实践中,部分机构和个人放松了监管,思想麻痹,将业务、数据及相应权限全权委托给服务承包商,采取了“甩手不管”的态度。这种缺乏有效监督的粗放式管理模式,可能导致系统性安全风险的出现。
近年来,国家安全机关及相关部门已通报多起涉及“数据外包”导致信息失泄密的典型事件,揭示出一些单位在推进业务时忽视安全管控,在追求服务效率时忽略风险防范。以下是具体的案例:
案例一: 国家安全机关发现,某科研机构将其实验数据库的运维工作外包给一家第三方企业,但未能建立对驻场人员进行背景审查以及对数据调取进行留痕等安全防范措施。一名外包运维人员被境外间谍情报机关利诱,利用其远程运维权限,大量下载了核心科研数据并跨境提供给对方,最终被国家安全机关抓获。该科研机构的相关责任人员也因此受到法律追责。
案例二: 最高人民法院公布的案例显示,某公司在为一家医院提供“数据外包”服务期间,私自从后台收集了该医院挂号用户的个人信息,并将其导入公司自行建立的数据库。经过去重处理后,共计收集了超过28万条数据。该涉事公司因侵犯公民个人信息罪而被依法追究法律责任。
案例三: 央视新闻报道的案例指出,某机构在将门户网站外包给第三方公司进行建设和维护时,未能建立相应的安全管理制度,仅是将项目“一托了之”。该第三方公司未执行基本的网络安全防护措施,未修补已知的安全漏洞,也未履行告知风险的义务。系统在存在安全隐患的情况下上线后,遭受了网络攻击,并被植入了非法内容,造成了不良影响。涉事的双方机构均被依法责令限期整改。
综合这些案例,各类“数据外包”在泄密风险方面存在高度相似之处,主要体现在准入审批、权限控制以及闭环管理这三个关键环节。
中国的《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,在委托第三方处理数据服务时,必须通过合同详细约定处理的目的、期限、方式、数据范围、保护措施以及双方的责任和义务。委托外包并不意味着发包单位可以免除其数据安全的主体责任。发包单位必须严格遵守外包管理的所有合规要求,坚决维护数据安全的基本底线。

玩家互动社区