2017年美國保密管理年度報告的新特點

2018年7月，美國信息安全監(jiān)督辦公室公布了《2017年美國保密管理年度報告》（以下簡稱《2017年報告》）。與歷年報告不同的是，在給特朗普總統的信中，美國信息安全監(jiān)督辦公室主任布拉德利言辭犀利地寫道：“美國的保密系統已經到了變革的關鍵時刻，過度定密嚴重阻礙了應對安全威脅所必需的信息共享，而解密太少也影響了美國人民對政府的信任。我們正處在十字路口，美國的保密系統已經擴張到了無法有效管理并經常適得其反的程度�！笨v覽報告全文，不難發(fā)現美國保密報告的結構已發(fā)生明顯改變，語言犀利、強化分析、突出前瞻性是3個最顯著的特點。

整體結構改變，語言風格由溫和轉向犀利

美國首份保密管理年度報告發(fā)布于1980年，經過10年的發(fā)展，報告的基本模式趨于成熟。例如，1990年的報告目錄是：總結、定密、解密、保護、定密信息不得披露協議、安全教育協助。而2012年的報告目錄是：總結、定密、解密、監(jiān)督、部際安全定密上訴委員會、國家工業(yè)安全工作。兩者相比，只是把保密協議和安全教育合并到“保護”項目中，增加了上訴委員會和工業(yè)安全的單項。從2012年開始，美國保密經費報告被合并到保密管理年度報告中，目錄中增加了經費單項。2013年，美國“受控非密”信息報告也合并到保密管理年度報告中，目錄又增加了“受控非密”信息單項。此后美國保密管理年度報告的架構基本固定，如2016年報告的目錄是：總結、定密、解密、監(jiān)督、部際安全定密上訴委員會、保密經費、國家工業(yè)安全工作、“受控非密”信息管理。

可以看出，30多年來美國保密管理年度報告的結構基本穩(wěn)定，2012—2013年的變化也只是把原本獨立的兩個報告，先后合并到保密管理年度報告中，報告的整體風格并未發(fā)生改變。但是，在2018年發(fā)布的新報告中，報告結構發(fā)生了很大改變：第一部分是“基本判斷、結論、對策建議”；第二部分是“定密”，把從前報告中分列的定密、解密、監(jiān)督單項，作為子項統一放在這個部分；第三到第六部分，則保留了歷屆報告的部際安全定密上訴委員會、保密經費、國家工業(yè)安全工作、“受控非密”信息管理4項內容；第七部分是附錄，主要是原始數據圖表。

與此同時，美國保密管理年度報告的語言風格亦由溫和趨向犀利。在過去的報告中，美國信息安全監(jiān)督辦公室的描述方式都以溫和為主。例如，該辦公室每年都進行現場檢查，每次檢查都發(fā)現大量問題，但面對這些問題，該辦公室似乎一直束手無策。在此前的報告中，用于分析的內容通常只有一段話，有時只有兩句話，語言風格也多以應該、建議、強烈建議為主。以2014年的現場檢查為例，信息安全監(jiān)督辦公室檢查了7個部門的1105份文件，總計發(fā)現1660處錯誤，其中有59%的文件存在定密標志不符合規(guī)定的問題，還有兩個部門超過90%的文件都有問題。發(fā)現了這么嚴重的問題，報告中卻只是在最后用幾句話進行總結，如“加強部門的自我檢查很重要”“明年將繼續(xù)加強現場檢查”“敦促相關部門加強保密管理工作”。

