在实际操作中,部分机构和个人未能充分履行监管职责,甚至出现了思想上的松懈。他们倾向于将业务、数据及相关权限一股脑地交给外部承包商,采取了“甩手掌柜”式的管理方式。这种缺乏有效监督的粗放型管理模式,极有可能导致系统性的安全风险。
近年来,国家安全机关及相关部门已经多次通报了与“数据外包”相关的典型失泄密案件。这些案件揭示出一些单位在推进业务时过于侧重效率,而忽视了安全管控;在追求服务速度时,又对潜在风险防范不足。以下是具体的案例:
案例一:国家安全机关发现,某科研机构将其实验数据库的运维工作外包给了一家第三方企业。然而,该机构并未建立针对驻场人员的背景审查机制,也未对数据调取进行留痕管理,安全防范措施存在明显缺失。一名外包运维人员在境外间谍情报机关的利诱和拉拢下,利用其远程运维权限,大量下载了核心科研数据,并将其跨境提供给了境外间谍情报机关。此人随后被国家安全机关抓获。该科研机构的相关责任人员也因此受到了法律的追责和问责。
案例二:根据最高人民法院公布的案例,一家公司在为某医院提供“数据外包”服务期间,暗中从后台收集了该医院挂号用户的个人信息。这些信息被导入该公司自行建立的数据库,经过去重处理后,共计收集了超过28万条数据。涉事公司因侵犯公民个人信息罪,已被依法追究了法律责任。
案例三:央视新闻曾报道,某机构将其门户网站的建设和维护工作外包给了一家第三方公司,但自身并未建立相应的安全管理制度,仅仅是简单地将项目“一托了之”。该外包公司未能落实基本的网络安全防护措施,也没有及时修复已知的系统漏洞,更没有履行告知潜在风险的义务。在存在安全隐患的系统上线后,该网站遭受了网络攻击,并被植入了违法内容,造成了不良的社会影响。涉事双方均被依法要求限期进行整改。
通过梳理这些案例,可以看出各类“数据外包”泄密风险的集中点高度一致,主要体现在准入环节的把关、权限的有效管控以及整个流程的闭环管理这三个关键方面。
我国的《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,在委托第三方处理数据时,必须通过合同详细约定数据处理的目的、期限、方式、数据范围、具体的保护措施以及双方各自的责任和义务。委托外包并不能免除发包单位作为数据安全主体的责任。发包单位必须严格遵守外包管理的相关合规要求,坚决维护数据安全的底线。

用户评论