文│ 北京师范大学刑科院暨法学院 吴沈括 崔婷婷

受控非密信息(Controlled Unclassified Information)是根据适用法律、法规和政府政策进行保护或传播控制的信息,分为:仅供官方使用信息(FOUO INFORMATION)、执法敏感信息(LES INFORMATION)、国防部受控非密核信息 (Do D UCNI)、限制分发信息(LIMITED DISTRIBU-TION INFORM ATION)、国务院敏感非密信息(Do S SBUI)、缉毒署敏感信息 (DEA Sensitive Information)、外国政府信息(FOREIGN GOVERNMENT INFORMA-TION)和技术文件分发声明(DISTRIBUTION STATE-M ENTS ON TECHNICAL DOCUM ENTS)八类。

此前,美国相关执行部门在涉及隐私、安全、财务商业利益和执法调查等信息时,通常采用特定的机构、程序和标记来保护和控制这些信息,但这种方式存在低效、混乱的不足之处,常导致文件的标记和保护不一致、不明确或不必要的限制性传播政策,并对授权信息共享造成障碍。此外,相关机构特有的政策往往不让公众知情,这加剧了问题的产生。

为规范100多个独立部门、机构、州、学术界和行业的做法,美国政府建立了一个管理这些信息的程序,即受控非机密信息(Controlled Unclassified Information,CUI),强调整个政府实践的公开性和统一性。CUI是政府创建或拥有的信息,或者是实体为政府或代表政府创建或拥有的信息,或者是法律、法规或政府范围的政策要求或允许机构使用保护或传播控制进行处理的信息。但是,CUI不包括机密信息或非执行分支机构在其自身系统中拥有和维护的信息,这些信息不是由执行分支机构或代理机构的实体创建或拥有。CUI的类别和子类别是用于识别整个行政部门中需要保护或传播控制的非机密信息的唯一指定,并与适用的法律、法规和整个政府的政策相一致。美国2010年11月4日颁布第13556号行政命令(下文简称“命令”),该命令建立了一个管理所有行政部门的CUI的计划,并指定国家档案和记录管理局(NARA)作为执行机构来执行该命令并监督机构的行动以确保合规。同时,NARA已将这些责任委托给信息安全监督办公室(ISOO)。

一、关于受控非密信息管理机构职能介绍

ISOO已被NARA授权委托成为CUI的执行机构(Executive Agent(EA)),它负责执行行政部门范围的CUI计划,并监督联邦机构遵守该命令的行动。2016年ISOO颁发了32 CFR Part 2002指令(下文简称“指令”),旨在为CUI的类别指定、保护、传播、标记、解除控制和处置、自我检查和监督要求制定政策。

ISOO作为受控非密信息的管理机构在执行行政命令时,需要承担一定的职责,这些职责主要包括:(1)根据需要制定和发布政策、指导和其他材料,以实施订单、CUI注册表,并建立和维护CUI计划;(2)根据需要与受影响的机构,政府政策机构,州、地方、部落和私营部门合作伙伴以及公众代表就CUI相关事宜进行协商;(3)建立、召集和主持CUI咨询委员会(理事会),以解决与CUI计划有关的事宜。CUI EA与受影响的机构协商,制定并记录理事会的结构和程序,并向行政管理和预算局(OMB)提交详细信息以供批准;(4)审查并批准实施的机构政策,以确保其与指令、CUI注册表保持一致;(5)审查、评估和监督机构实施CUI计划的行动,以确保遵守指令和CUI注册表;(6)根据指令提交的机构合规计划,并与受影响的机构同OMB协商,建立管理和规划框架,包括分阶段实施的相关截止日期;(7)根据需要批准CUI的类别和子类别,并在CUI注册表中发布;(8)根据需要维护和更新CUI注册表;(9)规定监督和机构自检程序的标准、程序、指南和指示,包括进行现场检查;(10)规范实施CUI计划的形式和程序;(11)酌情考虑并解决政府内外实体对CUI计划的争议、投诉和建议;(12)向总统报告该命令的执行情况和指令的要求。这包括至少每两年发布一份关于机构实施状况的报告,或者由CUI EA自行决定是否需要更频繁。总之,ISOO作为Executive Agent,对整个受控非密信息计划的实施起着主要作用,对整个计划负责。

