陆明远 许梦瑶
(天津大学管理与经济学部 天津 300072)
当前,大数据、云计算、移动互联网、物联网、人工智能等新兴信息技术被越来越多应用至包括政府管理在内的社会各个领域,在为我们带来方便的同时,也带来了诸如商业秘密窃取、国家机密泄露等信息安全隐患问题。随着政企合作等政府多样化治理方式的应用,一些合作企业在不同程度上掌握着我国的涉密信息,因此做好国家发展中政府与承包商之间的涉密信息管理工作具有重要意义。我国在涉密信息管理领域起步较晚,经验不足,而美国有较为丰富的管理经验值得我国学习,2020年12月21日,美国国防部对《国家工业安全计划操作手册》(NationalIndustrialSecurityProgramOperatingManual,NISPOM)进行了修订,并将其添加到联邦法规(the Code of Federal Regulations,CFR)的第32节第1章。修订版《国家工业安全计划操作手册》于2021年2月24日正式实施,它规定了对承包商、被许可方、被授权方或证书持有者(以下简称承包商)披露或产生的涉密信息的保密要求,可以为我国的涉密信息管理工作提供一些参考和借鉴。对比中外涉密信息管理现状,有助于发现我国的不足之处,在此基础上学习借鉴国外先进经验并予以改进,对提升我国涉密信息管理水平、完善保密管理体系具有重要价值。
1.1涉密信息管理文献综述广义的承包商涉密信息包括国家秘密、工作秘密、商业秘密和个人隐私[1],狭义的承包商涉密信息则仅指在涉密项目合作过程中,承包商因合作从政府处获得或产生的涉及国家秘密的文件、资料等。本文采用承包商涉密信息的狭义概念。承包商涉密信息管理是指利用一切必要手段和措施,将国家秘密控制在一定知悉范围和时间内,防止涉密信息泄露或被非法利用的活动[2]。具体来说,承包商涉密信息管理是承包商为了维护国家安全和利益,按照保密法律法规和保密协议的规定,设立保密工作机构和人员进行管理,制定保密制度规范和保密纪律约束,采取一系列人防、物防、技防相结合的保密措施,在一定时间内将国家秘密控制在一定范围,防止泄露或被非法利用的一切活动[3]。
1.2精细化管理文献综述精细化管理最早可以追溯到弗雷德里克·泰勒(Frederick· Taylor)的《科学管理原理》。20世纪50年代,日本丰田汽车企业提出了“精益生产”的理念,之后精细化管理被广泛应用于其他领域。精细化管理是一种管理理念和管理技术,是通过规则的系统化和细化,运用程序化、标准化、数据化和信息化的手段,使组织管理各单元精确、高效、协同和持续运行[4]。精细化管理的基本特征是“精细、准、严”,具体来说,“精”是精益求精的态度,明确目标、突出重点、要求具体、优化流程[5];“准”是掌握准确的信息与数据,找准需求,明确目标和标准,设定清晰的指标,并准确执行[6];“细”是细分岗位和职能、细化分解具体工作、细化分解管理环节、细化分解工作流程[7];“严”是严格执行制度标准和程序规定,严格控制和监管工作落实[8]。精细化管理模式以精细化运作为基本内容,通过发展集团个人素质、控制管理漏洞、加强合作环节的管理理念和方法从而提高整体管理的有效性[9]。在具体操作中,精细化管理通过剖析工作过程中的风险点和主要流程中的关键点,用体系图、流程图、制度规范等形式对承包商业务关键点的执行过程、执行要求进行详解。
