外包合作極有可能成為企業(yè)數(shù)據(jù)安全防護的短板。外包公司的數(shù)據(jù)保護制度與能力不一定與大企業(yè)匹配，隨著外包、轉包的業(yè)務運作，外包人員能夠輕易地在“層層外包”的復雜關系與海量數(shù)據(jù)往來的“掩護”之下，進行數(shù)據(jù)的非法獲取出售并從中牟利，造成用戶隱私信息與企業(yè)商業(yè)機密的泄露。

難監(jiān)管、難溯源，讓法律意識薄弱的外包人員做出違法行為，解決問題應從根源上規(guī)范數(shù)據(jù)的提供調(diào)取。除了從宏觀法律與監(jiān)管角度進一步加大數(shù)據(jù)違法處理的處罰力度、細化涉及合作的各方主體責任、提升監(jiān)管機構職能之外，頭部企業(yè)應當擔好“守門人”角色，對數(shù)據(jù)進行安全級別劃分、建立完善的權限制度，嚴格審查外包公司資質(zhì)、簽訂數(shù)據(jù)保密條款，利用技術與管理能力做好數(shù)據(jù)提供的規(guī)范，外包公司也應加強內(nèi)部治理，培訓數(shù)據(jù)安全與法律內(nèi)容，提升企業(yè)技術等。此外，行業(yè)協(xié)會也應在其中發(fā)揮其職能，做好普法工作，整合法律法規(guī)，形成系統(tǒng)化規(guī)范。 

一、層層外包下的重要數(shù)據(jù)泄露

1. 外包關系與數(shù)據(jù)泄露

企業(yè)出于提升工作效率、完善相關服務、降低經(jīng)營成本等原因，會采取將部分業(yè)務外包給合作公司或組織，例如常見的培訓咨詢外包、系統(tǒng)維護外包等。隨著社會飛速邁入大數(shù)據(jù)時代，各大領域都對數(shù)據(jù)處理的商業(yè)運用有了迫切需求，這不僅局限于互聯(lián)網(wǎng)公司，金融、通訊、消費品等行業(yè)同樣需要專業(yè)技術來支持業(yè)務發(fā)展。

然而涉及數(shù)據(jù)處理的工作必然會牽扯到數(shù)據(jù)安全問題，客觀來看，不少數(shù)據(jù)泄露事件便發(fā)生在這些外包、轉包流程中，用戶隱私信息與商業(yè)機密被不法獲取、傳輸與出售，犯罪分子牟利的同時，用戶隨之收到各方借貸廣告、騷擾短信的轟炸，甚至遭到電信詐騙、敲詐勒索，企業(yè)也將蒙受巨大損失。

個人或企業(yè)在受到重大利益侵害后會選擇立案訴訟，但犯罪分子潛藏在“層層外包”的掩護下，泄露的數(shù)據(jù)也不知在“黑市”經(jīng)過了幾番流轉，此類案件追蹤溯源將耗費大量人力物力且調(diào)查難度大。

2. 不匹配的數(shù)據(jù)保護制度

頭部企業(yè)為了自身數(shù)據(jù)安全往往配有相對完善的數(shù)據(jù)與人員管理規(guī)范，但為其提供服務的外包公司的數(shù)據(jù)保護制度與能力不一定與大企業(yè)匹配，這便造成了頭部企業(yè)數(shù)據(jù)安全防護的短板。

以2017年《IT時報》報道的銀行催收導致的信息泄露為例，在互聯(lián)網(wǎng)發(fā)展推動下，新興催收平臺紛紛成為各大銀行的外包“合作伙伴”，利用人工智能、云計算等技術實現(xiàn)高效安全的催收，代替銀行出面解決嚴重逾期客戶的欠款問題，但平臺工作人員并不一定會嚴格執(zhí)行銀行與其簽署的“保密協(xié)議”，針對銀行提出的“僅可在內(nèi)網(wǎng)查看用戶信息”也無法完全遵守。因此，外包員工違規(guī)、越級、越權的操作導致了個人信息安全問題，在銀行聲明只提供欠款人姓名與電話的情況下，任意一個注冊成為平臺“催客”的催收人都有機會接觸到欠款人的身份證號、住址、工作單位甚至其緊急聯(lián)系人的私密信息，時至今日，也不乏個體用戶聲稱家人受到催收騷擾。

