刘跃进,刘思偲
(1.国际关系学院 公共管理系,北京 100091;2.普华永道 风险和控制部,北京 100020)
自信息安全在20世纪90年代被纳入国家安全体系之后,国家安全论著中虽然越来越多地论及信息安全,但多数论著局限于当代信息技术领域的数字化电磁载体的信息安全,遗漏了许多对国家安全来说十分重要的信息安全问题,例如纸墨载体的信息安全问题。事实上,国家安全领域的信息安全问题,不仅涉及当代信息技术中的各种信息安全,即各种电磁信息的安全,而且涉及当代信息技术之外的各种信息安全,如传统纸墨信息的安全。这就是说,国家安全研究中的信息安全,远远超出了当代信息技术的范围,是一种全面的总体信息安全。因此,在国家安全领域研究信息安全,必须确立与总体国家安全观相适应的总体信息安全观,既重视当代信息技术领域的非传统信息安全问题,也重视当代信息技术之外的传统信息安全问题,把一个国家的所有信息都纳入国家信息安全之中,构建一个集各种传统信息安全与非传统信息安全为一体的国家总体信息安全体系。在总体国家安全观和总体信息安全观指导下全面保障国家信息安全,必须努力发展总体性信息技术和信息安全技术,全面加强总体性信息安全管理,搞好各方面信息安全队伍建设,建立健全总体性信息安全法律制度体系,加强总体信息安全教育,确立总体信息安全观。
在人类历史上,新型信息技术的不断发明和发展,给信息提供了更多更好的存储和传播条件,也不断改善着信息安全状况。人类信息技术越发展,信息安全状况就越好,人类知识信息也就越丰富,知识水平提高也就越快。
文字出现之前,语言是人们思想信息存储和传播的载体。虽然语言在思想交流时呈即时特征,人类思想信息不能存储于交流中,交流结束后也就消失了,但是被交流的思想信息并不会随交流的结束而完全灭失,它们在交流之前和交流之后都存在于人的大脑中,而且是以语言为直接载体存储于大脑神经细胞这个二级载体上的。没有语言,就没有人类思想信息的形成、存储和交流。但是思想信息和语言载体在大脑神经细胞上的存储是有安全隐患的。人的死亡会使存储于大脑中的思想信息彻底消失。神经细胞的衰退会使思想信息被遗忘,或者使思想信息发生错乱。有时,人们还会因为利益关系而有意无意地错误表达自己的思想信息或别人传达给自己的思想信息。这些都是思想信息不安全的表现。
文字的发明,大大地改善了思想信息的安全状态。一个人的思想信息通过文字被记录下来后,无论是刻在石头上、兽骨上,还是刻在龟壳上、竹片上,它都不会随着大脑细胞的衰退和人的死亡而消失,也更难被随意篡改。但这些文字记录工具的简陋,妨碍着思想信息的存储量。用文字记录在这些原始载体上的思想信息,只能是极小的一部分,大量的思想信息因无法记录下来而消失在人类历史的长河中。文字载体在历史上的不断改进,是人类技术进步的一个重要方面,也是人类思想信息存储不断改善、信息安全不断提升的过程。纸墨的发明和不断改进,以及各方面生产力的不断发展和经济生活水平的不断提高,使人类能够用更多的纸墨记录更多的思想和其他信息,甚至把同样的图文抄录多份保存。后来印刷术的发明,进一步方便了图文信息复本的制作,也通过更多复本进一步保障了图文信息的安全。留存至今的大量手抄或印刷的纸墨图书,就是纸墨书写技术和纸墨印刷技术强化了信息安全的明证据。如果没有纸墨书写技术和纸墨印刷技术的发明和不断改进,不同历史阶段记录在纸墨上的信息难以大量存留至今。
化学胶卷和照相技术、电影技术、录像技术的发明及不断进步,也是信息载体革命的一个重要阶段。人们一度用这种化学物理载体记录下来的,不仅仅是以文字为载体的思想信息,还包括大量历史上的、现实中的、书籍上的、自然界的各种图像信息、影像信息和声音信息。人们还曾把以往的纸墨图书微缩在化学胶卷上,甚至试图把全世界所有纸墨信息都微缩在这种化学信息载体上。以胶卷为代表的化学信息载体的发明和进步,使信息存储量有了一个跨越式飞跃,也通过大量存储及更多更方便的备份,使信息变得更加安全。