1.3涉密信息精细化管理文献综述近年来,针对当前我国粗放式保密管理导致窃密泄密事件频发的严峻形势,精细化管理思想被引入保密管理领域并得到越来越多的关注。涉密信息精细化管理是为了适应组织战略和保密形势要求,将保密工作融入各项业务工作中,实现保密工作法制化、管理科学化、防范措施的精细化[10]。涉密信息精细化管理是指根据承包商不同行业、领域的特点以及涉密程度等情况,采取相应的保护措施,合理分配力量资源,精心设计方案、精细实施活动、精准制定标准,确保管理对象清晰、管理措施有效、管理流程完整,做到定密精准、制度精准、监管精准,增强保密管理的科学性、针对性和有效性[11]。根据工作流程,承包商涉密信息精细化管理工作可以分为文书保密管理、档案保密管理、经营信息保密管理、技术信息保密管理、营销信息保密管理、生产信息保密管理、财务信息保密管理、采购信息保密管理、招投标信息保密管理、证券信息保密管理、公司保密环节管理、重要部门保密管理等12大项保密工作[12]。也有学者认为,承包商应从管理理念、保密制度、保密责任、日常管理、防范措施、监督管理等6个方面着手,对涉密信息进行精细化管理[13]。在具体实施过程中,承包商要按照“精、准、细、严”的原则,综合运用细化、量化、流程化、标准化、协同化、实证化等手段,做到细化保密工作、量化保密工作、保密工程流程化、保密工作标准化,最终实现保密工作精细化[14]。
当前信息化、数字化、网络化与智能化飞速发展,对涉密信息精细化管理起到了极大地促进作用,同时也带来了新挑战和新要求[15]。面对保密工作形势任务的发展变化,承包商还需要从技术层面积极推动涉密信息精细化管理,首先,可以实行涉密信息系统精细化管理模式,即推行制度精细化、安全策略精细化、设备管理精细化、运维精细化,通过精细化管理实现标准规范与创新有效结合,提升涉密信息系统技术防范力度。其次,可以运用一定的技术辅助保障措施,例如:VPN传输加密技术、涉密计算机“三合一”管理技术、移动存储介质管理系统等[16],积极应用防泄密反窃密的新技术、新产品。
当然,技术的落实离不开相关的制度、规范以及行政力量等因素的保障。在美国,国家安全局成立了网络安全中心机构、国家保密政策委员会等进行涉密信息管理[17]。我国的国家安全部、工信部、科技部等部委以及中共中央网络安全和信息化委员会和公安部网络安全保卫局等一系列部门的设置都在国家保密信息管理中承担了重要职责。
此外,涉密信息管理中面临的一个重大挑战是如何管理不可预测性,以确保最佳结构、业务流程、个人职责的细分从而帮助组织实现其目标,因此这就需要对制度的适用性进行细分和研究[18]。我国目前对涉密信息的管理制度等大都停留在宏观层面,规范和落实不具有针对性。相比而言,美国国防部在2020年12月21日颁布的修订版《国家工业安全计划操作手册》(NISPOM)和2015年颁布的《2015网络安全法案》等相关法律规范则具体细致地对相关领域的涉密信息管理问题进行了规定,这对我国具有重要的指导和借鉴意义。
结合精细化管理理论的相关资料和文件,本文对中美承包商的涉密信息管理条例进行了系统归纳整理,并采用比较分析法对二者的具体内容进行对比分析。
2.1中美政府与承包商合作模式对比
2.1.1 中国政府与承包商合作模式 根据《保密法》《保守国家秘密法实施条例》《国家秘密载体印制资质管理办法》《涉密信息系统集成资质管理办法》《武器装备科研生产单位保密资格认定办法》和《政府采购法》等相关法律法规,中国政府与承包商开展涉密项目合作时,承包商在涉密信息管理方面的流程大从致可以分为5个步骤:a.首先,承包商为了获得承担涉密项目的资格,需要先向国家级、省级保密行政管理部门或军工保密资格认定委员会提交保密资质认证申请;b.其次,在申请被受理后,承包商要做好迎接保密资质审查的相关准备,接受保密行政管理部门或军工保密资格认定委员会的书面审查和现场审查,必要时还需要接受专家评审;c.审查通过后承包商可获得相应的保密资质证书(军工保密资格分为一二三级,涉密印制资质和涉密集成资质分为甲乙两级);d.当政府就某个涉密项目要与承包商合作时,可以在具有相应保密资格的承包商间做出选择:当信息可以公开的时候可以通过公开招标的方式选择合作承包商,当信息不便公开时可以通过邀标的方式,国防军工项目则可以通过特许经营承包给拥有军工资质的承包商;e.承包商承担涉密项目后要依据相关标准开展保密工作,政府要对其进行监督和定期检查,对检查不合格的承包商可以吊销其保密资质证书,如图1所示。
