英國(guó)敏感信息管理及對(duì)我國(guó)的啟示
本文摘要:摘要:敏感信息是介于公開(kāi)信息和秘密信息之間的一類(lèi)具有情報(bào)價(jià)值的信息�����,廣泛分布在涉及政務(wù)、商務(wù)����、科學(xué)研究和公民個(gè)人等領(lǐng)域中。文章介紹了美國(guó)受控非密信息����、歐盟敏感非密信息和英國(guó)公務(wù)信息的概念和范圍,在此基礎(chǔ)上提出了敏感信息的定義��。文章梳理了英
摘要:敏感信息是介于公開(kāi)信息和秘密信息之間的一類(lèi)具有情報(bào)價(jià)值的信息�,廣泛分布在涉及政務(wù)、商務(wù)��、科學(xué)研究和公民個(gè)人等領(lǐng)域中����。文章介紹了美國(guó)受控非密信息、歐盟敏感非密信息和英國(guó)公務(wù)信息的概念和范圍���,在此基礎(chǔ)上提出了敏感信息的定義���。文章梳理了英國(guó)敏感信息管理相關(guān)政策文件,論述了英國(guó)對(duì)信息資產(chǎn)的分類(lèi)�,敏感信息管理的法律框架,敏感信息處理原則�、標(biāo)識(shí)和安全保護(hù)措施。構(gòu)建了“管理+技術(shù)+人員”三管齊下的敏感信息管理模式�,建議要統(tǒng)一界定和標(biāo)識(shí)敏感信息、推動(dòng)敏感信息管理制度建設(shè)�、完善敏感信息安全保護(hù)的技術(shù)手段、培養(yǎng)情報(bào)觀念和提高風(fēng)險(xiǎn)意識(shí)����。
關(guān)鍵詞:敏感信息;英國(guó);公務(wù)信息;信息管理;信息安全
信息作為一種重要資源始終對(duì)人類(lèi)社會(huì)的運(yùn)轉(zhuǎn)發(fā)揮著重要作用。人們根據(jù)信息的價(jià)值屬性及對(duì)信息公布后產(chǎn)生的影響預(yù)期�����,會(huì)限制信息的知悉范圍�����,因此有了眾所周知的公開(kāi)信息和非公開(kāi)信息之分��。實(shí)際上,出于安全和利益等因素的考慮而確定的非公開(kāi)信息并不完全等同于涉密信息��,有些信息介于公開(kāi)信息與國(guó)家秘密之間��,不適宜完全對(duì)公眾發(fā)布��,通常被理解為敏感信息��。
政工師論文投稿刊物:《理論與改革》雜志創(chuàng)刊于1985年���,經(jīng)國(guó)家新聞出版署批準(zhǔn)��,由中共四川省委黨校主管����、四川省干部教育學(xué)院主辦的大型綜合性理論刊物��。1998年����,由原16開(kāi)版本、每期48頁(yè)變?yōu)閲?guó)際流行大16開(kāi)版本�����,每期128頁(yè),并由月刊改為雙月刊��。國(guó)際標(biāo)準(zhǔn)刊號(hào):ISSN1006-7426�����,國(guó)內(nèi)統(tǒng)一刊號(hào):CN51-1036/D����,郵發(fā)代號(hào)62-84����,國(guó)內(nèi)外公開(kāi)發(fā)行,每月20日出版����,全國(guó)各地郵局均可訂閱。
對(duì)于信息公開(kāi)和國(guó)家秘密�,通過(guò)立法、建章立制等途徑對(duì)其進(jìn)行規(guī)范管理�,但是對(duì)于數(shù)量龐大、分布廣泛�、邊界模糊的敏感信息,其重要性和安全管理需求往往容易被忽視�����。國(guó)際數(shù)據(jù)公司(IDC)2017年的一份研究報(bào)告《數(shù)據(jù)時(shí)代2025:關(guān)鍵的數(shù)據(jù)變革》[1]指出,隨著新的數(shù)據(jù)源不斷出現(xiàn)�����,隱私和敏感信息呈現(xiàn)出新的脆弱性�����。當(dāng)前�,有安全保護(hù)需求的數(shù)據(jù)量與實(shí)際上被保護(hù)的數(shù)據(jù)量之間存在很大的差距,而且差距將不斷擴(kuò)大�。到2025年,全球90%的數(shù)據(jù)會(huì)需要某種程度的安全保護(hù)�����,但只有不到50%的數(shù)據(jù)將得到保護(hù)��。
