论美国“敏感信息”管理过程的公开化及启示

论美国“敏感信息”管理过程的公开化及启示

时间:2017-07-03 管理论文

作者:孙宝云

情报杂志 2015年07期

十八届四中全会提出全面推进政务信息公开,在《中共中央关于全面推进依法治国若干重大问题的决定》中首次明确“坚持以公开为常态、不公开为例外原则”。要求“推进决策公开、执行公开、管理公开、服务公开、结果公开。各级政府及其工作部门依据权力清单,向社会全面公开政府职能、法律依据、实施主体、职责权限、管理流程、监督方式等事项”。该决定所确立的原则不仅对政务信息公开有十分重要的历史意义,对不公开信息的规范管理也将产生深远影响。在政务信息公开制度比较成熟的美国,即使是不公开信息,例如“敏感信息”,也需要公开权力清单和管理的具体流程,基本实现了管理过程的公开化,有效遏制了权力滥用,有很多成熟的经验值得国内借鉴。

1 “敏感信息”的涵义及特点

公开信息的对立面不是国家秘密,而是不公开信息。在美国,除个人隐私和商业秘密外,政府部门的不公开信息主要包括国家秘密、“敏感信息”和纯粹的单位内部信息,其中“敏感信息”与国家秘密最容易混淆。因为“敏感信息”是介于保密信息与公开信息之间的特殊信息,这类信息不符合定密标准,不能按照国家秘密的形式进行保护,但是如果公开,却有可能造成某种损害或潜在损害,因此需要限制公开或控制其传播。美国把这类信息称为“受控非密信息”(简称CUI),也就是国内所说的“敏感信息”,本文为方便比较研究,统称为“敏感信息”。

“敏感信息”有以下三个特点:一是传播控制性。相比于国家秘密的不能泄露,“敏感信息”更突出公开传播后可能带来的危害,也更强调对信息传播的严格控制。例如,“9.11事件”发生后,在媒体的严厉批评下,美国安全部门将“如何把危险细菌变成致命武器”列入“敏感信息”,禁止传播。到2013年,随着反恐形势的日益严峻,如何利用高压锅制造炸弹也需要限制传播,因为波士顿爆炸案的装置是一种改造过的高压锅,而基地组织曾在网上发布如何制造高压锅炸弹的手册。为此,爆炸案发生数月后,纽约还发生了这样的离奇故事:6人反恐小组突然搜查了一户人家,原因竟然只是这对夫妇分别在网上检索了高压锅、双肩包的信息;而他们的儿子则在网上关注了波士顿爆炸。当然,事后证明这只是虚惊一场。

二是不易辨别性,“敏感信息”不是国家秘密,但却不能公开,而判断其危害性的标准也只是可能造成的损害或潜在损害。这意味着,在实质性危害未发生前,甄别某信息是否属于“敏感信息”是一项非常专业的技术工作,需要严密的机制设计和严格的约束条件作保障,否则几乎必然出现对信息传播的过度控制。为此,美国专门颁布了“敏感信息”管理总统令,精确定义其是“根据法律、法规和政府范围内的政策,需要进行保护和控制传播的信息,但‘敏感信息’不得包括13526号总统令规定的涉密信息,也不包括《原子能法》及其修正案所涉及的信息”。这里所说的13526号总统令是美国保密管理法规,详细规定了在美国何种信息、在什么情况下、可以由谁定义为国家秘密。此外,13556号总统令还确立了“重大怀疑从无”原则,即如果对信息是否应该被确定为“敏感信息”有重大怀疑时,则该信息就不应该被指定为“敏感信息”。确立该原则意义重大,不仅解除了一线工作者的后顾之忧,还能有效遏制“敏感信息”管理权的滥用。

