数据安全⑥如何整治“层层外包”背后的数据泄露问题

外包合作极有可能成为企业数据安全防护的短板。外包公司的数据保护制度与能力不一定与大企业匹配，随着外包、转包的业务运作，外包人员能够轻易地在“层层外包”的复杂关系与海量数据往来的“掩护”之下，进行数据的非法获取出售并从中牟利，造成用户隐私信息与企业商业机密的泄露。

难监管、难溯源，让法律意识薄弱的外包人员做出违法行为，解决问题应从根源上规范数据的提供调取。除了从宏观法律与监管角度进一步加大数据违法处理的处罚力度、细化涉及合作的各方主体责任、提升监管机构职能之外，头部企业应当担好“守门人”角色，对数据进行安全级别划分、建立完善的权限制度，严格审查外包公司资质、签订数据保密条款，利用技术与管理能力做好数据提供的规范，外包公司也应加强内部治理，培训数据安全与法律内容，提升企业技术等。此外，行业协会也应在其中发挥其职能，做好普法工作，整合法律法规，形成系统化规范。 

一、层层外包下的重要数据泄露

1. 外包关系与数据泄露

企业出于提升工作效率、完善相关服务、降低经营成本等原因，会采取将部分业务外包给合作公司或组织，例如常见的培训咨询外包、系统维护外包等。随着社会飞速迈入大数据时代，各大领域都对数据处理的商业运用有了迫切需求，这不仅局限于互联网公司，金融、通讯、消费品等行业同样需要专业技术来支持业务发展。

然而涉及数据处理的工作必然会牵扯到数据安全问题，客观来看，不少数据泄露事件便发生在这些外包、转包流程中，用户隐私信息与商业机密被不法获取、传输与出售，犯罪分子牟利的同时，用户随之收到各方借贷广告、骚扰短信的轰炸，甚至遭到电信诈骗、敲诈勒索，企业也将蒙受巨大损失。

个人或企业在受到重大利益侵害后会选择立案诉讼，但犯罪分子潜藏在“层层外包”的掩护下，泄露的数据也不知在“黑市”经过了几番流转，此类案件追踪溯源将耗费大量人力物力且调查难度大。

2. 不匹配的数据保护制度

头部企业为了自身数据安全往往配有相对完善的数据与人员管理规范，但为其提供服务的外包公司的数据保护制度与能力不一定与大企业匹配，这便造成了头部企业数据安全防护的短板。

以2017年《IT时报》报道的银行催收导致的信息泄露为例，在互联网发展推动下，新兴催收平台纷纷成为各大银行的外包“合作伙伴”，利用人工智能、云计算等技术实现高效安全的催收，代替银行出面解决严重逾期客户的欠款问题，但平台工作人员并不一定会严格执行银行与其签署的“保密协议”，针对银行提出的“仅可在内网查看用户信息”也无法完全遵守。因此，外包员工违规、越级、越权的操作导致了个人信息安全问题，在银行声明只提供欠款人姓名与电话的情况下，任意一个注册成为平台“催客”的催收人都有机会接触到欠款人的身份证号、住址、工作单位甚至其紧急联系人的私密信息，时至今日，也不乏个体用户声称家人受到催收骚扰。

实际还有更为严重的犯罪行为发生在业务多次转包之中，上海某知名律师所反映，房地产行业存在“内部人”借用“层层外包”的复杂关系，不法获取客户信息并从中牟利，司法取证却成了难题，客户的维权之路艰辛漫长。

3. 严格法律环境下仍有“漏网之鱼”

想要从外包公司的合规操作着手整治信息泄露问题，中国现行的法律已给出了相当严格的约束。2015年出台的《刑法修正案（九）》第二百五十三条将“违反国家有关规定，向他人出售或者提供公民个人信息”定为侵犯公民个人信息罪，根据情节严重程度处以有期徒刑等，2017年6月开始施行的《网络安全法》第四十四条规定“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”，同样第四十五条明确相关工作人员必须履行职责，对知悉的个人信息、隐私和商业秘密严格保密，更不得泄露、出售或者非法向他人提供。除了针对数据泄露行为与后果的法律条文，2021年6月10日刚通过的《数据安全法》多处强调要保障数据安全、防止数据泄露，2021年11月1日正式生效的《个人信息保护法》要求“个人信息”的处理者从内部管理、信息分类管理、安全技术、人员培训等几方面加强个人信息保护。