可見(jiàn)�,數(shù)據(jù)的安全需求與實(shí)際的安全保護(hù)能力之間的矛盾日益突出。敏感信息在有安全需求的數(shù)據(jù)之列��,但從屢見(jiàn)報(bào)端的政務(wù)信息、個(gè)人信息�����、商業(yè)敏感信息泄露事件來(lái)看�,敏感信息在實(shí)踐中并未得到與其安全需求相適應(yīng)的有效保護(hù),關(guān)注非密信息的敏感性問(wèn)題����、對(duì)敏感信息進(jìn)行科學(xué)合理的管理刻不容緩。
在敏感信息保護(hù)的問(wèn)題上��,美國(guó)目前的管理體系較為完善�,自2014年起國(guó)內(nèi)學(xué)術(shù)界開(kāi)始對(duì)美國(guó)敏感信息管理相關(guān)問(wèn)題開(kāi)展研究�,孫寶云等[2-3]研究了美國(guó)敏感信息管理改革、管理過(guò)程公開(kāi)化�、在線培訓(xùn)、注冊(cè)登記制度等內(nèi)容�����,宋繼偉[4]梳理了美國(guó)受控非密信息管理流程�,陸明遠(yuǎn)等[5]和周亞超等[6]分別從定密策略調(diào)整、信息分類(lèi)與安全控制的角度出發(fā)�,追蹤美國(guó)受控非密信息管理的動(dòng)態(tài)。想要探索適合我國(guó)的敏感信息管理體系,需要博采眾長(zhǎng)�����。除美國(guó)外����,世界主要國(guó)家和地區(qū),如歐盟和英國(guó)也關(guān)注敏感信息管理問(wèn)題��。本文首先對(duì)敏感信息進(jìn)行概念界定�����,然后重點(diǎn)闡述和分析英國(guó)的敏感信息管理實(shí)踐�����,最后探索構(gòu)建敏感信息管理模式��,對(duì)我國(guó)敏感信息管理提出建議���。
1敏感信息的概念和范圍
對(duì)于敏感信息的概念����,目前學(xué)術(shù)界和業(yè)界都沒(méi)有統(tǒng)一的界定。Dilworth[7]指出���,在美國(guó)聯(lián)邦政府信息分類(lèi)中有一個(gè)反復(fù)出現(xiàn)的難題�,有一類(lèi)信息是敏感的�,但它們不屬于國(guó)家安全指令中界定的秘密信息,這類(lèi)信息有時(shí)被稱(chēng)為“敏感但不保密”信息�����。Thompson和Kaarst-Brown[8]總結(jié)了信息敏感性的9個(gè)難題�,包括政府的信息分類(lèi)系統(tǒng)不斷變化,缺乏整體的一致性;闡明敏感性的語(yǔ)義;網(wǎng)絡(luò)安全威脅使信息分類(lèi)決策復(fù)雜化;信息敏感性判斷很少受到圖書(shū)情報(bào)研究的關(guān)注等����。
他們從經(jīng)濟(jì)�����、法律��、社會(huì)和心理四個(gè)知識(shí)領(lǐng)域的角度探討了如何判斷信息的敏感性����。美國(guó)�����、歐盟和英國(guó)都對(duì)敏感信息進(jìn)行了概念界定�,關(guān)于這類(lèi)信息的稱(chēng)謂���,美國(guó)稱(chēng)之為“受控非密信息”(ControlledUnclassifiedInformation��,CUI)�,歐盟稱(chēng)之為“敏感的非保密信息”(Sensitivenon-classifiedinformation����,SNC),英國(guó)稱(chēng)之為“公務(wù)信息”(OFFICIAL)�����。
1.1美國(guó)受控非密信息
1987年的計(jì)算機(jī)安全法案(CSA)[9]中定義的“敏感信息”是指其丟失���、濫用���、未授權(quán)訪問(wèn)或修改會(huì)對(duì)國(guó)家利益、聯(lián)邦計(jì)劃的執(zhí)行或個(gè)人隱私產(chǎn)生不利影響的任何信息�,但是根據(jù)總統(tǒng)令或國(guó)會(huì)法案設(shè)置的標(biāo)準(zhǔn)��,這類(lèi)信息不屬于為維護(hù)國(guó)防或外交政策利益而需要保密的信息��。2010年標(biāo)題為“受控非密信息”的美國(guó)13556號(hào)總統(tǒng)令[10]規(guī)定�,受控非密信息是指��,根據(jù)法律法規(guī)和政府各部門(mén)的政策�����,需要對(duì)其采取安全保護(hù)或傳播控制措施的信息��,但不包括13526號(hào)總統(tǒng)令或《原子能法案》修正案規(guī)定的保密信息�����。