但在新報告中，面對檢查發(fā)現的同樣嚴重的問題，如檢查10個部門、1006份文件的定密標志執(zhí)行情況，其中有64%共641份文件存在不符合規(guī)定問題，總計發(fā)現錯誤1129處等。這次，美國信息安全監(jiān)督辦公室的態(tài)度明顯趨于強硬，語言風格轉向犀利。新報告用兩頁篇幅，對錯誤的性質、危害的嚴重性及出現原因進行了分析。例如，開篇即定性“現場檢查表明，一些機構并沒有遵循13526號總統令的核心要求”，批評相關部門“雖然已經過去兩年時間，但是有些部門沒有整改之前檢查中發(fā)現的問題，有一半部門只整改了其中30%甚至更少的問題”。報告中前所未有地使用這樣的評價語言，“頗具諷刺意味的是，那些最需要加強保密管理的部門恰恰沒有整改檢查中發(fā)現的問題”“有些部門的高級領導不重視保密管理”等。在具體措辭方面亦出現明顯變化，如“斗爭”（combat）、“不可接受”（unacceptably）等詞語在之前的報告中從未出現過，但在最新報告中，“斗爭”一詞出現了4次；用于表達嚴重程度的“不可接受”先后出現了5次。

直面問題，內容呈現方式從數據描述轉為數據分析

第一，報告第一部分從以前的“點綴”作用上升為報告的“亮點”。從歷年報告的第一部分“總結”看，通常篇幅較少，一般只有半頁或1頁，分量較輕，多為一些重要數據的增減變化。以2016年報告為例，第一部分“總結”的篇幅不足1頁，分列了定密、解密的主要數據及變化。相比之下，《2017年報告》第一部分的分量明顯增加，不但篇幅長達6頁，而且分別以“基本判斷、結論、對策建議”為分標題，對美國保密管理的現狀進行了“把脈式”診斷。其中“判斷”部分包括以下7個方面：信息保護與信息共享的復雜性使得信息安全在各部門的職責使命中扮演更重要的角色；要保證信息安全保密系統能夠與時俱進，就要不斷推進戰(zhàn)略性變革，包括管理政策和技術的現代化；白宮必須在發(fā)展支撐信息安全保密系統的現代技術方面發(fā)揮引領作用，重要部門的領導人也應該全力支持；對信息安全保密系統進行現代化改革，需要精準化原則，降低定密的彈性空間，提高解密效率；要更好履行監(jiān)督和管理信息安全保密系統和“受控非密”信息系統的責任，就要不斷強化部門協作，提升各部門的自我檢查能力；保障計算機信息系統安全上升為健全信息安全保密系統的核心要素；白宮必須對“受控非密”信息管理提供支持和資金保障。

第二，報告正文突出對數據本身的分析而不是數據的簡單呈現。以前的報告均以靜態(tài)數據呈現為主，進入報告正文，每部分都只是羅列數據，多以圖或表的方式描述各種數據的變化，基本沒有對數據變化原因、影響及對策進行分析。即使某類數據出現較大幅度的變化，解釋性的語言也十分有限。例如，2011年美國原始定密數量較上一年大幅減少了43%，但當年的報告中對這個變化的分析只有一句話，“其主要原因是更好地利用了定密指南，認真遵守將原始定密決定納入定密指南的結果”。而且更多的時候，報告中沒有任何解釋，例如，2015年美國原始定密的保密期限普遍超過10年，在當年總計53425項原始定密中，僅有15%的解密期限被確定在10年以下，但當年的報告卻沒有對此作出任何解釋。

《2017年報告》則突出了以分析為重點的新特點。在報告中，以前的數據圖表變成了報告的附錄，報告正文運用大量篇幅對數據關系展開分析。進入正文后，每部分內容都被分為三個子項：數據、分析和結果。其中數據部分的呈現較過去更為簡潔，以第二部分“定密”為例，子項“數據”部分的內容如下：2017年美國原始定密官人數1867人，較2016年的2215人下降了約16%。其中，絕密級原始定密官716人，機密級1114人，秘密級37人。2017年各部門的原始定密數量總計58501件，其中絕密級國家秘密數量是1398件，機密級48056件，秘密級9047件。10年以下保密期限占比為66%。

