科技的创新与进步不仅推动了社会层面的变革,也带动了国家机关在涉密人员、保密环境等维度的变化,原有的保密监管制度与现实保密需求之间的差距逐步扩大。对制度迟滞内容及时修复,才能确保保密制度的现代化和保密监管的科学化。
从国家兴起伊始,保守国家秘密就是一个国家最为关键且亘古不变的主题。国家秘密关乎国家安危、民族存亡,而安全则内嵌于保密,是保密永不磨灭的灵魂。只有牢筑安全堤坝才能保障社会稳定、民族繁荣复兴。人类社会在历经多次变革后,终于站在了科技迅猛发展、社会日新月异的时代,人工智能、大数据等新技术的应用不仅成为经济增长的新引擎,也使得国家保密事业面临新抉择。一方面,新技术新业态的发展对传统国家秘密的存储、传输和处理方式都带来了极大挑战;另一方面,数字时代海量信息的增长、聚合与关联都会威胁国家安全,加之国际竞争的不断尖锐化,一些国家对我国国家秘密的直接或间接窃取,使我国必须重新慎重考量保密局势,构筑安全可信的国家保密体系成为当务之急。2024年2月27日,第十四届全国人大常委会第八次会议表决通过新修订的《中华人民共和国保守国家秘密法》(以下简称《保守国家秘密法》),并将于2024年5月1日起正式施行。此次修订以信息技术高速发展为背景,法条内容“科技含量”明显提升,符合时代发展规律,也体现了国家保密科技自立自强的价值追求。同时,新修订的《保守国家秘密法》力求做到保密监管全覆盖、保密信息全过程防护以及保密环境全动态管理。
科技的创新与进步不仅推动了社会层面的变革,也带动了国家机关在涉密人员、保密环境等维度的变化,原有的保密监管制度与现实保密需求之间的差距逐步扩大。对制度迟滞内容及时修复,才能确保保密制度的现代化和保密监管的科学化。
义务主体全覆盖。经济水平的提升、社会理念的进步,让我国政府职能逐步优化,“简政放权、放管结合、优化服务”成为近十年政府改革的主题。这一举措不仅提升了政府部门的行政效率,也充分激发了市场活力和社会创造力,让更多的社会组织能够参与到政府事务中来,这就让更多的群体有触及国家秘密的可能性。因此,除了原有的国家机关、武装力量、政党、企事业单位和公民,第五条规定“其他社会组织”也负有保密义务。例如,行业协会、学会和服务机构等同样需要对知悉的国家秘密进行保密。保守国家秘密并非国家机关专有职能,也不是国家工作人员独有职责。保守国家秘密惠及每一位公民,因而,保守国家秘密也是全社会共同的责任。该项修订对于国家保密工作中保密主体无遗漏、保密监管零真空具有重大意义。
涉密载体全覆盖。互联网等新兴技术的泛在化使用,让政府部门的办公模式也实现了翻天覆地的变化。从纸质办公到无纸化办公,从线下审批到在线审批、电子印章、电子签名、电子合同,从电脑办公的基本配置到更加智能的办公设备和场景,从政务信息的纸质传阅到数据共享平台建设,国家秘密的载体已经不再局限于纸介质、光介质和电磁介质等,电子文件开始更多地承担起搭载国家秘密的角色。国家机关、单位在提升办公便捷性和效率的同时,无法杜绝电子文件与生俱来的缺陷——易于复制、伪造、篡改、窃取,被黑客和病毒攻击,以及电子元件受存储环境的影响而易受损。因此,第二十二条中电子文件也被纳入国家秘密的介质范畴,并需要根据要求作出国家秘密标志,进而可以在很大程度上减少国家秘密泄露途径,降低国家秘密被暴露的风险和可能性。
保密事项全覆盖。原《保守国家秘密法》仅在第二条对国家秘密进行界定,即“国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项”。尽管原《保守国家秘密法》在第九条规定了国家秘密的确定标准,但依然是传统的“国家秘密”和“非国家秘密”的二元划分模式,对属于国家秘密的进行严格保密措施,对不属于国家秘密的则无需采取保密措施。然而,正如石油驱动工业革命的进程,数据则是信息时代最重要的动力源。智能化的办公和生活环境,让人们的每一个举动都产生相应的数据,而根据估算全球每天共产生的数据量高达491EB。