图1 中国政府与承包商合作路线图
2.1.2 美国政府与承包商合作模式 根据修订版《国家工业安全计划操作手册》,美国政府与承包商开展涉密项目合作时,承包商在涉密信息管理方面的流程大致可以分为4个步骤:a.当政府就某个涉密项目要与承包商合作时,可以通过合同外包、特许经营、提供补助、抵用券、强制等方式将涉密项目委托给承包商。承担涉密项目的承包商要与政府签订保密合同。b.当承包商在项目中需要接触使用涉密信息或涉密设备时,要向有关部门提交安全许可申请,获得了安全许可才能使用涉密信息和涉密设备。c.在承包商获取涉密信息之前,政府需对将授予企业的涉密信息做好定密与标识工作,从而更好地对涉密信息、委托企业及其相关行为进行管理。d.承包商在使用涉密信息要依据相应的标准指南,政府也要委托监督检查部门对涉密承包商进行监督和定期检查,如图2所示。
图2 美国政府与承包商合作路线图
例如图1中“开展保密工作”的标注“3”表示表3中涵盖中国企业开展保密工作的具体事项;图2中“安全培训和安全简报”的标注“4(3, 2-4)”表示表4中第3列第2~4行为安全培训和安全简报的具体内容;图2中“保护机密信息”的标注“5(3,2-8)、6(3,1-2)”表示该事项的具体内容分布在两个表中,分别为表5中第3列第2~8行以及表6中第3列第1~2行。
2.2中美涉密信息管理的具体内容对比本文从中美承包商涉密信息管理的流程、中美政府的涉密信息管理工作、中美承包商的涉密信息管理工作和中美承包商涉密信息管理工作的具体内容四个方面,对中美两国相关涉密信息管理条例的内容进行了梳理。
2.2.1 中美承包商涉密信息管理的流程对比 中美两国都是根据工作内容对涉密信息管理的流程进行划分。根据《保密法》《保守国家秘密法实施条例》等相关规定,中国承包商涉密信息管理的流程分为划分保密责任人,保密制度管理,涉密人员管理,涉密载体管理,保密要害部门部位管理,涉密信息系统、涉密信息设备及介质管理,涉密活动管理和监督与检查等8个方面。修订版《国家工业安全计划操作手册》规定了美国承包商涉密信息管理的流程,除了目的、适用性、定义、政策、信息收集、责任、安全办公室信息等说明性论述,还包括程序、报告要求、确定访问涉密信息的实体资格、确定承包商雇员获取涉密信息的资格、外国所有权、控制权或影响力、安全培训和安全简报、定密、标记要求、保护机密信息、访问和会议、分包、信息系统安全、国际安全要求、关键核武器设计信息、通信安全、国土安全部涉密关键基础设施保护计划和补充规则等17个方面,见表1。相较于中国,美国承包商涉密信息管理的覆盖面更广,流程划分更加细致。
表1 中美承包商涉密信息管理流程
2.2.2 中美政府的涉密信息管理工作对比 中美政府在涉密信息管理方面存在两方面较大差异:一是政府与承包商开展涉密项目合作的方式,中国政府主要通过公开招标、特许经营的方式与企业开展涉密项目合作,而美国政府与承包商合作的方式更加多样化,包括合同外包、特许经营、提供补助、抵用券、强制等方式;二是中国政府强调项目主管单位定密责任人制度,更加关注定密主体宽泛、责任不明确、程序不规范等问题的解决,而美国强调原始文件的定密与标记,利用精细化的操作准则规范国家涉密信息的管理,保障定密的统一、规范和高效,见表2。
表2 中美政府涉密信息管理