實際還有更為嚴重的犯罪行為發(fā)生在業(yè)務多次轉包之中，上海某知名律師所反映，房地產(chǎn)行業(yè)存在“內(nèi)部人”借用“層層外包”的復雜關系，不法獲取客戶信息并從中牟利，司法取證卻成了難題，客戶的維權之路艱辛漫長。

3. 嚴格法律環(huán)境下仍有“漏網(wǎng)之魚”

想要從外包公司的合規(guī)操作著手整治信息泄露問題，中國現(xiàn)行的法律已給出了相當嚴格的約束。2015年出臺的《刑法修正案（九）》第二百五十三條將“違反國家有關規(guī)定，向他人出售或者提供公民個人信息”定為侵犯公民個人信息罪，根據(jù)情節(jié)嚴重程度處以有期徒刑等，2017年6月開始施行的《網(wǎng)絡安全法》第四十四條規(guī)定“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”，同樣第四十五條明確相關工作人員必須履行職責，對知悉的個人信息、隱私和商業(yè)秘密嚴格保密，更不得泄露、出售或者非法向他人提供。除了針對數(shù)據(jù)泄露行為與后果的法律條文，2021年6月10日剛通過的《數(shù)據(jù)安全法》多處強調(diào)要保障數(shù)據(jù)安全、防止數(shù)據(jù)泄露，2021年11月1日正式生效的《個人信息保護法》要求“個人信息”的處理者從內(nèi)部管理、信息分類管理、安全技術、人員培訓等幾方面加強個人信息保護。

雖然國家的法律跟進速度可能滯后于技術與隨之而來的漏洞，大多只能起到“兜底”作用，但現(xiàn)有的法律條例加之行業(yè)內(nèi)的標準規(guī)定已足以對外包公司的犯罪行為敲定罪名，外包人員對于數(shù)據(jù)安全問題卻不予重視，頻頻觸犯法律底線。 

二、外包關系中數(shù)據(jù)泄露的原因

1. 難監(jiān)管、難溯源成為違法“掩護”

“層層外包”中的信息泄露整治難點在于監(jiān)管與溯源。針對外包合作行為，頭部企業(yè)有相應的部門跟進，但由于主要操作人員來自外包公司，企業(yè)相關部門大多只負責業(yè)務進度對接，不會進行線下面對面的實時監(jiān)管，若合作公司進行“轉包”，頭部企業(yè)更是難加管束；行業(yè)的上級監(jiān)管機構更是難以深入中小外包公司的業(yè)務行為，只能做到定期抽查履行監(jiān)管職能。頭部企業(yè)與上級機構難以面面俱到，因此大多采取“事后追責”的機制，然而大多數(shù)據(jù)泄露行為都不為人知，只有引起企業(yè)或他人察覺，或造成嚴重后果的數(shù)據(jù)安全問題才有被逐個監(jiān)察的可能，這樣“點對點”的追責也是監(jiān)管行為難以深入的無奈之舉。

除去外包關系本身的監(jiān)管難題外，數(shù)據(jù)處理業(yè)務本身具備其復雜性，某一個人為操作在龐大的數(shù)據(jù)處理行為中猶如“滄海一粟”，簡單的手機屏幕拍攝、微信文件傳輸、U盤拷貝、資料打印都是數(shù)據(jù)泄露的渠道，往往尋找犯罪證據(jù)的成本高于案件本身涉及的損失，一些利益受到侵害的主體便也放棄立案維權。由此部分外包人員成了“漏網(wǎng)之魚”，在復雜外包關系與海量數(shù)據(jù)往來之中，在較低的犯罪成本與輕松收取的巨額收益的誘惑下，抱著僥幸心理進行違法活動。

2. 數(shù)據(jù)源頭管理疏漏為問題關鍵

基于監(jiān)管難度，從數(shù)量巨大、管理相對混亂的外包公司身上堵住數(shù)據(jù)泄露漏洞較為不實際，問題的關鍵還在于數(shù)據(jù)源頭的整治。

