在实际操作中,部分单位和个人存在监管疏忽、思想麻痹的现象,倾向于将业务、数据和权限整体移交给服务承包商,采取“甩手不管”的态度。这种缺乏有效监督的粗放式管理模式,可能导致系统性的安全风险。

近年来,国家安全机关及相关部门已公布多起涉及“数据外包”的数据泄露案件,揭示出一些单位片面追求业务推进和效率,而忽视了安全管控和风险防范。以下是具体案例:

  • 案例一: 国家安全机关发现,某科研机构将实验数据库的运维工作外包给一家第三方企业,但未能建立对驻场人员的背景审查机制以及数据调取的记录追踪等安全防范措施。一名外包运维人员在境外间谍情报机关的诱惑和拉拢下,利用其远程运维权限,大量下载核心科研数据并跨境提供给对方,最终被国家安全机关抓获。该科研机构的相关责任人也因此受到了法律的追究和问责。

  • 案例二: 最高人民法院公布的一起案例显示,一家公司在为某医院提供“数据外包”服务期间,暗中从后台收集了该医院挂号用户的个人信息,并将其导入公司自行建立的数据库。经过数据去重处理后,共计收集了超过28万条信息。涉事公司因构成侵犯公民个人信息罪,已被依法判处。

  • 案例三: 央视新闻报道的一起案例指出,某机构将门户网站的建设和维护工作外包给一家第三方公司,却未能建立相应的安全管理制度,仅仅是“一包了之”。该第三方公司未能采取基本的网络安全防护措施,也未修复已知的系统漏洞,更未履行告知风险的义务。在系统上线后,由于存在安全隐患,遭受了网络攻击,并被植入了非法内容,造成了不良影响。涉事双方均被依法要求限期整改。

从这些案例可以看出,“数据外包”泄密风险的集中点具有高度一致性,主要体现在三个方面:准入审核、权限控制和全程监管

中国的《数据安全法》和《网络数据安全管理条例》等法律法规明确规定,委托第三方处理数据时,必须通过合同形式明确数据处理的目的、期限、方式、涉及的数据范围、安全保护措施以及双方各自的责任和义务。将数据处理外包并不意味着发包方可以免除其在数据安全方面的主体责任。发包方必须严格遵守外包管理的所有合规要求,坚决维护数据安全底线。