2018年7月,美国信息安全监督办公室公布了《2017年美国保密管理年度报告》(以下简称《2017年报告》)。与历年报告不同的是,在给特朗普总统的信中,美国信息安全监督办公室主任布拉德利言辞犀利地写道:“美国的保密系统已经到了变革的关键时刻,过度定密严重阻碍了应对安全威胁所必需的信息共享,而解密太少也影响了美国人民对政府的信任。我们正处在十字路口,美国的保密系统已经扩张到了无法有效管理并经常适得其反的程度。”纵览报告全文,不难发现美国保密报告的结构已发生明显改变,语言犀利、强化分析、突出前瞻性是3个最显著的特点。
整体结构改变,语言风格由温和转向犀利
美国首份保密管理年度报告发布于1980年,经过10年的发展,报告的基本模式趋于成熟。例如,1990年的报告目录是:总结、定密、解密、保护、定密信息不得披露协议、安全教育协助。而2012年的报告目录是:总结、定密、解密、监督、部际安全定密上诉委员会、国家工业安全工作。两者相比,只是把保密协议和安全教育合并到“保护”项目中,增加了上诉委员会和工业安全的单项。从2012年开始,美国保密经费报告被合并到保密管理年度报告中,目录中增加了经费单项。2013年,美国“受控非密”信息报告也合并到保密管理年度报告中,目录又增加了“受控非密”信息单项。此后美国保密管理年度报告的架构基本固定,如2016年报告的目录是:总结、定密、解密、监督、部际安全定密上诉委员会、保密经费、国家工业安全工作、“受控非密”信息管理。
可以看出,30多年来美国保密管理年度报告的结构基本稳定,2012—2013年的变化也只是把原本独立的两个报告,先后合并到保密管理年度报告中,报告的整体风格并未发生改变。但是,在2018年发布的新报告中,报告结构发生了很大改变:第一部分是“基本判断、结论、对策建议”;第二部分是“定密”,把从前报告中分列的定密、解密、监督单项,作为子项统一放在这个部分;第三到第六部分,则保留了历届报告的部际安全定密上诉委员会、保密经费、国家工业安全工作、“受控非密”信息管理4项内容;第七部分是附录,主要是原始数据图表。
与此同时,美国保密管理年度报告的语言风格亦由温和趋向犀利。在过去的报告中,美国信息安全监督办公室的描述方式都以温和为主。例如,该办公室每年都进行现场检查,每次检查都发现大量问题,但面对这些问题,该办公室似乎一直束手无策。在此前的报告中,用于分析的内容通常只有一段话,有时只有两句话,语言风格也多以应该、建议、强烈建议为主。以2014年的现场检查为例,信息安全监督办公室检查了7个部门的1105份文件,总计发现1660处错误,其中有59%的文件存在定密标志不符合规定的问题,还有两个部门超过90%的文件都有问题。发现了这么严重的问题,报告中却只是在最后用几句话进行总结,如“加强部门的自我检查很重要”“明年将继续加强现场检查”“敦促相关部门加强保密管理工作”。
但在新报告中,面对检查发现的同样严重的问题,如检查10个部门、1006份文件的定密标志执行情况,其中有64%共641份文件存在不符合规定问题,总计发现错误1129处等。这次,美国信息安全监督办公室的态度明显趋于强硬,语言风格转向犀利。新报告用两页篇幅,对错误的性质、危害的严重性及出现原因进行了分析。例如,开篇即定性“现场检查表明,一些机构并没有遵循13526号总统令的核心要求”,批评相关部门“虽然已经过去两年时间,但是有些部门没有整改之前检查中发现的问题,有一半部门只整改了其中30%甚至更少的问题”。报告中前所未有地使用这样的评价语言,“颇具讽刺意味的是,那些最需要加强保密管理的部门恰恰没有整改检查中发现的问题”“有些部门的高级领导不重视保密管理”等。在具体措辞方面亦出现明显变化,如“斗争”(combat)、“不可接受”(unacceptably)等词语在之前的报告中从未出现过,但在最新报告中,“斗争”一词出现了4次;用于表达严重程度的“不可接受”先后出现了5次。
直面问题,内容呈现方式从数据描述转为数据分析
第一,报告第一部分从以前的“点缀”作用上升为报告的“亮点”。从历年报告的第一部分“总结”看,通常篇幅较少,一般只有半页或1页,分量较轻,多为一些重要数据的增减变化。以2016年报告为例,第一部分“总结”的篇幅不足1页,分列了定密、解密的主要数据及变化。相比之下,《2017年报告》第一部分的分量明显增加,不但篇幅长达6页,而且分别以“基本判断、结论、对策建议”为分标题,对美国保密管理的现状进行了“把脉式”诊断。其中“判断”部分包括以下7个方面:信息保护与信息共享的复杂性使得信息安全在各部门的职责使命中扮演更重要的角色;要保证信息安全保密系统能够与时俱进,就要不断推进战略性变革,包括管理政策和技术的现代化;白宫必须在发展支撑信息安全保密系统的现代技术方面发挥引领作用,重要部门的领导人也应该全力支持;对信息安全保密系统进行现代化改革,需要精准化原则,降低定密的弹性空间,提高解密效率;要更好履行监督和管理信息安全保密系统和“受控非密”信息系统的责任,就要不断强化部门协作,提升各部门的自我检查能力;保障计算机信息系统安全上升为健全信息安全保密系统的核心要素;白宫必须对“受控非密”信息管理提供支持和资金保障。
