admin管理员组文章数量:1531765
2024年4月1日发(作者:)
情摇报摇杂摇志
第39卷摇第12期
摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇
Vol.39摇No.12
2020年12月Dec.摇2020
JOURNALOFINTELLIGENCE
特朗普政府“受控非密冶信息管理的
*
新变化及启示
孙宝云摇刘崇瑞摇徐与璠
(北京电子科技学院摇北京摇100070)
摘摇要:[目的/意义]特朗普政府执政近四年,美国“受控非密冶信息管理发生了很大变化,在中美摩擦不断升级的
背景下,了解这些新变化对完善我国“敏感信息冶管理具有积极意义。[方法/过程]特朗普政府执政以来,全面加强
了“受控非密冶信息管理,发布了大量新政策、新指南及新标准,直面严峻形势和存在的问题,强化监管,调整类别及
子类别,提高“受控非密冶信息管理项目的地位。[结果/结论]面对当前复杂的国际形势,我国可以借鉴美国的经
验,通过完善政策法规体系、强化保障、精准管理、建立约束机制提升“敏感信息冶管理水平。
关键词:“受控非密冶信息;敏感信息;信息管理;特朗普政府
中图分类号:G252摇摇摇摇摇摇文献标识码:A摇摇摇摇摇摇文章编号:1002-1965(2020)12-0067-07
引用格式:孙宝云,刘崇瑞,徐与璠.特朗普政府“受控非密冶信息管理的新变化及启示[J].情报杂志,2020,39(12):
67-73.
DOI:10.3969/.1002-1965.2020.12.011
ChangesandEnlightenmentofControlledUnclassifiedInformation
ManagementinDonaldTrumpAdministration
SunBaoyun摇LiuChongrui摇XuYufan
(BeijingElectronicScienceandTechnologyInstitute,Beijing摇100070)
Abstract:[Purpose/Significance]AlmostfouryearslaterofDonaldTrump'sadministration,themanagementofcontrolledunclassified
informationintheUnitedStateshasundergonegreatchanges,understandingthesenewchangesisofpositivesignificancetoimprovingthe
managementofsensitiveinformationinChina.[Method/Process]TheDonaldTrumpadministrationhascomprehensivelystrengthenedthe
managementofcontrolledunclassifiedinformation,issuedalargenumberofnewpolicies,guidelinesandstandards,andstrengthenedsu鄄
pervisioninthefaceofseveresituationsandexistingproblems,andadjustedcategoriesandsub-categoriesinatimelymanner,improving
thestatusofcontrolledunclassifiedinformationprogram.[Result/Conclusion]Underthecomplicatedinternationalsituation,therearesev鄄
eralthingsChinacanlearnfromUnitedStates,including:improvingthemanagementskillsofsensitiveinformationbyupgradingthepoli鄄
cyandlawsystem,perfectingtheguaranteesystem,achievingprecisionofmanagement,andestablishingtherestraintmechanism.
Keywords:controlledunclassifiedinformation;sensitiveinformation;informationmanagement;DonaldTrumpadministration
摇摇美国的“受控非密冶信息(ControlledUnclassified
Information,CUI)不是国家秘密,但一旦公开却可能带
美国官方给出的定义是:“由政府创设或拥有的、或由
某个代表政府或服务于政府的实体创设或拥有的信
收稿日期:2020-08-24摇摇摇摇摇摇修回日期:2020-10-09
息,按照法律、法规或政府范围的政策要求或许可,需
要采取安全措施进行保护或控制传播的信息。冶
[1]
在
