在实际操作中,一些机构和个人未能有效履行监管职责,思想上有所松懈,将业务、数据及相应权限一股脑地交给外包服务商,采取了“甩手掌柜”式的管理模式。这种缺乏有效监管的处理方式,存在引发系统性安全风险的隐患。

近年来,国家安全机关及相关部门已多次通报涉及“数据外包”的数据失泄密典型事件。这些案件暴露了部分单位在推进业务时忽视安全管控,在追求服务效率时轻视风险防范的问题。具体案例包括:

  • 案例一:国家安全机关发现,某科研单位将实验数据库的运维工作外包给一家第三方企业,但未能建立对驻场人员的背景审查以及数据调取留痕等安全防范机制。一名外包运维人员受到境外间谍情报机关的利诱和拉拢,利用其远程运维权限,大量下载了核心科研数据,并将其跨境提供给境外间谍情报机关。该人员随后被国家安全机关抓获。该科研单位的相关责任人员也因此受到了法律追究和问责。

  • 案例二:根据最高人民法院公布的案例,一家公司在为某医院提供“数据外包”服务期间,暗中从后台收集了该医院挂号用户的相关个人信息。这些信息被导入该公司自行建立的数据库,经过去重处理后,总计达到28万余条。涉事公司因侵犯公民个人信息罪,已被依法追究法律责任。

  • 案例三:央视新闻曾报道,某机构将门户网站的建设和维护工作外包给一家第三方公司,但并未建立相应的安全管理制度,而是采取了“一托了之”的方式。该第三方公司未能落实基本的网络安全防护措施,也未及时修复已知的安全漏洞,同时没有履行风险告知的义务。在系统存在安全隐患的情况下上线后,该网站遭受网络攻击,并被植入了违法内容,造成了不良影响。涉事双方均被依法责令限期整改。

从这些案例中可以看出,“数据外包”在泄密风险方面存在高度相似的风险点,主要集中在准入审核、权限控制以及闭环管理这三个关键环节。

我国《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,当委托第三方处理数据服务时,必须通过合同详细规定处理的目的、期限、方式、数据范围、保护措施以及双方的责任和义务。委托外包并不意味着发包单位可以免除其在数据安全方面的主体责任。因此,发包单位应当严格遵守外包管理相关的各项合规要求,坚决维护数据安全底线。