在实际操作中,部分组织和个人未能有效履行监管职责,思想上存在松懈,将业务、数据及相关权限一股脑地交给服务承包商,采取了“甩手掌柜”式的管理方式。这种缺乏有效监督的粗放模式,存在引发系统性安全风险的可能性。
近年来,国家安全机关及相关部门已经通报了多起涉及“数据外包”导致信息失泄密的典型案件。这些案件揭示了部分单位在推进业务时忽视安全管控,在追求服务效率时忽略风险防范的问题。以下是具体的案例:
案例一: 国家安全机关发现,某科研单位将实验数据库的运维工作外包给一家第三方企业,但未能建立对驻场人员进行背景审查和对数据调取进行留痕的安全防范机制。一名外包运维人员受到境外间谍情报机关的利诱和拉拢,利用其远程运维权限,下载了大量核心科研数据,并将其跨境提供给境外间谍情报机关。此人随后被国家安全机关抓获。该科研单位的相关责任人员也因此受到了法律的追责问责。
案例二: 最高人民法院公开的一起案例显示,某公司在为一家医院提供“数据外包”服务期间,私自从后台收集了该医院挂号用户的相关个人信息,并将其导入公司自行建立的数据库。经过数据去重处理后,共计收集了超过28万条用户个人信息。涉事公司因侵犯公民个人信息罪,已被依法追究法律责任。
案例三: 央视新闻报道的一起案例中,某机构将其门户网站外包给一家第三方公司进行建设和维护,但未建立相应的安全管理制度,仅是简单地“一托了之”。该公司未能落实基本的网络安全防护措施,也未修复已知的系统漏洞,并且没有履行告知风险的义务。在系统上线后,由于存在安全隐患,该系统遭受了网络攻击,并被植入了违法内容,造成了不良社会影响。涉事的双方单位均被依法责令限期整改。
综合分析这些案例,各类“数据外包”泄密风险点呈现出高度的相似性,主要集中在准入审查、权限控制以及闭环管理这三个关键环节。
根据我国《数据安全法》、《网络数据安全管理条例》等法律法规的明确规定,当数据服务委托第三方处理时,必须通过合同形式详细规定处理的目的、期限、方式、数据范围、应采取的保护措施以及双方各自的责任和义务。将数据处理外包并不意味着发包单位可以免除其数据安全主体责任。发包单位必须严格遵守外包管理的所有合规要求,坚决维护数据安全不被突破的底线。

用户评论