子項“分析”部分的內容則遠多于“數據”部分，報告用5段文字進行了詳細分析，例如，“機密級定密數量占比的增加反映出加強精準定密的迫切性，應該把原始定密確定在有利于實現信息最大共享的密級”“十年以下解密期限數量的增多是一個好的變化，可能是受經費限制所致”等。

此外，子項“結果”部分的內容也十分豐富。報告用3段文字分析數據變化的影響及原因，認為“定密不準，大部分時候表現為過度定密，已成為當前美國信息安全保護和共享的最大障礙”，提出“強化精準定密、減少定密自由度”，強調“關鍵在于把原始定密權限制在最低水平”等結論�？梢哉f，堆砌數據式的報告模式已成為過去時。

第三，《2017年報告》以問題為導向，深入剖析問題，推動部門解決問題。以第六部分“受控非密”信息管理為例，報告對2017年美國“受控非密”信息的分析內容就達3頁，其中對存在問題的分析超過1頁。主要分析了以下5個方面的問題：缺乏高層領導支持，一些部門如商務部和能源部沒有任命“受控非密”信息管理的負責人，還有一些部門任命的負責人職級太低，無法勝任這項工作；由于聯邦預算管理局之前沒有相關預算，各部門僅利用現有的人力和資源開展工作，這意味“受控非密”信息管理只是一項附加職責，不利于工作的開展；具體負責相關工作的人員流動太快，影響了“受控非密”信息管理的效果；一些部門把“受控非密”信息管理當成負擔，認為該項工作過于寬泛無法實施；一些部門預先準備與評估不足，就開始實施該項工作。在列舉上述問題后，報告提出了解決方案，包括要求白宮出面干預，推動高層領導負責，并解決資金問題等。

突出加強美國保密管理的緊迫性，建議更具前瞻性

通讀《2017年報告》，能明顯感受到美國信息安全監(jiān)督辦公室空前的緊迫感和強烈的變革意愿。在報告第一部分的最后，美國信息安全監(jiān)督辦公室提出要加強與國家安全委員會成員以及各部門的合作，密切配合，制定可操作的措施，以推動變革。值得注意的是，在美國信息安全監(jiān)督辦公室提出的13條建議中，16次使用了“必須”（must）一詞，突顯了其推動改革的堅定決心。具體建議包括：各部門迫切需要一項政府范圍的技術措施來管理定密信息，向定密不準和解密不及時宣戰(zhàn)；必須要求各部門提供預算需求，包括保密經費估算在內，以推進定密和解密的現代化；聯邦預算管理局應考慮改革預算申請辦法，將信息安全保密管理作為一個項目納入其內；信息安全監(jiān)督局必須加強與國家安全委員會、聯邦預算管理局、國家情報委員會辦公室的合作，采取有效方法來評估美國信息安全保密管理體系；必須要求各部門實施新的風險管理辦法，強調緩解而不是避免風險，以幫助降低成本、促進適當的信息共享，并提高解密效率；必須修訂相關管理制度，以提高自動解密的效率；各部門必須認真解決計算機信息系統安全問題，特別要加強涉密信息系統和“受控非密”信息管理系統的保護；各部門必須嚴格遵守13526號總統令關于定密培訓、績效評估、定密質疑程序的規(guī)定；加強與部際安全定密上訴委員會成員的合作，及時處理有關重大歷史價值和公眾最感興趣檔案解密的上訴事宜；建議部際安全定密上訴委員會擴大成員范圍，把國土安全部納入進來，增設1名公眾成員，以提高公眾對委員會決定的支持；各部門必須迅速行動，制定完善“受控非密”信息管理制度；各部門必須根據聯邦預算管理局的規(guī)定，及時提交預算申請，等等。

總之，《2017年報告》通篇散發(fā)著加強美國保密管理的緊迫感，表達了美國信息安全監(jiān)督辦公室強大的推進改革的意愿和決心，對問題的分析更具體、更全面，提出的建議也更有針對性、操作性和系統性，預示著新一輪美國保密管理改革即將拉開帷幕。

（原載于《保密工作》2018年第9期）