法律科技与合规治理热点评论(三):数据托管泄密——“甩手掌柜”的代价与国家安全的底线 2026年3月2日
核心事件:国家安全机关披露多起数据窃密案,涉密单位因将核心数据违规托管给无资质第三方,导致机密数据被内部人员或境外黑客窃取。
在数字化转型的浪潮中,将数据“托管”给第三方服务商曾被视为降本增效的良方。然而,这些触目惊心的案例(如核心研发数据被卖给境外间谍)为我们敲响了警钟:数据可以托管,但安全责任永远无法“托管”。
这些案件暴露出一种危险的“甩手掌柜”心态。部分涉密单位错误地认为,只要签了合同,安全就是服务商的事。这种管理缺位导致了严重的后果:
* 资质审核失察:明知对方不具备金融或涉密数据处理资质,仍违规委托,埋下巨大隐患。
* 权限管控失效:未对服务商人员的数据访问权限进行最小化限制,导致“内鬼”利用职务之便监守自盗。
* 技术防护缺失:面对境外黑客组织的定向攻击(如钓鱼邮件、木马植入),缺乏有效的入侵检测和防御体系。
从法律角度看,这不仅是商业违约,更是触犯《中华人民共和国数据安全法》和《中华人民共和国刑法》的严重行为。新修订的法律框架下,数据处理者(委托方)必须承担“全流程安全管理”的义务。
未来的合规路径必须是“双向严管”:
1. 委托方要“选好”:建立严格的服务商准入机制,必须查验其保密资质、技术防护能力和人员背景,绝不能将核心数据交给“草台班子”。
2. 服务商要“管住”:必须实施“零信任”架构,对数据进行分类分级保护,对操作行为进行全留痕审计。
3. 国家要“守住”:对于涉及国家安全、关键基础设施的数据,必须建立“白名单”制度,严禁违规外包,并加大对数据窃取行为的刑事打击力度,特别是针对勾结境外势力的间谍行为,必须严惩不贷。
|