美国,有专门的总统令保护此类信息,现行有效的是奥
巴马政府发布的《受控非密信息》13556号总统令。根
据该命令,联邦政府各部门必须根据法律、法规、政策
来潜在安全危害,因此需要采取严格措施进行管控。
基金项目:国家级大学生创新创业训练计划项目“美国‘受控非密信息爷管理经验及对国内的启示研究冶。
作者简介:孙宝云(ORCID:0000-0003-1527-0268),女,1967年生,博士,教授,研究方向:保密管理、网络安全治理;刘崇瑞(ORCID:0000-
0001-8379-0252),女,1984年生,博士,讲师,研究方向:人力资源管理、保密管理;徐与璠(ORCID:0000-0003-0076-6551),男,2000年生,本
科生。
摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇情摇报摇杂摇志摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇第39卷
·6
摇
8·
的要求对“受控非密冶信息做好安全防护,按照公开、
统一的制度规范进行管理
[2]
1
。自特朗普政府2017年
了很大变化
月20日上台以来
,不仅密集发布了新政策
,美国的“受控非密
、
冶
新标准和新指
信息管理发生
南,执行机构直面问题、应对挑战,更新了“受控非密冶
信息的注册登记目录,同时全面提升“受控非密冶信息
项目的地位。这些变化反映了新形势下特朗普政府全
面加强数据信息安全的新动向,对完善国内“敏感信
息冶管理具有启示意义。
1摇密集发布新政策和新指南
密冶信息
,依法管理“受控非
摇
文件管理局
摇美国“受控非密
,具体管理工作由隶属该局的信息安全监
冶信息管理的执行部门是档案与
督局(InformationSecurityOversightOffice,ISOO)负
责。根据13556号总统令的要求,信息安全监督局负
责制定并发布政策指令,建立统一的“受控非密冶信息
类别及子类别,提供“受控非密冶信息保护、传播、标志
以及解除管控的政策及程序,监督联邦政府各部门的
“
主要通过发布公告
受控非密冶信息管理工作
、通知
。
、手册
在具体管理实践中
、标准的方式实现对
,该局
“
政府的第一任期内
受控非密冶信息的管理
,该局共发布了
。单纯从数量上看
27个公告
,在特朗普
、通知、标
准,其中2020年7个,2019年5个,2018年11个,2017
年4个;而在奥巴马政府的两个任期内,该局总计发布
了12个公告、通知和标准,同时发布了一个“受控非
密冶信息标志手册。两届政府的政策文件数量统计详
见表1。
表1摇特朗普政府与奥巴马政府“受控非密信息冶管理文件数量比较
时间公告数量通知数量标准数量手册数量合计
特朗普政府
2017.7-2020.7
18个7个2个0个27个
奥巴马政府
2011.6-2016.12
4个4个4个1个13个
摇
督局对
摇从管理方式看
“受控非密冶
,在特朗普政府任期内
信息的管理更系统也更全面
,信息安全监
。如
特朗普上任后信息安全监督局发布的第一个公告是
《
议
CUI
》,该建议于
2017年1
2017
号公
年
告
6
:
月
受
12
控非
日发布
密信
,
息
共
项
10
目
页
实
,
施
包括
建
项目管理、政策、教育培训、物理保护、信息系统、销毁、
自我检查、事故管理、合同及协议九个方面的内容(详
见表2),每一个部分都提供了非常详尽的指导意见。
其中“教育培训冶部分列举了五项需要培训的内容,仅
第五项就列举了四种必须培训的任务,分别是安全意
识培训、定向培训、特殊培训、入职培训
[3]
举了每个任务包含的具体内容。以其中“
,
安全意识培
培训建议列
训冶为例,建议列举了七个方面的培训内容,包括本单
位为什么要设立CUI项目、什么是CUI、CUI的注册登
记制度、如何加注并识别CUI、CUI安全事件、本单位
的CUI实施计划与时限要求等,可操作性非常强。
表2摇《CUI2017年1号公告:受控非密信息项目实施建议》概览
条目名称实施建议的主要内容
项目管理
如何指定项目负责人、建立管理团队、设计执行计划等5
项内容
列举了联邦政府部门应该制定的17项管理内容,包括注
政策册登记、类别及子类别、物理安全防护、网络安全防护、标
志与识别等
学习保护CUI的规定、识别传递CUI的安全要素、开发专
教育培训门的网站提供培训、安全意识训练、定向培训、特殊培训、
入职培训
物理保护
评估CUI的保护措施、政策、程序能否确保设施、资产和
环境安全;评估工作人员、工作场所的安全隐患
信息系统
学习存储、使用、流转CUI的信息系统,掌握安全防护知
识等
销毁
确保包括电子形式的CUI销毁后不能读取、不能解读、不
能恢复
自我检查机构每一年均需要对CUI项目进行全面审查和评估
事故管理
发生泄露事件需及时报告并启动内部审计,建立潜在泄露
风险的发现机制,以及防止滥用CUI的机制
合同及协议
涉及CUI项目的合作,合同单位需签订安全协议并采取
保护措施
摇
机构的
