2026-03-11 02:24:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档引用Verizon与IBM报告指出第三方数据泄露风险激增，平均成本高昂。针对管理碎片化、评估形式化等挑战，建议企业厘清委托处理等合作模式，建立全生命周期管理规范，覆盖准入评估、协议签署、人员权限管控及定期审计等环节，构建闭环管理体系以落实合规要求并降低风险。 综合评分： 84 文章分类： 数据安全,供应链安全,安全建设,解决方案,政策法规

cover_image

数据泄露频发，企业如何强化第三方数据安全管理

原创

陆嘉敏陆嘉敏

赛博研究院

2026年3月10日 18:17 上海

引言

近年来，企业数字化转型深化与跨主体数据合作的常态化，让第三方环节成为企业数据安全体系的核心风险敞口。

Verizon《2025 年数据泄露调查报告》与 IBM《2025 年数据泄露成本报告》的核心数据，直观印证了这一风险的严峻性：基于全球 22052 起安全事件、12195 起已确认数据泄露的统计显示，30% 的数据泄露与第三方直接相关，较 2024 年的 15% 实现翻倍；第三方供应商与供应链攻击引发的数据泄露，平均成本高达 491 万美元。

Verizon《2025 年数据泄露调查报告(DBIR)》

IBM《2025年数据泄露成本报告》

伴随业务合作深化而来的，是第三方环节安全事件的频发与高昂的损失。在此背景下，构建合规驱动、可落地的第三方数据安全管理框架，不再是企业运营的附加要求，而是保障企业持续发展的必要举措。

企业第三方数据安全管理核心挑战

当前，企业对第三方风险管理的重视程度与日俱增，但在实际落地中，仍面临一系列系统性困境：

数据合作模式界定不清晰。企业在合作前未准确定义数据合作模式，导致后续管理策略及工作重点偏移。
管理碎片化，权责边界模糊。采购、法务、业务与安全部门各自为政，缺乏统一的第三方数据安全管理流程。
供应链延伸风险管控缺失。多数企业只管理直接签约的第三方，忽略其背后的子供应商、云服务商、开源组件等更深层供应链的风险。
动态监控机制缺位。部分企业仅在第三方准入环节开展一次评估，无法应对第三方在合作期内安全状况的动态变化。
安全评估形式化。对第三方的安全评估停留在问卷调研，缺乏对其实际安全控制有效性必要的技术验证和测试。
境外第三方的隐性出境风险。部分企业可能存在未直接向境外传输数据，但允许境外实体（如母公司、关联公司等）远程访问架设在境内的数据库或管理系统的情况，该情况亦属于数据出境，若涉及个人信息或重要数据，需纳入合规框架进行管理。

企业第三方数据安全管理合规建议

为应对上述核心挑战，企业需从法律关系厘清、全生命周期管理、落地闭环执行三个维度，搭建体系化的第三方数据安全管理框架，实现合规与实操的双重落地。

厘清第三方数据合作模式，明确合规基础

企业开展第三方数据安全管理的首要前提是厘清合作模式，准确判断与第三方的实际法律关系。当前主要数据合作模式包括委托处理、共同处理、对外提供，不同模式对应不同的合规义务与法律责任。

厘清以上三种数据合作模式是企业制定内部数据合作管理策略、起草合同条款的前提。它决定了企业应履行何种合规义务、承担何种性质的法律责任。

建立第三方数据合作全生命周期管理规范

企业可基于数据合作模式构建第三方数据安全管理框架，搭建标准化的管理框架，明确制度体系、组织架构与流程要求。制定《第三方数据安全管理办法》作为核心制度，明确制度适用范围、各部门职责（主要包括法务、采购、数据安全、业务部门等相关部门）、以及覆盖第三方数据合作全生命周期的管理流程；依据不同数据合作模式，建立针对性的操作规程，明确各数据安全管理环节的参与部门、执行标准与交付成果，实现差异化管理。

