在实际操作中,部分机构和个人存在监管疏忽、意识淡薄的现象,将业务、数据和权限一股脑儿地交给服务供应商,如同当起了“甩手掌柜”。这种缺乏有效监管的粗放式管理模式,存在引发系统性安全风险的隐患。
近年来,国家安全机关及相关部门已陆续通报了多起涉及“数据外包”的数据失泄密典型案件,揭示出一些单位片面追求业务进展而忽视安全管控,重视服务效率而轻视风险防范的问题。IT之家在此列举具体案例:
案例一: 国家安全机关发现,某科研单位将实验数据库的运维工作外包给一家第三方企业,但未能建立对驻场人员进行背景审查以及数据调取留痕等安全防范机制。一名外包运维人员在境外间谍情报机关的利诱和拉拢下,利用其远程运维权限,大量下载核心科研数据并跨境提供给对方,最终被国家安全机关抓获。该科研单位的相关责任人员也因此受到法律追究和问责。
案例二: 最高人民法院公布的案例显示,某公司在为一家医院提供“数据外包”服务期间,暗中从后台收集了该医院挂号用户的相关个人信息,并将其导入该公司自行建立的数据库。经过数据去重处理后,共计收集了超过28万条个人信息。涉事公司因构成侵犯公民个人信息罪,已被依法予以惩处。
案例三: 央视新闻报道的案例指出,某机构将门户网站的建设和维护外包给一家第三方公司,但自身并未建立相应的安全管理制度,仅采取了“一托了之”的方式。该第三方公司未能落实基本的网络安全防护措施,未及时修复已知的系统漏洞,也未履行风险告知的义务。在存在安全隐患的系统上线后,该网站遭受网络攻击,并被植入违法内容,造成了不良影响。涉事双方均被依法责令限期进行整改。
从上述案例可以看出,“数据外包”泄密风险的焦点高度一致,主要集中在准入审核、权限控制以及闭环管理这三个关键环节。
我国《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,在委托第三方处理数据服务时,必须通过合同形式明确数据处理的目的、期限、方式、数据范围、保护措施以及双方的责任和义务。委托外包并不意味着发包单位可以免除其在数据安全方面的主体责任,发包单位应严格执行外包管理相关的各项合规要求,坚决守住数据安全的基本底线。

用户评论