摇从管理范围看
“受控非密冶
,
信息管理的指导
特朗普政府加强了对非联邦政府
。2020年6月16
日,信息安全监督局发布了《关于非联邦信息系统处
理“受控非密冶信息的安全要求》,就未定密环境下如
何在联邦政府以外的信息系统安全处理“受控非密冶
信息提出具体指导意见
[4]
使用美国标准技术研究院制定的特别标准保护
。根据该意见,相关机构应
“受控
非密冶信息,该标准的全称是《在非联邦系统和组织中
保护受控非密信息》(NISTSP800-171),美国标准技
术研究院在2020年2月进行了第二次修订,全文113
页。该标准开篇即强调“对联邦机构而言,保护非联
邦系统及组织中的‘受控非密爷信息至关重要,直接影
响到联邦政府能否成功履行其基本使命与职能冶。
[5]
虽然并非强制标准,但该标准提供的建议非常详尽,覆
盖“受控非密冶信息的处理、存储、传输、外包等全流
程。此外,信息安全监督局还发布了《监督私营部门
的受控非密信息项目公告》(2019年9月6日),以及
《
草指南
与非联邦机构合作
》(2018年1月
、涉及受控非机密信息的协议起
24日),仅从题目就能看出,这
些文件的突出特点是聚焦某个具体问题,关注工作细
节,所提供的指导建议实用性非常强,能够帮助相关机
构解决工作中遇到的实际问题。
2摇直面问题和严峻形势,通过改革强化监管
根据13526号总统令的要求,美国信息安全监督
摇第12期摇摇摇摇摇摇摇摇摇摇摇孙宝云,等:特朗普政府“受控非密冶信息管理的新变化及启示
·69·
局(ISOO)每年都需要向总统提交年度工作报告,附有
局长给总统的公开信。其中,公开信落款是当年,但报
告内容是上一个财年的工作总结,所以特朗普总统
2017
2016
年收到的第一个年度报告
管理新变化的是最近三年的报告
工作的总结。反映特朗普政府
,其实是对奥巴马政府
,最新报告是
“受控非密
2020
冶信息
年
6
普总统的公开信看
月22日提交的2019
,虽然信息安全监督局认为近年来
年度工作报告。从近年给特朗
美国“受控非密冶信息管理取得了骄人的成绩,但是同
时认为面临的挑战依然严峻、存在的问题亦不能小觑,
应该继续深化“受控非密冶信息管理改革。
首先,信息安全监督局强调美国“受控非密冶信息
管理模式正面临严峻挑战。在2019年给总统的公开
信中,局长马克·A.布拉德利揭示了美国保密管理面
临的新形势
[6]
上,政府可以安全地将其锁在保险箱中
:三十年前,大多数信息保存在纸介质
,并通过人力传
递或安全的传真线路流转。如今,政府每个月都能创
造拍字节(PB,1PB=1024TB)的电子化不公开信息,
其中包括“受控非密冶信息,这种情况将以不可阻挡之
势迅速增长。电子化数据的形式多种多样,包括文字、
数据、图形、图片信息等,可以存储在虚拟的云盘中并
通过电子邮件、即时通和各种聊天工具传输。信息技
术的进步对美国政府各部门的保密管理能力提出了新
要求,给不公开信息的保护、流转带来了挑战。但是目
前政府对保障电子信息及信息安全所必须的技术支持
投入严重不足,例如,政府没有购买新的应用来支持精
确、一致和准确的保密措施,也没有加大对技术或程序
的资金投入,以应对大量电子化“受控非密冶信息的解
密、解除管制以及公开鉴定工作等。在2020年致总统
的公开信中,信息安全监督局长再次强调
[7]
有数十个机构正使用各种先进技术完成本职工作
,虽然当前
,但
是他们中的绝大多数部门所采取的信息安全防护措施
却早已过时,无法适应各机构海量数字信息的增长。
如果不改进监督政府部门信息安全的数据收集方法,
这些问题将会进一步恶化。面对严峻的新形势,近年
来信息安全监督局的年度报告也表现出强烈的改革意
愿和决心,在每一年的公开信中都呼吁特朗普总统,一
定加强对保密管理的投入,采用最先进的技术手段推
动保密管理现代化,同时采取新政策和新方法,确保美
国的保密管理能力与时俱进。在近三年保密工作年度
报告中还多次提及现代化和改革,其中现代化(mod鄄
ern)以名词、动名词、动词等形式高频度出现,2017年
报告中出现21次,2018年报告出现8次,2019年报告
出现18次;改革(reform)一词也成为热词,2017年出
现19次,2018年出现3次,2019年出现8次;而这两
个词在2016年的报告中总计才出现5次。
其次,美国信息安全监督局改变了监管风格,由奥
巴马政府时期的温和督促转向特朗普政府的犀利强
硬。作为执行机构的核心力量,美国信息安全监督局
每年都进行现场检查,但是在奥巴马政府时期,面对现
场检查中发现的大量问题,该局似乎没有强有力的解
决手段。如在2014年的现场检查中,该局抽查了7个
政府部门的1105份文件,总计发现1660处错误,其
中59%的问卷存在加注标志不规范的问题
[8]
这些问题,信息安全监督局给总统的报告中也只是强
。面对
调加强规范管理的重要性、机构加强自我检查和培训
的不可或缺性,并强调该局明年将继续加大现场检查
的力度。到了2017年的现场检查,该局对待相同问题
的态度发生很大改变。当时信息安全监督局抽查了