人工智能和机器学习等高级技术对数据的挖掘能力与日俱增,通过对公众社交平台、公开新闻报道和政府公开信息等的汇总,看似毫无关联的信息在数据汇聚、关联后往往能够获得意料之外的有价值的信息。也正基于此,开源情报也开始成为各国情报信息的重要来源。因此,尽管原始数据并不属于国家秘密的范畴,但汇聚后也可能会产生危害国家安全的风险。修订后的《保守国家秘密法》对此进行了较为细致清晰的规定,其中在第三十六条明确提出,国家保密行政管理部门和有关主管部门应当防范数据汇聚、关联引发的泄密风险;第六十四条规定,机关和单位对履行职能过程中产生或者获取的不属于国家秘密但泄露后会造成一定不利影响的事项,适用工作秘密管理办法采取必要的保护措施。此次对保密范畴的扩大,更有利于在风险环境下维护国家安全和社会稳定。
原有的国家保密过程强调对定密后的国家秘密实施严格保密措施,对于国家秘密的生命周期管理存在一定真空地带,“失之毫厘”的欠缺将会给国家安全造成“千里”甚至不可预估的灾难性后果。此次修订进一步完善了信息的管理模式,将信息生命周期管理延伸至信息发布前与保密信息解密之时,弥补了原有的制度弱点,增强了保密信息的安全水平。
增强保密审查主动性。原《保守国家秘密法》第二十九条对机关、单位公开发布信息规定了较为笼统的要求,即“应当遵守保密规定”,新《保守国家秘密法》对此进行修订,第三十五条规定,机关、单位应当依法对拟公开的信息进行保密审查。自此国家保密事项的生命周期得到延长。传统的保密机制侧重于被动审查,即使有保密规定,但也无具体、明确、强制性审查要求。然而,在信息化高速发展、信息共享渠道增多、信息传播速度更快的现代社会,一旦将未经审核的信息发布,将会给国家造成难以挽回的损失与打击。此次修订将主动审查以法定形式予以确定。新法规定了机关、单位更加审慎的注意义务,对于即将公布的信息应当进行严格的保密审查,只有确定内容合法、不存在泄露国家秘密且公开后不会对国家安全、社会稳定造成负面影响才可发布。
脱密期不再作为涉密人员的保密义务期限。人作为积极能动的主体,在国家保密事业中发挥着不可或缺的作用,他们参与国家保密工作,是国家保密管理体系的基石,直接决定国家保密安全水平。近年来发生的国家工作人员泄密事件,除境外势力的引诱外,与我国对涉密人员的管理欠缺也有关。在职工作人员尚有被引诱风险,脱密的涉密人员更是令人担忧。以往我国对涉密人员的保密期限设置以涉密人员脱密期为分水岭。涉密人员离岗离职实行脱密期管理,在脱密期内必然履行保密义务,不得以任何方式泄露国家秘密。然而对于脱密期后并无明确规定,则存在“脱密期结束后即可泄露国家秘密”的制度疏漏,这对于保守国家秘密而言是致命制度缺陷。国家保密事业不应存在任何“容错机制”,涉密人员的可信赖是国家保密工作可信赖的重要前提。此次修订敏锐地发现问题,除原有规定外,对涉密人员保密期限也有了进一步规定,即“脱密期结束后,对知悉的国家秘密继续履行保密义务”。即使涉密人员已经度过脱密期,如果其所知悉的国家秘密仍然在保密期限内,那么涉密人员必须继续保守国家秘密,直到所知悉的国家秘密解密为止。新的规定将涉密人员保守国家秘密的时间限定由原本的人员脱密调整为国家秘密脱密,这样的更改更加符合国家秘密的生命周期规律,也更能确保国家秘密的安全。
解密审核责任制度化。原《保守国家秘密法》对于解密过于模糊。一方面,在解密条件上,第十九条规定“国家秘密的保密期限已满的,自行解密”。该条款并未考虑国家秘密定密后的动态变化,保密期限届满自动解密的规定也过于机械化和教条化。例如,是否存在保密期限未届满但应当根据实际情况提前解密,以及保密期限已届满但公开后可能会对国家安全造成影响因而具有继续保密的必要性。如果不加以审核就自动解密,必然造成国家秘密失控的混乱局面。另一方面,在审核期限上原法也过于模糊化,只要求机关、单位定期审核所确定的国家秘密。“定期”这一宽泛的表述给了保密审核无限可能,也给国家秘密的存在注入了不安全、不稳定因素。新法对解密事项进行了更加科学、合理、明确的设定,将解密审核作为解密的前提条件,且限定在“每年”这一具体时间,同时对未履行解密审核责任设定了相应的法律后果。如此,既可以确保审核机制的落实,还可以对国家秘密的保密期限等作出实时的、积极动态的调整,这也是新法第四条所述“既确保国家秘密安全,又便利信息资源合理利用”的具体化呈现,坚持总体国家安全观,兼顾安全与发展。
