英國敏感信息管理及對我國的啟示
本文摘要:摘要:敏感信息是介于公開信息和秘密信息之間的一類具有情報價值的信息�����,廣泛分布在涉及政務����、商務���、科學研究和公民個人等領域中����。文章介紹了美國受控非密信息����、歐盟敏感非密信息和英國公務信息的概念和范圍����,在此基礎上提出了敏感信息的定義���。文章梳理了英
摘要:敏感信息是介于公開信息和秘密信息之間的一類具有情報價值的信息�����,廣泛分布在涉及政務�����、商務����、科學研究和公民個人等領域中����。文章介紹了美國受控非密信息、歐盟敏感非密信息和英國公務信息的概念和范圍��,在此基礎上提出了敏感信息的定義��。文章梳理了英國敏感信息管理相關政策文件�����,論述了英國對信息資產(chǎn)的分類,敏感信息管理的法律框架�����,敏感信息處理原則��、標識和安全保護措施����。構建了“管理+技術+人員”三管齊下的敏感信息管理模式�����,建議要統(tǒng)一界定和標識敏感信息����、推動敏感信息管理制度建設、完善敏感信息安全保護的技術手段����、培養(yǎng)情報觀念和提高風險意識。
關鍵詞:敏感信息;英國;公務信息;信息管理;信息安全
信息作為一種重要資源始終對人類社會的運轉(zhuǎn)發(fā)揮著重要作用��。人們根據(jù)信息的價值屬性及對信息公布后產(chǎn)生的影響預期,會限制信息的知悉范圍�,因此有了眾所周知的公開信息和非公開信息之分。實際上��,出于安全和利益等因素的考慮而確定的非公開信息并不完全等同于涉密信息����,有些信息介于公開信息與國家秘密之間,不適宜完全對公眾發(fā)布����,通常被理解為敏感信息。
政工師論文投稿刊物:《理論與改革》雜志創(chuàng)刊于1985年����,經(jīng)國家新聞出版署批準,由中共四川省委黨校主管����、四川省干部教育學院主辦的大型綜合性理論刊物。1998年���,由原16開版本���、每期48頁變?yōu)閲H流行大16開版本�����,每期128頁����,并由月刊改為雙月刊����。國際標準刊號:ISSN1006-7426�����,國內(nèi)統(tǒng)一刊號:CN51-1036/D����,郵發(fā)代號62-84,國內(nèi)外公開發(fā)行�,每月20日出版,全國各地郵局均可訂閱���。
對于信息公開和國家秘密���,通過立法��、建章立制等途徑對其進行規(guī)范管理���,但是對于數(shù)量龐大、分布廣泛��、邊界模糊的敏感信息����,其重要性和安全管理需求往往容易被忽視。國際數(shù)據(jù)公司(IDC)2017年的一份研究報告《數(shù)據(jù)時代2025:關鍵的數(shù)據(jù)變革》[1]指出����,隨著新的數(shù)據(jù)源不斷出現(xiàn),隱私和敏感信息呈現(xiàn)出新的脆弱性����。當前,有安全保護需求的數(shù)據(jù)量與實際上被保護的數(shù)據(jù)量之間存在很大的差距���,而且差距將不斷擴大���。到2025年,全球90%的數(shù)據(jù)會需要某種程度的安全保護,但只有不到50%的數(shù)據(jù)將得到保護���。
可見�,數(shù)據(jù)的安全需求與實際的安全保護能力之間的矛盾日益突出��。敏感信息在有安全需求的數(shù)據(jù)之列�����,但從屢見報端的政務信息�、個人信息、商業(yè)敏感信息泄露事件來看�����,敏感信息在實踐中并未得到與其安全需求相適應的有效保護�,關注非密信息的敏感性問題��、對敏感信息進行科學合理的管理刻不容緩����。