三是难以规范性。既非公开信息,又不易辨别,必然导致“敏感信息”的规范管理难度极大。美国就曾经历长达10年的混乱时期,发布13556号总统令的宗旨就是要“确立公开、统一的‘敏感信息’管理模式”。为了规范“敏感信息”管理,执行机构制定了一系列管理制度和严格的约束机制,并特别规定了“禁止条款”,明确“敏感信息”的确定不得用于掩盖错误、违法行为或尴尬事件的曝光;不能干预竞争;不得阻止或延迟不需要保护信息的公开等。上述规定既属于“敏感信息”确定的禁区,也是社会各界质疑“敏感信息”确定是否适当的依据之一。

2 美国“敏感信息”管理的权力清单公开

2.1 管理的政策法规上网 美国的“敏感信息”依法管理。有专门的法规、实施办法、指南和公告等,所有这些政策文件均发布至官网。即使是内容不能公开的文件,也可以在官网查到文件的名称。例如,美国“敏感信息”的管理法规发布于2010年11月4日,全称是《受控非密信息》13556总统令,属于公开信息,官网中可以下载全文;但该总统令的实施办法是不公开的,在官网中只能查到名称是“32 CFR 2002 CUI***”,发布时间也以xxx代替。目前,执行机构已发布7个指南及公告,其中有6个是公开的,可以免费下载;一个是不公开的,为“敏感信息”标识办法,发布时间也以xxx代替。

2.2 管理的主体公开 美国档案与文件管理局是总统令的执行机构(EA),监督联邦政府各个部门落实“敏感信息”管理法规。执行机构下设“敏感信息”管理办公室,办公室主任由美国信息安全监督局局长兼任。该办公室是一个相对独立的机构,共有8人,人员姓名及联系方式均可在网站查询,且包括主任在内的每位成员的邮箱均内置链接,在网页点击其名字即可直接进入邮件模式。虽然主任、副主任均为兼职,但是副主任由信息安全监督局排名第三位的副局长兼任,而这位副局长在局里专门负责“敏感信息”管理工作。也就是说,包括这位副主任在内的7人其实是美国“敏感信息”管理的专职人员。

2.3 管理权力及职责公开 美国“敏感信息”管理分为执行机构、行政部门、管理咨询委员会三个层面。在13556号总统令及相关文件中,分别对上述三个层面的权力职及职责做出了明确规定。其中执行机构的权力主要包括:审批类别和子类别;建立“敏感信息”登记系统;制定执行条例、指南;协调、解决政策落实中的各种问题等。行政部门的职责包括:审查并确定本部门的敏感信息;提供具体的法律、法规依据;指定本部门的“敏感信息”管理人员等。“敏感信息”管理咨询委员会的主要职责是:为“敏感信息”执行机构的政策制定以及实施提供建议。但是委员会仅有建议权,执行机构拥有最终的政策、指南制定权。

2.4 确定“敏感信息”的具体法律依据公开 从行政法治主义的角度,依法行政意味着行政活动必须遵守法律,“相应地,如果行政活动是依照法律而进行的,它就具有了合法律性”。也就是说,法治社会的任何行政行为都应该有明确的法律授权,且可以完全公开以接受各界监督。正是基于上述逻辑,执行机构公布了确定美国“敏感信息”管理的全部法律依据,“总计涉及314个特别规定和105个处罚规定,覆盖美国法典、联邦政府法规和政府范围内的政策”。这些授权依据在登记表中使用相应的代号标识,所有的代号均包含内置链接,可以直接打开法律、法规或政策的具体条款。从总体情况看,22个类别及其85个子类别所依据的法律授权数量差异很大,最少的只有1个,如“外国政府信息”(10USC130c)(见图1)。点击10USC130c可以直接下载一个2页的PDF文档,具体介绍130c款“关于外国政府信息不得公开的规定”。多数类别都有数个授权依据,比较典型的如“统计”类别,授权依据有6个,惩治规定有4个,合计有10个法律、法规授权将此信息确定为“敏感信息”(见图2)。授权依据最多的是“专有商业信息”类别,相关法律、法规多达48个,惩处的规定也多达24个,总计有72个法律法规条款保护该项信息。同样,每个条款也都能直接打开。