例如����,涉及個(gè)人隱私��、安全��、專(zhuān)屬的商業(yè)利益和執(zhí)法調(diào)查等的信息都屬于受控非密信息的范疇�。美國(guó)國(guó)家檔案局網(wǎng)站上詳細(xì)呈現(xiàn)了受控非密信息的類(lèi)別����,共劃分了125個(gè)類(lèi)目�,分布在關(guān)鍵基礎(chǔ)設(shè)施、國(guó)防����、出口控制、金融�����、移民����、情報(bào)、國(guó)際協(xié)定���、執(zhí)法����、法律���、自然和文化資源����、北大西洋公約組織、原子能�、專(zhuān)利、隱私�、采購(gòu)和收購(gòu)、專(zhuān)有商業(yè)信息���、臨時(shí)規(guī)定�、統(tǒng)計(jì)工作���、稅收�、交通運(yùn)輸20個(gè)領(lǐng)域中�����。
1.2歐盟敏感的非保密信息
2015年3月發(fā)布的關(guān)于歐盟委員會(huì)安全的2015/443決議[11]中界定了敏感的非保密信息���,是指由于生效中的條約或法案的規(guī)定����,或者由于其自身的敏感性���,歐盟必須加以保護(hù)的信息或資料�,包括但不限于工作秘密;公開(kāi)后會(huì)影響公共利益���、個(gè)人隱私���、商業(yè)利益、法律程序和建議�、審查調(diào)查和審計(jì)目的的信息(歐盟委員會(huì)第1049/2001號(hào)法規(guī)第4條規(guī)定的);個(gè)人數(shù)據(jù)。關(guān)于工作秘密的保密義務(wù)����,《歐洲聯(lián)盟運(yùn)作條約》(TFEU)和《人事條例》都有規(guī)定,TFEU第339條[12]規(guī)定��,歐盟各機(jī)構(gòu)成員�、歐盟委員會(huì)成員、歐盟官員和其他公務(wù)人員在任期間乃至離任后�����,都不得泄露工作秘密����,特別是關(guān)于工作內(nèi)容�、業(yè)務(wù)關(guān)系��、業(yè)務(wù)成本等的信息�����。
2英國(guó)敏感信息管理規(guī)定
2013年以來(lái)���,英國(guó)政府出臺(tái)和更新了一系列政府信息資產(chǎn)分類(lèi)和安全保護(hù)的政策�����,這些文件為敏感信息界定�����、處理原則�、標(biāo)識(shí)�、管理責(zé)任、安全保護(hù)措施等工作提供了指導(dǎo)和依據(jù)��。
2.1信息資產(chǎn)分類(lèi)中的敏感信息
英國(guó)《政府保護(hù)性標(biāo)識(shí)框架》[17]將政府信息資產(chǎn)劃分為五類(lèi)����,分別對(duì)應(yīng)不同級(jí)別的影響��,保護(hù)級(jí)信息對(duì)應(yīng)第一和第二級(jí)別影響���,限制級(jí)���、秘密級(jí)����、機(jī)密級(jí)�、絕密級(jí)信息分別對(duì)應(yīng)第三到第六級(jí)別影響。從第一到第六級(jí)別���,信息對(duì)個(gè)人安全���、應(yīng)急服務(wù)、治安和司法等活動(dòng)的不利影響的程度逐步加深��。這個(gè)框架下的保護(hù)級(jí)和限制級(jí)信息屬于敏感信息�。《政府安全分類(lèi)政策》于2014年4月取代了《政府保護(hù)性標(biāo)識(shí)框架》���,成為英國(guó)現(xiàn)行敏感信息管理的主要政策�,其最新版本發(fā)布于2018年5月。根據(jù)該政策��,英國(guó)政府信息資產(chǎn)劃分為三種安全類(lèi)別:公務(wù)的(OFFICIAL)�����,秘密的(SECRET)���,絕密的(TOPSECRET)��,安全類(lèi)別表明了信息的敏感性和應(yīng)對(duì)威脅的保護(hù)需求�����。
2.2法律框架
