情报人员安全审查制度创新:意义、原则及框架设计*
2021-02-01李淑华
李淑华
(中国人民公安大学国家安全学院 北京 100038)
0 引 言
在国家安全领域,继曼宁事件、斯诺登事件之后,约书亚事件可以说是近两年最受关注的热点事件之一。约书亚·亚当·舒尔特(Joshua Schulte),是美国中央情报局(CIA)前雇员,因利用CIA内部网络的后门复制机密信息并交由“维基解密”,披露美国的网络武器而被捕。2018年,约书亚被美国司法部正式指控犯有间谍罪等重罪,检方称约书亚造成了“CIA历史上最大的机密信息泄露事件”[1]。根据约书亚提供的机密信息,在过去长达十一年的时间里,CIA使用核心网络武器“Vault7(穹窿7)”对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等国家关键领域进行持续不断的网络渗透攻击,给我国的国家安全造成不可估量的损失。约书亚事件再次揭示出美国网络霸权和冷战思维的政治实质,暴露了其在网络安全问题上的虚伪性和双重标准;但同时提示国家情报机构内部也可能存在重大的安全疏漏,情报人员的安全审查问题必须得到重视和加强。
1 情报人员安全审查的意义
国家安全语境下的安全审查,是指专门机构和特定机制对国家安全的威胁因素进行全面审查,从而合理预判是否危害到国家安全,并作出决策以预先规避风险的制度[2]。安全审查的目的是从源头预防和化解国家安全风险,是国际上通行的一种做法。我国在对外贸易方面较早地运用到国家安全审查制度,但其他领域的审查监管则起步较晚。
1.1总体国家安全观视域下的情报安全审查2014年,在中央国家安全委员会第一次会议上,习近平总书记提出涵盖信息安全等十余项内容的总体“国家安全观”;2015年颁布的《国家安全法》,则将信息安全审查上升为国家层面的法律制度。《国家安全法》第59条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险”[3]。其中,“网络信息技术产品和服务”、“涉及国家安全事项的建设项目”两项与信息安全密切相关,体现出新时代新形势下我国对信息安全审查的高度关注。
情报的本质就是信息,情报安全审查是信息安全审查题中应有之义;且情报是具有秘密属性的特殊信息,内容关涉国家安全和全局利益,因此情报安全审查在信息安全审查中又具有特别重大的意义。需要指出的是,由于情报和情报工作的敏感性,我国的情报安全问题常常隐含于“涉密信息”“关键信息”安全问题中,情报安全审查也基本上遵循着“涉密信息安全审查”、“关键信息基础设施安全审查”等制度规范。《保密法》及其《实施条例》规定,“涉密载体、涉密信息系统、涉密部门及人员,都应当经过保密审查”。《网络安全法》根据网络环境下信息安全突出表现为网络安全的特点,提出了“关键信息基础设施的产品和服务应当通过国家安全审查”的要求,其中关键信息基础设施是指“政府机关和公共服务、公共事业等重要行业的信息系统或工业控制系统的基础设施”,国家情报机关作为政府机关的重要组成部分,须遵守且严格执行关于情报信息系统安全审查的各项规定。2020年4月,国家互联网信息办公室、发改委、工信部、公安部等12部委联合发布《网络安全审查办法》,对关键信息基础设施的供应链安全,即网络产品和服务安全审查的内容、程序、保障和违法责任等作出详细规定,情报信息安全审查制度得到进一步的法律支撑。
1.2情报人员安全成为情报安全中最薄弱的环节然而,相较于情报信息、情报信息系统以及网络安全审查的不断完善,我国法律中关于情报系统中的另一要素——人员安全审查则相对弱化,体现出目前信息安全防护以“物的安全”为核心、“重物轻人”的特点。尽管《保密法》规定,“任用、聘用涉密人员应当按照有关规定进行审查”;《国家情报法》提出“国家情报工作机构应当建立健全严格的监督和安全审查制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期进行安全审查”;《网络安全法》要求“关键信息基础设施的运营者设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查”;《反恐法》强调“重点目标的管理单位应当对重要岗位人员进行安全背景审查”,但这些条文内容集中于情报人员的背景审查,给出的也都是原则性规定,至于人员审查应遵循怎样的标准、审查程序如何设置、审查责任如何追究、持续审查如何操作等工作具体问题,没有一部国家法律文件中予以明确。在部门规章中,以国家情报工作机构的重要组成部分——公安机关情报机构为例,目前尚没有全国公安情报机构普遍适用的人员安全审查专门规定,情报机构的准入条件模糊,情报人员工作状况监督乏力,这无疑是我国情报信息安全防护中的一大缺陷,甚至可能成为致命失误。
