《精东传媒密友》
随着数字政务、智慧办公的深入推进,为提升工作质效,越来越多的单位选择第三方外包服务开展系统运维、数据归集、信息整理、平台保障等工作。在实际运行中,个别单位和个人存在监管弱化、思想松懈等问题,简单将业务、数据、权限一并交给服务承包商,当起了“甩手掌柜”。殊不知,这种缺乏有效监管的粗放模式,可能引发系统性安全风险。
近年来,国家安全机关与有关部门先后通报多起“数据外包”失泄密的典型案件,暴露出部分单位重业务推进、轻安全管控,重服务效率、轻风险防范的问题,应引起高度重视。
·案例一:国家安全机关工作发现,某科研单位将实验数据库运维外包给第三方企业,但未建立驻场人员背景审查、数据调取留痕等安全防范机制。一外包运维人员受境外间谍情报机关利诱拉拢,利用远程运维权限下载海量核心科研数据,跨境提供给境外间谍情报机关,后被国家安全机关抓获。该科研单位相关责任人员也被依法追责问责。
·案例二:最高人民法院公开案例显示,某公司在为某医院提供“数据外包”服务过程中,暗中从后台收集该医院挂号用户相关个人信息,并导入公司自建数据库,数据去重后合计28万余条。涉事公司已构成侵犯公民个人信息罪,被依法惩处。
·案例三:央视新闻公开案例显示,某机构将门户网站外包给第三方公司建设维护,却未建立安全管理制度,仅“一托了之”。该公司未落实基本网络安全防护措施,未修复已知漏洞,未履行风险告知义务,将存在安全隐患的系统交付上线后,遭网络攻击并被植入违法内容,造成不良影响。涉事双方均被依法责令限期改正。
“数据外包”风险高发点
综合相关案例来看,各类“数据外包”失泄密风险点高度趋同,主要集中在准入把关、权限管控、闭环管理三个方面。
——准入把关不严。对服务商资质、股权背景、安全信用、从业人员背景审查流于形式,将服务外包给问题企业、问题人员,放大了失泄密风险。
——权限管控松软。未实行“最小授权”,过度下放数据查询、下载、导出、远程运维等权限;未严格落实操作日志、访问审计、离岗注销等要求。
——闭环管理缺失。缺少专项保密协议、数据安全条款,项目结束后未严格核验销毁数据、回收权限、清退人员,导致数据长期被第三方留存。
筑牢“数据外包”的安全防线
《数据安全法》《网络数据安全管理条例》等法律法规明确规定,数据服务委托第三方处理,必须通过合同明确处理目的、期限、方式、数据范围、保护措施及双方责任义务。委托外包不免除发包单位数据安全主体责任,发包单位应严格落实外包管理各项合规要求,坚决守住数据安全底线。
——关口前移。委托涉密数据处理应坚持“安全为先、合规准入”原则,建立严格的外包服务商准入审查机制,不仅要审查合作企业保密资质、安全能力,更要对从业人员进行背景核查。对涉密“数据外包”项目开展专项安全评估,从源头上隔绝“带病上岗”。
——严管权限。严格执行“最小权限”原则,按需授权、分级赋权,关闭批量导出、全量下载等高风险功能。所有数据访问、运维操作全程留痕、定期审计。严禁外包人员使用私人设备、外网终端处理内部数据。
——压实责任。委托数据处理应当建立全流程数据安全管理制度,明确外包数据边界、操作权限、流转范围,严禁越权访问。合同中需细化保密责任、追责条款,压实甲乙双方安全主体责任。
——闭环管理。服务到期或项目结束后,必须监督第三方彻底销毁全部缓存、备份、中间数据,回收全部账号权限,出具数据销毁证明,形成闭环台账存档备查。
数据安全无小事,“数据外包”须尽责。如在“数据外包”过程中发现危害国家安全的可疑线索,请及时通过12339国家安全机关举报受理电话、网络举报受理平台(www.12339.gov.cn)、国家安全部微信公众号举报受理渠道或者直接向当地国家安全机关进行举报。
来源:国家安全部微信公众号 【编辑:付子豪】
2022年以来,张掖市总工会深入开展“建功‘十四五’、奋进新征程”主题劳动和技能竞赛,在全市各工商企业、现代农业、生态环保、全域旅游、数字经济、会展产业、现代服务业等领域划设2086条“赛道”,组织动员万名职工积极参与,赛出2000多名“技术能手”“技术标兵”和300多个“创新型班组”等各类先进集体,构建起以扩面、提质、增效为目标的劳动和技能竞赛新体系。《精东传媒密友》 近年来,天津市知识产权局实施重点产业专利导航,完成了人工智能产业专利导航产业规划报告,编制完成《天津市专利密集型产业目录》,测算并确定了信息通信技术制造、信息通信服务、新装备制造、新材料制造、医药医疗和环保产业为市专利密集型产业;运用磁敏产业专利导航产业规划项目研究成果,指导建设“磁敏产业知识产权示范园”,构建了124件专利构成的专利池,孵化引进企业9家;升级完善AutoPat全球汽车专利数据库服务平台,目前拥有超过2000万条专利数据,对国内100多万条专利数据进行了标引加工,成功签约服务汽车企业、行业协会6家。