英國(guó)信息安全分類(lèi)系統(tǒng)建立和運(yùn)行的法律框架主要由《公務(wù)秘密法案》《數(shù)據(jù)保護(hù)法》《信息自由法案》等法律構(gòu)成���。損失評(píng)估是《公務(wù)秘密法案》的一項(xiàng)關(guān)鍵要素,法案規(guī)定的違法行為大部分都是造成破壞的信息泄露行為��,涉及安全��、情報(bào)�、國(guó)防�、國(guó)際關(guān)系��、犯罪�、特別調(diào)查權(quán)、從外國(guó)或國(guó)際組織處接收秘密信息等�����。該法案認(rèn)為損失來(lái)自于未經(jīng)授權(quán)的信息公開(kāi)�����,列舉了會(huì)發(fā)生違法行為的高風(fēng)險(xiǎn)群體��,包括從事安全和情報(bào)服務(wù)的機(jī)構(gòu)����、國(guó)家公務(wù)員���、政府承包商等����。各機(jī)構(gòu)在處理個(gè)人數(shù)據(jù)時(shí)需要評(píng)估是否涉及國(guó)家安全問(wèn)題�����,并且遵守《數(shù)據(jù)保護(hù)法》。敏感信息管理人員應(yīng)當(dāng)充分了解《信息自由法案》的作用及其與自己工作的關(guān)系�,敏感信息加注分類(lèi)標(biāo)識(shí)符有助于評(píng)估《信息自由法案》的免責(zé)條款是否可以應(yīng)用。
2.3敏感信息處理原則和標(biāo)識(shí)
信息處理原則和標(biāo)識(shí)有助于規(guī)范敏感信息處理和應(yīng)用過(guò)程��,對(duì)于維護(hù)敏感信息安全����,保證信息的完整性和可用性具有重要意義。
3英國(guó)敏感信息的安全保護(hù)措施
敏感信息面臨的風(fēng)險(xiǎn)威脅來(lái)源于國(guó)外情報(bào)機(jī)構(gòu)�����、網(wǎng)絡(luò)黑客�、恐怖分子、新聞媒體等����。英國(guó)政府希望利用有限的資源保護(hù)政府?dāng)?shù)據(jù)和服務(wù)免遭破壞,要求信息資產(chǎn)和基礎(chǔ)設(shè)施保護(hù)應(yīng)遵循物理安全�����、信息安全原則和采取技術(shù)控制措施����。針對(duì)公務(wù)類(lèi)信息�,英國(guó)認(rèn)為的最佳實(shí)踐是對(duì)所有常規(guī)信息都采取安全控制措施���,尤其要對(duì)特別敏感的信息進(jìn)行訪問(wèn)控制���。
4對(duì)我國(guó)敏感信息管理的啟示
我國(guó)在涉及政務(wù)、商務(wù)����、科學(xué)研究和公民個(gè)人等領(lǐng)域中存在大量敏感的非國(guó)家秘密信息��,F(xiàn)行法律中有個(gè)人隱私�����、工作秘密等敏感信息相關(guān)的表述��,如《網(wǎng)絡(luò)安全法》第四章規(guī)定了網(wǎng)絡(luò)安全監(jiān)管部門(mén)及其工作人員必須對(duì)履行職責(zé)中知悉的個(gè)人信息��、隱私和商業(yè)秘密?chē)?yán)格保密;《公務(wù)員法》規(guī)定公務(wù)員應(yīng)當(dāng)履行保守國(guó)家秘密和工作秘密的義務(wù);《法官法》《檢察官法》《警察法》《海關(guān)法》也分別有審判工作秘密����、檢察工作秘密�����、警務(wù)工作秘密和海關(guān)工作秘密的表述[20]�����,但這些領(lǐng)域中的工作秘密管理規(guī)定頒布日期較為久遠(yuǎn)���,近年來(lái)未修訂和更新,如《最高人民法院關(guān)于保守審判工作秘密的規(guī)定》頒布于1990年�����,《公安機(jī)關(guān)警務(wù)工作秘密具體范圍的規(guī)定》頒布于2001年���,《人民檢察院辦案工作中的保密規(guī)定》頒布于2005年�����。
我國(guó)目前沒(méi)有專(zhuān)門(mén)針對(duì)敏感信息管理的規(guī)定���,有學(xué)者呼吁需盡快將“敏感信息”從國(guó)家秘密中分離出來(lái)[21]。英國(guó)敏感信息風(fēng)險(xiǎn)管理的實(shí)踐表明�����,通過(guò)良好的治理、增強(qiáng)員工意識(shí)和運(yùn)轉(zhuǎn)良好的現(xiàn)代信息系統(tǒng)可以成功地開(kāi)展大多數(shù)信息風(fēng)險(xiǎn)管理�。我國(guó)敏感信息管理工作可以參考英國(guó)的有益經(jīng)驗(yàn),在信息資產(chǎn)分類(lèi)�����、敏感信息管理和安全保護(hù)等方面著力��,探索敏感信息管理模式��。