2.2.3 中美承包商的涉密信息管理工作对比 从承包商涉密信息管理制度的内容来看,中美两国都对保密责任人、保密制度、涉密人员管理、涉密载体管理、保密要害部门部位管理、涉密信息系统、涉密信息设备及介质管理、涉密活动管理、监督与检查等涉密信息管理工作做出了详细的规定,但是美国在《国家工业安全计划操作手册》和《安全定密指南》中的相关规定更加精细化,例如在涉密人员管理方面,除了个人安全许可和安全培训,美国还制定了安全简报的规定;在涉密活动管理方面,美国制定了关于分包和国际安全要求的详细规定,这是中国承包商涉密信息管理制度所欠缺的。另外,除了中美两国承包商涉密信息管理制度所共有的8项内容,美国在关键核武器设计信息、国土安全部的机密关键基础设施保护计划、补充规则(替代性补偿控制措施(ACCM)、特殊访问程序(SAP),敏感隔离区信息(SCI)、受限数据(RD)、先前受限制数据(FRD)、跨类别外国核信息(TFNI)和海军核动力推进信息(NNPI)的安全要求)等方面也制定了精细化的规定,而中国承包商涉密信息管理制度中并无相对应的内容,见表3。
表3 中美承包商涉密信息管理
2.2.4 中美承包商涉密信息管理工作的具体内容对比 本文主要从涉密人员管理,涉密载体管理,保密要害部门部位管理,涉密信息系统、涉密信息设备及介质管理,涉密活动管理和监督与检查等6个方面对中美承包商涉密信息管理工作的具体内容进行了对比。
a.涉密人员管理。在涉密人员管理方面,中国在涉密人员确定、上岗管理、在岗管理和离岗管理方面的规定比美国的相关规定更加精细化,美国政府在《国家工业安全计划操作手册》等政策文件中仅规定了人员安全许可的获得和取消、安全简报和安全培训的相关内容,中国《保密法》等法律法规则对涉密人员的确定、审查、培训、保密承诺、考核、出入境管理、离岗清退、脱密期管理等一系列环节进行了详细的规定,见表4。
表4 涉密人员管理
b.涉密载体管理。中美两国都对承包商的涉密载体管理做出了非常详细的规定,大致可以分为制作、传递、收发、保存、使用、复制、销毁和维修8个环节。中国在承包商涉密载体管理的各个方面规定与美国相差不大,主要有三个方面的差别:一是涉密载体传递环节,美国允许商业承运人运输涉密载体,而中国则以文件交换站、机要交通、外交信使等政府官方渠道运输涉密载体;二是收发环节,中国涉密载体的收发由专门工作人员进行负责,而美国则由授权人员直接接收;三是对于涉密载体的复制、销毁有严格的时间限制,例如复印件允许保存两年,超过两年的涉密载体保留未批准需销毁。由此可见,中国与美国在承包商涉密载体精细化管理方面差距甚微,见表5。
表5 涉密载体管理
c.保密要害部门部位管理。在保密要害部门部位管理方面,中国承包商强调建立技防、物防、人防一体化发展的保密综合防范体系,全面推进涉密领域国产化替代工程,保密要害部门和部位防护与工程建设同规划、同设计、同建设、同验收;美国仅仅规定了入侵检测系统的最低标准和保密要害部门部位的建构要求。虽然我国在保密技术防范能力方面与美国存在一定的差距,但是我国针对保密要害部门部位建立的保密综合防范体系不断完善,比美国单一的保密技术防护体系的保密性更强,见表6。
表6 保密要害部门部位管理
