在实际操作中,一些机构和个人放松了监管,思想上也出现松懈。他们简单地将业务、数据和权限全部交给外部承包商,完全不加以过问。这种缺乏有效监督的管理方式,可能导致系统性的安全风险。
近年来,国家安全机关及相关部门已通报多起涉及“数据外包”导致信息泄露的典型案例。这些案例揭示了部分单位在推进业务时忽视安全管控,在追求服务效率时轻视风险防范的问题。以下是具体案例:
案例一:国家安全机关发现,某科研单位将实验数据库的运维工作委托给一家第三方企业。然而,该单位未能建立驻场人员的背景审查以及数据提取的痕迹记录等安全防范措施。一名外包运维人员受到了境外间谍情报机关的引诱和拉拢,利用其远程运维权限,下载了大量核心科研数据,并将其跨境提供给了境外间谍情报机关。该人员随后被国家安全机关抓获。该科研单位的相关责任人员也因此受到法律追究和问责。
案例二:最高人民法院公布的案例显示,某公司在为一家医院提供“数据外包”服务期间,偷偷从后台收集了该医院挂号用户的相关个人信息。这些信息被导入该公司自行建立的数据库,经过去重处理后,共计有28万余条。涉事公司因侵犯公民个人信息罪,被依法予以惩处。
案例三:央视新闻披露的案例表明,某机构将其门户网站的建设和维护工作外包给一家第三方公司,但并未建立相应的安全管理制度,而是采取了“一托了之”的态度。该第三方公司未能落实基本的网络安全防护措施,也未修复已知的系统漏洞,并且没有履行告知风险的义务。在系统存在安全隐患的情况下上线后,该网站遭受了网络攻击,并被植入了违法内容,造成了不良影响。涉事双方均被责令限期进行整改。
从这些案例可以看出,“数据外包”泄密风险的集中点高度相似,主要体现在准入审查、权限控制以及全流程管理这三个方面。
我国的《数据安全法》、《网络数据安全管理条例》等法律法规明确规定,在委托第三方处理数据时,必须通过合同明确数据处理的目的、期限、方式、数据范围、保护措施以及双方的责任和义务。委托外包并不能免除发包单位在数据安全方面的主体责任。因此,发包单位必须严格执行外包管理相关的合规要求,坚决维护数据安全底线。

用户评价