2018年7月,美國信息安全監(jiān)督辦公室公布了《2017年美國保密管理年度報告》(以下簡稱《2017年報告》)。與歷年報告不同的是,在給特朗普總統(tǒng)的信中,美國信息安全監(jiān)督辦公室主任布拉德利言辭犀利地寫道:“美國的保密系統(tǒng)已經(jīng)到了變革的關(guān)鍵時刻,過度定密嚴重阻礙了應(yīng)對安全威脅所必需的信息共享,而解密太少也影響了美國人民對政府的信任。我們正處在十字路口,美國的保密系統(tǒng)已經(jīng)擴張到了無法有效管理并經(jīng)常適得其反的程度!笨v覽報告全文,不難發(fā)現(xiàn)美國保密報告的結(jié)構(gòu)已發(fā)生明顯改變,語言犀利、強化分析、突出前瞻性是3個最顯著的特點。
整體結(jié)構(gòu)改變,語言風格由溫和轉(zhuǎn)向犀利
美國首份保密管理年度報告發(fā)布于1980年,經(jīng)過10年的發(fā)展,報告的基本模式趨于成熟。例如,1990年的報告目錄是:總結(jié)、定密、解密、保護、定密信息不得披露協(xié)議、安全教育協(xié)助。而2012年的報告目錄是:總結(jié)、定密、解密、監(jiān)督、部際安全定密上訴委員會、國家工業(yè)安全工作。兩者相比,只是把保密協(xié)議和安全教育合并到“保護”項目中,增加了上訴委員會和工業(yè)安全的單項。從2012年開始,美國保密經(jīng)費報告被合并到保密管理年度報告中,目錄中增加了經(jīng)費單項。2013年,美國“受控非密”信息報告也合并到保密管理年度報告中,目錄又增加了“受控非密”信息單項。此后美國保密管理年度報告的架構(gòu)基本固定,如2016年報告的目錄是:總結(jié)、定密、解密、監(jiān)督、部際安全定密上訴委員會、保密經(jīng)費、國家工業(yè)安全工作、“受控非密”信息管理。
可以看出,30多年來美國保密管理年度報告的結(jié)構(gòu)基本穩(wěn)定,2012—2013年的變化也只是把原本獨立的兩個報告,先后合并到保密管理年度報告中,報告的整體風格并未發(fā)生改變。但是,在2018年發(fā)布的新報告中,報告結(jié)構(gòu)發(fā)生了很大改變:第一部分是“基本判斷、結(jié)論、對策建議”;第二部分是“定密”,把從前報告中分列的定密、解密、監(jiān)督單項,作為子項統(tǒng)一放在這個部分;第三到第六部分,則保留了歷屆報告的部際安全定密上訴委員會、保密經(jīng)費、國家工業(yè)安全工作、“受控非密”信息管理4項內(nèi)容;第七部分是附錄,主要是原始數(shù)據(jù)圖表。
與此同時,美國保密管理年度報告的語言風格亦由溫和趨向犀利。在過去的報告中,美國信息安全監(jiān)督辦公室的描述方式都以溫和為主。例如,該辦公室每年都進行現(xiàn)場檢查,每次檢查都發(fā)現(xiàn)大量問題,但面對這些問題,該辦公室似乎一直束手無策。在此前的報告中,用于分析的內(nèi)容通常只有一段話,有時只有兩句話,語言風格也多以應(yīng)該、建議、強烈建議為主。以2014年的現(xiàn)場檢查為例,信息安全監(jiān)督辦公室檢查了7個部門的1105份文件,總計發(fā)現(xiàn)1660處錯誤,其中有59%的文件存在定密標志不符合規(guī)定的問題,還有兩個部門超過90%的文件都有問題。發(fā)現(xiàn)了這么嚴重的問題,報告中卻只是在最后用幾句話進行總結(jié),如“加強部門的自我檢查很重要”“明年將繼續(xù)加強現(xiàn)場檢查”“敦促相關(guān)部門加強保密管理工作”。
