據國家安全部微信公眾號消息,隨著數字政務、智慧辦公的深入推進,為提昇工作質效,越來越多的單位選擇第三方外包服務開展系統運維、數據歸集、信息整理、平臺保障等工作。在實際運行中,個別單位和個人存在監管弱化、思想松懈等問題,簡單將業務、數據、權限一並交給服務承包商,當起了“甩手掌櫃”。殊不知,這種缺乏有效監管的粗放模式,可能引發系統性安全風險。
權限放任,事故多發
近年來,國家安全機關與有關部門先後通報多起“數據外包”失泄密的典型案件,暴露出部分單位重業務推進、輕安全管控,重服務效率、輕風險防范的問題,應引起高度重視。
案例一:國家安全機關工作發現,某科研單位將實驗數據庫運維外包給第三方企業,但未建立駐場人員背景審查、數據調取留痕等安全防范機制。一外包運維人員受境外間諜情報機關利誘拉攏,利用遠程運維權限下載海量核心科研數據,跨境提供給境外間諜情報機關,後被國家安全機關抓獲。該科研單位相關責任人員也被依法追責問責。
案例二:最高人民法院公開案例顯示,某公司在為某醫院提供“數據外包”服務過程中,暗中從後臺收集該醫院掛號用戶相關個人信息,並導入公司自建數據庫,數據去重後合計28萬餘條。涉事公司已構成侵犯公民個人信息罪,被依法懲處。
案例三:央視新聞公開案例顯示,某機構將門戶網站外包給第三方公司建設維護,卻未建立安全管理制度,僅“一托了之”。該公司未落實基本網絡安全防護措施,未修復已知漏洞,未履行風險告知義務,將存在安全隱患的系統交付上線後,遭網絡攻擊並被植入違法內容,造成不良影響。涉事雙方均被依法責令限期改正。
“數據外包”風險高發點
綜合相關案例來看,各類“數據外包”失泄密風險點高度趨同,主要集中在准入把關、權限管控、閉環管理三個方面。
——准入把關不嚴。對服務商資質、股權背景、安全信用、從業人員背景審查流於形式,將服務外包給問題企業、問題人員,放大了失泄密風險。
——權限管控松軟。未實行“最小授權”,過度下放數據查詢、下載、導出、遠程運維等權限;未嚴格落實操作日志、訪問審計、離崗注銷等要求。
——閉環管理缺失。缺少專項保密協議、數據安全條款,項目結束後未嚴格核驗銷毀數據、回收權限、清退人員,導致數據長期被第三方留存。
築牢“數據外包”的安全防線
《數據安全法》《網絡數據安全管理條例》等法律法規明確規定,數據服務委托第三方處理,必須通過合同明確處理目的、期限、方式、數據范圍、保護措施及雙方責任義務。委托外包不免除發包單位數據安全主體責任,發包單位應嚴格落實外包管理各項合規要求,堅決守住數據安全底線。
——關口前移。委托涉密數據處理應堅持“安全為先、合規准入”原則,建立嚴格的外包服務商准入審查機制,不僅要審查合作企業保密資質、安全能力,更要對從業人員進行背景核查。對涉密“數據外包”項目開展專項安全評估,從源頭上隔絕“帶病上崗”。
——嚴管權限。嚴格執行“最小權限”原則,按需授權、分級賦權,關閉批量導出、全量下載等高風險功能。所有數據訪問、運維操作全程留痕、定期審計。嚴禁外包人員使用私人設備、外網終端處理內部數據。
——壓實責任。委托數據處理應當建立全流程數據安全管理制度,明確外包數據邊界、操作權限、流轉范圍,嚴禁越權訪問。合同中需細化保密責任、追責條款,壓實甲乙雙方安全主體責任。
——閉環管理。服務到期或項目結束後,必須監督第三方徹底銷毀全部緩存、備份、中間數據,回收全部賬號權限,出具數據銷毀證明,形成閉環臺賬存檔備查。
數據安全無小事,“數據外包”須盡責。如在“數據外包”過程中發現危害國家安全的可疑線索,請及時通過12339國家安全機關舉報受理電話、網絡舉報受理平臺(www.12339.gov.cn)、國家安全部微信公眾號舉報受理渠道或者直接向當地國家安全機關進行舉報。