机构负责人(Agency heads)是执行机构的重要一部分,其在整个执行机构中起着举足轻重的作用,主要负责重要的管理及决策。其主要有以下职责:(1)确保机构高级领导层的支持,并提供足够的资源来实施、管理和遵守CUI EA管理的CUI计划;(2)指定一名CUI高级机构官员(SAO)负责监督该机构的CUI计划实施、合规和管理,并将该官员列入机构联系人列表;(3)根据需要批准机构政策,以实施CUI计划;(4)建立并维护一个自检程序,以确保该机构符合该命令的本原则和要求,本部分和CUI注册表。

CUI高级机构官员(SAO)是由机构负责人书面指定的高级官员,负责在该机构内实施CUI计划。CUI SAO是它机构与CUI EA之间进行官方通信、问责制报告和其他记录事项的主要联络点。CUI高级机构官员(SAO)作为与官方通信的联络人,主要有以下职责:(1)必须达到高级行政服务职等或同等水平;(2)指导和监督该机构的CUI计划;(3)指定CUI项目经理;(4)确保机构根据需要实施CUI政策和计划;(5)根据指令实施教育和培训计划;(6)根据行政命令、CUI EA的要求,提供CUI实施工作的最新报告更新;(7)向CUI EA提交尚未纳入CUI注册管理机构的任何法律、法规或政府范围的政策,该机构建议使用该政策来指定用于保护或传播控制的非机密信息;(8)酌情与CUI EA协调建立、删除或修改CUI类别或子类别的任何拟议法律、法规或政府范围政策,或更改适用于CUI的信息控制;(9)建立处理授权持有人提交的CUI解除控制请求的流程;(10)包括对CUI EA的年度报告中所有现有豁免的描述、每项豁免的理由、(如适用)该机构为确保在机构内对CUI提供充分保护而采取的替代步骤;(11)制定并实施该机构的自查程序;(12)建立一种机制,授权持有人(代理机构内外)可以联系指定机构代表,以便在他们收到机构指定为CUI的无标记或不正确标记的信息时获得指示;(13)建立接受和管理CUI状态挑战的流程(可能包括不正确或缺席的标记);(14)建立报告和调查CUI滥用的程序和标准;(15)遵循指令中列出的关于CUI豁免的CUI SAO的要求。

二、关于受控非密信息的管理与监督

执行机构EA在负责执行CUI的计划时,其管理过程也存在相应的规则与程序,在执行过程中也要监督机构的行动是否合规。下文主要介绍执行机构EA的主要管理措施以及其自身的监督程序,包括滥用CUI的后果。

1.保障

创建或处理非机密信息的机构应采取保护措施和控制措施,以保护CUI免受未经授权的侵害访问,并管理与CUI的处理、存储、传输和销毁相关的风险。EA应确保所有保护措施都符合CUI现有的联邦要求和指令,包括行政管理和预算局(OMB)政策和国家标准与技术研究院(NIST)标准根据行政命令第6(a)(3)条的规定。当法律、法规或政府范围内的政策要求具体要求时保护CUI的特定类别或子类别,这些要求应发布在CUI注册表中。所有负责CUI处理、存储、传输或销毁的人员应采取适当措施防止未经授权的访问或使用。特定于机构的保护控制措施不得超过CUI注册管理机构中公布的控制措施强制执行机构以外的用户。

2.传播

法律、法规或政府范围的政策是否应包括传播控制应遵循特定说明,并在CUI注册表中提供参考。EA在应对每个相关当局缺乏具体的传播控制措施时,仅需向要授权任务信息的个人传播CUI。仅将信息指定为CUI的事实不影响根据《信息自由法》(FOIA)或任何要求披露信息或允许酌情披露信息的法律(包括向司法部门披露)作出的决定。