信息社会瞬息万变,风险莫测,国家保密事业关系国家安全、社会稳定,更应当居安思危,如此才能防患于未然。不仅要对既有的风险积极应对,还需时刻保持对新兴威胁、潜在漏洞和敌对势力的高敏锐察觉。国家保密体系应当建立在可信任的网络之上,最佳做法就是“零信任”,即不依赖于现有的安全水平,“永不信任,始终验证”,构建一个“无处不验证、无时不监控”的保密信息系统环境。
系统风险动态评估。尽管以往国家保密系统已经按照涉密程度实行分级保护,且必须符合国家保密标准的要求。但根据规定,此时的涉密信息系统“经检查合格后,方可投入使用”,具有“一密定终身”的情况。对于投入后是否会因为情势变更而产生新的风险,以及如何应对新的风险等都未提及。而网络攻击手段、恶意软件等的不断更新让包括保密系统在内的整个网络安全都面临重大威胁,也让国家秘密的非法获取、复制和泄露变得更加容易。定期进行风险评估不仅可以及时发现既有风险,而且可以发现潜在漏洞,继而查漏补缺,提升保密系统防御能力与保密信息的适配性。新修订的《保守国家秘密法》在原条款的基础上,增加对涉密信息系统定期开展风险评估,可以最大限度适应威胁环境,优化风险防御策略,保护国家秘密不遭受篡改、未经授权的访问和窃取风险,防止敌对势力利用情报信息行破坏之举,维护国家长治久安。
产品与技术动态抽检。与涉密系统相同,以往对保密产品和保密技术的准入门槛较高,通常设置较为严格的标准,但对于投入使用后的后期跟踪与安全审查并不十分严格。量子计算、区块链等前沿科技在理论研究与技术研发方面的大量投入,政府对科技创新与产业升级的积极扶持,使得信息技术与产品呈现出前所未有的高速更迭,伴随而来的还有行业标准的快速更新。基于此,国家及时建立了安全保密产品和技术装备抽检、复检制度,能够快速发现产品与技术存在的缺陷,以及系统升级后带来的不兼容等问题。对保密产品和技术进行抽检、复检是顺应技术发展客观规律的必然选择,也是避免保密系统出现安全真空地带、维护保密体系实时安全的重要举措。
风险预警动态检测。信息技术的泛在化使用使得国家保密事业不能固守传统的保密形式,网络信息系统、设备的引入,智能化的管理模式,让国家保密有机地融入国家网络安全之中,并成为其中不可分割的关键组成。为此,新修订《保守国家秘密法》也充分吸收了网络安全法、数据安全法的立法成果,不仅完善了我国的网络安全法律体系,也为国家保密工作引入了更具操作性和有益的制度。例如,第五十五条规定,设区的市级以上保密行政管理部门建立保密风险评估机制、监测预警制度、应急处置制度,会同有关部门开展信息收集、分析、通报工作。原有的保密制度注重事后监管,新的规定将其延伸至事前防御和事中跟踪。不仅要做到“过程控制”,更要“源头防治”。基于保密系统、产品、设备和技术的全生命周期管理思维,不仅可以优化保密资源配置,增强保密体制应急响应能力,还可以动态跟踪,进一步提升保密制度的有效性。
综合而言,此次《保守国家秘密法》的修订,对于推动我国保密工作高质量高水平开展,维护国家安全和利益,保障改革开放和社会主义现代化建设事业的顺利进行具有积极而重大的意义。新法直击数字化快速发展过程中的痛点,迎难而上,既加强了国家保密体系的稳定性与牢固性,又完善了我国网络安全法治建设,让我国社会主义现代化法治建设又向前迈出了坚实一步。值得警醒的是,信息化社会正在加速推进,国家保密事业也不能停滞不前,只有时刻保持危机意识,保持对新技术、新风险、新趋势的敏锐度,才能防范风险、化解危难,这也是我国保密事业的一项长久任务。
作者:
西安交通大学教授、密码法治实践创新基地主任 马民虎