在实际运作中,部分机构和个人出现了监管不到位、思想麻痹的情况,仅仅是将业务、数据和权限全权委托给服务供应商,未能有效进行监督。这种缺乏严密监管的粗放式处理方式,存在引发系统性安全风险的可能性。

近年来,国家安全机关及相关部门已多次披露涉及“数据外包”的数据失泄密典型事件,揭示了一些单位在推进业务时忽视安全管理,追求服务效率而轻视风险防范的问题。具体案例包括:

  • 某科研单位将实验数据库的运维工作外包给一家第三方企业,但未能建立对驻场人员进行背景审查以及对数据调取进行留痕的安全防范机制。一名外包运维人员受到境外间谍情报机关的诱导和拉拢,利用其远程运维权限,大量下载了核心科研数据,并将其跨境提供给境外间谍情报机关,最终被国家安全机关逮捕。该科研单位的相关责任人员也因此受到法律追究和问责。

  • 根据最高人民法院公布的案例,一家公司在为某医院提供“数据外包”服务期间,私下从后台收集了该医院挂号用户的相关个人信息,并将其导入公司自行建立的数据库。经过数据去重处理后,共计收集了超过28万条信息。涉事公司因侵犯公民个人信息罪,已被依法进行惩处。

  • 据央视新闻报道的案例,某机构将门户网站的建设和维护工作外包给一家第三方公司,但自身并未建立相应的安全管理制度,而是采取了“一托了之”的态度。该第三方公司未能落实基本的网络安全防护措施,未及时修复已知的系统漏洞,也未履行告知风险的义务。在将存在安全隐患的系统上线后,系统遭受了网络攻击,并被植入了违法内容,造成了不良影响。涉事的双方机构均被依法责令限期整改。

通过对上述案例的综合分析,各类“数据外包”活动中数据泄露的风险点高度集中,主要体现在以下三个方面:准入审查机制的严格性、权限分配与控制的有效性,以及整个流程的闭环管理。

中国的《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,在委托第三方处理数据服务时,必须通过合同形式明确数据处理的目的、期限、方式、涉及的数据范围、应采取的数据保护措施以及双方各自的责任和义务。委托外包并不意味着发包方可以免除其在数据安全方面的主体责任。发包单位必须严格遵守外包管理的相关合规要求,切实守住数据安全管理的底线。