虽然国家的法律跟进速度可能滞后于技术与随之而来的漏洞，大多只能起到“兜底”作用，但现有的法律条例加之行业内的标准规定已足以对外包公司的犯罪行为敲定罪名，外包人员对于数据安全问题却不予重视，频频触犯法律底线。 

二、外包关系中数据泄露的原因

1. 难监管、难溯源成为违法“掩护”

“层层外包”中的信息泄露整治难点在于监管与溯源。针对外包合作行为，头部企业有相应的部门跟进，但由于主要操作人员来自外包公司，企业相关部门大多只负责业务进度对接，不会进行线下面对面的实时监管，若合作公司进行“转包”，头部企业更是难加管束；行业的上级监管机构更是难以深入中小外包公司的业务行为，只能做到定期抽查履行监管职能。头部企业与上级机构难以面面俱到，因此大多采取“事后追责”的机制，然而大多数据泄露行为都不为人知，只有引起企业或他人察觉，或造成严重后果的数据安全问题才有被逐个监察的可能，这样“点对点”的追责也是监管行为难以深入的无奈之举。

除去外包关系本身的监管难题外，数据处理业务本身具备其复杂性，某一个人为操作在庞大的数据处理行为中犹如“沧海一粟”，简单的手机屏幕拍摄、微信文件传输、U盘拷贝、资料打印都是数据泄露的渠道，往往寻找犯罪证据的成本高于案件本身涉及的损失，一些利益受到侵害的主体便也放弃立案维权。由此部分外包人员成了“漏网之鱼”，在复杂外包关系与海量数据往来之中，在较低的犯罪成本与轻松收取的巨额收益的诱惑下，抱着侥幸心理进行违法活动。

2. 数据源头管理疏漏为问题关键

基于监管难度，从数量巨大、管理相对混乱的外包公司身上堵住数据泄露漏洞较为不实际，问题的关键还在于数据源头的整治。

头部企业作为数据提供方，理应对企业所处理的个人信息、商业机密等重要数据担负起管理责任，但到了外包环节却容易过分依赖于合同效力、忽视潜在的人为操作风险，一方面是头部企业未能在合作双方间强制采取有规范数据处理作用的技术手段，外包人员对于数据调取、数据传输等操作有脱离于账号、软件、设备与网络限制的可能；另一方面，头部企业对外包公司的资质审查不严格，也未能全面跟踪外包公司的数据处理行为。头部企业若未能守好数据安全的“第一道防线”，后续外包公司的操作也难以深入监管。

3. 法律意识薄弱下的有意或无意违法

外包工作人员由于法律意识薄弱，面对利益诱惑难免做出“不知法而犯法”的行径，或是单纯认为线上数据交易行为不会被相关部门查处，例如近期西安破获的特大侵犯公民个人信息案中，主要嫌疑人袁某出售近十万余条公民个人信息给房产中介、装修等房屋相关从业人员以及电信诈骗等犯罪者等，形成了相当大的个人信息交易网络，却一直持有“自己只出现在网上，就不会被发现”的想法，同时，该案件涉及的一名房产中介店长向警方质疑其抓捕行为，认为购买公民个人信息是便于业务开展的“行规”，不应当被干涉。

在违法行迹更难捕捉的外包关系中，这种法律意识薄弱的表现便更为明显，一是认为自己的行为不会给自己、公司、社会等带来危害，二是利益远大于风险，认为轻微违法不会被抓现行。 

