某市法律援助中心上线了一套案件管理系统用于管理法律援助案件的申请受理指派和结案等全流程业务。系统中存储了大量受援人的个人信息案件详细情况和承办律师的代理记录。为了缓解工作压力中心招募了几名法律专业实习生协助处理案件数据的录入和整理工作。实习生们获得了系统的查看和导出权限以便完成指定的工作任务。
其中一名实习生在实习期满离职时将工作期间接触到的案件数据进行了大量导出复制到了自己的个人笔记本电脑中。他对这些数据的具体用途说法是为了撰写毕业论文参考案例但论文完成后也没有删除这份数据。这些包含了大量受援人身份信息和案件细节的数据就静静地躺在他的个人电脑中。直到他的电脑因为系统故障送修时将电脑留在了维修店维修人员在维修过程中发现了这些数据文件并试图出售其中的信息。幸运的是维修店的员工在倒卖数据时被警方及时发现制止了更大范围的扩散但数据已经面临了泄露风险。
法律援助案件涉及的社会弱势群体他们的个人信息一旦泄露可能面临更大的风险。特别是涉及家庭暴力人身伤害等敏感案件的受援人如果他们的住址联系方式等信息被泄露可能对其人身安全造成威胁。这个案例暴露出法律援助机构在对实习生等临时工作人员的数据权限管理上存在的不足。实习生在实习期间虽然属于临时工作人员但他们接触到的数据敏感度有时与正式员工毫无区别但在数据安全培训和权限管控方面的要求却往往低于正式员工。
社会服务机构在管理包括实习生在內的临时工作人员时应当将他们纳入数据安全管理的统一框架。实习生的数据访问权限应当遵循最小必要原则只能访问完成实习任务所必需的数据范围在实习结束后应当立即回收所有系统权限并要求确认已删除个人设备上的工作数据。同时应当对实习生进行与正式员工同等严格的数据安全培训帮助他们理解保护受援人隐私的重要性和违反规定可能面临的法律责任。北京企密安在帮助社会服务机构建设信息安全体系时特别关注临时工作人员和外包人员的安全管理因为这类人员往往是安全管理链条中最薄弱也是容易出问题的环节需要给予更多的关注和投入。
本次事件后法律援助中心对实习生的数据访问管理进行了系统性的改革。中心专门制定了针对实习生和研究助理的数据安全管理办法在实习生入职时签署详细的数据保密承诺书明确了违规导出数据的法律后果。在技术层面中心为实习生配置了独立的系统账号和最小必要的数据访问权限并启用了数据导出审批功能任何批量导出操作都需要经过管理员审核才能执行。同时中心建立了定期审计机制对包括实习生在内的所有用户的数据访问行为进行周期性审核发现异常行为及时处置。社会服务机构在利用社会力量提供服务的同时应当对服务过程中产生的数据安全负责特别是涉及弱势群体个人信息保护时更应当尽到充分的注意义务不能因为临时工作人员的身份特殊就降低了数据保护的力度。保护受援人的隐私就是保护法律援助制度公信力的基础。
