論美國“敏感信息”管理過程的公開化及啟示

十八屆四中全會提出全面推進政務信息公開，在《中共中央關於全面推進依法治國若干重大問題的決定》中首次明確“堅持以公開為常態、不公開為例外原則”。要求“推進決策公開、執行公開、管理公開、服務公開、結果公開。各級政府及其工作部門依據權力清單，向社會全面公開政府職能、法律依據、實施主體、職責權限、管理流程、監督方式等事項”。該決定所確立的原則不僅對政務信息公開有十分重要的歷史意義，對不公開信息的規范管理也將產生深遠影響。在政務信息公開制度比較成熟的美國，即使是不公開信息，例如“敏感信息”，也需要公開權力清單和管理的具體流程，基本實現了管理過程的公開化，有效遏制了權力濫用，有很多成熟的經驗值得國內借鑒。

1 “敏感信息”的涵義及特點

公開信息的對立面不是國家秘密，而是不公開信息。在美國，除個人隱私和商業秘密外，政府部門的不公開信息主要包括國家秘密、“敏感信息”和純粹的單位內部信息，其中“敏感信息”與國家秘密最容易混淆。因為“敏感信息”是介於保密信息與公開信息之間的特殊信息，這類信息不符合定密標准，不能按照國家秘密的形式進行保護，但是如果公開，卻有可能造成某種損害或潛在損害，因此需要限制公開或控制其傳播。美國把這類信息稱為“受控非密信息”(簡稱CUI)，也就是國內所說的“敏感信息”，本文為方便比較研究，統稱為“敏感信息”。

“敏感信息”有以下三個特點：一是傳播控制性。相比於國家秘密的不能泄露，“敏感信息”更突出公開傳播后可能帶來的危害，也更強調對信息傳播的嚴格控制。例如，“9.11事件”發生后，在媒體的嚴厲批評下，美國安全部門將“如何把危險細菌變成致命武器”列入“敏感信息”，禁止傳播。到2013年，隨著反恐形勢的日益嚴峻，如何利用高壓鍋制造炸彈也需要限制傳播，因為波士頓爆炸案的裝置是一種改造過的高壓鍋，而基地組織曾在網上發布如何制造高壓鍋炸彈的手冊。為此，爆炸案發生數月后，紐約還發生了這樣的離奇故事：6人反恐小組突然搜查了一戶人家，原因竟然只是這對夫婦分別在網上檢索了高壓鍋、雙肩包的信息﹔而他們的兒子則在網上關注了波士頓爆炸。當然，事后証明這只是虛驚一場。

二是不易辨別性，“敏感信息”不是國家秘密，但卻不能公開，而判斷其危害性的標准也只是可能造成的損害或潛在損害。這意味著，在實質性危害未發生前，甄別某信息是否屬於“敏感信息”是一項非常專業的技術工作，需要嚴密的機制設計和嚴格的約束條件作保障，否則幾乎必然出現對信息傳播的過度控制。為此，美國專門頒布了“敏感信息”管理總統令，精確定義其是“根據法律、法規和政府范圍內的政策，需要進行保護和控制傳播的信息，但‘敏感信息’不得包括13526號總統令規定的涉密信息，也不包括《原子能法》及其修正案所涉及的信息”。這裡所說的13526號總統令是美國保密管理法規，詳細規定了在美國何種信息、在什麼情況下、可以由誰定義為國家秘密。此外，13556號總統令還確立了“重大懷疑從無”原則，即如果對信息是否應該被確定為“敏感信息”有重大懷疑時，則該信息就不應該被指定為“敏感信息”。確立該原則意義重大，不僅解除了一線工作者的后顧之憂，還能有效遏制“敏感信息”管理權的濫用。

三是難以規范性。既非公開信息，又不易辨別，必然導致“敏感信息”的規范管理難度極大。美國就曾經歷長達10年的混亂時期，發布13556號總統令的宗旨就是要“確立公開、統一的‘敏感信息’管理模式”。為了規范“敏感信息”管理，執行機構制定了一系列管理制度和嚴格的約束機制，並特別規定了“禁止條款”，明確“敏感信息”的確定不得用於掩蓋錯誤、違法行為或尷尬事件的曝光﹔不能干預競爭﹔不得阻止或延遲不需要保護信息的公開等。上述規定既屬於“敏感信息”確定的禁區，也是社會各界質疑“敏感信息”確定是否適當的依據之一。