事实上,在整个安全系统中,人的因素才是根本性的决定因素。著名的安全工程师海因利希指出,“人”是安全系统中最活跃的因素,也是最不确定、最难把握的因素,在所有事故统计中,由于“人的不安全行为”造成事故发生的比率高达88%。实际工作中,根据国安委于每年“国家安全日”通报的警示案例及典型案件,近年来情报工作人员过失或主动泄密的案件呈逐年上升趋势,严重影响了情报机构声誉、破坏了国家形象,给国家安全造成无法挽回的损失[4],情报人员安全问题已经成为情报安全中最薄弱的环节。
1.3创新情报人员安全审查的手段和方法尽管任何一个情报机构都希望保证绝对安全,但根除情报人员的泄密行为是不切实际的,而预防泄密行为的发生、减少泄密风险才是比较现实的目标[5]。如上所述,目前我国的情报人员安全审查主要依靠法律和行政的手段,而法律和行政的手段通常注重行为限制和惩戒处罚,是一种事后的处理机制,而非事前的预警和防范。事实证明事后处理的方式往往效果不佳,这就需要考虑建立一套能够实现提前干预的新机制,引入一定的技术方法,例如风险评估方法,使技术方法可以融入到该机制中,使法律、行政、技术三种手段可以结合应用、均衡发挥作用。
风险评估(Risk Assessment),是指在风险事件发生之前或之后(但还没有结束),对风险环境进行识别,对可能造成的失败或负面结果进行量化评价的工作[6]。风险评估作为系统安全建设的起点,是组织衡量安全风险、确定安全需求的一个重要途径,多用于危机管理或安全工程领域,如信息安全风险评估。当我们将“人”纳入情报信息安全的风险要素时,风险评估就适用于情报人员的评价和管理,成为情报人员安全审查的一种方法。同时,由于人的思想、意识和行为会随着自身和外界环境的变化而发生改变,所以“人”的风险实际上是动态变化的,基于风险评估的情报人员安全审查不仅能够完成其任用、聘用前的背景审查,还可用于工作状态中的情报人员安全意识和行为的监督检查及动态评测,据此采取适时调整的管理措施,是创新情报人员安全管理方法、提升管理效能的积极探索。
2 情报人员安全审查的原则
原则就是行事的准则和标准,情报人员安全审查需要遵守一定的原则,总结起来可以概括为“完全审查原则”、“内外兼顾原则”、“水平区分原则”和“工作需要原则”。
2.1完全审查原则情报工作包括情报搜集、分析、应用、存储等全流程,任何一个环节的疏漏都可能造成泄密等安全事故,因此情报机构的工作人员应当接受“完全审查”,这里的“完全”指的是“覆盖范围”和“持续时间”两个维度的“完全”。从审查的覆盖范围来讲,情报机构所有的工作人员都应当接受安全审查,无论从事何种具体业务的工作,或者何种等级的人员;从审查的持续时间来讲,情报人员的安全审查应当包括其任用、聘用前的背景审查,工作状态中的持续审查,直至其离开情报工作岗位后特定时间阶段内的跟踪审查。事实上,“棱镜”事件爆发后,美国成立了由五位高级国家安全顾问组成的白宫情报与通信技术审查小组,对国家安全局在收集国内和国际情报信息中存在的问题进行调查。对于情报人员安全问题,该小组在高参报告中也提出,建议“经过初始审查之后,所有人员访问涉密信息都纳入人员持续监控项目(Personnel Continuous Monitoring Program,PCMP)”[7]。