电子计算机和互联网技术的出现及其迅速发展,把信息安全推进到了一个崭新的历史阶段。人类发明计算机与互联网的首要目的并不是为了信息存储和信息安全,而是为了提高信息处理速度和传递速度,提升单位时间的信息处理量,但电子计算机和互联网的发展在客观上又进一步提升了人类信息的安全水平。人们开始用化学胶卷微缩数千年来积累在纸墨载体上的图文信息不久,电子计算机技术的发展就使这项工作停滞了下来,因为计算机技术可以通过多种形式更准确、更快速、更便捷地把历史上的纸载图文记录在各种电磁载体上,甚至通过联网存储在不同地方的不同电磁载体上。不仅如此,原来直接录制在胶卷上的图像信息、影像信息、声音信息、文字信息等也迅速被计算机数字化在电磁载体上。更重要的是,电子计算机和信息技术的不断发展,使更多的新信息更加方便、更加安全地存储、复制、传播。大量新信息的不断涌现,造成了人们多年前就已说的“信息爆炸”,这不仅产生了大量无用信息和重复信息,而且也使许多新的知识信息能够更便捷地呈现在大众面前,使已有信息通过简单的复制和远程存储就形成许多副本,从而不再因为个别载体的丢失而丢失。信息存储和复制的简单化、异地化、低成本、使电磁信息的安全得到前所未有的保障。原本不是从信息安全需要出发的电子计算机技术,客观上进一步提升了而且还在不断提升着人类的信息安全水平。
当然,信息的电磁存储也有其先天的脆弱性和新的不安全性。计算机网络和各种存储器材,通过更多信息复本的保留使信息变得更安全的同时,也使信息更容易被他人窃取。秘密信息因此变得更不安全。为了严格保密,人们有时还不得不拒绝使用计算机,拒绝用计算机技术处理和存储各种保密信息,而宁愿把秘密信息和重要信息存储在原始的纸墨载体上。为了应对计算机、网络及各种存储载体的安全脆弱性,信息安全专家在不断探索提高电磁载体信息安全性的方法,发明了许多安全技术。为应对层出不穷的各种信息安全事件,信息安全专家一直在努力发明并不断改进新的安全技术,使各种电磁信息变得比以往更安全了。
对整个人类来说,信息安全与信息技术发展成正比;对于不同国家及其他不同群体来说,信息安全也与信息技术发展成正比。一个国家的信息技术越发达,其信息安全度也就越高,而且在与其他国家的比较中也占有更大的信息安全优势。因此,一个国家要提高本国的信息安全度,使本国信息安全在时间维度上比过去更具优势,在空间维度上比他国更具优势,或者是要保持并强化本国信息安全的比较优势,或者是要改变本国信息安全的比较劣势,都必须把发展信息安全技术放在突出位置,大力发展各种信息技术,特别是包括信息保密技术在内的总体信息安全技术。
从古到今,从前信息技术时代到信息技术迅速发展下的人工智能时代,保密历来是国家信息安全的重要内容。在军事、政治、经济、科技等活动中,为了占据或获得优势,防止优势丢失,包括国家在内的各种社会集团总要千方百计地保护和获得对自己有利的秘密,防止秘密泄露与被窃。为此,人类在军事斗争和政治活动中发明了许多保护信息安全的保密技术,中国古代的“阴符”与“阴书”,西方近代的密码技术以及当代计算机加密技术,还有最新的量子加密技术,体现了保密技术不断发展进步的过程。在这一过程中,哪个国家的保密技术先进,哪个国家就能够获得保密优势,就能在国家安全保障上取得相应的优势。
信息安全度与信息技术发展程度密切相关,也与信息管理水平密切相关。