图1 “外国政府信息”登记表

图2 “统计”的法律授权依据

来源:http://www.archives.gov/cui/registry/category-detail/foreign-govt-info.html;http://www.archives.gov/cui/registry/category-detail/statistical.html

3 美国“敏感信息”管理的流程公开

3.1 “敏感信息”的确定程序公开 13556号总统令规定,“敏感信息”由具体行政部门依法提出,提交执行机构批准,最后进行注册登记并在网站发布。截止到2013年9月底,执行机构已审查47个政府部门和机构提交的“敏感信息”类别及子类别2200多个。作为执行机构的档案与文件管理局,成立了专门小组审查各部门提交的资料,去掉不必要的类别,合并类似的类别,在与相关政府部门协商基础上,专家小组确定了美国“敏感信息”的管理框架。目前总计有22个类别、85个子类别,共107张登记表,所有登记表的详细信息均可在官网查询。

3.2 “敏感信息”的类别及子类别名称公开 目前,美国注册登记的22个类别分别是:农业、版权、关键基础设施、紧急状态管理、出口控制、金融、外国政府信息、地理测绘产品信息、移民、信息系统漏洞信息、情报、执法、立法、北大西洋公约组织、核、专利、隐私、所有权、安全法案信息、统计、税收、运输。所有上述类别及子类别均需填写统一格式的登记表。在“敏感信息”登记的总表中,左列填写的是类别名称。如果有子类别,还要在下方填写子类别的名称,右列是类别的描述。根据13556号总统令的规定,子类别只有在确实需要的情况下才设立。因此,有7个类别没有子类别,分别是农业、版权、紧急状态管理、外国政府信息、地理测绘产品信息、信息系统漏洞信息、安全法案信息。但无论有无子类别,在总表中点击名称,均可打开该信息的登记表。登记表的格式是完全统一的,包括名称、描述、标识、缩略标志、标记及处理说明六个部分。以统计的子类别“人口普查”为例,点击后打开的表格见下表。其中,具体标识及缩略语用占位符代替,表示属于不公开信息。

表1 美国“敏感信息”登记表——“统计”子类别人口普查

(来源:http://www.archives.gov/cui/registry/category-detail/statistical-census.html)

3.3 “敏感信息”的保护、标识及解除规定公开 2011年6月9日,执行机构发布了13556号总统令的执行指南,对“敏感信息”的保护、标识及解除等做出了统一规定。首先,要求各机构对“敏感信息”采取保护措施,规定“敏感信息”未经授权不得访问。各机构要向执行部门提交“遵从计划”及年度报告,开展自我检查,并控制“敏感信息”存储、加工、传输中的风险等。2012年,执行机构收到了50多个行政部门的遵从计划,并对这些计划进行了评估,从而制定“敏感信息”管理的阶段性目标。其次,“敏感信息”必须添加标识,以方便信息的分享和保护。标识分“整体标识”和“部分标识”两种,仅用于获得授权的非密信息。按照官方的说法,设置“部分标识”的意义是“鼓励信息的方便共享以及合理使用控制措施”。最后,“敏感信息”应该适时解除。执行部门在指南中指出,“没有任何‘敏感信息’应该永远被管控,除非法律、法规或政府范围的政策如此规定”。指南同时要求所有“敏感信息”都必须在登记表中写清“解除管控”的时间范围或具体事件,并在规定节点撤销保护措施。这里有两点需要说明,一是“解除管控”不等于公开,解禁的信息需要经过法定的特别程序才能公开,但“敏感信息”的解除要发生在信息公开之前。二是除特殊情况外,解除管控的信息无需再采取任何保护措施,而且要去掉保护标识,纸版的信息可以在标识上画横线,电子版的信息可以直接去掉标识。

