xié)議,常見(jiàn)的業(yè)務(wù)及合作協(xié)議中也會(huì)包含相應(yīng)的保密條款�����,未經(jīng)授權(quán)擅自披露或非正當(dāng)使用(主要是用于約定項(xiàng)目之外��,譬如用于自己的產(chǎn)品演示等市場(chǎng)或銷(xiāo)售活動(dòng))就會(huì)違反保密義務(wù)���,面臨停止侵權(quán)��、賠償損失等違約的后果����。
哪怕雙方?jīng)]有約定任何保密義務(wù)�����,擅自使用客戶(hù)商業(yè)秘密(如登陸客戶(hù)的系統(tǒng))也可能違反《反不正當(dāng)競(jìng)爭(zhēng)法》等禁止侵犯商業(yè)秘密行為的規(guī)定�,面臨行政處罰和受損害方的訴訟賠償要求,嚴(yán)重情況甚至可能構(gòu)成侵犯商業(yè)秘密罪�。
最尷尬的是,擅自使用客戶(hù)保密信息不僅可能導(dǎo)致客戶(hù)的保密信息被公開(kāi)��,面臨公開(kāi)的風(fēng)險(xiǎn)(譬如被人不當(dāng)利用或攻擊)���,客戶(hù)甚至可能因此因?yàn)樾畔踩胧┎坏轿欢媾R政府處罰或用戶(hù)的訴訟����。
在前文案例中,醫(yī)院特別強(qiáng)調(diào)“Tanium公司沒(méi)有獲取患者信息��,并且……患者信息仍然安全”����,其實(shí)醫(yī)院最擔(dān)心的就是自己信息安全措施不到位可能會(huì)面臨政府處罰以及患者(客戶(hù))的*。
2017年6月1日起正式施行《網(wǎng)絡(luò)安全法》也在法律上正式確立了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度���,網(wǎng)絡(luò)安全級(jí)別越高�,信息安全的責(zé)任越大����,尤其是在公共通信和信息服務(wù)�����、能源�、交通、水利�����、金融、公共服務(wù)�����、電子政務(wù)等重要行業(yè)和領(lǐng)域���,以及其他一旦遭到破壞��、喪失功能或者數(shù)據(jù)泄露���,就可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生���、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施�,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上���,會(huì)被國(guó)家重點(diǎn)“關(guān)照”�。
這就意味著��,作為甲方的客戶(hù)需要根據(jù)自己的情況更加關(guān)注信息安全的責(zé)任,及時(shí)采取必要的技術(shù)(網(wǎng)絡(luò)安全)和法律措施(合同��、制度等)�����,更要提高信息安全的意識(shí)����。譬如說(shuō),“大多數(shù)客戶(hù)永遠(yuǎn)都不應(yīng)該也不會(huì)允許”第三方訪問(wèn)你的系統(tǒng)���,使用公司保密信息��,從而換取更優(yōu)惠甚至免費(fèi)的服務(wù)�。
另一方面����,作為乙方的公司在拿單時(shí)要注意安全:別再隨意拿客戶(hù)信息當(dāng)成功案例來(lái)作秀,即使迫不得已也需要經(jīng)過(guò)嚴(yán)格的數(shù)據(jù)“脫敏”過(guò)程���,最好能在合同中事先拿到客戶(hù)明確具體的書(shū)面同意。否則���,你就可能成為退潮之后被人發(fā)現(xiàn)原來(lái)是在“裸泳”的人��。
申請(qǐng)創(chuàng)業(yè)報(bào)道�,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處����,共同探討創(chuàng)業(yè)新機(jī)遇!