在相同的信息技术条件下,管理的好坏决定着信息的安全度及信息安全的比较优势。无论在传统纸墨载体时代,还是当前非传统电磁载体时代,好的和先进的信息管理都不仅能使本国获得与其信息技术水平相当的信息安全度,而且还可能使本国获得超越其信息技术水平的信息安全度,甚至获得比信息技术相对先进国家更高的信息安全度。相反,坏的和落后的信息管理,必然会使本国信息安全度低于已有信息技术提供的可能安全度,也必然会削弱本国与他国之间应有的信息安全比较优势,或者进一步拉大本国与他国之间在信息安全上的距离。
随着计算机信息技术运用的范围日益广泛,需要搞好信息安全管理的领域也越来越多。不仅国家需要搞好自己的信息安全管理,企业需要搞好自己的信息安全管理,而且家庭和个人也需要搞好自己的信息安全管理。当今社会,每个人自我管理的手机、电脑和电子邮箱、微博、微信、脸书以及银行、税务、房管、交通、医院、法院等管理的个人文件中,都有大量的个人和家庭信息。这些个人和家庭信息,有的是个人全权管理的,但更多的是相关信息服务部门也有权管理的。一个人如何在这种情况下管理好自己的个人信息和家庭信息,相关机构如何管理好他们掌握的个人信息,是网络信息时代关乎公民个人隐私和个人权利的重大问题。在“以人民安全为宗旨”的总体国家安全观视野下,国民安全是国家安全的核心构成要素,国民个人信息安全也是国家信息安全的构成要素。把个人信息安全放在国家信息安全给予关注和研究,是总体国家安全观下非传统国家安全思维的一个重要特征。为此,2016年11月7日审议通过、2017年6月1日起实施的《中华人民共和国网络安全法》严格规范了个人信息安全保护问题。将于2018年5月1日实施的国家标准《信息安全技术个人信息安全规范》进一步在《网络安全法》等法律框架下,对个人信息的保护提出了具体要求,对企业处理个人信息的活动具有重要规范意义,对侵犯公民个人信息犯罪的认定与适用也将产生重要影响。这些法律法规和国家标准,都是公民管理个人信息安全的重要依据。
在公民做好自己个人信息安全管理,维护个人信息安全的同时,政府及其信息安全管理部门需要充分认识到,保护公民个人信息安全是保护国家信息安全的应有之意,做好公民信息安全管理是做好整个国家信息安全管理的一个重要方面,从根本上重视公民信息安全和公民信息安全管理,不断强化政府和相关部门的公民个人信息安全管理工作,从总体上全面保护我国公民的身份信息、家庭信息、工作劳动信息、社会关系信息、财产金融信息、健康生理信息、生物基因信息等。
在非传统安全思维下把国民个人信息纳入国家信息安全,认清国民个人信息安全也是国家信息安全,努力加强国民个人信息安全管理的同时,还要进一步重视并加强政治、军事、外交、情报、保密、主权、国土等领域的信息安全管理。只有从个人到社会,从企业到政府,从纸墨信息到电子信息,全方位加强信息安全管理,才能不断克服当前信息安全工作中存在的盲区与问题,才能全面提高我国信息安全度。
信息安全既需要技术保障和管理保障,也需要人力保障。信息安全的技术保障和人力保障,都需要通过人力保障来实现。因此,搞好信息安全人力队伍建设,也是保障信息安全必须要做好的一项工作。
在信息安全人力队伍中,研究开发信息安全技术的人才队伍是第一位的。从古到今,各种信息技术及信息安全技术都是人研究开发出来的。从物理化学、天文地理到航空航天、信息网络,都是第一线研发人员在直接推动科技的进步。对于技术密集型的当代信息技术和互联网技术来说,尤其是对于信息安全和网络安全来说,要想走在世界前列,要想缩短与世界先进水平的距离,就必须建立一支高水平的专业研发人才队伍。同样,要研究开发出比过去更先进的信息技术和信息安全技术,要在信息技术研究开发中走在他国前列,或者要保持本国信息技术和信息安全的相对优势,或者要改变本国信息技术的相对劣势,都必须有一支高素质的专业人才队伍。