管理要求在实际执行中的落实与闭环

首先，在第三方准入阶段，企业可建立第三方清单，根据第三方提供的服务、处理的数据类别级别、涉及的信息系统重要性综合评估与第三方合作的风险级别，针对风险较高的合作，设置更为严格的准入门槛；建立完善的安全评估流程，对计划合作的第三方开展风险评估，可通过问卷、资质核验等方式开展，同时要求第三方提供必要的佐证材料，必要时可执行技术检测以确认安全措施有效性，综合分析评估发现风险对合作的影响；对于发现的潜在风险，需根据第三方处理的数据类型、业务重要性、第三方的可选范围，以及企业可接受的风险程度综合评估当前风险等级是否可被企业接受，根据评估结果实施必要的控制程序把风险降低到企业可接受的水平；在第三方人员入场前，对其开展数据安全培训及考核，以确保能够接触企业数据的人员明确了解数据安全管理要求及外包人员数据安全保护义务。

其次，在合同协议签订方面，需签署专门的《数据处理协议》（DPA），以明确双方数据安全责任。数据处理协议应根据第三方与企业的合作模式对应签订，应至少包含数据处理目的、期限、方式、范围，对合作方采取与数据重要性相匹配的安全措施的要求，安全事件上报时限、方式、内容要求，对数据处理活动审计权的说明，合同终止到期等场景数据删除、销毁、归还、匿名化的要求。不同数据合作模式下DPA的主要关注点如下：

再者，在第三方人员管理方面，在合作开展前，需与能够接触到企业数据的第三方人员签订保密协议，明确人员保密责任及违约条款；在合作开展过程中，需加强对第三方人员的权限管理，建立第三方人员账号权限开通管理要求，遵循最小授权原则进行授权，仅允许第三方人员访问实现合作目的最小范围内的数据，定期对第三方人员数据处理权限及行为进行审计，及时发现可能存在的违规风险；在合作结束时，应及时收回第三方人员访问权限。

此外，在与第三方开展实际合作的过程中，企业应建立定期审查与评估机制，对第三方数据安全责任落实情况开展定期审查，如要求第三方提供内外部审计报告、通过问卷、访谈、现场核查等方式实施检查等，同时可部署技术工具监控拦截接入企业环境的第三方人员、系统的高风险操作行为，定期开展重新评估，以确认合作相关系统、安全技术措施、子供应商等情况是否发生变化。可将数据安全履约情况纳入第三方绩效评估，建立第三方黑名单，将未履行数据安全责任义务，对企业造成损失的第三方纳入合作黑名单。

最后，针对合作发生变更的情形，需评估变更范围是否涉及处理数据类型、范围、目的、方式等的变化，如涉及，需重新评估变更后服务涉及的数据、系统、子供应商及相关安全技术措施是否满足企业安全管理要求。合作终止时，需及时移除第三方的系统访问权限，同时开展接口清查，禁用面向已终止合作方开放的系统接口；监督第三方根据合同约定方式及期限处理数据，并要求第三方提供处置证明，如删除、销毁、匿名化记录截图、说明文件等。

结语

在数字化时代，跨主体的数据合作已成为企业推动业务创新和实现高质量发展的重要基础。面对第三方数据安全事件频发的现实风险，企业有必要从厘清各类数据合作中的法律关系入手，建立覆盖第三方数据合作全生命周期的数据安全管理机制，在第三方准入评估、合作协议签订、人员管理、处理过程监督、合作变更及终止等关键环节形成闭环管理，从而构建系统、有效的第三方数据安全管理体系。

此类管理不仅是落实数据安全与个人信息保护法律义务的基本要求，也是企业在保障数据安全的前提下整合外部资源、释放数据价值的重要基础。通过对第三方数据处理活动实施体系化管理，企业能够在合规框架内实现数据资源的安全整合与价值挖掘，促进数据依法、有序流动，并为企业的长期稳健发展提供支撑。

文章作者：陆嘉敏

关于赛博研究院

上海赛博网络安全产业创新研究院（简称赛博研究院），是上海市级民办非企业机构，成立至今，赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。

赛博研究院立足上海服务全国，是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构，同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能，并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。

欢迎联络咨询：

邮件：[email protected]；

电话：021-61432693。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：赛博研究院陆嘉敏陆嘉敏《数据泄露频发，企业如何强化第三方数据安全管理》