在敏感信息保護的問題上,美國目前的管理體系較為完善����,自2014年起國內(nèi)學術界開始對美國敏感信息管理相關問題開展研究����,孫寶云等[2-3]研究了美國敏感信息管理改革����、管理過程公開化、在線培訓�����、注冊登記制度等內(nèi)容�����,宋繼偉[4]梳理了美國受控非密信息管理流程����,陸明遠等[5]和周亞超等[6]分別從定密策略調(diào)整、信息分類與安全控制的角度出發(fā)�,追蹤美國受控非密信息管理的動態(tài)。想要探索適合我國的敏感信息管理體系����,需要博采眾長�����。除美國外��,世界主要國家和地區(qū)����,如歐盟和英國也關注敏感信息管理問題���。本文首先對敏感信息進行概念界定��,然后重點闡述和分析英國的敏感信息管理實踐�,最后探索構建敏感信息管理模式��,對我國敏感信息管理提出建議�����。
1敏感信息的概念和范圍
對于敏感信息的概念�,目前學術界和業(yè)界都沒有統(tǒng)一的界定���。Dilworth[7]指出��,在美國聯(lián)邦政府信息分類中有一個反復出現(xiàn)的難題���,有一類信息是敏感的�����,但它們不屬于國家安全指令中界定的秘密信息����,這類信息有時被稱為“敏感但不保密”信息��。Thompson和Kaarst-Brown[8]總結了信息敏感性的9個難題�,包括政府的信息分類系統(tǒng)不斷變化,缺乏整體的一致性;闡明敏感性的語義;網(wǎng)絡安全威脅使信息分類決策復雜化;信息敏感性判斷很少受到圖書情報研究的關注等����。
他們從經(jīng)濟、法律���、社會和心理四個知識領域的角度探討了如何判斷信息的敏感性�����。美國����、歐盟和英國都對敏感信息進行了概念界定,關于這類信息的稱謂��,美國稱之為“受控非密信息”(ControlledUnclassifiedInformation�,CUI),歐盟稱之為“敏感的非保密信息”(Sensitivenon-classifiedinformation����,SNC),英國稱之為“公務信息”(OFFICIAL)����。
1.1美國受控非密信息
1987年的計算機安全法案(CSA)[9]中定義的“敏感信息”是指其丟失、濫用���、未授權訪問或修改會對國家利益����、聯(lián)邦計劃的執(zhí)行或個人隱私產(chǎn)生不利影響的任何信息��,但是根據(jù)總統(tǒng)令或國會法案設置的標準����,這類信息不屬于為維護國防或外交政策利益而需要保密的信息。2010年標題為“受控非密信息”的美國13556號總統(tǒng)令[10]規(guī)定���,受控非密信息是指����,根據(jù)法律法規(guī)和政府各部門的政策�,需要對其采取安全保護或傳播控制措施的信息,但不包括13526號總統(tǒng)令或《原子能法案》修正案規(guī)定的保密信息���。
例如�,涉及個人隱私�����、安全�、專屬的商業(yè)利益和執(zhí)法調(diào)查等的信息都屬于受控非密信息的范疇。美國國家檔案局網(wǎng)站上詳細呈現(xiàn)了受控非密信息的類別�,共劃分了125個類目,分布在關鍵基礎設施�、國防、出口控制����、金融����、移民��、情報�、國際協(xié)定、執(zhí)法����、法律、自然和文化資源����、北大西洋公約組織、原子能���、專利����、隱私��、采購和收購��、專有商業(yè)信息、臨時規(guī)定��、統(tǒng)計工作����、稅收���、交通運輸20個領域中���。
1.2歐盟敏感的非保密信息
2015年3月發(fā)布的關于歐盟委員會安全的2015/443決議[11]中界定了敏感的非保密信息,是指由于生效中的條約或法案的規(guī)定�����,或者由于其自身的敏感性���,歐盟必須加以保護的信息或資料����,包括但不限于工作秘密;公開后會影響公共利益��、個人隱私��、商業(yè)利益、法律程序和建議����、審查調(diào)查和審計目的的信息(歐盟委員會第1049/2001號法規(guī)第4條規(guī)定的);個人數(shù)據(jù)。關于工作秘密的保密義務��,《歐洲聯(lián)盟運作條約》(TFEU)和《人事條例》都有規(guī)定�,TFEU第339條[12]規(guī)定,歐盟各機構成員����、歐盟委員會成員、歐盟官員和其他公務人員在任期間乃至離任后����,都不得泄露工作秘密,特別是關于工作內(nèi)容��、業(yè)務關系���、業(yè)務成本等的信息�。