2.2内外兼顾原则随着情报工作中信息化建设的不断深入,以及大数据应用与业务工作的深度融合,情报工作已经由原来的完全保密、封闭状态不得不转向部分开放——海量基础数据的采集和录入需要聘用社会人员;众多系统项目的开发和维护外包给科技公司、科研院所和其他社会机构,或者采取合作建设的方式。在此过程中越来越多的外部人员参与其中,这一方面增加了情报外泄的可能,另一方面由于参与单位设计不周、协作矛盾,参与人员背景复杂、数量较多等原因,情报信息泄露的风险大大增加。仍以“棱镜”事件为例,斯诺登虽然曾经为CIA工作,但在曝光该事件时,他的身份已经是博思艾伦商业公司的雇员,由于该公司长期为美国国家安全局提供咨询服务,所以斯诺登有机会获得大量的国家安全局情报。由此看来,情报人员的安全审查不仅要针对情报机构内部人员,还要兼顾所有涉及情报建设和支持服务的外部人员,防止由外部人员带来的泄密风险。而且,根据笔者做过的专门调查(中国人民公安大学2014年度科研载体培养项目“公安情报信息保密审查问题研究”,项目编号:2014JKF01059),就公安情报机构来讲,目前情报信息系统运行中遭遇的最大风险恰恰来自于合作建设单位,如曾经备受关注的“超速摸胸照”事件,就是因为公安交警部门的系统维护商技术人员违规拷贝公安内部信息,使得当事人个人隐私遭到严重侵犯。可见,在加强内部人员安全防范的同时,筑牢情报安全的外部防线,对外部人员进行安全审查和有效监管是非常必要且重要的。
2.3水平区分原则“水平区分原则”是指在同一情报机构中,应当对情报人员的类型进行划分,不同类型的人员适用不同的安全审查标准。在情报机构中,每个人都有自己的职责分工,都是情报工作中不可替代的组成部分,只有所有人各司其职又相互协作,才能使情报机构成为一个运行良好的组织机构。因此,将机构成员按照一定的标准进行区分,根据区分的结果类型进行区别对待的安全管理,是人员管理的一项重要手段。可参考的区分标准包括:触密等级;工作内容;技术能力;从业时间;年龄;等等。
2.4工作需要原则“工作需要原则”指的是针对情报人员的安全审查应当基于其工作实际而非所担任的职级职务,因为高级别的情报人员不一定掌握更多的情报,低级别的人却可能因为工作需要接触核心机密信息。“9·11”事件发生后,普遍的意见矛头指向情报机构之间的信息壁垒,认为重要的情报信息没有在机构间充分共享是造成恐怖袭击的主因,因此,其后世界各国的情报改革几乎都围绕着情报共享问题展开,甚至出现“共享必要”替代“知悉必要”的倾向,在这种背景下,低级别的情报人员能够接触和知悉的情报信息越来越多。约书亚在CIA的职位只是一名普通的项目主管,但他所在的秘密行动处(National Clandestine Service,NCS)是协调、去除冲突以及评估美国情报界秘密行动的国家主管部门,直接参与网络武器的研发和制作,因此他拥有CIA内部武器库最高管理员的权限,也正是利用这项权限访问核心机房并设置后门,他才得以拷走CIA网络情报中心的大量文件并交给“维基解密”。所以,情报人员的安全审查如果不遵循“工作需要”原则,而过于强调“职务需要”,仅依据级别因素重点审查高级别人员,可能会因为忽视真正重要的审查对象而造成重大失误。
3 情报人员安全审查的制度框架
在以上原则基础上,情报人员安全审查的制度创新还需要配套科学、严谨的制度规范。下文将从情报人员安全审查的审查主体、审查类型、审查间隔、对象分级、风险评估、动态管理等几个方面设计该制度框架。框架图如图1所示。
图1 情报人员安全审查制度框架
3.1审查主体目前我国的情报人员安全审查主要依靠内部审查,由情报工作机构自主进行,一般由情报机构长官、管理层、督察专员具体负责此项工作。内部审查的优势在于情报工作机构对本机构的组织结构、岗位设置、工作内容、人员状况等各方面情况都非常熟悉,实施审查深入、便利,但作为自我约束的审查形式,内部审查难免存在单向、片面、透明度低等弊端,因此需要考虑补充外部审查方式并扩大审查主体范围。英国学者皮特·基尔(Peter Gill)从情报机构与国家及社会的关系角度提出情报监督的“四大层级”理论,即情报监督应分别由情报机构、行政机关、其它国家机构以及公民社会四类主体进行监督[8],体现出西方国家强调政府监督与社会监督共同作用的完全监督理念。我国与西方国家在政体、国家机构设置上存在较大差异,国外的经验不可完全照搬,但可以参考借鉴。对于情报人员的安全审查,可以考虑三类主体相结合的方式开展联合审查:一是情报工作机构。由情报机构负责人、管理层、督察专员承担安全审查工作;二是其他国家机构。例如监察部门、有关国家机关,也可参照英国设置的联合情报委员会、国家安全顾问等承担安全审查工作;三是专门机构。可成立国安委领导下的专业权威机构,相对独立的开展第三方安全审查工作,其运行模式可参照中国信息安全测评中心对信息安全服务和信息安全专业人员进行的能力评估与资质审核;也可参照美国联邦政府资助的研究与发展中心(Federally Funded Research and Development Centers,FFRDCs),承担一部分情报人员安全审查任务,同时保持情报安全领域所需的专业队伍[9]。