10
件存在不合规问题
个联邦政府部门的
,占比
1006
64
份文件
%,总计发现错误
,发现有641
1
份文
129
处
[9]
信息安全监督局处理问题的态度陡变
。虽然看起来发现的问题与2014
,
年差不多
不仅在给总统
,但是
的报告中用2页篇幅对错误的性质、危害的严重性及
出现问题的原因进行了系统分析,而且给出的犀利定
性结论显著增多。例如开篇即指出“现场检查的结果
表明,一些机构并没有遵循13526号总统令的核心要
求冶。报告对相关机构的不作为提出严厉批评,因为
“
查中发现的问题
在过去2年时间里
,还有一半机构只处理了其中
,没有联邦政府机构全部处理了检
30%甚
至更少的问题冶
[9]
温和趋向犀利,如报告中前所未有地使用这样的评价
。与此同时,报告的语言风格也由
语言,“具有讽刺意味的是,那些最需要加强保密信息
管理的机构,恰恰就是那些没有处理检查中发现问题
的机构冶“机构的高级领导不重视非公开国家安全信
息管理冶,等等。在具体措辞方面,2017年的报告9次
使用了“斗争冶“不可接受冶等,而在之前的报告中从未
出现过这样激烈的词汇。
最后,直面存在的问题,改变过去数据罗列式的报
告模式。从近三年给特朗普总统的报告看,美国信息
安全监督局已彻底改革了传统的报告模式,直面存在
的问题,突出变革导向。2017年的报告就突出强调联
邦政府各部门落实“受控非密冶信息管理政策不到位,
如按照要求,联邦政府各部门应该在2017年5月14
日前指定项目负责人,制定部门的“受控非密冶信息管
理实施政策,但是这项规定的落实情况并不尽如人意:
截至2017年5月31日,美国有136个机构负责执行
“
负责人
受控非密
;有
冶
6
信息项目
个机构在规定时间内按照要求发布了
,只有105个机构指定了专门的
“受
控非密冶信息执行政策;有11个机构完成了政策制定,
另外有30个机构预计2018年完成任务,还有12个机
构在报告中表示将在2019年制定执行政策
[9]
。在
摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇情摇报摇杂摇志摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇第39卷
·7
摇
0·
2018
为“政府没有投资开发电子信息管理和信息安全所需
年的报告中,信息安全监督局继续直面问题,认
的相应技术,如政府没有花钱购买新的应用程序,以支
持明确、一致和精准的保密决策,也没有购买技术和程
序为海量电子化“受控非密冶信息的解密、解除管制和
公众访问审查做好准备冶
[6]
还改变了年度报告的结构模式
。同时
,从过去的简单数据罗
,信息安全监督局
列转向内容分析模式。如2019年的报告中,“受控非
密冶信息的报告包括五个部分:核心措施与评价、项目
管理与监督、推动“受控非密冶信息管理纳入联邦采购
法、把“受控非密冶信息纳入内部威胁项目管理中、国
防部“受控非密冶信息项目的网络安全创新。其中在
“
息管理项目的重要性
核心措施与评价冶中
,
,
强调部门领导的重视与强有力
报告分析了做好“受控非密冶信
引导具有保障作用,明确提出要加强研发包括通用技
术标准在内的标准化体系,提出政府和承包商应该在
信息系统上采用通用技术标准以确保“受控非密冶信
息安全。同时,信息安全监督局认为当前项目实施依
然面临严峻挑战、存在很多障碍,并影响一些部门执行
该项目的能力,如将“受控非密冶信息标志嵌入信息系
统中就是一个技术挑战
[7]
人员在内的多方面资源支持
,需要包括专项资金和全职
。
3摇完善
类别动态化
“受控非密冶信息注册登记目录,实现管理
摇
分
摇
、精细管理
美国“受控非密
。“受控非密
冶信息管理的主要特点是按类划
冶信息类别与子类别的确立
经历了漫长的磨合过程
[10]
部门根据13556号总统令的要求完成了
:2011年5月,
“
联邦政府各
受控非密信
息冶的审查工作,提出初步建议并提交执行部门批准。
档案与文件管理局成立专门小组审查各部门提交的资
料,去掉不必要的类别,合并类似的类别,在与相关政
府部门协商基础上,专家小组初步确立了“受控非密
信息冶管理框架。2011年11月4日,执行机构第一次
公布“受控非密冶信息的类别及子类别,包括16个类
别、74个子类别。此后,“受控非密冶信息注册登记目
录继续完善,到2013年9月底,管理部门已审查47个
政府部门和机构提交的“受控非密冶信息类别及子类
别达2200多个,第二次公开的注册的类别22个、子
类别85个。2016年9月14日,经过60天意见征集、
在整合245份书面意见及召开各种座谈会、小组会听
取意见建议的基础上,执行机构发布了《受控非密信
息实施细则》,同时公布新的注册登记目录为23个类
别、85个子类别,这是奥巴马政府最后的“受控非密冶
信息目录。此后,特朗普政府继续调整“受控非密冶信
息目录,截止2020年8月,美国“受控非密冶信息登记
目录为20个类别、124个子类别。比较两届政府的类