建设一支高素质的信息安全科技人才队伍,是研发先进信息技术和信息安全技术的重要前提。2016年4月19日,习近平在网络安全和信息化工作座谈会上讲话时指出:“网络空间的竞争,归根结底是人才竞争。建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发、活力涌流,是难以成功的。念好了人才经,才能事半功倍。”他还说,“互联网是技术密集型产业,也是技术更新最快的领域之一。我国网信事业发展,必须充分调动企业家、专家学者、科技人员积极性、主动性、创造性”,必须“聚天下英才而用之,为网信事业发展提供有力人才支撑。”
在技术研发人力队伍之外,建立素质过硬的信息安全管理人才队伍也是提供信息安全度的基本要求。长期以来,秘密信息管理一直是国家信息安全管理的重点,保密队伍建设是国家信息安全管理人才队伍建设的重点。2012年,中央保密委员会印发了《关于进一步加强保密机构队伍建设有关事项的通知》,对保密队伍建设提出了一系列具体要求。为此,《保密工作》杂志在当年第8期发表《大力加强新形势下保密机构队伍建设》的评论员文章,指出这一《通知》“是中央加强新形势下保密系统组织建设的重大部署,对于推动保密工作加快发展、跨越发展、科学发展,更好地维护国家安全和利益,具有十分重要的意义。”对全国保密工作负有指导职责的《保密工作》评论员文章认为,党和国家保密事业不断向前发展,要靠健全完备的保密机构体系,要靠富有创新能力的高素质保密人才队伍。加强保密机构队伍建设是应对保密工作新形势新任务新要求的迫切需要,是全面提升保密能力的重大举措,是各级党政领导干部一项重大政治职责。保密机构队伍是开展保密工作的主体,只有不断健全完善保密机构,努力造就一支结构合理、素质优良的保密队伍,才能全面提升新形势下的保密能力。面对新形势新任务新要求,必须切实加强保密机构队伍建设,合理调整机构设置,适当增配工作力量,全方位提高保密干部队伍的整体素质。
任何时候任何情况下,安全制度建设都是保障安全的基本措施。古代国家虽然没有系统的国家安全法律,更谈不到国家安全法治,但依然存在着各种各样的国家安全制度,如军事制度、情报制度、保密制度等。虽然电子计算机诞生之前没有“信息安全”这一概念,互联网出现之前也无“网络安全”的说法,但历史上却存在着其他不同形式的信息安全和网络安全问题,而且这些传统的信息安全和网络安全至今也没有退出历史舞台。人们虽然已经习惯了电子阅读,但纸墨图书绝不会像过去有预测的那样退出历史舞台,纸墨档案依然是更加可靠的档案记录形式,而且历史流传下来的纸墨图书和档案都是非常珍贵的历史信息库,人们还在千方百计来保护这些纸墨信息的安全。历史上的邮驿虽然已经不复存在,但传统邮政网络至今仍然发挥着独特的纸墨信息传递功能,而且近年来由网络购物催生的快递网络同时快速传递着各种纸墨载体,成了新的纸墨信息网络。如果说纸墨图书和档案是传统信息载体,纸墨信息安全也是信息安全,具体来说是传统的信息安全,那么邮政和快递就是传统信息网络,传送纸墨载体的邮寄和快递的安全就是另外一种信息网络安全,即传统的信息网络安全。在传统纸墨信息安全与非传统电磁信息安全并存、传统邮政信息网络安全与非传统电磁信息网络安全同在的今天,建立健全国家信息安全保障制度和网络安全保障制度,绝不能只重视非传统电磁信息和电磁网络的安全保障制度,必须同时重视传统纸墨信息和邮政快递网络的安全保障制度,形成一个全面统筹传统和非传统两方面信息安全和网络安全的国家信息安全保障制度。更重要的是,在法治取代人治、法治国家安全取代人治国家安全的今天,无论是整体的国家安全保障及其制度建设,还是国家安全领域信息和网络的安全保障及其制度建设,都需要立法先行,依法而为,把国家信息网络安全制度建立在坚实的法律和法治的基础上。这就要求先做好国家信息网络安全方面的立法工作,建立包括传统纸墨载体和非传统电磁载体两方面的整体性国家信息网络安全法律体系,并依法建立整体性国家信息网络保障制度体系。