2 美國“敏感信息”管理的權力清單公開

2.1 管理的政策法規上網 美國的“敏感信息”依法管理。有專門的法規、實施辦法、指南和公告等，所有這些政策文件均發布至官網。即使是內容不能公開的文件，也可以在官網查到文件的名稱。例如，美國“敏感信息”的管理法規發布於2010年11月4日，全稱是《受控非密信息》13556總統令，屬於公開信息，官網中可以下載全文﹔但該總統令的實施辦法是不公開的，在官網中隻能查到名稱是“32 CFR 2002 CUI***”，發布時間也以xxx代替。目前，執行機構已發布7個指南及公告，其中有6個是公開的，可以免費下載﹔一個是不公開的，為“敏感信息”標識辦法，發布時間也以xxx代替。

2.2 管理的主體公開 美國檔案與文件管理局是總統令的執行機構(EA)，監督聯邦政府各個部門落實“敏感信息”管理法規。執行機構下設“敏感信息”管理辦公室，辦公室主任由美國信息安全監督局局長兼任。該辦公室是一個相對獨立的機構，共有8人，人員姓名及聯系方式均可在網站查詢，且包括主任在內的每位成員的郵箱均內置鏈接，在網頁點擊其名字即可直接進入郵件模式。雖然主任、副主任均為兼職，但是副主任由信息安全監督局排名第三位的副局長兼任，而這位副局長在局裡專門負責“敏感信息”管理工作。也就是說，包括這位副主任在內的7人其實是美國“敏感信息”管理的專職人員。

2.3 管理權力及職責公開 美國“敏感信息”管理分為執行機構、行政部門、管理咨詢委員會三個層面。在13556號總統令及相關文件中，分別對上述三個層面的權力職及職責做出了明確規定。其中執行機構的權力主要包括：審批類別和子類別﹔建立“敏感信息”登記系統﹔制定執行條例、指南﹔協調、解決政策落實中的各種問題等。行政部門的職責包括：審查並確定本部門的敏感信息﹔提供具體的法律、法規依據﹔指定本部門的“敏感信息”管理人員等。“敏感信息”管理咨詢委員會的主要職責是：為“敏感信息”執行機構的政策制定以及實施提供建議。但是委員會僅有建議權，執行機構擁有最終的政策、指南制定權。

　2.4 確定“敏感信息”的具體法律依據公開 從行政法治主義的角度，依法行政意味著行政活動必須遵守法律，“相應地，如果行政活動是依照法律而進行的，它就具有了合法律性”。也就是說，法治社會的任何行政行為都應該有明確的法律授權，且可以完全公開以接受各界監督。正是基於上述邏輯，執行機構公布了確定美國“敏感信息”管理的全部法律依據，“總計涉及314個特別規定和105個處罰規定，覆蓋美國法典、聯邦政府法規和政府范圍內的政策”。這些授權依據在登記表中使用相應的代號標識，所有的代號均包含內置鏈接，可以直接打開法律、法規或政策的具體條款。從總體情況看，22個類別及其85個子類別所依據的法律授權數量差異很大，最少的隻有1個，如“外國政府信息”(10USC130c)(見圖1)。點擊10USC130c可以直接下載一個2頁的PDF文檔，具體介紹130c款“關於外國政府信息不得公開的規定”。多數類別都有數個授權依據，比較典型的如“統計”類別，授權依據有6個，懲治規定有4個，合計有10個法律、法規授權將此信息確定為“敏感信息”(見圖2)。授權依據最多的是“專有商業信息”類別，相關法律、法規多達48個，懲處的規定也多達24個，總計有72個法律法規條款保護該項信息。同樣，每個條款也都能直接打開。

圖1 “外國政府信息”登記表

圖2 “統計”的法律授權依據

來源：http://www.archives.gov/cui/registry/category-detail/foreign-govt-info.html;http://www.archives.gov/cui/registry/category-detail/statistical.html