3.争议解决

因创建或处理非机密信息的机构执行该命令而产生争议,应尽一切努力迅速解决争议。争议应该是在双方商定的时间内解决,同时考虑到任务、共享和有关各方的保护要求。如果争议的当事方无法达成双方均可接受的解决方案,则应该根据不同的情况采用不同的方式解决。当涉及争议的法律、法规或政府范围的政策规定了解决争议的具体程序,流程和要求时,机构必须遵循该CUI的流程。这包括如果当局要求,将争议提交给CUI EA以外的其他人解决。如果有争议的CUI涉及诉讼,该机构应通过诉讼程序将问题提交给相应的律师解决。

同时,争议产生时各方应尽一切努力迅速解决争议。缔约方应在合理,可相互接受的时间内处理争端,同时考虑到各方的使命,共享和保护要求。如果争议各方无法达成双方均可接受的解决方案,任何一方均可将此事项提交给CUI EA。CUI EA作为争议的公正仲裁者,并有权在与所有受影响的各方协商后对争议作出决定。如果争议的一方也是情报界的成员,当CUI EA收到争议解决时,CUI EA必须咨询国家情报总监办公室。在争议解决之前,授权持有人应继续保护和传播标记中指明的控制级别的任何有争议的CUI,或者如果信息未标记,则按照CUI EA的指示进行。根据命令第4(e)条,各方可通过OMB主任向CUI EA决定向总统提出上诉。如果争议的一方是CUI EA并且当事方无法根据本节(c)的规定解决争议,则双方同样可以将此事提交给OMB进行解决。

4.废除管制

当不再需要采取保护措施时,应尽快解除CUI的控制和相关当局的传播控制。每个类别登记处应说明适用解除管制的具体时限或事件。除非信息已合并,否则在CUI解除控制时无需采取任何措施,重申、释义或重复使用。在这些情况下,应通过CUI标记,或通过电子措施公开发布删除解除控制不构成CUI的信息。公开发布应符合法律、法规和机构特定程序。

当法律、法规或政府范围的政策不再需要作为CUI进行控制时,授权持有人在授权法律、法规或政府政策下具有适当的权力,或者通过指定机构的肯定决定,EA可以自动解除对CUI的控制。还有另外几种情况,例如(1)指定机构决定通过肯定,主动披露向公众发布;(2)如果EA将此类披露纳入其公开发布流程,则可根据适用的信息访问法规(例如FOIA或隐私法案(在法律允许的情况下))披露信息;(3)当预先确定的事件或日期发生时,除非法律法规或政府范围的政策要求首先进行协调;在这些情况之下,EA也可以自动解除对CUI的控制

5.教育和培训

CUI SAO应至少确保创建或处理CUI的人员具有对相关CUI类别和相关标记的理解,以及适用的保护、传播和解除控制政策和程序,培训政策至少必须涉及代理CUI培训的方式,方法和频率。

(b)机构培训政策必须确保有权访问CUI的人员接受有关指定CUI,相关CUI类别和子类别、CUI注册表、相关标记以及适用的安全防护、传播和解除控制政策和程序的培训。

(c)当员工第一次开始为该机构工作时,机构必须对员工进行培训,至少每两年一次。

(d)CUI EA审查机构培训材料,以确保与指令及CUI注册表的一致性和合规性。

6.疏忽

CUI EA应对各机构的实施情况进行监督,以确保机构制定全面的计划实施和遵守指令。根据要求,机构应提供CUI实施工作的更新,以便后续报告行政命令第5(c)条要求。CUI EA监督可能包括进行正式审查、现场联络访问以及整个行政部门的审计,以评估机构CUI实施,识别需要纠正的信息处理程序或问题行动,提供指导和协助,并根据相关情况进行调查通知或投诉。

7.机构自我监督

EA负责人应制定符合原则和要求的自我检查计划订单的要求,制定自检方法:包括审查和评估计划的有效性、衡量遵守的程度并监控CUI实施的进度。机构自我监督计划还应将从审查和评估中汲取的经验教训纳入其中改进运营政策、程序和培训,建立纠正措施的制度。

