7 月 5 日消息,据“国家安全部”公众号今日发文,随着数字政务、智慧办公深入推进,越来越多单位开始选择第三方外包服务,开展系统运维、数据归集、信息整理、平台保障等工作。
但在实际过程中,个别单位和个人存在监管弱化、思想松懈等问题,简单将业务、数据、权限一并交给服务承包商,当起“甩手掌柜”。这种缺乏有效监管的粗放模式,可能引发系统性安全风险。
近年来,国家安全机关及有关部门先后通报多起“数据外包”失泄密的典型案件,暴露出部分单位重业务推进、轻安全管控,重服务效率、轻风险防范的问题,IT之家附具体案例如下:
案例一:国家安全机关工作发现,某科研单位将实验数据库运维外包给第三方企业,但未建立驻场人员背景审查、数据调取留痕等安全防范机制。一外包运维人员受境外间谍情报机关利诱拉拢,利用远程运维权限下载海量核心科研数据,跨境提供给境外间谍情报机关,后被国家安全机关抓获。该科研单位相关责任人员也被依法追责问责。
案例二:最高人民法院公开案例显示,某公司在为某医院提供“数据外包”服务过程中,暗中从后台收集该医院挂号用户相关个人信息,并导入公司自建数据库,数据去重后合计 28 万余条。涉事公司已构成侵犯公民个人信息罪,被依法惩处。
案例三:央视新闻公开案例显示,某机构将门户网站外包给第三方公司建设维护,却未建立安全管理制度,仅“一托了之”。该公司未落实基本网络安全防护措施,未修复已知漏洞,未履行风险告知义务,将存在安全隐患的系统交付上线后,遭网络攻击并被植入违法内容,造成不良影响。涉事双方均被依法责令限期改正。
综合相关案例来看,各类“数据外包”泄密风险点高度相同,主要集中在准入把关、权限管控、闭环管理三个方面。
我国《数据安全法》《网络数据安全管理条例》等法律法规明确规定,数据服务委托第三方处理,必须通过合同明确处理目的、期限、方式、数据范围、保护措施及双方责任义务。委托外包不免除发包单位数据安全主体责任,发包单位应严格落实外包管理各项合规要求,坚决守住数据安全底线。