但在新報告中,面對檢查發(fā)現(xiàn)的同樣嚴重的問題,如檢查10個部門、1006份文件的定密標志執(zhí)行情況,其中有64%共641份文件存在不符合規(guī)定問題,總計發(fā)現(xiàn)錯誤1129處等。這次,美國信息安全監(jiān)督辦公室的態(tài)度明顯趨于強硬,語言風格轉(zhuǎn)向犀利。新報告用兩頁篇幅,對錯誤的性質(zhì)、危害的嚴重性及出現(xiàn)原因進行了分析。例如,開篇即定性“現(xiàn)場檢查表明,一些機構(gòu)并沒有遵循13526號總統(tǒng)令的核心要求”,批評相關(guān)部門“雖然已經(jīng)過去兩年時間,但是有些部門沒有整改之前檢查中發(fā)現(xiàn)的問題,有一半部門只整改了其中30%甚至更少的問題”。報告中前所未有地使用這樣的評價語言,“頗具諷刺意味的是,那些最需要加強保密管理的部門恰恰沒有整改檢查中發(fā)現(xiàn)的問題”“有些部門的高級領(lǐng)導不重視保密管理”等。在具體措辭方面亦出現(xiàn)明顯變化,如“斗爭”(combat)、“不可接受”(unacceptably)等詞語在之前的報告中從未出現(xiàn)過,但在最新報告中,“斗爭”一詞出現(xiàn)了4次;用于表達嚴重程度的“不可接受”先后出現(xiàn)了5次。
直面問題,內(nèi)容呈現(xiàn)方式從數(shù)據(jù)描述轉(zhuǎn)為數(shù)據(jù)分析
第一,報告第一部分從以前的“點綴”作用上升為報告的“亮點”。從歷年報告的第一部分“總結(jié)”看,通常篇幅較少,一般只有半頁或1頁,分量較輕,多為一些重要數(shù)據(jù)的增減變化。以2016年報告為例,第一部分“總結(jié)”的篇幅不足1頁,分列了定密、解密的主要數(shù)據(jù)及變化。相比之下,《2017年報告》第一部分的分量明顯增加,不但篇幅長達6頁,而且分別以“基本判斷、結(jié)論、對策建議”為分標題,對美國保密管理的現(xiàn)狀進行了“把脈式”診斷。其中“判斷”部分包括以下7個方面:信息保護與信息共享的復雜性使得信息安全在各部門的職責使命中扮演更重要的角色;要保證信息安全保密系統(tǒng)能夠與時俱進,就要不斷推進戰(zhàn)略性變革,包括管理政策和技術(shù)的現(xiàn)代化;白宮必須在發(fā)展支撐信息安全保密系統(tǒng)的現(xiàn)代技術(shù)方面發(fā)揮引領(lǐng)作用,重要部門的領(lǐng)導人也應(yīng)該全力支持;對信息安全保密系統(tǒng)進行現(xiàn)代化改革,需要精準化原則,降低定密的彈性空間,提高解密效率;要更好履行監(jiān)督和管理信息安全保密系統(tǒng)和“受控非密”信息系統(tǒng)的責任,就要不斷強化部門協(xié)作,提升各部門的自我檢查能力;保障計算機信息系統(tǒng)安全上升為健全信息安全保密系統(tǒng)的核心要素;白宮必須對“受控非密”信息管理提供支持和資金保障。
第二,報告正文突出對數(shù)據(jù)本身的分析而不是數(shù)據(jù)的簡單呈現(xiàn)。以前的報告均以靜態(tài)數(shù)據(jù)呈現(xiàn)為主,進入報告正文,每部分都只是羅列數(shù)據(jù),多以圖或表的方式描述各種數(shù)據(jù)的變化,基本沒有對數(shù)據(jù)變化原因、影響及對策進行分析。即使某類數(shù)據(jù)出現(xiàn)較大幅度的變化,解釋性的語言也十分有限。例如,2011年美國原始定密數(shù)量較上一年大幅減少了43%,但當年的報告中對這個變化的分析只有一句話,“其主要原因是更好地利用了定密指南,認真遵守將原始定密決定納入定密指南的結(jié)果”。而且更多的時候,報告中沒有任何解釋,例如,2015年美國原始定密的保密期限普遍超過10年,在當年總計53425項原始定密中,僅有15%的解密期限被確定在10年以下,但當年的報告卻沒有對此作出任何解釋。
《2017年報告》則突出了以分析為重點的新特點。在報告中,以前的數(shù)據(jù)圖表變成了報告的附錄,報告正文運用大量篇幅對數(shù)據(jù)關(guān)系展開分析。進入正文后,每部分內(nèi)容都被分為三個子項:數(shù)據(jù)、分析和結(jié)果。其中數(shù)據(jù)部分的呈現(xiàn)較過去更為簡潔,以第二部分“定密”為例,子項“數(shù)據(jù)”部分的內(nèi)容如下:2017年美國原始定密官人數(shù)1867人,較2016年的2215人下降了約16%。其中,絕密級原始定密官716人,機密級1114人,秘密級37人。2017年各部門的原始定密數(shù)量總計58501件,其中絕密級國家秘密數(shù)量是1398件,機密級48056件,秘密級9047件。10年以下保密期限占比為66%。