在电子计算机出现之前,世界上一些民主法治体系比较完善的国家,早就有了一些保护公民隐私信息和国家秘密信息的法律条款和专门法律。按照非传统安全观和非传统安全思维,不仅外国人和外国组织侵犯本国公民隐私是对本国国家安全的危害,而且本国公民和组织非法获取他人隐私也会危害国家安全,因而保护公民隐私也就是保护国家安全,保护公民隐私的法律条款和专门法律,也是一种保护国家信息安全的法律规定。世界各国早就存在的关于保守或保护国家秘密的法条和法律,在传统安全观和非传统安全观中都是关于国家信息安全的法条和法律。此外,世界各国保护图书、胶卷、相片、唱片、电话、广播、摄像、电视及其相应网络中公开信息和秘密信息的法条及法律,无论是过去还是现今,也是国家信息安全的法条和法律。中华人民共和国法律体系中与此相关的内容,也都是我国信息安全法律体系的组成部分。如同当代信息技术专业领域并不包括这些传统信息问题及相应的传统信息网络一样,当代信息技术专业视角下的国家信息安全法律制度中也不包括这些传统信息安全及相应的传统信息网络安全。但是,这些传统的信息安全和信息网络安全问题,以及关于这些传统信息和网络安全的法律制度,一直都是国家安全实践中存在的重要问题,因而也是国家安全学理论必须研究的重要问题,而且是只能恰当地放在国家信息安全及其法律制度中进行研究的问题。因此,在国家安全学基础上,以总体国家安全观为指导,建立健全国家信息安全法律体系,必须包括涉及传统信息安全的法律法规。
建立健全国家信息安全法律体系,还必须建立健全以计算机和网络为主体的非传统电磁信息安全法律体系。如果说19世纪后陆续诞生的胶卷、相片、唱片、电话、广播、电影、电视是传统化学载体信息和传统电磁载体信息,相应的电话网、广播网、电视网是传统电磁信息网络,那么电子计算机及围绕电子计算机形成的电磁信息及相应的电磁信息网络就是非传统电磁信息和非传统电磁信息网络,针对这种非传统电磁信息及其网络制定的法律法规则是当前人们通常所说的信息安全法律制度。但严格来说,这并不是信息安全法律法规的全部,只是信息安全法律法规中的一部分,即关于以电子计算机为主体的非传统电磁信息安全的法律法规。美国是以电子计算机为主体的当代信息技术的发源地,也是信息技术应用最早最广泛的国家,美国因此成了最早制定电子计算机信息安全法的国家,《1987年计算机安全法》就是这样一部早期法律。后来,欧洲各国、日本、俄罗斯等国家也陆续建立了自己的信息安全法律体系。我国的电磁信息网络技术起步晚,技术方面与西方发达国家存在明显差距,立法和法治方面最初也存在一定差距,但后来进步较快,成绩突出,已经在非传统电磁信息安全领域形成了比较系统的法律法规体系。全国人大常委会2016年11月7日颁布的《中华人民共和国网络安全法》,是我国电磁信息安全方面最新最重要的立法进展。按照这部法律的定义,这部法律中的网络“是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。”
总之,当前建立健全国家信息安全法律制度,必须统筹传统信息安全与非传统信息安全、公开信息安全与秘密信息安全、政府信息安全与机构信息安全、个人信息安全,这样才能完全覆盖国家信息安全工作,才能真正建立一个总体性国家信息安全法律制度体系,才能全面指导国家信息安全工作。