别目录,不难发现美国“受控非密冶信息范围已趋于相
对稳定并日趋完善,一个显例是特朗普政府保留了大
部分奥巴马政府的“受控非密冶信息项目,其中20个
类别中有17个名称与上一届政府完全相同,同时也增
设了3个新的类别,并调整了奥巴马政府的小部分类
别与子类型,进一步完善了管理机构设置。
首先,特朗普政府增设了3个新类别。一是“自然
与文化资源冶类别。涉及到与考古资源有关的性质和
位置信息,后者需持有许可证或其他许可才能进行挖
掘或移动
[11]
源、历史遗产
。
、国家公园系统资源
该类别有3个子类别
。二是
,分别是考古资
“协议信息冶
类别。主要为美国国土安全部(DHS)的“受控非密冶
信息,下设9个子类别,包括协议信息、执法信息、系统
漏洞信息、国际协议、运行安全、人员安全、物理安全、
隐私信息、敏感的个人身份识别信息。三是“国防冶类
别。与前面两个新设类别略有不同的是,这个类别建
立在奥巴马政府的类别“受控技术信息冶基础上,将该
类别降为子类别,与国防部关键基础设施安全信息、海
军核动力信息、国防部涉及“受控非密冶的核信息并
列,构成新的“国防冶类别。
其次,特朗普政府合并了奥巴马政府的5个“受控
非密冶信息类别。其中,奥巴马政府的“农业冶和“地理
产品信息冶类别,被合并到特朗普政府的“情报冶类别
中,作为子类别存在,性质描述与奥巴马时期相同。而
奥巴马政府的“应急管理冶与“信息系统漏洞信息冶及
“
“
安全法案信息
称相同
关键基础设施
冶3
,两届政府的子类别依然可能有很大差异
冶类别中
个类别
。
,
这也意味着
则被合并到特朗普政府的
,即使是类别名
,以两
届政府共有的类别“关键基础设施冶为例,在奥巴马政
府时期只有7个子类别,特朗普政府时期则变成了11
个子类别,分别是硝酸铵、化学-恐怖主义漏洞信息、
关键能源基础设施信息、一般关键基础设施信息、物理
安全、受保护的关键基础设施信息、水资源评估、应急
管理、信息系统漏洞信息、安全法案信息、有毒物
质
[12]
4
。其中前7个子类别与奥巴马政府时期相同,后
物质
个子类别中有
冶则是新增加的子类别
3个是前政府的类别
。由此可见
,最后一个
,美国“受控非
“有毒
密冶信息管理目录仍在不断完善中,持续数年的动态
化调整能够及时反映最新政策、法规的变化,表明美国
“受控非密
最后,特朗普政府完善了管理机构
冶信息管理具有良好的弹性和回应性
,设立了
。
“受控
非密冶信息管理咨询委员会和注册登记委员会,协调
推进“受控非密冶信息注册登记制度。其中,咨询委员
会成立于2018年2月,由包括白宫办公室在内的28
个联邦政府部门组成
[13]
,主要任务是为美国“受控非
摇第12期摇摇摇摇摇摇摇摇摇摇摇孙宝云,等:特朗普政府“受控非密冶信息管理的新变化及启示
·71·
密冶信息管理提供政策及实施细则建议,并就项目执
行过程中出现的投诉及争议问题提出解决意见。而
成员只有
“受控非密
12
冶信息注册登记委员会成立于
个
[14]
,包括国土安全部、中情局
2019
、
年
国防部
5月,
等直接涉及“受控非密冶信息项目的联邦政府部门。
主要职责是就注册登记的类别、子类别的确立、修改、
取消以及传播控制政策等向执行机构提出意见建议。
4摇高度重视
该项目在保密工作中的地位
“受控非密冶信息管理工作,不断提升
摇
(
非密
program
摇美国的保密工作按照业务性质被划分为若干项目
冶信息管理项目
),包括定密管理项目
、工业信息安全项目
、解密管理项目
,等等
、“
,
受控
无论
是人员分工还是年度报告,均按照所属项目排列。从
信息安全监督局年度报告各项目的排序看,在奥巴马
政府时期,定密管理项目总是放在首位,表明定密管理
是该局的核心工作,“受控非密冶信息项目则排在最后
一个。在给总统的公开信中,也只强调加强定密管理
对维护国家安全的重要性,基本不会提及“受控非密冶
信息管理。但是自特朗普政府上台以来,泄密事件大
幅增加,仅2017年1月至8月间,司法部调查的泄密
案件数量就比上届政府末期多两倍。为遏制不断发生
的政府内部人士向媒体“泄密冶事件,联邦政府下令所
有行政部门开展“保密教育冶,但是个别部门甚至连保
密教育的课程也被“泄密冶。据美联社报道,环境保护
署的保密教育课程要求工作人员加强“受控非密冶信
息保护,强调这些信息未经授权不得发布,理由是“一
些敌对国家正‘全力搜集情报爷,危害美国利益冶
[15]
在这样的形势下,美国信息安全监督局日趋重视“受
。
控非密冶信息项目管理工作,具体表现在以下四个方
面:
一是在给总统的报告中将“受控非密冶信息项目
提升至第一部分,并在公开信中强调定密管理与“受
控非密冶信息管理的同等重要性。从近两年报告中各
项目的排序看,‘受控非密爷信息项目已跃升为第一个
位置。在给总统的公开信中,信息安全监督局也前所
未有地强调加强“受控非密冶信息项目的重要性,如
2019
‘
信息技术进步正带来严峻挑战
受控非密
年给总统的公开信以
爷信息管理持续面临严峻挑战
“定密国家安全信息保护与
,如何平衡定密信息与