2英國敏感信息管理規(guī)定
2013年以來�,英國政府出臺和更新了一系列政府信息資產(chǎn)分類和安全保護的政策,這些文件為敏感信息界定��、處理原則、標識�����、管理責任��、安全保護措施等工作提供了指導和依據(jù)�����。
2.1信息資產(chǎn)分類中的敏感信息
英國《政府保護性標識框架》[17]將政府信息資產(chǎn)劃分為五類����,分別對應不同級別的影響�,保護級信息對應第一和第二級別影響,限制級�、秘密級、機密級����、絕密級信息分別對應第三到第六級別影響。從第一到第六級別�,信息對個人安全、應急服務��、治安和司法等活動的不利影響的程度逐步加深。這個框架下的保護級和限制級信息屬于敏感信息����!墩踩诸愓摺酚2014年4月取代了《政府保護性標識框架》�����,成為英國現(xiàn)行敏感信息管理的主要政策��,其最新版本發(fā)布于2018年5月�����。根據(jù)該政策�����,英國政府信息資產(chǎn)劃分為三種安全類別:公務的(OFFICIAL)�����,秘密的(SECRET)�,絕密的(TOPSECRET),安全類別表明了信息的敏感性和應對威脅的保護需求�����。
2.2法律框架
英國信息安全分類系統(tǒng)建立和運行的法律框架主要由《公務秘密法案》《數(shù)據(jù)保護法》《信息自由法案》等法律構成。損失評估是《公務秘密法案》的一項關鍵要素�����,法案規(guī)定的違法行為大部分都是造成破壞的信息泄露行為�����,涉及安全�、情報�、國防、國際關系����、犯罪、特別調(diào)查權��、從外國或國際組織處接收秘密信息等��。該法案認為損失來自于未經(jīng)授權的信息公開��,列舉了會發(fā)生違法行為的高風險群體�,包括從事安全和情報服務的機構�、國家公務員���、政府承包商等��。各機構在處理個人數(shù)據(jù)時需要評估是否涉及國家安全問題�,并且遵守《數(shù)據(jù)保護法》�。敏感信息管理人員應當充分了解《信息自由法案》的作用及其與自己工作的關系,敏感信息加注分類標識符有助于評估《信息自由法案》的免責條款是否可以應用��。
2.3敏感信息處理原則和標識
信息處理原則和標識有助于規(guī)范敏感信息處理和應用過程�����,對于維護敏感信息安全���,保證信息的完整性和可用性具有重要意義�。
3英國敏感信息的安全保護措施
敏感信息面臨的風險威脅來源于國外情報機構����、網(wǎng)絡黑客、恐怖分子����、新聞媒體等�。英國政府希望利用有限的資源保護政府數(shù)據(jù)和服務免遭破壞�,要求信息資產(chǎn)和基礎設施保護應遵循物理安全、信息安全原則和采取技術控制措施��。針對公務類信息���,英國認為的最佳實踐是對所有常規(guī)信息都采取安全控制措施�����,尤其要對特別敏感的信息進行訪問控制��。
4對我國敏感信息管理的啟示
我國在涉及政務���、商務、科學研究和公民個人等領域中存在大量敏感的非國家秘密信息���,F(xiàn)行法律中有個人隱私、工作秘密等敏感信息相關的表述��,如《網(wǎng)絡安全法》第四章規(guī)定了網(wǎng)絡安全監(jiān)管部門及其工作人員必須對履行職責中知悉的個人信息����、隱私和商業(yè)秘密嚴格保密;《公務員法》規(guī)定公務員應當履行保守國家秘密和工作秘密的義務;《法官法》《檢察官法》《警察法》《海關法》也分別有審判工作秘密��、檢察工作秘密�、警務工作秘密和海關工作秘密的表述[20]�����,但這些領域中的工作秘密管理規(guī)定頒布日期較為久遠���,近年來未修訂和更新��,如《最高人民法院關于保守審判工作秘密的規(guī)定》頒布于1990年��,《公安機關警務工作秘密具體范圍的規(guī)定》頒布于2001年����,《人民檢察院辦案工作中的保密規(guī)定》頒布于2005年���。