信息是无形资产。信息安全有时不像领土安全、经济安全、社会安全、个人生命财产安全那样直观。信息安全事件的严重危害在发生之前常常被人忽略,事件发生后也常是冷暖自知,难为外人体会。人们因此对信息安全的重要性认识不足。但事实上,信息安全事件造成的损失和危害,有时要比有形安全事件造成的损失更大、危害更深刻、影响更长远。在信息连网、网络连物、网物一体的物联网时代,信息安全不再只是虚拟世界的安全,也不只是间接关系到现实世界的实物安全,其直接就是现实世界的实物安全。自动驾驶条件下的信息安全就是信息网络控制下的汽车、火车、轮船、飞机、火箭、飞船等实物的安全,是这些实物空间中人的安全。在现实世界全面信息化、网络化的时代,信息网络安全已经成为现实世界安全的关键因素。重视信息安全,研究信息安全,掌握信息安全,确保信息安全,预防和避免信息安全事件的发生,不仅仅是一个信息安全问题,而是一个牵一发动全身的全局性安全问题。为此,无论是在国家安全领域,还是在与国家安全密切相关且已进入非传统国家安全视野的个人安全、机构安全领域,都必须高度加强信息安全教育,提高全国人民的信息安全意识。
国家安全视域中的信息安全是传统信息安全与非传统信息安全的统一。国家安全视域中的信息安全,不只是当代信息技术领域的信息安全,还包括电子计算机出现之前早已存在且今天依然存在的纸墨载体信息安全。因此,国家安全领域的信息安全教育的内容,必须包括传统信息安全与非传统信息安全两个方面。要全面搞好信息安全工作,需要一方面重视和强化以电子计算机为主体的非传统电磁信息安全教育,另一方面绝对不能够忘记传统纸墨载体信息安全教育,必须把传统信息安全纳入国家信息安全教育之中,开展全方位的信息安全教育。
国家安全视域中的信息安全教育是信息安全专业教育和信息安全通识教育的统一。信息安全需要信息技术的发展。搞好信息安全工作,提高国家信息安全度,必须努力发展信息技术和信息安全技术,为此就必须加强信息安全专业建设,加强信息安全专业教育,培养一大批信息安全技术人才。信息安全专业教育是全面信息安全教育的基本内容。此外,无论是对信息安全专业的老师、学生和广大从业者,还是对非传统安全传统的普通人,都需要进行信息安全的通识教育,使包括专业人士在内的所有人都确立起信息安全意识,都能做好本职范围内的信息安全工作。
国家安全视域中的信息安全教育,既要讲公开信息的安全,也要讲秘密信息的安全,要成为公开信息与秘密信息相统一的总体信息安全教育。在当代信息技术出现之前早已存在的保密教育,是历史上广受重视的信息安全教育,是秘密信息安全教育。在当代信息技术条件下,保密教育延伸到了电子计算机及其相应的网络领域,我国的《保密法》对此做出了与技术进步相应的一系列规定。2010年4月29日第十一届全国人民代表大会常务委员会第十四次会议修订的《保密法》规定:“存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。涉密信息系统应当按照规定,经检查合格后,方可投入使用。”这部法律还进一步具体规定:“机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为:(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;(二)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。”显然,现在的保密教育,在过去的传统保密教育之外,还必须包括信息技术条件下的非传统保密教育。但是,国家信息安全教育并不等于保密教育。秘密信息安全是国家信息安全的重要内容,但各种公开信息也存在着安全问题,公开信息的安全也是信息安全教育的必要内容。因此,从秘密和公开的角度看,当前的国家信息安全教育必须包括秘密信息和公开信息两个方面,必须是秘密信息安全与公开信息安全相统一的信息安全教育。