子項“分析”部分的內(nèi)容則遠多于“數(shù)據(jù)”部分,報告用5段文字進行了詳細分析,例如,“機密級定密數(shù)量占比的增加反映出加強精準定密的迫切性,應(yīng)該把原始定密確定在有利于實現(xiàn)信息最大共享的密級”“十年以下解密期限數(shù)量的增多是一個好的變化,可能是受經(jīng)費限制所致”等。
此外,子項“結(jié)果”部分的內(nèi)容也十分豐富。報告用3段文字分析數(shù)據(jù)變化的影響及原因,認為“定密不準,大部分時候表現(xiàn)為過度定密,已成為當前美國信息安全保護和共享的最大障礙”,提出“強化精準定密、減少定密自由度”,強調(diào)“關(guān)鍵在于把原始定密權(quán)限制在最低水平”等結(jié)論?梢哉f,堆砌數(shù)據(jù)式的報告模式已成為過去時。
第三,《2017年報告》以問題為導向,深入剖析問題,推動部門解決問題。以第六部分“受控非密”信息管理為例,報告對2017年美國“受控非密”信息的分析內(nèi)容就達3頁,其中對存在問題的分析超過1頁。主要分析了以下5個方面的問題:缺乏高層領(lǐng)導支持,一些部門如商務(wù)部和能源部沒有任命“受控非密”信息管理的負責人,還有一些部門任命的負責人職級太低,無法勝任這項工作;由于聯(lián)邦預算管理局之前沒有相關(guān)預算,各部門僅利用現(xiàn)有的人力和資源開展工作,這意味“受控非密”信息管理只是一項附加職責,不利于工作的開展;具體負責相關(guān)工作的人員流動太快,影響了“受控非密”信息管理的效果;一些部門把“受控非密”信息管理當成負擔,認為該項工作過于寬泛無法實施;一些部門預先準備與評估不足,就開始實施該項工作。在列舉上述問題后,報告提出了解決方案,包括要求白宮出面干預,推動高層領(lǐng)導負責,并解決資金問題等。
突出加強美國保密管理的緊迫性,建議更具前瞻性
通讀《2017年報告》,能明顯感受到美國信息安全監(jiān)督辦公室空前的緊迫感和強烈的變革意愿。在報告第一部分的最后,美國信息安全監(jiān)督辦公室提出要加強與國家安全委員會成員以及各部門的合作,密切配合,制定可操作的措施,以推動變革。值得注意的是,在美國信息安全監(jiān)督辦公室提出的13條建議中,16次使用了“必須”(must)一詞,突顯了其推動改革的堅定決心。具體建議包括:各部門迫切需要一項政府范圍的技術(shù)措施來管理定密信息,向定密不準和解密不及時宣戰(zhàn);必須要求各部門提供預算需求,包括保密經(jīng)費估算在內(nèi),以推進定密和解密的現(xiàn)代化;聯(lián)邦預算管理局應(yīng)考慮改革預算申請辦法,將信息安全保密管理作為一個項目納入其內(nèi);信息安全監(jiān)督局必須加強與國家安全委員會、聯(lián)邦預算管理局、國家情報委員會辦公室的合作,采取有效方法來評估美國信息安全保密管理體系;必須要求各部門實施新的風險管理辦法,強調(diào)緩解而不是避免風險,以幫助降低成本、促進適當?shù)男畔⒐蚕恚⑻岣呓饷苄;必須修訂相關(guān)管理制度,以提高自動解密的效率;各部門必須認真解決計算機信息系統(tǒng)安全問題,特別要加強涉密信息系統(tǒng)和“受控非密”信息管理系統(tǒng)的保護;各部門必須嚴格遵守13526號總統(tǒng)令關(guān)于定密培訓、績效評估、定密質(zhì)疑程序的規(guī)定;加強與部際安全定密上訴委員會成員的合作,及時處理有關(guān)重大歷史價值和公眾最感興趣檔案解密的上訴事宜;建議部際安全定密上訴委員會擴大成員范圍,把國土安全部納入進來,增設(shè)1名公眾成員,以提高公眾對委員會決定的支持;各部門必須迅速行動,制定完善“受控非密”信息管理制度;各部門必須根據(jù)聯(lián)邦預算管理局的規(guī)定,及時提交預算申請,等等。
總之,《2017年報告》通篇散發(fā)著加強美國保密管理的緊迫感,表達了美國信息安全監(jiān)督辦公室強大的推進改革的意愿和決心,對問題的分析更具體、更全面,提出的建議也更有針對性、操作性和系統(tǒng)性,預示著新一輪美國保密管理改革即將拉開帷幕。
(原載于《保密工作》2018年第9期)