4 对国内的启示

2013年底,全国保密普查工作结束。普查内容涉及9大项、12类、366个保密普查要素指标,全面摸清了我国保密工作的基础数据。这是新中国成立以来我国开展的首次全国范围内的保密普查,历时3年,意义十分重大。虽然最后的统计数据并未公开,但是可以预见全国的定密总量必定十分庞大,因为早在2009年全国人大的立法调研中就发现,“定密随意,解密不及时,国家秘密范围过宽,是多年来国家秘密确定体制的症结。据介绍,美国每年产生秘密文件10万件,我国则多达数百万件”。其实,就行政管理的一般规律而言,任何国家的国家秘密数量都应该很少,例如美国2013年产生的原始国家秘密数量是58 794件,其中绝密级2 732件、机密级39 384件、秘密级16 678件。为什么我国有数十倍于美国的国家秘密?原因之一就是,大量的“敏感信息”变身国家秘密滥竽充数,导致国家秘密总量的失控,定密规范管理也因此沦为空谈。这一点从近几年报纸的热点标题就能看出来:如2009年的《上海财政局称预算属国家秘密不能公开》(人民日报,2009-10-26);2010年的《地方财政透明度年考:项目越细越不公开》(21世纪经济报道,2010-03-10);2011年的《清华女生为写论文求三部委公开副部长分工遭拒后起诉》(新京报,2011-09-15);2012年的《人均办公经费多少?央行说这是国家秘密》(法制日报,2012-11-02);2013年的《律师申请公开全国土壤污染数据信息环保部以国家秘密为由不予公开》(法制日报,2013-02-25);2014年的《53家部门拒绝公开人事编制信息20年前将其定为国家秘密专家呼吁尽快修改》(法制日报,2014-02-25);2015年的《公务员涨工资方案应该公开了》(经济观察网,205-02-12)等。

按照国家秘密的法定内涵和确定标准,上述报道中的相关部门无疑全部涉嫌乱定密。可是,现实中的问题是,上述信息中既有“敏感信息”,也有内部信息,而我国却没有独立的相关信息管理制度,行政部门只好拿国家秘密做“挡箭牌”。长此以往,所造成的恶劣影响着实不能小觑。“敏感信息”不是国家秘密,所以当其以国家秘密的名义进行保护时,必然涉及滥用定密权限问题。而在缺乏基本制度规范的背景下,一些政府部门也会将大量“不想公开的信息”冒充“敏感信息”,进而变身成“国家秘密”,导致大量原本应该公开的信息被人为屏蔽,结果“在信息公开上,国家秘密这几个字‘一夫当关,万夫莫开’”。不仅会招致舆论的激烈批评,使政府部门形象受损,而且会严重影响保密管理的权威性。以2013年“土壤污染数据”公开为例,在得到“该信息属于国家秘密,环境保护部不予公开”的答复后,舆论哗然,批评的声音铺天盖地,当事律师则很快提出行政复议。在巨大的舆论压力下,当年5月7日环保部公布行政复议结果,承认“全国土壤污染状况调查数据应当向社会公开,待核定数据后向社会公布”。然后开始了漫长的等待,直到2014年4月17日,环保部和国土资源部才联合发布全国土壤污染状况调查公报,这则饱受争议的信息正式得以公开。从2013年2月24日环保部拒绝公开的消息传出,到信息的最后公布,媒体对环保部“乱定密”的狂轰滥炸长达14个月,不仅严重影响了环保部门的形象,也削弱了保密管理自身的权威性,从一个侧面折射出我国建立“敏感信息”管理制度的紧迫性。

因此,美国经验的第一个启示是,尽快建立独立的“敏感信息”管理部门。在美国,“敏感信息”与国家秘密一样,都由档案与文件管理局主管,美国信息安全监督局具体负责。我国也可以建立类似的管理机制,在国家保密局下设立“敏感信息”管理司;指定专门的副局长兼任该司司长并主管日常工作;制定“敏感信息”管理的法规政策;设计严密的管理制度;规范管理流程;建设独立的官网,实现“敏感信息”管理过程的公开化。