頭部企業(yè)作為數(shù)據(jù)提供方，理應對企業(yè)所處理的個人信息、商業(yè)機密等重要數(shù)據(jù)擔負起管理責任，但到了外包環(huán)節(jié)卻容易過分依賴于合同效力、忽視潛在的人為操作風險，一方面是頭部企業(yè)未能在合作雙方間強制采取有規(guī)范數(shù)據(jù)處理作用的技術手段，外包人員對于數(shù)據(jù)調(diào)取、數(shù)據(jù)傳輸?shù)炔僮饔忻撾x于賬號、軟件、設備與網(wǎng)絡限制的可能；另一方面，頭部企業(yè)對外包公司的資質(zhì)審查不嚴格，也未能全面跟蹤外包公司的數(shù)據(jù)處理行為。頭部企業(yè)若未能守好數(shù)據(jù)安全的“第一道防線”，后續(xù)外包公司的操作也難以深入監(jiān)管。

3. 法律意識薄弱下的有意或無意違法

外包工作人員由于法律意識薄弱，面對利益誘惑難免做出“不知法而犯法”的行徑，或是單純認為線上數(shù)據(jù)交易行為不會被相關部門查處，例如近期西安破獲的特大侵犯公民個人信息案中，主要嫌疑人袁某出售近十萬余條公民個人信息給房產(chǎn)中介、裝修等房屋相關從業(yè)人員以及電信詐騙等犯罪者等，形成了相當大的個人信息交易網(wǎng)絡，卻一直持有“自己只出現(xiàn)在網(wǎng)上，就不會被發(fā)現(xiàn)”的想法，同時，該案件涉及的一名房產(chǎn)中介店長向警方質(zhì)疑其抓捕行為，認為購買公民個人信息是便于業(yè)務開展的“行規(guī)”，不應當被干涉。

在違法行跡更難捕捉的外包關系中，這種法律意識薄弱的表現(xiàn)便更為明顯，一是認為自己的行為不會給自己、公司、社會等帶來危害，二是利益遠大于風險，認為輕微違法不會被抓現(xiàn)行。 

三、如何整治“層層外包”中的數(shù)據(jù)泄露問題

1. 法律懲罰力度加大，細化多方責任

在監(jiān)管困難的情況下，法律自上而下的管控需要起到足夠的預防與約束作用，形成“不敢違法”的數(shù)據(jù)保護環(huán)境。隨著各類試行的法律法規(guī)逐漸成熟，現(xiàn)階段對于非法數(shù)據(jù)處理的法律處罰力度應當加重，使罰金高于違法所得，尤其針對公司或組織集體進行的數(shù)據(jù)泄露等違法行為。

加重罰金之外，同樣需要收緊對外包行為中的各個主體的約束，一旦查處某一外包公司或外包工作人員在其外包業(yè)務中有數(shù)據(jù)相關的違法行徑，一方面，與其合作的頭部企業(yè)由于審查不嚴、數(shù)據(jù)管理失責也應獲得相應懲處，并責令整改完善內(nèi)部數(shù)據(jù)安全管理制度，另一方面，若業(yè)務存在轉包行為，犯罪外包公司的下游轉包公司即便沒有犯罪行為，也應由于未明確審查合作公司資質(zhì)而受到連帶處罰，從而強制讓頭部企業(yè)與下游外包公司起到“一前一后”的監(jiān)管作用。同時，相關規(guī)定也應明確要求大小企業(yè)在信息泄露案件中必須積極提供溯源線索，包括但不限于數(shù)據(jù)處理日志、網(wǎng)絡傳輸痕跡、設備使用記錄等。

2. 監(jiān)管機構提升自身職能

監(jiān)管機構能有效防止數(shù)據(jù)泄露，邀請行業(yè)數(shù)據(jù)處理人員等對監(jiān)管工作人員進行定期培訓，使工作人員的數(shù)據(jù)監(jiān)管能力與監(jiān)管對象相匹配，并積極同頭部企業(yè)的監(jiān)管部門交流，有利于監(jiān)管工作的深入展開。在提升監(jiān)管職能的同時，應當保持對中小外包企業(yè)的定期抽樣調(diào)查，加強與相關行業(yè)協(xié)會的合作，公開及加大宣傳公民個人與企業(yè)組織的投訴通道，重點監(jiān)管“失信”企業(yè)的數(shù)據(jù)處理行為。