d.涉密信息系统、涉密信息设备及介质管理。美国在涉密信息系统、涉密信息设备及介质管理方面起步较早,并建立了一套体系健全、机制完备、责任清晰、技术支撑的保密管理体系,而中国的涉密信息系统、涉密信息设备及介质管理体制不够完善健全,与美国存在较大差距。例如在涉密网络管理方面,中国按照“涉密不上网,上网不涉密”原则,实行分级分类管理,而美国则是通过对网络认证、审查、接口的管理进行互联系统管理;在审计方面,中国设置固定的时间间隔对涉密信息系统、涉密信息设备及介质进行审计,而美国则是采用审计系统进行自动审计跟踪创建、审计跟踪保护、审计跟踪分析、审计记录保留等;美国还规范了单用户、独立运行系统、周期处理、纯服务器等方面的特殊规定,中国的涉密信息系统、涉密信息设备及介质管理体制并未涉及这些方面;美国采用基于风险管理框架的信息系统安全生命周期管理,强调在初始开发阶段将安全性构建到信息系统中;保持对信息系统安全现状的持续意识;让承包商管理层了解情况,以便于风险管理决策;支持信息系统授权的对等性,虽然有部分中国学者提出了信息系统生命周期管理理论,但其在实践和法律法规方面均处于空白状态,详见表7。
表7 涉密信息系统、涉密信息设备及介质管理
e.涉密活动管理。中美两国在承包商涉密活动管理方面的规定差异较大,本文主要从涉密会议、外场试验、协作配套和涉外管理4个方面进行比较。一是在涉密会议方面,中国承包商按照涉密等级进行涉密会议保密管理工作,美国承包商则具体规定了政府赞助的涉密会议及其授权披露与保密要求。二是外场试验方面,中国军工单位在进行外场试验时,严禁泄露武器设计方案和战术指标,而美国则没有相关具体规定。三是协作配套方面,外包单位需要有相应的安全保密资格,而美国强调了总承包商在访问涉密信息、确定分包商实体资格的责任等方面的责任,规定主承包商确保在每个涉密分包合同中纳入合同安全分类指南或同等规范,分包承包商在分包合同完成后可以保留涉密材料两年等。四是涉外管理方面,中国对涉外商业谈判、涉外学术交流与合作等情况进行了规定,而美国则是规定了国际安全要求和访问保密要求,并没有依据特定情景制定规章制度,见表8。
表8 涉密活动管理
f.监督与检查。在监督与检查方面,中美两国在保密检查、涉密事件查处、考核和奖惩等3方面的规定较为相似。保密检查均包括上级督查、全面或专项检查和自查自评;实行泄密事件报告制度;加强对保密工作人员的考核和奖惩。中国还规定了保密工作经费和奖励机制,美国则没有此方面相关规章制度,见表9。
表9 监督与检查
2.3中美在承包商涉密信息管理工作中的异同点通过上面的分析对比可以看出,中美两国在承包商的涉密信息管理工作中,无论是从范畴领域还是具体的实施细节上都存在一定的共性,但是也有一些差异。结合文献资料归纳和研究成果,本文总结了中美在承包商涉密信息管理工作中的异同点。
2.3.1 相同之处 a.承包商使用涉密信息都需要一定的资质认证。中国承包商需要通过保密审查才能获得相应等级的保密资格证书;美国承包商则需要获得相应的安全许可,才能接触相应的涉密信息,使用相应的涉密设备。
b.政府承担的工作部分相同。中美政府在与承包商进行涉密项目合作时要承担一些相同的工作:一是要对承包商进行一定的资格认证;二是根据项目特点,选择合适的承包商的承担涉密项目,例如当信息可以公开的时候可以通过公开招标的方式选择合作承包商,当信息不便公开时可以通过邀标的方式,国防军工项目则可以通过特许经营承包给承包商;三是要对涉密承包商的保密工作进行监督和定期检查。
c.承包商保密工作涉及内容大致相同。中美两国承包商的保密工作涵盖的内容相同,在涉密人员管理、涉密载体管理、信息系统安全等各个方面的要求也大致相同,几乎没有对方完全没有涉及的领域。
2.3.2 不同之处 a.公开与保密的原则不同。中国在处理涉密信息时遵循“先保密后公开”的原则,有限保护秘密信息;美国目前遵循“先公开后保密”的原则,但制定很多特例,为保密工作的开展提供了依据。
b.保密工作划分不尽相同。从上文的对比表格可以看出,中美涉密承包商在开展保密工作时的具体划分不尽相同。例如,美国“安全许可”中的“人员安全许可”属于中国“涉密人员管理”的范畴,而“设备安全许可”则属于中国的“涉密信息系统、涉密信息设备及介质管理”范畴。
