英国敏感信息管理及对我国的启示

　　摘要：敏感信息是介于公开信息和秘密信息之间的一类具有情报价值的信息，广泛分布在涉及政务、商务、科学研究和公民个人等领域中。文章介绍了美国受控非密信息、欧盟敏感非密信息和英国公务信息的概念和范围，在此基础上提出了敏感信息的定义。文章梳理了英国敏感信息管理相关政策文件，论述了英国对信息资产的分类，敏感信息管理的法律框架，敏感信息处理原则、标识和安全保护措施。构建了“管理+技术+人员”三管齐下的敏感信息管理模式，建议要统一界定和标识敏感信息、推动敏感信息管理制度建设、完善敏感信息安全保护的技术手段、培养情报观念和提高风险意识。

　　关键词：敏感信息;英国;公务信息;信息管理;信息安全

　　信息作为一种重要资源始终对人类社会的运转发挥着重要作用。人们根据信息的价值属性及对信息公布后产生的影响预期，会限制信息的知悉范围，因此有了众所周知的公开信息和非公开信息之分。实际上，出于安全和利益等因素的考虑而确定的非公开信息并不完全等同于涉密信息，有些信息介于公开信息与国家秘密之间，不适宜完全对公众发布，通常被理解为敏感信息。

　　政工师论文投稿刊物：《理论与改革》杂志创刊于1985年，经国家新闻出版署批准，由中共四川省委党校主管、四川省干部教育学院主办的大型综合性理论刊物。1998年，由原16开版本、每期48页变为国际流行大16开版本，每期128页，并由月刊改为双月刊。国际标准刊号：ISSN1006-7426，国内统一刊号：CN51-1036/D，邮发代号62-84，国内外公开发行，每月20日出版，全国各地邮局均可订阅。

　　对于信息公开和国家秘密，通过立法、建章立制等途径对其进行规范管理，但是对于数量庞大、分布广泛、边界模糊的敏感信息，其重要性和安全管理需求往往容易被忽视。国际数据公司(IDC)2017年的一份研究报告《数据时代2025：关键的数据变革》[1]指出，随着新的数据源不断出现，隐私和敏感信息呈现出新的脆弱性。当前，有安全保护需求的数据量与实际上被保护的数据量之间存在很大的差距，而且差距将不断扩大。到2025年，全球90%的数据会需要某种程度的安全保护，但只有不到50%的数据将得到保护。

　　可见，数据的安全需求与实际的安全保护能力之间的矛盾日益突出。敏感信息在有安全需求的数据之列，但从屡见报端的政务信息、个人信息、商业敏感信息泄露事件来看，敏感信息在实践中并未得到与其安全需求相适应的有效保护，关注非密信息的敏感性问题、对敏感信息进行科学合理的管理刻不容缓。

　　在敏感信息保护的问题上，美国目前的管理体系较为完善，自2014年起国内学术界开始对美国敏感信息管理相关问题开展研究，孙宝云等[2-3]研究了美国敏感信息管理改革、管理过程公开化、在线培训、注册登记制度等内容，宋继伟[4]梳理了美国受控非密信息管理流程，陆明远等[5]和周亚超等[6]分别从定密策略调整、信息分类与安全控制的角度出发，追踪美国受控非密信息管理的动态。想要探索适合我国的敏感信息管理体系，需要博采众长。除美国外，世界主要国家和地区，如欧盟和英国也关注敏感信息管理问题。本文首先对敏感信息进行概念界定，然后重点阐述和分析英国的敏感信息管理实践，最后探索构建敏感信息管理模式，对我国敏感信息管理提出建议。

　　1敏感信息的概念和范围

　　对于敏感信息的概念，目前学术界和业界都没有统一的界定。Dilworth[7]指出，在美国联邦政府信息分类中有一个反复出现的难题，有一类信息是敏感的，但它们不属于国家安全指令中界定的秘密信息，这类信息有时被称为“敏感但不保密”信息。Thompson和Kaarst-Brown[8]总结了信息敏感性的9个难题，包括政府的信息分类系统不断变化，缺乏整体的一致性;阐明敏感性的语义;网络安全威胁使信息分类决策复杂化;信息敏感性判断很少受到图书情报研究的关注等。

