在实际操作中,部分机构和个人未能有效履行监管职责,思想上有所放松,将业务、数据及权限等全部移交给服务承包商,采取了“甩手不管”的态度。这种缺乏有效监管的粗放式处理方式,可能导致系统性的安全风险。

近年来,国家安全机关及相关部门已通报多起涉及“数据外包”的数据泄露案件,揭示了一些单位在推动业务发展时忽视安全管控,在追求服务效率时轻视风险防范的问题。以下是具体案例:

  • 案例一:国家安全机关发现,某科研单位将其实验数据库的运维工作委托给一家第三方企业,但未对驻场人员进行背景审查,也未建立数据调取留痕的安全防范机制。一名外包运维人员受到境外间谍情报机关的诱惑和拉拢,利用其远程运维权限,大量下载核心科研数据并将其跨境提供给境外间谍情报机关,最终被国家安全机关抓获。该科研单位的相关责任人员也因此受到了法律的追责和问责。

  • 案例二:最高人民法院公布的案例显示,某公司在为一家医院提供“数据外包”服务期间,私自从后台收集了该医院挂号用户的相关个人信息,并将其导入公司自行建立的数据库。经过数据去重处理后,共计收集了28万余条个人信息。涉事公司因侵犯公民个人信息罪,已被依法追究法律责任。

  • 案例三:央视新闻报道的案例指出,某机构将门户网站的建设和维护工作外包给一家第三方公司,但自身并未建立相应的安全管理制度,而是采取了“一托了之”的方式。该第三方公司未能落实基本的网络安全防护措施,未及时修复已知的系统漏洞,也未履行告知风险的义务。在存在安全隐患的系统上线后,系统遭受网络攻击,被植入了违法内容,造成了不良社会影响。涉事双方均被依法责令限期整改。

从上述案例来看,“数据外包”泄密风险的主要集中点高度一致,主要体现在三个方面:准入审查权限控制以及闭环管理

我国《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,在委托第三方处理数据时,必须通过合同明确数据处理的目的、期限、方式、范围、保护措施以及双方的责任和义务。委托外包并不能免除发包单位在数据安全方面的主体责任。发包单位必须严格遵守外包管理的相关合规要求,坚决维护数据安全底线。