3 美國“敏感信息”管理的流程公開

3.1 “敏感信息”的確定程序公開 13556號總統令規定，“敏感信息”由具體行政部門依法提出，提交執行機構批准，最后進行注冊登記並在網站發布。截止到2013年9月底，執行機構已審查47個政府部門和機構提交的“敏感信息”類別及子類別2200多個。作為執行機構的檔案與文件管理局，成立了專門小組審查各部門提交的資料，去掉不必要的類別，合並類似的類別，在與相關政府部門協商基礎上，專家小組確定了美國“敏感信息”的管理框架。目前總計有22個類別、85個子類別，共107張登記表，所有登記表的詳細信息均可在官網查詢。

3.2 “敏感信息”的類別及子類別名稱公開 目前，美國注冊登記的22個類別分別是：農業、版權、關鍵基礎設施、緊急狀態管理、出口控制、金融、外國政府信息、地理測繪產品信息、移民、信息系統漏洞信息、情報、執法、立法、北大西洋公約組織、核、專利、隱私、所有權、安全法案信息、統計、稅收、運輸。所有上述類別及子類別均需填寫統一格式的登記表。在“敏感信息”登記的總表中，左列填寫的是類別名稱。如果有子類別，還要在下方填寫子類別的名稱，右列是類別的描述。根據13556號總統令的規定，子類別隻有在確實需要的情況下才設立。因此，有7個類別沒有子類別，分別是農業、版權、緊急狀態管理、外國政府信息、地理測繪產品信息、信息系統漏洞信息、安全法案信息。但無論有無子類別，在總表中點擊名稱，均可打開該信息的登記表。登記表的格式是完全統一的，包括名稱、描述、標識、縮略標志、標記及處理說明六個部分。以統計的子類別“人口普查”為例，點擊后打開的表格見下表。其中，具體標識及縮略語用佔位符代替，表示屬於不公開信息。

表1 美國“敏感信息”登記表——“統計”子類別人口普查

(來源：http://www.archives.gov/cui/registry/category-detail/statistical-census.html)

3.3 “敏感信息”的保護、標識及解除規定公開 2011年6月9日，執行機構發布了13556號總統令的執行指南，對“敏感信息”的保護、標識及解除等做出了統一規定。首先，要求各機構對“敏感信息”採取保護措施，規定“敏感信息”未經授權不得訪問。各機構要向執行部門提交“遵從計劃”及年度報告，開展自我檢查，並控制“敏感信息”存儲、加工、傳輸中的風險等。2012年，執行機構收到了50多個行政部門的遵從計劃，並對這些計劃進行了評估，從而制定“敏感信息”管理的階段性目標。其次，“敏感信息”必須添加標識，以方便信息的分享和保護。標識分“整體標識”和“部分標識”兩種，僅用於獲得授權的非密信息。按照官方的說法，設置“部分標識”的意義是“鼓勵信息的方便共享以及合理使用控制措施”。最后，“敏感信息”應該適時解除。執行部門在指南中指出，“沒有任何‘敏感信息’應該永遠被管控，除非法律、法規或政府范圍的政策如此規定”。指南同時要求所有“敏感信息”都必須在登記表中寫清“解除管控”的時間范圍或具體事件，並在規定節點撤銷保護措施。這裡有兩點需要說明，一是“解除管控”不等於公開，解禁的信息需要經過法定的特別程序才能公開，但“敏感信息”的解除要發生在信息公開之前。二是除特殊情況外，解除管控的信息無需再採取任何保護措施，而且要去掉保護標識，紙版的信息可以在標識上畫橫線，電子版的信息可以直接去掉標識。