c.承包商获取涉密信息的途径不同。中国的承包商必须通过保密资格认证,获得相应的保密资格(分为甲乙丙三级),才能承担相应的涉密项目,接触和使用涉密信息;美国的承包商可以先与政府签订项目合同,当承包商在项目承办过程中需要使用涉密信息时,可以向政府提交申请,获得政府的安全许可,与政府签订保密协议后,承包商可以接触和使用相应的涉密信息,这样有针对性地申请相应的安全许可,会节约政府资源。
d.政府在合作中的工作有差异。中国政府需要对申请保密资格认证的单位进行保密资格审查,为通过审查的承包商颁发相应的保密资格证书;美国政府则需要受理承包商的安全许可申请,授权获得安全许可的承包商使用涉密信息。值得一提的是,美国政府还承担着大部分定密与标识工作。
我国在承包商涉密信息管理中,存在定密准确性和标密规范性不足、涉密信息系统防护力度薄弱、涉外活动管理不完善、公开与保密的关系处理不当、保障机制落实不到位、人员培训不合格和高新技术应用不普遍等问题。在借鉴美国等国经验的基础上,本文提出了加强我国承包商涉密信息管理工作的对策建议。
3.1提高涉密信息保护意识和重视程度当前我国在涉密信息管理工作中的诸多缺陷,例如对涉外活动涉密信息管理不完善、涉密保障机制落实不到位等,归根结底是由于对涉密信息保护意识不足造成的,因此无论是政府还是承包商都要进一步提高涉密信息保护意识,加强对涉密信息保护和涉密管理工作的重视程度。
3.2加强对涉密人员的管理培训,提高涉密人员素质水平对涉密人员的管理是涉密信息管理工作中的核心和关键,可以通过定期开展相关教育和培训不断提升涉密人员专业水平,同时利用一定的奖惩和考核机制加强对涉密人员的管理和监督,激发其工作潜能和积极性,从而全面提升涉密人员的综合素质水平。
3.3加强涉密信息管理工作的规范性、标准化和制度化针对我国目前保密管理中内容宽泛、责任不清等问题,我国可以在借鉴美国等其他国家先进经验的基础上,结合实际国情,形成关于我国涉密信息管理的具体制度和规范,推动涉密信息管理的制度化,提高管理工作的规范性和标准化程度,使保密工作有规可循、有标可依。当然政府有关部门也要加强监管,确保规范制度的严格遵循和落实。
3.4加强技术创新在涉密信息管理工作中的应用保密技术是保密工作的支撑,只有过硬的保密技术才能保护国家秘密不被窃取和泄露。在科技飞速发展的今天,保密管理工作也应当与时俱进。为此,国家要大力支持和鼓励保密技术的开发和创新,通过政策引导以及经费补贴等方式推动相关技术的研发和推广;同时,承包商也应提高对新技术应用的关注度和重视度,注重高新技术在保密工作中的引入和应用。
3.5处理好我国保密管理工作中公开与保密、效率与效果的关系保密管理是一项复杂的工作,其中包含诸多内容,也涉及多个群体,因此在此过程中要处理好多种关系。其中关键的两个就是公开与保密、效率与效果的关系。
公开与保密的关系。考虑到我国的国情和实际情况,今后一段时间内我国可以继续坚持“保密优先”的原则,先保密后公开,但是在此过程中也要重视公众的知情情况。美国对涉密信息的公开和保密关系处理对我国具有较好的指导和借鉴意义。美国虽然坚持“公开优先”,但是也规定了一些特例,为保密工作提供了充分的依据。基于此,我国可以在“保密优先”的原则下,针对不同情况确定信息公开的特例,从而在保护涉密信息的同时也充分尊重和维护公众知情权,科学合理地处理公开和保密的关系。
效率与效果的关系。由于发展起步较晚、相关经验不足等原因,目前我国的一些保密管理工作还存在流程欠妥、效率低下、资源浪费等情况,例如上文中提到的承包商保密资格认证工作等。因此在今后的保密工作中,需要在确保保密工作效果和质量的基础上优化流程、尽可能降低成本和资源消耗,提高工作效率,处理好保密管理工作效率与效果的关系。