3. 頭部企業(yè)當好“守門人”

頭部企業(yè)具有較強的技術手段與管理能力，能夠從根源上做好數(shù)據(jù)提供的規(guī)范，擔任起“守門人”的角色。

首先需要對企業(yè)數(shù)據(jù)進行分類分級，將用戶個人信息數(shù)據(jù)區(qū)分于商業(yè)機密數(shù)據(jù)，對前者進行隱私級別的劃分，并對不同隱私級別的用戶數(shù)據(jù)采用不同形式的存儲方式，設立相應的調(diào)取權限，后者按照企業(yè)部門進行分類，在各部門下配備“數(shù)據(jù)保護官”，組織技術人員從軟件、硬件、網(wǎng)絡防火墻等多維度保護商業(yè)機密數(shù)據(jù)。

其次是嚴格內(nèi)部員工的數(shù)據(jù)授權制度，僅允許高層管理人員擁有獲取用戶私密信息或企業(yè)商業(yè)核心機密的權限，所有員工工作涉及的數(shù)據(jù)調(diào)取都需要經(jīng)過上級及更高一級領導的批準，針對合作公司也啟用同樣的授權制度，將外包公司數(shù)據(jù)調(diào)取的權力管控在頭部企業(yè)與外包公司高層手中，避免普通員工越級引起的數(shù)據(jù)安全問題。在有相應技術能力的情況下，鼓勵頭部企業(yè)開發(fā)外包合作專用的數(shù)據(jù)管理程序，聯(lián)動上述授權制度，通過程序實現(xiàn)數(shù)據(jù)處理操作記錄保留，成為有效的外包業(yè)務跟蹤與監(jiān)管渠道。

此外，在進行外包行為之前應嚴格審查公司資質(zhì)，考察其數(shù)據(jù)安全保護制度與風險控制措施，簽訂有明確數(shù)據(jù)安全規(guī)范的保密條款。

4. 外包公司內(nèi)部加強整治

外包公司應著重內(nèi)部管理制度的完善，制定公司數(shù)據(jù)安全規(guī)范，培訓提升工作人員的數(shù)據(jù)安全意識與法律意識，學習先進數(shù)據(jù)保護技術，日常留存業(yè)務數(shù)據(jù)處理痕跡，主動提供遠程合作監(jiān)管通道，定期向監(jiān)管部門提供公司數(shù)據(jù)安全防護方面的資質(zhì)證明。

5. 行業(yè)協(xié)會加強法制宣傳，系統(tǒng)化相關制度

相關行業(yè)協(xié)會應積極開展數(shù)據(jù)安全教育活動，加大普法宣傳力度，提升行業(yè)人員的法律素養(yǎng)，要求充分發(fā)揮其管理職能，將國家針對數(shù)據(jù)安全問題的法律、辦法、標準等與行業(yè)內(nèi)現(xiàn)有的多個規(guī)章制度相整合，汲取從業(yè)人員、監(jiān)管人員、社會民眾、跨領域人員等多方的建議意見，形成系統(tǒng)化的數(shù)據(jù)安全規(guī)范制度。

[作者張佳韻來自復旦-煒衡數(shù)據(jù)安全聯(lián)合報告課題組。本文選自江天驕、姚旭主編的《復旦-煒衡數(shù)據(jù)安全聯(lián)合報告》，課題組其他成員還有：王蕾、陸濱、金代文、 趙越等。該報告由復旦發(fā)展研究院開設的咨政實踐類課程研究成果轉化而來，調(diào)研過程中得到北京煒衡(上海)律師事務所的大力支持。復旦大學網(wǎng)絡空間國際治理研究基地主任、發(fā)展研究院教授沈逸與北京煒衡（上海）律師事務所高級合伙人顧靖擔任課題研究顧問。]