很多企业有个误区：数据交给第三方供应商处理，出了事就该供应商负责。但法律和现实都告诉我们——数据控制者的责任，是甩不掉的。

根据《个人信息保护法》和《数据安全法》，甲方（数据控制者）对乙方（数据处理者）的数据处理活动负有监督和管理义务。如果乙方违规，甲方不仅要承担连带责任，还可能面临行政处罚、民事赔偿甚至刑事追责。

今天的新闻中，甲方公司就是因为没有对供应商进行充分的安全审查，导致供应商系统被攻破，上千万用户数据泄露。法院最终判定甲方承担主要责任，赔偿金额高达2.3亿元。这笔钱，足够让任何一家企业“伤筋动骨”。

所以，供应链安全，不是把风险“外包”出去，而是要把安全能力“内嵌”进来。

供应链安全的核心，是管好“人、系统、数据”三个维度。

今天发布的《车联网供应链网络安全风险管理准则》等4项行标，正是针对这些风险给出了具体的技术和管理要求。比如，要求对供应商进行分级管理，对高风险的供应商要进行现场审计，关键数据要加密传输和存储。

一句话：管好供应商，就是管好自己的数据安全。

别慌，供应链安全管理并不神秘，可以分三步走：

• 第一步：准入审查——合作前，对供应商进行安全能力评估，包括是否通过等保、ISO27001认证，是否有数据泄露历史。今天发布的《实施网络安全标识的产品目录》，就为产品安全提供了“身份证”，可以作为审查依据。
• 第二步：合同约束——在合同中明确数据安全责任、处理范围、违约赔偿等条款。比如，要求供应商在发生数据泄露后24小时内告知甲方。
• 第三步：持续监控——合作中，定期检查供应商的安全措施是否到位，比如API接口是否有漏洞、日志是否完整。今天发布的《网络数据安全风险评估办法》，就为持续监控提供了方法论。

记住：安全不是一锤子买卖，而是持续的过程。