　　他们从经济、法律、社会和心理四个知识领域的角度探讨了如何判断信息的敏感性。美国、欧盟和英国都对敏感信息进行了概念界定，关于这类信息的称谓，美国称之为“受控非密信息”(ControlledUnclassifiedInformation，CUI)，欧盟称之为“敏感的非保密信息”(Sensitivenon-classifiedinformation，SNC)，英国称之为“公务信息”(OFFICIAL)。

　　1.1美国受控非密信息

　　1987年的计算机安全法案(CSA)[9]中定义的“敏感信息”是指其丢失、滥用、未授权访问或修改会对国家利益、联邦计划的执行或个人隐私产生不利影响的任何信息，但是根据总统令或国会法案设置的标准，这类信息不属于为维护国防或外交政策利益而需要保密的信息。2010年标题为“受控非密信息”的美国13556号总统令[10]规定，受控非密信息是指，根据法律法规和政府各部门的政策，需要对其采取安全保护或传播控制措施的信息，但不包括13526号总统令或《原子能法案》修正案规定的保密信息。

　　例如，涉及个人隐私、安全、专属的商业利益和执法调查等的信息都属于受控非密信息的范畴。美国国家档案局网站上详细呈现了受控非密信息的类别，共划分了125个类目，分布在关键基础设施、国防、出口控制、金融、移民、情报、国际协定、执法、法律、自然和文化资源、北大西洋公约组织、原子能、专利、隐私、采购和收购、专有商业信息、临时规定、统计工作、税收、交通运输20个领域中。

　　1.2欧盟敏感的非保密信息

　　2015年3月发布的关于欧盟委员会安全的2015/443决议[11]中界定了敏感的非保密信息，是指由于生效中的条约或法案的规定，或者由于其自身的敏感性，欧盟必须加以保护的信息或资料，包括但不限于工作秘密;公开后会影响公共利益、个人隐私、商业利益、法律程序和建议、审查调查和审计目的的信息(欧盟委员会第1049/2001号法规第4条规定的);个人数据。关于工作秘密的保密义务，《欧洲联盟运作条约》(TFEU)和《人事条例》都有规定，TFEU第339条[12]规定，欧盟各机构成员、欧盟委员会成员、欧盟官员和其他公务人员在任期间乃至离任后，都不得泄露工作秘密，特别是关于工作内容、业务关系、业务成本等的信息。

　　2英国敏感信息管理规定

　　2013年以来，英国政府出台和更新了一系列政府信息资产分类和安全保护的政策，这些文件为敏感信息界定、处理原则、标识、管理责任、安全保护措施等工作提供了指导和依据。

　　2.1信息资产分类中的敏感信息

　　英国《政府保护性标识框架》[17]将政府信息资产划分为五类，分别对应不同级别的影响，保护级信息对应第一和第二级别影响，限制级、秘密级、机密级、绝密级信息分别对应第三到第六级别影响。从第一到第六级别，信息对个人安全、应急服务、治安和司法等活动的不利影响的程度逐步加深。这个框架下的保护级和限制级信息属于敏感信息。《政府安全分类政策》于2014年4月取代了《政府保护性标识框架》，成为英国现行敏感信息管理的主要政策，其最新版本发布于2018年5月。根据该政策，英国政府信息资产划分为三种安全类别：公务的(OFFICIAL)，秘密的(SECRET)，绝密的(TOPSECRET)，安全类别表明了信息的敏感性和应对威胁的保护需求。

　　2.2法律框架

　　英国信息安全分类系统建立和运行的法律框架主要由《公务秘密法案》《数据保护法》《信息自由法案》等法律构成。损失评估是《公务秘密法案》的一项关键要素，法案规定的违法行为大部分都是造成破坏的信息泄露行为，涉及安全、情报、国防、国际关系、犯罪、特别调查权、从外国或国际组织处接收秘密信息等。该法案认为损失来自于未经授权的信息公开，列举了会发生违法行为的高风险群体，包括从事安全和情报服务的机构、国家公务员、政府承包商等。各机构在处理个人数据时需要评估是否涉及国家安全问题，并且遵守《数据保护法》。敏感信息管理人员应当充分了解《信息自由法案》的作用及其与自己工作的关系，敏感信息加注分类标识符有助于评估《信息自由法案》的免责条款是否可以应用。