三、如何整治“层层外包”中的数据泄露问题

1. 法律惩罚力度加大，细化多方责任

在监管困难的情况下，法律自上而下的管控需要起到足够的预防与约束作用，形成“不敢违法”的数据保护环境。随着各类试行的法律法规逐渐成熟，现阶段对于非法数据处理的法律处罚力度应当加重，使罚金高于违法所得，尤其针对公司或组织集体进行的数据泄露等违法行为。

加重罚金之外，同样需要收紧对外包行为中的各个主体的约束，一旦查处某一外包公司或外包工作人员在其外包业务中有数据相关的违法行径，一方面，与其合作的头部企业由于审查不严、数据管理失责也应获得相应惩处，并责令整改完善内部数据安全管理制度，另一方面，若业务存在转包行为，犯罪外包公司的下游转包公司即便没有犯罪行为，也应由于未明确审查合作公司资质而受到连带处罚，从而强制让头部企业与下游外包公司起到“一前一后”的监管作用。同时，相关规定也应明确要求大小企业在信息泄露案件中必须积极提供溯源线索，包括但不限于数据处理日志、网络传输痕迹、设备使用记录等。

2. 监管机构提升自身职能

监管机构能有效防止数据泄露，邀请行业数据处理人员等对监管工作人员进行定期培训，使工作人员的数据监管能力与监管对象相匹配，并积极同头部企业的监管部门交流，有利于监管工作的深入展开。在提升监管职能的同时，应当保持对中小外包企业的定期抽样调查，加强与相关行业协会的合作，公开及加大宣传公民个人与企业组织的投诉通道，重点监管“失信”企业的数据处理行为。

3. 头部企业当好“守门人”

头部企业具有较强的技术手段与管理能力，能够从根源上做好数据提供的规范，担任起“守门人”的角色。

首先需要对企业数据进行分类分级，将用户个人信息数据区分于商业机密数据，对前者进行隐私级别的划分，并对不同隐私级别的用户数据采用不同形式的存储方式，设立相应的调取权限，后者按照企业部门进行分类，在各部门下配备“数据保护官”，组织技术人员从软件、硬件、网络防火墙等多维度保护商业机密数据。

其次是严格内部员工的数据授权制度，仅允许高层管理人员拥有获取用户私密信息或企业商业核心机密的权限，所有员工工作涉及的数据调取都需要经过上级及更高一级领导的批准，针对合作公司也启用同样的授权制度，将外包公司数据调取的权力管控在头部企业与外包公司高层手中，避免普通员工越级引起的数据安全问题。在有相应技术能力的情况下，鼓励头部企业开发外包合作专用的数据管理程序，联动上述授权制度，通过程序实现数据处理操作记录保留，成为有效的外包业务跟踪与监管渠道。

此外，在进行外包行为之前应严格审查公司资质，考察其数据安全保护制度与风险控制措施，签订有明确数据安全规范的保密条款。

4. 外包公司内部加强整治

外包公司应着重内部管理制度的完善，制定公司数据安全规范，培训提升工作人员的数据安全意识与法律意识，学习先进数据保护技术，日常留存业务数据处理痕迹，主动提供远程合作监管通道，定期向监管部门提供公司数据安全防护方面的资质证明。

5. 行业协会加强法制宣传，系统化相关制度

相关行业协会应积极开展数据安全教育活动，加大普法宣传力度，提升行业人员的法律素养，要求充分发挥其管理职能，将国家针对数据安全问题的法律、办法、标准等与行业内现有的多个规章制度相整合，汲取从业人员、监管人员、社会民众、跨领域人员等多方的建议意见，形成系统化的数据安全规范制度。

[作者张佳韵来自复旦-炜衡数据安全联合报告课题组。本文选自江天骄、姚旭主编的《复旦-炜衡数据安全联合报告》，课题组其他成员还有：王蕾、陆滨、金代文、 赵越等。该报告由复旦发展研究院开设的咨政实践类课程研究成果转化而来，调研过程中得到北京炜衡(上海)律师事务所的大力支持。复旦大学网络空间国际治理研究基地主任、发展研究院教授沈逸与北京炜衡（上海）律师事务所高级合伙人顾靖担任课题研究顾问。]