4 對國內的啟示

2013年底，全國保密普查工作結束。普查內容涉及9大項、12類、366個保密普查要素指標，全面摸清了我國保密工作的基礎數據。這是新中國成立以來我國開展的首次全國范圍內的保密普查，歷時3年，意義十分重大。雖然最后的統計數據並未公開，但是可以預見全國的定密總量必定十分龐大，因為早在2009年全國人大的立法調研中就發現，“定密隨意，解密不及時，國家秘密范圍過寬，是多年來國家秘密確定體制的症結。據介紹，美國每年產生秘密文件10萬件，我國則多達數百萬件”。其實，就行政管理的一般規律而言，任何國家的國家秘密數量都應該很少，例如美國2013年產生的原始國家秘密數量是58 794件，其中絕密級2 732件、機密級39 384件、秘密級16 678件。為什麼我國有數十倍於美國的國家秘密？原因之一就是，大量的“敏感信息”變身國家秘密濫竽充數，導致國家秘密總量的失控，定密規范管理也因此淪為空談。這一點從近幾年報紙的熱點標題就能看出來：如2009年的《上海財政局稱預算屬國家秘密不能公開》(人民日報，2009-10-26)﹔2010年的《地方財政透明度年考：項目越細越不公開》(21世紀經濟報道，2010-03-10)﹔2011年的《清華女生為寫論文求三部委公開副部長分工遭拒后起訴》(新京報，2011-09-15)﹔2012年的《人均辦公經費多少？央行說這是國家秘密》(法制日報，2012-11-02)﹔2013年的《律師申請公開全國土壤污染數據信息環保部以國家秘密為由不予公開》(法制日報，2013-02-25)﹔2014年的《53家部門拒絕公開人事編制信息20年前將其定為國家秘密專家呼吁盡快修改》(法制日報，2014-02-25)﹔2015年的《公務員漲工資方案應該公開了》(經濟觀察網，205-02-12)等。

按照國家秘密的法定內涵和確定標准，上述報道中的相關部門無疑全部涉嫌亂定密。可是，現實中的問題是，上述信息中既有“敏感信息”，也有內部信息，而我國卻沒有獨立的相關信息管理制度，行政部門隻好拿國家秘密做“擋箭牌”。長此以往，所造成的惡劣影響著實不能小覷。“敏感信息”不是國家秘密，所以當其以國家秘密的名義進行保護時，必然涉及濫用定密權限問題。而在缺乏基本制度規范的背景下，一些政府部門也會將大量“不想公開的信息”冒充“敏感信息”，進而變身成“國家秘密”，導致大量原本應該公開的信息被人為屏蔽，結果“在信息公開上，國家秘密這幾個字‘一夫當關，萬夫莫開’”。不僅會招致輿論的激烈批評，使政府部門形象受損，而且會嚴重影響保密管理的權威性。以2013年“土壤污染數據”公開為例，在得到“該信息屬於國家秘密，環境保護部不予公開”的答復后，輿論嘩然，批評的聲音鋪天蓋地，當事律師則很快提出行政復議。在巨大的輿論壓力下，當年5月7日環保部公布行政復議結果，承認“全國土壤污染狀況調查數據應當向社會公開，待核定數據后向社會公布”。然后開始了漫長的等待，直到2014年4月17日，環保部和國土資源部才聯合發布全國土壤污染狀況調查公報，這則飽受爭議的信息正式得以公開。從2013年2月24日環保部拒絕公開的消息傳出，到信息的最后公布，媒體對環保部“亂定密”的狂轟濫炸長達14個月，不僅嚴重影響了環保部門的形象，也削弱了保密管理自身的權威性，從一個側面折射出我國建立“敏感信息”管理制度的緊迫性。

因此，美國經驗的第一個啟示是，盡快建立獨立的“敏感信息”管理部門。在美國，“敏感信息”與國家秘密一樣，都由檔案與文件管理局主管，美國信息安全監督局具體負責。我國也可以建立類似的管理機制，在國家保密局下設立“敏感信息”管理司﹔指定專門的副局長兼任該司司長並主管日常工作﹔制定“敏感信息”管理的法規政策﹔設計嚴密的管理制度﹔規范管理流程﹔建設獨立的官網，實現“敏感信息”管理過程的公開化。

