合作方违规使用企业数据你所信任的伙伴可能是泄密源头 - 保密网

新闻案例 | 合作方违规使用企业数据——你所信任的伙伴可能是泄密源头

为什么写

南京一家医疗器械公司与一家广告营销公司合作开展产品推广活动。按照合作协议，医疗器械公司需要向广告公司提供客户的购买记录和联系方式，用于精准投放广告。但让医疗器械公司没想到的是，广告公司拿到客户数据后，不仅用于协议约定的推广活动，还把这些数据转卖给了其他三家公司。

更糟糕的是，广告公司内部的一名员工将这批数据上传到了自己的个人网盘，导致整个客户信息库在互联网上被公开下载。多家第三方机构和个人都能随意访问这批包含客户病历编号、购买记录和联系方式的高度敏感数据。医疗器械公司不仅面临客户的集体诉讼，还因为违反个人信息保护法的相关规定，被监管机构处以高额罚款。

带来哪些隐患

合作方违规使用企业数据的问题已经成为数据安全领域的一个重灾区。企业把数据交给了合作伙伴，意味着对这些数据的使用从此不再完全受自己的控制。

数据滥用的形式多种多样。最常见的是超出授权范围的使用——企业授权合作方将数据用于A项目，合作方却把数据拿来做B项目。还有一种是数据转售——合作方将企业数据当作自己的资产转卖给第三方，直接从数据中牟利。最严重的是数据保护不力的独立泄密——合作方内部安全管理松懈，导致企业数据在其系统上被攻击者窃取或者被内部人员泄露。

长期合作的信任可能演变为长期的风险。很多企业与合作方建立了多年的合作关系，双方相处融洽，企业在数据共享上逐渐放松了警惕。从最初只提供部分数据，到后来把完整的核心数据库都开放给了合作方。这种基于信任而非制度的数据共享模式，隐藏着巨大的安全风险。

合同条款的保护作用往往被高估。虽然合作协议中约定了数据使用的范围和保密义务，但一旦数据已经交给了合作方，企业实际上很难实时监控合作方是否真的按照约定使用数据。大多数企业在签署协议后便没有再对合作方的数据使用情况进行过有效的审计和检查。直到出了事故，才发现合同中的违约条款也给了对方太多扯皮的空间。

监管风险也在不断上升。随着个人信息保护法的实施，企业对外提供用户数据的行为受到更严格的监管。即使数据泄露是合作方的责任，作为数据提供方的企业同样难逃监管处罚。监管机构在裁量时会重点关注企业是否尽到了审慎选择合作方、审查其数据保护能力的义务。

给我们什么提醒

在合作数据共享这个领域，"信任但不验证"是不够的，正确的做法是"信任但必须验证"。

数据共享的过程要进行必要的脱敏处理。在将数据提供给合作方之前，应当对数据中的敏感信息进行脱敏或者匿名化处理。比如把姓名替换为编号，把手机号码中间几位隐藏，把地址精确到街道级别即可。这样即便数据被违规使用，泄露的信息对数据主体的伤害也会大幅降低。

签署的协议要有实质性的保护措施。数据共享协议中除了常规的保密条款外，还应当包含数据安全能力标准、定期审计条款、数据泄露通报义务、违约赔偿标准、数据返还和销毁要求等实质性内容。协议也要约定企业有权对合作方的数据处理行为进行不定期检查。

技术手段要与法律手段并用。除了依靠协议约束，企业还可以通过技术手段控制数据的使用范围和使用方式。数据水印技术可以将每一份外发的数据都打上独特的标记，一旦数据在网上出现，可以通过水印追溯到泄露源头。也可以考虑使用数据沙箱，让合作方在不能下载数据的条件下进行分析处理。

核心数据不外包。对于涉及企业核心商业机密或者大量个人隐私数据的处理工作，企业有条件的话应当保留在公司内部完成，不要让外部合作方接触到原始数据。数据分析结果的输出完全可以在内部完成，或者把分析任务拆开外包，让不同的合作方只处理数据片段。

企业启示

在产业分工日益细化的今天，数据共享是不可避免的大趋势。北京企密安信息安全技术有限公司认为，问题的关键不在于禁止数据共享，而在于如何建立一套有效的数据共享安全机制。让数据在安全可控的前提下流动起来，既满足了业务发展的需要，也保障了企业和客户的数据安全。