我國目前沒有專門針對敏感信息管理的規(guī)定���,有學者呼吁需盡快將“敏感信息”從國家秘密中分離出來[21]。英國敏感信息風險管理的實踐表明�,通過良好的治理、增強員工意識和運轉(zhuǎn)良好的現(xiàn)代信息系統(tǒng)可以成功地開展大多數(shù)信息風險管理��。我國敏感信息管理工作可以參考英國的有益經(jīng)驗,在信息資產(chǎn)分類�����、敏感信息管理和安全保護等方面著力�,探索敏感信息管理模式。
本文構建了“管理+技術+人員”三管齊下的敏感信息管理模式���,管理模塊的主要任務是以法規(guī)條文或制度規(guī)定的形式統(tǒng)一界定和標識敏感信息����,完善敏感信息管理機構和制度建設;技術模塊綜合應用多種技術手段保護敏感信息安全;人員模塊從人力資源管理各環(huán)節(jié)入手�����,確保個人責任落實到位���。“管理+技術”有助于實現(xiàn)物理安全目標�,“管理+人員”有助于確保個人安全�����,三者相結合共同保障敏感信息安全����。
4.1統(tǒng)一界定和標識敏感信息
敏感信息的統(tǒng)一界定和標識是規(guī)范信息使用和管理的基礎性工作。當前我國沒有對敏感信息進行統(tǒng)一的概念范圍界定和標識�,但對工作秘密這一類型的敏感信息,2019年發(fā)布的《工作秘密管理暫行辦法》中規(guī)定了工作秘密的概念����。在此之前,機關單位從本地方本系統(tǒng)的工作慣例����、業(yè)務需要出發(fā),各自確定工作秘密管理體制���、方法和措施的做法比較普遍[20]�。
在工作實踐中��,敏感而非國家秘密的業(yè)務文件上常見“內(nèi)部信息�����,注意保管”“僅供內(nèi)部/官方使用”“禁止傳播擴散”“限制使用”等字樣���,這一方面說明很多單位都有一定的敏感信息保護意識�,另一方面也體現(xiàn)出標識的不統(tǒng)一和隨意性。建議國家保密行政管理部門會同相關工作主管部門在對信息資產(chǎn)進行統(tǒng)一分類的基礎上���,明確界定敏感信息的概念和范圍�,制定統(tǒng)一的標識規(guī)范���,為政務商務等活動中處理和使用敏感信息提供指導和遵循�,確保敏感信息安全和便利使用“兩利”目標的實現(xiàn)��。
5結束語
明確的信息分類和范圍界定是有效開展信息工作�����、保障信息安全的前提條件�����。隨著信息安全需求的不斷增長��,敏感信息這一概念使用頻率也隨之增加����。本文以英國敏感信息管理為研究對象��,探究敏感信息的界定、管理和安全保護問題���,構建敏感信息管理模式��,為我國敏感信息管理工作提出建議���。敏感信息管理是保障信息安全的重要工作,對個人安全和國家安全都具有重要影響���,是亟待重視和思考的問題���。
參考文獻
[1]REINSELD,GANTZJ,RYDNINGJ.Dataage2025:theevolutionofdatatolife-critical[EB/OL].[2020-10-20].https://www.innovation4.cn/library/r21572.
[2]孫寶云,王英豪.論美國“敏感信息”管理改革及其對我國的啟示[J].理論與改革,2014(5):102-107.
[3]孫寶云.論美國“敏感信息”管理過程的公開化及啟示[J].情報雜志,2015,34(4):150-154,159.
作者:于潔1,2��,栗琳1,3
轉(zhuǎn)載請注明來自發(fā)表學術論文網(wǎng):http:///jjlw/25840.html