美國經驗的第二個啟示是，不公開信息的管理部門無需神秘化。即使是國家保密管理部門，也可以通過建立公開的官網，實現政務管理的信息化。美國“敏感信息”管理網站的頁面設計十分簡潔(http://www.archives.gov/cui/)，隻有三個板塊：第一個板塊是檢索服務，位居正中，可以查詢登記在冊的所有“敏感信息”類別和子類別，下方通過內置鏈接列出登記類別、法規政策和依字母順序的查詢功能﹔第二個板塊是培訓，打開后可以進入在線培訓平台﹔第三個板塊是監督，打開后可以看到執行機構發布的2011、2012、2013年度報告。通過三個板塊的詳細介紹，美國“敏感信息”管理過程基本實現了透明化。2012財年，有14835位網民訪問“敏感信息”網站20712次，訪問人數和訪問次數相比2011年分別增長了41.3%和34.8%。在這方面，國內還有很長的路要走，不妨先從國家保密局官網建設開始。目前，國家保密局網站測試版已經在人民網下運行，頁面設計非常精致，功能菜單包含機構設置、政策法規、權威發布等八項內容。遺憾的是，包括機構設置在內的多個菜單要麼不能打開，要麼打開后沒有多少內容，無法發揮實質作用。我國是個網絡大國，截至2014年12月，網民規模已達到6.49億。政務信息上網可以說是大勢所趨，是未來黨務、政務管理改革必須直面的問題。習近平總書記指出，“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施”，表明黨中央已經把黨務、政務管理的信息化放在了與網絡安全同等重要的位置。而一些省級保密局網站已運行多年，發布了大量有價值的信息，也積累了很多有益的經驗，像上海市國家保密局的官網，不僅公開了內部機構及職能分工，還公布了區縣局的聯系方式。這些都証明，國家保密局建立官網是完全可行的，而獨立官網的存在，無疑可以加快保密管理部門的去神秘化，這是保密管理公開化的前提和基礎。

美國經驗的第三個啟示是，管理過程公開化是遏制濫權、提高管理者權威的最有效途徑。隻有讓權力在陽光下運行，才能遏制管理權限的濫用，保障公民的知情權、監督權的落地。還以前面提到的“全國土壤污染數據”為例，即使我們建立了“敏感信息”管理制度，並將這個數據確定為“敏感信息”，同樣會引發這樣的質疑：誰、根據什麼標准才可以將這類信息確定為“敏感信息”？因為現在該數據已經公開，並沒有引起曾經擔心的所謂社會恐慌，也未見到哪些利益因這組數據公開而受到損害。而這種質疑是所有“敏感信息”在確定過程中都可能遇到的。因此，確立公開、合法、統一的標准是樹立“敏感信息”管理者權威的唯一出路。這也是美國的執行機構建立網站，並公開登記類別及子類別的根本原因。可以說，公開化是美國“敏感信息”管理的最重要法寶：不僅美國到底有哪些“敏感信息”是公開的﹔這些信息被確定為“敏感信息”的原因是公開的﹔管理的所有政策、法規、指南、備忘錄是公開的﹔而且，如果這些信息被非法泄露，可能受到的懲處也是公開的﹔連執行機構給總統的報告和管控解除的具體要求都是公開的。正是在管理過程的完全公開中，美國的“敏感信息”管理實現了規范化，管理部門的權威也才得以確立起來。

5 結語

所有國家都有“敏感信息”，所有“敏感信息”都屬於不公開信息。這意味著，如果沒有建立獨立的“敏感信息”管理制度，“敏感信息”一定會混淆在國家秘密中，以更高的成本進行保護。不僅涉嫌亂定密，嚴重損害保密管理的權威性，而且因為國家秘密更長的保密期限而嚴重影響信息的流動和共享。“敏感信息”是不公開信息，但並不意味著其管理過程不能公開，美國經驗啟示我們，通過嚴密的制度設計和嚴格的依法行政過程，“敏感信息”管理完全可以實現公開化。因此，應盡快將“敏感信息”從國家秘密中分離出來﹔出台“敏感信息”管理的政策法規﹔加快建設“敏感信息”管理的官方網站，運用信息化平台推進其管理過程的公開化。隻有在規范、公開、透明的管理過程中，我國“敏感信息”管理才能實現法治化，國家秘密的數量才能得到有效縮減，制約我國政府信息公開的瓶頸問題也才能真正得到解決。

（作者單位：北京電子科技學院）