本文構(gòu)建了“管理+技術(shù)+人員”三管齊下的敏感信息管理模式�,管理模塊的主要任務(wù)是以法規(guī)條文或制度規(guī)定的形式統(tǒng)一界定和標(biāo)識(shí)敏感信息,完善敏感信息管理機(jī)構(gòu)和制度建設(shè);技術(shù)模塊綜合應(yīng)用多種技術(shù)手段保護(hù)敏感信息安全;人員模塊從人力資源管理各環(huán)節(jié)入手����,確保個(gè)人責(zé)任落實(shí)到位��。“管理+技術(shù)”有助于實(shí)現(xiàn)物理安全目標(biāo)�����,“管理+人員”有助于確保個(gè)人安全���,三者相結(jié)合共同保障敏感信息安全�����。
4.1統(tǒng)一界定和標(biāo)識(shí)敏感信息
敏感信息的統(tǒng)一界定和標(biāo)識(shí)是規(guī)范信息使用和管理的基礎(chǔ)性工作���。當(dāng)前我國(guó)沒(méi)有對(duì)敏感信息進(jìn)行統(tǒng)一的概念范圍界定和標(biāo)識(shí)���,但對(duì)工作秘密這一類(lèi)型的敏感信息,2019年發(fā)布的《工作秘密管理暫行辦法》中規(guī)定了工作秘密的概念�。在此之前,機(jī)關(guān)單位從本地方本系統(tǒng)的工作慣例�����、業(yè)務(wù)需要出發(fā)��,各自確定工作秘密管理體制�����、方法和措施的做法比較普遍[20]����。
在工作實(shí)踐中���,敏感而非國(guó)家秘密的業(yè)務(wù)文件上常見(jiàn)“內(nèi)部信息,注意保管”“僅供內(nèi)部/官方使用”“禁止傳播擴(kuò)散”“限制使用”等字樣�,這一方面說(shuō)明很多單位都有一定的敏感信息保護(hù)意識(shí),另一方面也體現(xiàn)出標(biāo)識(shí)的不統(tǒng)一和隨意性�。建議國(guó)家保密行政管理部門(mén)會(huì)同相關(guān)工作主管部門(mén)在對(duì)信息資產(chǎn)進(jìn)行統(tǒng)一分類(lèi)的基礎(chǔ)上,明確界定敏感信息的概念和范圍����,制定統(tǒng)一的標(biāo)識(shí)規(guī)范,為政務(wù)商務(wù)等活動(dòng)中處理和使用敏感信息提供指導(dǎo)和遵循�,確保敏感信息安全和便利使用“兩利”目標(biāo)的實(shí)現(xiàn)。
5結(jié)束語(yǔ)
明確的信息分類(lèi)和范圍界定是有效開(kāi)展信息工作���、保障信息安全的前提條件�。隨著信息安全需求的不斷增長(zhǎng)�����,敏感信息這一概念使用頻率也隨之增加��。本文以英國(guó)敏感信息管理為研究對(duì)象�����,探究敏感信息的界定�����、管理和安全保護(hù)問(wèn)題���,構(gòu)建敏感信息管理模式����,為我國(guó)敏感信息管理工作提出建議��。敏感信息管理是保障信息安全的重要工作�����,對(duì)個(gè)人安全和國(guó)家安全都具有重要影響��,是亟待重視和思考的問(wèn)題�。
參考文獻(xiàn)
[1]REINSELD,GANTZJ,RYDNINGJ.Dataage2025:theevolutionofdatatolife-critical[EB/OL].[2020-10-20].https://www.innovation4.cn/library/r21572.
[2]孫寶云,王英豪.論美國(guó)“敏感信息”管理改革及其對(duì)我國(guó)的啟示[J].理論與改革,2014(5):102-107.
[3]孫寶云.論美國(guó)“敏感信息”管理過(guò)程的公開(kāi)化及啟示[J].情報(bào)雜志,2015,34(4):150-154,159.
作者:于潔1,2��,栗琳1,3
轉(zhuǎn)載請(qǐng)注明來(lái)自發(fā)表學(xué)術(shù)論文網(wǎng):http:///jjlw/25840.html