冶开篇,强调
“
急
受控非密
[6]
冶信息的共享与安全保护已成为当务
将“受控非密
。这是美国信息安全监督局给总统的报告中首次
之
冶信息项目与定密项目并列,突出强调加
强两个项目的管理都很重要。2020年的公开信中,信
息安全监督局局长重复了上一年对形势的判断,再次
强调“政府保护和共享定密国家安全信息和‘受控非
密爷信息的能力依然存在不足,继续对美国国家安全
构成严峻挑战冶
[7]
二是加强与相关政府部门合作
。
,不断完善“受控
非密冶信息管理。2018年,信息安全监督局与预算管
理局合作,为联邦政府各部门的“受控非密冶信息管理
预算提供全方位指导,修改后的预算指南可以支持雇
佣项目执行人员、研发自动加注标志工具的技术人员、
以及编写内部政策的工作人员等。同时,成立了一个
跨部门工作组,研发“受控非密冶信息类别的元数据标
记标准,以便捷此类信息在各部门间的流转。2019
年,信息安全监督局与总务管理局、国家航空航天局、
国防部和国土安全部合作,继续推进将“受控非密冶信
息管理项目纳入联邦采购条例(FAR)计划。这项计
划已经持续推进多年,信息安全监督局希望2020年
12
个部门就可以按照统一标准要求各种机构组织规范化
月底前能够实现这一目标,一旦成功,联邦政府各
保护“受控非密冶信息安全。
三是积极扩大“受控非密冶信息管理的范围。
2011
全、负责任共享以及保护定密信息的结构性改革
年10月7日,奥巴马总统签发《提高涉密网络安
》行
政命令,但该行政命令的适用范围仅限于涉密国家安
全信息。在2019年的报告中,信息安全监督局提出应
该将该命令的适用范围扩大到“受控非密冶信息项目。
因为一些“受控非密冶信息类别,如专有商业信息、出
口控制信息、信息系统漏洞信息,均包含敏感的未定密
数据,如果这些数据遭到破坏,可能会对政府运行与资
产造成重大不利影响
[7]
信息不足以解决美国政府面临的内部威胁问题
。因此,如果仅仅局限于定密
,保护
“
样至关重要
受控非密冶
。
信息不受内部威胁对美国的国家利益同
事实上,一些联邦政府部门已感知到这
些威胁,像联邦调查局、国土安全部、国防部等部门均
主动扩大其内部威胁项目,自觉覆盖了“受控非密冶信
息项目,部分私人性质的联邦承包商也在效仿。但是,
由于缺乏额外的资金支持,且没有政府层面的统一政
策要求,有一些部门仍拒绝将“受控非密冶信息纳入其
内部威胁计划。因此,信息安全监督局决心今后积极
推进这项工作,目前正在与预算管理局及国家情报总
监办公室的“国家内部威胁任务冶工作组合作,研究如
何扩展“国家内部威胁计划冶,使其能够覆盖“受控非
密冶信息项目。
四是加强对“受控非密冶信息管理的资金保障。
奥巴马政府执政期间,由于预算管理局没有要求各部
门申报“受控非密冶信息项目的专门预算,导致各部门
相应的管理人员匮乏,影响了项目的全面实施。信息
安全监督局2017年给总统的报告就突出强调了设置
专门预算的重要性,指出联邦政府很多部门都已通过
摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇情摇报摇杂摇志摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇摇第39卷
·7
摇
2·
正式渠道或非正式渠道表达了对专项预算缺失的高度
关切,此后资金保障问题得到圆满解决。笔者查阅了
美国预算管理局2018年、2019年的预算文本,可以看
到独立的“受控非密冶信息管理专项预算,内容覆盖雇
佣专门人员或外包业务、研制执行政策、落实添加标志
的要求、建立应急机制、保障此类信息处理、流转的环
境安全
[16]
等,美国“受控非密冶信息的资金保障问题已
得到解决。
5摇启摇示
美国“受控非密冶信息的范围十分广泛,目前的20
个类别中有3个(专利、采购与收购、专有商业信息)
与我国的商业秘密相近,有1个类别“隐私冶与我国的
个人信息类似,剩余的16个类别则与国内的工作秘
密、内部信息相近,为了研究方便,本文以“敏感信息冶
统一描述上述四类信息。党的十九大以来,我国全面
加强了“敏感信息冶管理,取得了显著成绩,但是面对
当前国际社会保护主义、单边主义上升的新形势,我国
对“敏感信息冶的管理依然存在法规标准体系不完善、
重点领域的“敏感信息冶管理存在短板,“敏感信息冶管
理的保障体系不健全等问题。只有直面这些问题,才
能切实提高我国“敏感信息冶管理水平,维护国家安全
与公共利益的。具体建议如下:
第一,进一步完善“敏感信息冶管理的法规、政策
和标准体系,这是规范“敏感信息冶管理的前提与基
础。与美国的“受控非密冶信息一样,我国的“敏感信
息冶同样具有两个本质属性,一是“敏感信息冶属于不
公开信息,因此需要控制知悉范围并全面加强保存、流
转、销毁等环节的安全防护。二是“敏感信息冶不是国
家秘密,因此不能按照保护国家秘密的方式进行管理,
需要建立一套符合“敏感信息冶本质特征的政策标准
体系。当前,美国“受控非密冶信息管理有1个专门的
总统令及其实施条例,有34个公告、通知、指南、手册,