第二,报告正文突出对数据本身的分析而不是数据的简单呈现。以前的报告均以静态数据呈现为主,进入报告正文,每部分都只是罗列数据,多以图或表的方式描述各种数据的变化,基本没有对数据变化原因、影响及对策进行分析。即使某类数据出现较大幅度的变化,解释性的语言也十分有限。例如,2011年美国原始定密数量较上一年大幅减少了43%,但当年的报告中对这个变化的分析只有一句话,“其主要原因是更好地利用了定密指南,认真遵守将原始定密决定纳入定密指南的结果”。而且更多的时候,报告中没有任何解释,例如,2015年美国原始定密的保密期限普遍超过10年,在当年总计53425项原始定密中,仅有15%的解密期限被确定在10年以下,但当年的报告却没有对此作出任何解释。
《2017年报告》则突出了以分析为重点的新特点。在报告中,以前的数据图表变成了报告的附录,报告正文运用大量篇幅对数据关系展开分析。进入正文后,每部分内容都被分为三个子项:数据、分析和结果。其中数据部分的呈现较过去更为简洁,以第二部分“定密”为例,子项“数据”部分的内容如下:2017年美国原始定密官人数1867人,较2016年的2215人下降了约16%。其中,绝密级原始定密官716人,机密级1114人,秘密级37人。2017年各部门的原始定密数量总计58501件,其中绝密级国家秘密数量是1398件,机密级48056件,秘密级9047件。10年以下保密期限占比为66%。
子项“分析”部分的内容则远多于“数据”部分,报告用5段文字进行了详细分析,例如,“机密级定密数量占比的增加反映出加强精准定密的迫切性,应该把原始定密确定在有利于实现信息最大共享的密级”“十年以下解密期限数量的增多是一个好的变化,可能是受经费限制所致”等。
此外,子项“结果”部分的内容也十分丰富。报告用3段文字分析数据变化的影响及原因,认为“定密不准,大部分时候表现为过度定密,已成为当前美国信息安全保护和共享的最大障碍”,提出“强化精准定密、减少定密自由度”,强调“关键在于把原始定密权限制在最低水平”等结论。可以说,堆砌数据式的报告模式已成为过去时。
第三,《2017年报告》以问题为导向,深入剖析问题,推动部门解决问题。以第六部分“受控非密”信息管理为例,报告对2017年美国“受控非密”信息的分析内容就达3页,其中对存在问题的分析超过1页。主要分析了以下5个方面的问题:缺乏高层领导支持,一些部门如商务部和能源部没有任命“受控非密”信息管理的负责人,还有一些部门任命的负责人职级太低,无法胜任这项工作;由于联邦预算管理局之前没有相关预算,各部门仅利用现有的人力和资源开展工作,这意味“受控非密”信息管理只是一项附加职责,不利于工作的开展;具体负责相关工作的人员流动太快,影响了“受控非密”信息管理的效果;一些部门把“受控非密”信息管理当成负担,认为该项工作过于宽泛无法实施;一些部门预先准备与评估不足,就开始实施该项工作。在列举上述问题后,报告提出了解决方案,包括要求白宫出面干预,推动高层领导负责,并解决资金问题等。
突出加强美国保密管理的紧迫性,建议更具前瞻性
通读《2017年报告》,能明显感受到美国信息安全监督办公室空前的紧迫感和强烈的变革意愿。在报告第一部分的最后,美国信息安全监督办公室提出要加强与国家安全委员会成员以及各部门的合作,密切配合,制定可操作的措施,以推动变革。值得注意的是,在美国信息安全监督办公室提出的13条建议中,16次使用了“必须”(must)一词,突显了其推动改革的坚定决心。具体建议包括:各部门迫切需要一项政府范围的技术措施来管理定密信息,向定密不准和解密不及时宣战;必须要求各部门提供预算需求,包括保密经费估算在内,以推进定密和解密的现代化;联邦预算管理局应考虑改革预算申请办法,将信息安全保密管理作为一个项目纳入其内;信息安全监督局必须加强与国家安全委员会、联邦预算管理局、国家情报委员会办公室的合作,采取有效方法来评估美国信息安全保密管理体系;必须要求各部门实施新的风险管理办法,强调缓解而不是避免风险,以帮助降低成本、促进适当的信息共享,并提高解密效率;必须修订相关管理制度,以提高自动解密的效率;各部门必须认真解决计算机信息系统安全问题,特别要加强涉密信息系统和“受控非密”信息管理系统的保护;各部门必须严格遵守13526号总统令关于定密培训、绩效评估、定密质疑程序的规定;加强与部际安全定密上诉委员会成员的合作,及时处理有关重大历史价值和公众最感兴趣档案解密的上诉事宜;建议部际安全定密上诉委员会扩大成员范围,把国土安全部纳入进来,增设1名公众成员,以提高公众对委员会决定的支持;各部门必须迅速行动,制定完善“受控非密”信息管理制度;各部门必须根据联邦预算管理局的规定,及时提交预算申请,等等。
总之,《2017年报告》通篇散发着加强美国保密管理的紧迫感,表达了美国信息安全监督办公室强大的推进改革的意愿和决心,对问题的分析更具体、更全面,提出的建议也更有针对性、操作性和系统性,预示着新一轮美国保密管理改革即将拉开帷幕。
(原载于《保密工作》2018年第9期)