主要自我监督程序必须包括:(1)至少对该机构的CUI计划进行年度审查和评估。机构负责人或CUI SAO应根据计划需求以及该机构参与指定CUI的程度来确定更高的频率;(2)自我检查方法、审查和评估,用于评估项目的有效性、衡量合规水平,并监控CUI实施的进度;(3)在CUI EA未规定的情况下记录自检和记录结果的格式;(4)将审查和评估中产生的经验教训和最佳做法纳入业务政策和培训的程序;(5)解决缺陷和采取纠正措施的过程;(6)自检程序的分析和结论,每年记录并按照CUI EA的要求进行记录。

8.滥用CUI的制裁

CUI SAO必须建立代理程序和标准,以报告和调查CUI的滥用情况。CUI EA酌情向违规机构的CUI SAO或CUI项目经理报告任何涉及滥用CUI的事件的调查结果。如果机构负责人被授权对滥用CUI的机构人员采取行政行动,则机构CUI管理滥用的政策应反映该权力。如果法律、法规或政府范围内对CUI某些类别或子类别的政策具体规定制裁,则机构必须遵守此类制裁。

三、受控非密信息中的出口控制信息

出口控制的信息是指未经政府批准或获得《国际武器贸易条例》(ITAR)管制的许可,不得向外国国民或外国实体的代表发布的任何信息,或出口管理条例(EAR)控制的商品等的信息。出口控制信息必须作为敏感信息进行控制并进行相应标记。出口控制信息主要是包括某些物品、商品、技术、软件或其他信息的非机密信息,这些信息的出口在合理地预期下可能会对美国的国家安全和防扩散目标产生不利影响。这类信息主要包括双重用途项目、出口管理条例、《国际武器运输条例》和《军需清单》规定的物品,授权应用程序以及敏感的核技术信息,其在CUI中类别标记为“EXPT”。

不同的法律法规对美国人、美国国民和外国人使用不同的定义。在与拥有绿卡在美国永久居留的移民外国人打交道时,这些规则尤其令人困惑。出于出口管制规定的目的,这样的个人是“美国人”,可以被允许访问出口控制的信息而无需出口许可证。但是,如果对出口管制信息进行分类,则适用于发布机密信息的规定。根据国家工业安全计划操作手册,持有绿卡的永久居民仍然是外国人,而不是“美国人”。因此,这样的个人不能访问分类的出口控制信息。出口控制的信息只能传播给美国公民或移民外国人。重要的是要注意,与美国的外国公民或“代表外国人行事”的人进行讨论,如果它揭示出口控制技术的技术信息,则构成“出口”。包含出口控制技术数据的所有文档都必须标记警告提示。

对出口管制信息的保护。为了保护出口控制信息,出口控制信息的拥有者必须拒绝接触外国国民或任何未经授权的人的机会。必须为商务管理部门的所有项目出口保留记录,为期至少两年。ITAR上列出的物品出口记录必须保存五年。只有当访问该站点仅限于被授权拥有该信息且该信息被加密的特定目标受众时,才可以将出口控制的信息放在因特网网站上。比如受出口管制的国防部技术数据应按技术数据中的规定予以保护。

对于违反了对于出口控制信息的规则的,根据ITAR控制的非法出口物品或信息的处罚最高可判处2年监禁,或罚款100000美元,或两者兼施。根据《出口管制条例》(EAR)控制的非法出口物品或信息的处罚,最高可达1000000美元,或者是出口价值的五倍,以较高者为准;或个人最高10年监禁或最高250000美元或两者并罚。

四、结语

2018年7月12日,ISOO已向总统发布2017年工作报告。报告中强调,全面实施并全力推进CUI计划,将进一步促进国家安全。然而,该计划的实施仍然存在争议和挑战。虽然许多机构已经接受了它的好处,但是相当多的机构只给予它有限的支持,并且在制定实施它的政策和做法方面过于迟缓。ISOO希望政府必须进行强有力的干预,以强调CUI计划全面实施的至关重要性。随着CUI计划的不断推进,所遇到的各种挑战也将不断得到克服和解决,CUI项目将在下一个阶段实施过程中继续发展。随着CUI计划融入常规机构实践,EA活动将从最初的开发过渡到一般的维护和监督。

(基金项目:本文是国家社会科学基金项目(批准号:15CFX035)的阶段性成果,刊登于《中国信息安全》杂志2019年第5期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。