还有6项标准,已基本建立了专项管理的法律法规及
政策标准体系。相比之下,当前我国的“敏感信息冶管
理法律法规政策标准体系尚待建立健全,虽然部分类
别的“敏感信息冶管理相关法律已制定发布,如将于
2021
通过专章对
年1月
“
1
隐私权和个人信息保护
日起施行的《中华人民共和国民法典
冶做出明确规定
》,
;
修订后的《中华人民共和国公务员法》于2019年6月
和工作秘密的义务
1日起施行,明确规定公务员应当履行保守国家秘密
,不得泄露国家秘密或者工作秘密。
但是,与法律配套的实施细则、办法、指导意见以及标
准等尚存在空白,目前可以查到的关于“敏感信息冶微
观管理的文件只有国家保密局2019年发布的《工作秘
密管理暂行办法》。而从美国的管理经验看,管理办
法要发挥实效,还需要与管理程序、管理标准、标志加
注、解除管控等一系列具体管理制度衔接,例如美国
《
项说明
受控非密信息标志
“受控非密冶信息标志的加注方法与含义
》手册共41页,以图示的方式逐
[17]
国《受控非密信息入门培训建议》共10页,列举了培
;美
训课程应包含的具体内容及测试方式
[18]
销毁纸版的受控非密信息》共3页,提供单一模式和复
;美国《如何
合模式的销毁方法,如建议使用横切碎纸机,保证粉碎
后的颗粒小于1毫米伊5毫米(0.04英寸伊0.2英
寸)
[19]
息冶管理法规标准
,等等。因此
,为规范
,今后我国应进一步完善
“敏感信息冶管理奠定坚实
“敏感信
基础。
第二,以数据安全管理为抓手,建立重要数据安全
保护的政策体系,实现“敏感信息冶管理制度的新突
破。当前,数据安全问题已成为事关国家安全与经济
社会发展的重大问题,也是“敏感信息冶管理的重要领
域。主要原因是随着信息技术的快速发展,人类生产
生活的很多细节被各种各样的智能产品记录下来,各
类数据迅猛增长、海量聚集,并对经济发展、社会治理、
人民生活都产生了重大而深刻的影响。近年来,我国
高度重视数据安全问题,2020年7月,全国人大发布
明确数据
《中华人民共和国数据安全法
“是指任何以电子或者非电子形式对信息的
(草案)》征求意见稿,
记录冶,规定“开展数据活动,必须遵守法律、行政法
规,尊重社会公德和伦理,遵守商业道德,诚实守信,履
行数据安全保护义务,承担社会责任,不得危害国家安
全、公共利益,不得损害公民、组织的合法权益。冶显
然,重要数据的安全保护属于“敏感信息冶管理范畴,
而加强对这类信息的管理,不仅需要有法律作为依据,
还需要制定完善的政策与制度作为支撑。如美国为了
落实《受控非密信息》13556号总统令,执行机构制定
了专门的管理政策及管理制度,内容覆盖执行机构的
职责、注册登记制度、类别与子类别的设立、安全防护、
获取与传播、加注标志、教育培训、解除控制、争议解
决、防止滥权等
[20]
的政策制度建设,以重要数据保护为核心
。因此,今后我国应加快数据保护
,尽快明确重
要数据的范围,建立数据分级分类保护系统,制定数据
安全保护具体措施等,通过完善数据安全管理制度,实
现“敏感信息冶管理的新突破。
第三,健全“敏感信息冶管理的保障体系,尽快解
决机构人员资金等基础保障问题,这是强化“敏感信
息冶管理的关键。美国“受控非密冶信息管理有专门的
执行机构和专门人员,执行机构是美国档案与文件管
理局,下设办公室,办公室主任由信息安全监督局局长
兼任,同时由一位副局长负责“受控非密冶信息管理工
作,有3名专职工作人员。此外,还有一个咨询委员会
摇第12期摇摇摇摇摇摇摇摇摇摇摇孙宝云,等:特朗普政府“受控非密冶信息管理的新变化及启示
·73·
和一个注册登记委员会协助工作,确保该项目的利益
相关方可以直接参与政策制定,这样的机制设计有利
于实现广泛动员,通过群策群力推进项目管理。此外,
美国“受控非密冶信息管理有专项资金保障,在奥巴马
政府时期就设立了专项启动资金
[21]
密冶信息规范管理的新时代。进入特朗普政府时期
,开启了“受控非
,
美国“受控非密冶信息管理预算纳入联邦政府预算系
统,资金保障问题得到彻底解决。但国内“敏感信息冶
管理的机构人员和资金等基础保障问题尚待解决,以
工作秘密保护为例,虽然《工作秘密管理暂行办法》已
生效半年余,但是并没有清晰的管理制度设计,也没有
配备专门管理人员及专项资金,因此,各地依然处于学
习政策文件的阶段。建议参照美国的做法,在国家保
密局设立“敏感信息冶管理司,配备专门人员和专项资
金,尽快建立各项制度,保障“敏感信息冶管理政策得
到有效落实。
总之,美国的经验启示我们,在当前复杂的国际环
境下,加强“敏感信息冶管理非常重要,对落实总体国
家安全观、建设网络强国都有十分重要的意义。同时,
规范“敏感信息冶管理也是一项十分艰巨的任务,不可
能一蹴而就,既需要不断完善法规标准,也需要健全政
策制度,还需要建立保障体系。只有这样,才能建立中
国特色的“敏感信息冶管理制度,实现管理过程的科学
化、规范化。
参考文献
[1]摇PART
OL].[
2002
2020
-
-
Controlled
05-20].