美国经验的第二个启示是,不公开信息的管理部门无需神秘化。即使是国家保密管理部门,也可以通过建立公开的官网,实现政务管理的信息化。美国“敏感信息”管理网站的页面设计十分简洁(http://www.archives.gov/cui/),只有三个板块:第一个板块是检索服务,位居正中,可以查询登记在册的所有“敏感信息”类别和子类别,下方通过内置链接列出登记类别、法规政策和依字母顺序的查询功能;第二个板块是培训,打开后可以进入在线培训平台;第三个板块是监督,打开后可以看到执行机构发布的2011、2012、2013年度报告。通过三个板块的详细介绍,美国“敏感信息”管理过程基本实现了透明化。2012财年,有14835位网民访问“敏感信息”网站20712次,访问人数和访问次数相比2011年分别增长了41.3%和34.8%。在这方面,国内还有很长的路要走,不妨先从国家保密局官网建设开始。目前,国家保密局网站测试版已经在人民网下运行,页面设计非常精致,功能菜单包含机构设置、政策法规、权威发布等八项内容。遗憾的是,包括机构设置在内的多个菜单要么不能打开,要么打开后没有多少内容,无法发挥实质作用。我国是个网络大国,截至2014年12月,网民规模已达到6.49亿。政务信息上网可以说是大势所趋,是未来党务、政务管理改革必须直面的问题。习近平总书记指出,“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”,表明党中央已经把党务、政务管理的信息化放在了与网络安全同等重要的位置。而一些省级保密局网站已运行多年,发布了大量有价值的信息,也积累了很多有益的经验,像上海市国家保密局的官网,不仅公开了内部机构及职能分工,还公布了区县局的联系方式。这些都证明,国家保密局建立官网是完全可行的,而独立官网的存在,无疑可以加快保密管理部门的去神秘化,这是保密管理公开化的前提和基础。

美国经验的第三个启示是,管理过程公开化是遏制滥权、提高管理者权威的最有效途径。只有让权力在阳光下运行,才能遏制管理权限的滥用,保障公民的知情权、监督权的落地。还以前面提到的“全国土壤污染数据”为例,即使我们建立了“敏感信息”管理制度,并将这个数据确定为“敏感信息”,同样会引发这样的质疑:谁、根据什么标准才可以将这类信息确定为“敏感信息”?因为现在该数据已经公开,并没有引起曾经担心的所谓社会恐慌,也未见到哪些利益因这组数据公开而受到损害。而这种质疑是所有“敏感信息”在确定过程中都可能遇到的。因此,确立公开、合法、统一的标准是树立“敏感信息”管理者权威的唯一出路。这也是美国的执行机构建立网站,并公开登记类别及子类别的根本原因。可以说,公开化是美国“敏感信息”管理的最重要法宝:不仅美国到底有哪些“敏感信息”是公开的;这些信息被确定为“敏感信息”的原因是公开的;管理的所有政策、法规、指南、备忘录是公开的;而且,如果这些信息被非法泄露,可能受到的惩处也是公开的;连执行机构给总统的报告和管控解除的具体要求都是公开的。正是在管理过程的完全公开中,美国的“敏感信息”管理实现了规范化,管理部门的权威也才得以确立起来。

5 结语

所有国家都有“敏感信息”,所有“敏感信息”都属于不公开信息。这意味着,如果没有建立独立的“敏感信息”管理制度,“敏感信息”一定会混淆在国家秘密中,以更高的成本进行保护。不仅涉嫌乱定密,严重损害保密管理的权威性,而且因为国家秘密更长的保密期限而严重影响信息的流动和共享。“敏感信息”是不公开信息,但并不意味着其管理过程不能公开,美国经验启示我们,通过严密的制度设计和严格的依法行政过程,“敏感信息”管理完全可以实现公开化。因此,应尽快将“敏感信息”从国家秘密中分离出来;出台“敏感信息”管理的政策法规;加快建设“敏感信息”管理的官方网站,运用信息化平台推进其管理过程的公开化。只有在规范、公开、透明的管理过程中,我国“敏感信息”管理才能实现法治化,国家秘密的数量才能得到有效缩减,制约我国政府信息公开的瓶颈问题也才能真正得到解决。

作者介绍:孙宝云,北京电子科技学院博士,副教授,研究方向为保密管理,北京 100070

大学网

关键词:

管理论文