在实际操作中,一些单位和个人未能有效履行监管职责,态度松懈,将业务、数据及相应权限一并交予服务承包商,采取了“甩手掌柜”式的管理方式。这种缺乏有效监督的粗放式管理模式,存在引发系统性安全风险的可能。
近年来,国家安全机关及相关部门已通报多起涉及“数据外包”导致失泄密的典型案例,这些案例揭示出部分单位在推进业务时忽视安全管控,在追求服务效率时轻视风险防范的问题。具体案例包括:
案例一:国家安全机关发现,某科研单位将实验数据库的运维工作外包给一家第三方企业,但未能建立对驻场人员进行背景审查以及对数据调取进行留痕等安全防范机制。一名外包运维人员受到境外间谍情报机关的利诱和拉拢,利用其远程运维权限,窃取了大量核心科研数据并跨境提供给境外间谍情报机关,最终被国家安全机关抓获。该科研单位的相关责任人也因此受到法律追究和问责。
案例二:根据最高人民法院公布的公开案例,一家公司在为某医院提供“数据外包”服务期间,暗中从后台收集了该医院挂号用户的相关个人信息,并将其导入公司自行建立的数据库。经过数据去重处理后,共计收集了超过28万条信息。涉事公司因侵犯公民个人信息罪,已被依法进行惩处。
案例三:据央视新闻报道,某机构将其门户网站的建设和维护工作外包给一家第三方公司,但未能建立相应的安全管理制度,仅是简单地将项目“一托了之”。该公司未能落实基本的网络安全防护措施,也未修复已知的系统漏洞,同时未履行告知风险的义务。在系统存在安全隐患的情况下上线后,遭遇了网络攻击,并被植入了违法内容,造成了不良影响。涉事双方均已被依法责令限期进行整改。
综合分析这些案例,各类“数据外包”所面临的泄密风险点具有高度相似性,主要集中在以下三个方面:准入审查、权限控制以及闭环管理。
我国《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,在委托第三方处理数据服务时,必须通过合同形式清晰界定处理目的、期限、方式、数据范围、保护措施以及双方的责任和义务。委托外包并不能免除发包单位作为数据安全主体应承担的责任。因此,发包单位必须严格遵守外包管理相关的各项合规要求,坚决维护数据安全的底线。

玩家互动,分享游戏乐趣