随着数字政务和智慧办公的推进,许多单位选择第三方外包服务来处理系统运维、数据归集、信息整理等工作。然而,在实际操作中,一些单位和个人存在监管不足、思想松懈的问题,简单地将业务、数据和权限交给服务承包商,导致缺乏有效监管,可能引发系统性安全风险。

近年来,国家安全机关与相关部门通报了多起“数据外包”失泄密的典型案件,暴露出部分单位重视业务推进而忽视安全管控,追求服务效率却轻视风险防范的问题。例如,某科研单位将实验数据库运维外包给第三方企业,但未建立驻场人员背景审查和数据调取留痕等安全机制。一名外包运维人员受境外间谍情报机关利诱,利用远程运维权限下载大量核心科研数据并跨境提供给境外机构,最终被国家安全机关抓获,相关责任人员也被依法追责。
另一个案例中,某公司在为医院提供“数据外包”服务时,暗中收集挂号用户的个人信息,并导入自建数据库,涉及28万余条数据。该公司因侵犯公民个人信息罪被依法惩处。
还有一个案例显示,某机构将门户网站外包给第三方公司建设维护,但未建立安全管理制度,仅“一托了之”。该公司未落实基本网络安全防护措施,未修复已知漏洞,也未履行风险告知义务,导致系统上线后遭到网络攻击并被植入违法内容,造成不良影响。涉事双方均被责令限期改正。
综合这些案例来看,“数据外包”的失泄密风险主要集中在准入把关、权限管控和闭环管理三个方面。具体来说,准入把关不严,对服务商资质、股权背景、安全信用及从业人员背景审查流于形式;权限管控松软,未实行“最小授权”,过度下放数据查询、下载、导出、远程运维等权限;闭环管理缺失,缺少专项保密协议和数据安全条款,项目结束后未严格核验销毁数据、回收权限、清退人员,导致数据长期被第三方留存。




