本文针对第三方供应商（如分析平台、云服务、身份提供商、软件供应商）日益嵌入数字服务交付所带来的网络安全治理挑战，通过分析2025年11月OpenAI-Mixpanel安全事件这一典型案例，揭示了供应商环境中的安全事件如何转变为与客户保持关系的焦点组织的治理和问责问题。作者借鉴组织信任研究和代理理论，指出第三方网络安全风险既是信任关系也是委托问题：客户信任可见的服务提供商，而服务提供商依赖的供应商其安全实践仅部分可见和可控。论文提出了“传递信任”（transitive trust）的概念，即客户对数字服务的信任依赖于该服务提供商授权的供应商的安全实践。在此基础上，构建了“堡垒与守门人”框架，通过信任和数据流而非仅凭正式组织所有权来解释网络安全治理边界。分析提出了四个命题：供应商整合、元数据暴露、供应商保证和数据扩散。该研究为网络安全治理学术贡献了关于委托数据处理如何产生面向客户的问责性的解释，并识别了对供应商分层、数据分类、合同设计、持续保证和数据最小化的启示。读者对象为网络安全治理研究人员、风险管理人员及供应商管理决策者。