Unclassified
www.
Information
govinfo.
(
gov
CUI
/content
)[EB/
/
pkg/CFR-2018-title32-vol6/pdf/CFR-2018-title32-vol6-
.
[2]摇Controlled
www.
Unclassified
federalre
Information
[EB
/documents
/OL].[2020-05-28]
/2010/11/09
.
/
[3]摇
2010-28360/controlled-unclassified-information.
OL
Implementation
].[2020-06
Recommendations
-06].www.
forthe
archives.
CUIProgram
gov/files
[
/
EB
cui
/
/
documents/2017-cui-notice-2017-01-implementation-recom鄄
[4]摇CUI
inNon
Notice
-Federal
2020-04:
Information
Assessing
Systems
Security
[EB
Requirements
/OL].[2020
for
-06
CUI
-
06
20200616-
].https
ments-in-non
cui
:/
-
-
/
fed
notice
www.
-info
-2020
archives.
-systems.
-04-
gov
pdf.
assessing
/files/
-security
cui/documents
-require鄄
/
[5]摇NIST
trolled
Special
Unclassified
Publication
Information
800-171
inNonfederal
Revision2Protecting
Systemsand
:Con鄄
Or鄄
ganizations[EB/OL].[2020-06-12]..
gov/nistpubs/SpecialPublications/.
[6]摇ISOO2018ReporttothePresident[EB/OL].[2020-06-18].
/files/isoo/images/2018-isoo-an鄄
.
[7]摇ISOO
https:
2019
//www.
Report
archives.
tothe
gov
Resident
/files/
[
isoo
EB
/
/
reports
OL].[2020
/2019
-06
-isoo
-18]
-an鄄
.
.
[8]摇ISOO
https:
2014
//www.
Report
archives.
tothe
gov
Resident
/files
[
/
EB
isoo
/OL
/reports
].[2020
/2014
-06
-annual
-22].
-
.
[9]摇ISOO
https:
2017
//www.
Report
archives.
tothe
gov
president
/files
[
/
EB
isoo
/
/
OL
reports
].[2020
/2017
-06
-annual
-25].
-
.
[10]孙宝云
作,2017(6):48-50
.美国“受控非密信息
.
冶注册登记制度透视[J].保密工
[11]
[2020-07-06]
CUICategories
.
:
https
Natural
://www.
andCultural
archives.
Resources
gov/cui/registry
[EB/OL
/cate鄄
].
gory-list.
[12]CUI
06].
Categories
www.
:Critical
archives.
Infrastructure
gov/cui
[
/
EB
registry
/OL]
/
.
category
[2020
-
-
list.
07-
[13]Charter
soryCouncil
forthe
[EB
Controlled
/OL].
Unclassified
[2020-07-
Information
08].https
(
:
CUI
//www.
)Advi鄄
ar鄄
/files/cui/registry/policy-guidance/registry-docu鄄
ments/.
[14]
Committee
Charterfor
[EB
the
/OL
Controlled
].[2020
Unclassified
-07-09]
Information
.www.
Registry
ar鄄
/files/cui/registry/policy-guidance/registry-docu鄄
ments/.
[15]“
(2017
保密教育
-09
冶
-
内容反遭泄密
24).http
特朗普政府颇为挠头[EB/OL].
[16]Circular
09/24/c_129711066
theBudget
No.
,Office
A-11
.htm.
:///world/2017-
of
Preparation
Management
,Submission
andBudget
,and
(OMB
Execution
)Circular
of
No.A-11[EB/OL].[2020-07-16].鄄
/wp-content/uploads/2018/06/.
[17]Marking
07-18
CUI
].https
Rev
:
1
/
.
/
1
www.
(Marking
archives.
Handbook
gov/
)[
files
EB
/cui
/OL
/documents
].[2020-
.
/
[18]CUI
fied
Notice
Information
2018-02:
(CUI
Recommendations
)BasicTraining[
for
EB
Controlled
/OL].[2020
Unclassi鄄
-07-
19
cui
]
-
.
notice
https
-2018-02-
://es.
basic-training
gov/files
-recommendations.
/cui/documents
pdf.
/2018-
[19]CUI
mation
Notice
(CUI
2019-03:
)inpaper
Destroying
form[EB
Controlled
/OL].[2020
Unclassified
-07-06]
Infor鄄
.ht鄄
tps:///files/cui/documents/20190715-cui-
.
[20]32
OL
CFR
].[2020
Part2002
-07-
"
06
Controlled
].https:
Unclassified
//o.
Information"
gov/content
[EB/
/
pkg/CFR-2018-title32-vol6/pdf/CFR-2018-title32-vol6-
.
[21]孙宝云
报杂志
.
,2015,34(4):150-154
论美国“敏感信息冶管理过程的公开化及启示
.
[J].情
(责编/校对:王平军)
版权声明:本文标题:特朗普政府“受控非密”信息管理的新变化及启示 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1711945886a335424.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论