　　2.3敏感信息处理原则和标识

　　信息处理原则和标识有助于规范敏感信息处理和应用过程，对于维护敏感信息安全，保证信息的完整性和可用性具有重要意义。

　　3英国敏感信息的安全保护措施

　　敏感信息面临的风险威胁来源于国外情报机构、网络黑客、恐怖分子、新闻媒体等。英国政府希望利用有限的资源保护政府数据和服务免遭破坏，要求信息资产和基础设施保护应遵循物理安全、信息安全原则和采取技术控制措施。针对公务类信息，英国认为的最佳实践是对所有常规信息都采取安全控制措施，尤其要对特别敏感的信息进行访问控制。

　　4对我国敏感信息管理的启示

　　我国在涉及政务、商务、科学研究和公民个人等领域中存在大量敏感的非国家秘密信息。现行法律中有个人隐私、工作秘密等敏感信息相关的表述，如《网络安全法》第四章规定了网络安全监管部门及其工作人员必须对履行职责中知悉的个人信息、隐私和商业秘密严格保密;《公务员法》规定公务员应当履行保守国家秘密和工作秘密的义务;《法官法》《检察官法》《警察法》《海关法》也分别有审判工作秘密、检察工作秘密、警务工作秘密和海关工作秘密的表述[20]，但这些领域中的工作秘密管理规定颁布日期较为久远，近年来未修订和更新，如《最高人民法院关于保守审判工作秘密的规定》颁布于1990年，《公安机关警务工作秘密具体范围的规定》颁布于2001年，《人民检察院办案工作中的保密规定》颁布于2005年。

　　我国目前没有专门针对敏感信息管理的规定，有学者呼吁需尽快将“敏感信息”从国家秘密中分离出来[21]。英国敏感信息风险管理的实践表明，通过良好的治理、增强员工意识和运转良好的现代信息系统可以成功地开展大多数信息风险管理。我国敏感信息管理工作可以参考英国的有益经验，在信息资产分类、敏感信息管理和安全保护等方面着力，探索敏感信息管理模式。

　　本文构建了“管理+技术+人员”三管齐下的敏感信息管理模式，管理模块的主要任务是以法规条文或制度规定的形式统一界定和标识敏感信息，完善敏感信息管理机构和制度建设;技术模块综合应用多种技术手段保护敏感信息安全;人员模块从人力资源管理各环节入手，确保个人责任落实到位。“管理+技术”有助于实现物理安全目标，“管理+人员”有助于确保个人安全，三者相结合共同保障敏感信息安全。

　　4.1统一界定和标识敏感信息

　　敏感信息的统一界定和标识是规范信息使用和管理的基础性工作。当前我国没有对敏感信息进行统一的概念范围界定和标识，但对工作秘密这一类型的敏感信息，2019年发布的《工作秘密管理暂行办法》中规定了工作秘密的概念。在此之前，机关单位从本地方本系统的工作惯例、业务需要出发，各自确定工作秘密管理体制、方法和措施的做法比较普遍[20]。

　　在工作实践中，敏感而非国家秘密的业务文件上常见“内部信息，注意保管”“仅供内部/官方使用”“禁止传播扩散”“限制使用”等字样，这一方面说明很多单位都有一定的敏感信息保护意识，另一方面也体现出标识的不统一和随意性。建议国家保密行政管理部门会同相关工作主管部门在对信息资产进行统一分类的基础上，明确界定敏感信息的概念和范围，制定统一的标识规范，为政务商务等活动中处理和使用敏感信息提供指导和遵循，确保敏感信息安全和便利使用“两利”目标的实现。

　　5结束语

　　明确的信息分类和范围界定是有效开展信息工作、保障信息安全的前提条件。随着信息安全需求的不断增长，敏感信息这一概念使用频率也随之增加。本文以英国敏感信息管理为研究对象，探究敏感信息的界定、管理和安全保护问题，构建敏感信息管理模式，为我国敏感信息管理工作提出建议。敏感信息管理是保障信息安全的重要工作，对个人安全和国家安全都具有重要影响，是亟待重视和思考的问题。

　　参考文献

　　[1]REINSELD,GANTZJ,RYDNINGJ.Dataage2025:theevolutionofdatatolife-critical[EB/OL].[2020-10-20].https://www.innovation4.cn/library/r21572.

　　[2]孙宝云,王英豪.论美国“敏感信息”管理改革及其对我国的启示[J].理论与改革,2014(5):102-107.

　　[3]孙宝云.论美国“敏感信息”管理过程的公开化及启示[J].情报杂志,2015,34(4):150-154，159.

　　作者：于洁1,2，栗琳1,3

转载请注明来自发表学术论文网：http://www.fbxslw.com/jjlw/25840.html