3.2审查类型情报人员的安全审查一般包括初始审查和定期复审两种类型:初始审查是指情报人员在任用、聘用前的背景审查,审查结果将决定该人员是否被任用或聘任,以及任用或聘任的访问授权或涉密等级,目前我国情报机构所作的人员审查主要为初始审查;定期复审是指对工作状态中的情报人员所做的监控复查,以评估掌握其安全水平的变化状况,这种复查应当设置适当的时间间隔。此外还可以实施额外审查或者专项审查:额外审查是针对特别重要的审查对象,或者被委任了特殊任务,以及通过数据跟踪发现从事“工作之外其他活动”的情报人员,审查内容或者监控时间多于一般人员的审查;专项审查是针对特定项目而进行的审查,如财务状况专项审查、社会关系专项审查,等等。
3.3审查间隔审查间隔主要是指定期复审的时间间隔。情报人员安全审查涉及内容多、程序严格,审查结果对国家安全产生直接影响,因此务必慎重进行。通常情况下,情报人员的安全审查需要几周到几个月的时间,当遇到个人背景复杂的审查对象,审查时间可能会延至一年甚至更长。为了确保安全审查有效实施、有序开展,有必要对审查的时间间隔进行合理设置。以美国现行的涉密人员安全审查为例,根据触密等级不同,美国将情报人员分为秘密级人员、机密级人员和绝密级人员三种。秘密级人员每15年进行一次复审,机密级人员每10年进行一次复审,绝密级人员每5年进行一次复审[10]。鉴于信息化加快了人员变化速度,我国情报人员安全审查的间隔可适当缩短,如秘密级人员可设置为每10年进行一次复审,机密级人员每5年进行一次复审,绝密级人员每3年进行一次复审,但不建议大幅缩短时间间隔,因为过于密集的审查间隔不仅会增加行政成本、降低工作效率,而且会破坏情报工作队伍和管理制度的稳定性。
3.4对象分级上文已经提到,按照情报人员的触密等级,审查对象可分为:a.绝密级人员;b.机密级人员;c.秘密级人员,分别对应最大访问权、重要访问权、一般访问权,拥有最大访问权限的绝密级人员需要接受必要的额外审查。
按照情报人员的工作内容,审查对象可分为:a.基础工作人员;b.信息技术人员;c.情报分析人员;d.决策者;e.管理者。基础工作人员是指工勤人员、基础数据采集和录入人员;信息技术人员是指提供技术支持服务的人员;情报分析人员是分析研判情报信息并提供情报产品的专业人员;决策者是情报产品的使用者并对政策走向施加影响的人;管理者主要是指对情报工作及情报工作人员进行监管的人。
按照情报人员的技术能力,审查对象可分为:a.高级技术人员;b.中级技术人员;c.一般技术人员。此种划分应参照情报人员取得的资质证书或获得的职级职称。
按照情报人员的从业时间,审查对象可分为:a.3年以下;b.3-10年;c.10-20年;d.20年以上。该时间应当计算所有情报工作经历的时间总和,而非仅在本部门的从业经历。
按照情报人员的年龄,审查对象可分为:30岁以下;30-45岁;45岁以上。需要强调的是,尽管约书亚、斯诺登、曼宁等重大泄密事件均是青年情报人员引发,但这并不意味着年长的人安全系数就一定高,有时候年长的人可能更危险,“因为对于年长者来说,未来已经变得无所谓了”[11]。
3.5风险评估在安全审查中使用风险评估的技术和方法,即对情报人员的个人数据(包括静态数据和动态数据)进行审查和持续跟踪,按照一定的风险评估模型对接受审查的对象数据进行风险指标筛查、水平测定,并打出具体分值,以得分高低来衡量情报人员具有的实际安全风险。这一过程可由审查主体人工测定,也可开发或借助相关领域人力资源管理软件辅助完成。审查和跟踪的个人数据应当包括:a.个人及家庭情况、社会关系、健康状况、工作经历、教育背景、职业技能等基础数据;b.社会数据库中的元数据,如财务状况、保险信息、旅行信息、驾驶记录等,以及可用于信用评分的其他数据;c.本人提交的各类审计表和申报表;d.一定程度的隐私信息可列入额外审查的范围,如通信信息、电子邮件、在线社交媒体使用情况、网络浏览记录等;e.一些国家在情报人员安全审查中还使用测谎仪,将测谎结果作为一项风险指标进行人员安全评估,但关于测谎效力的问题一直存在很多争议。笔者认为测谎不是一个连续的过程,即不能揭示测谎完成后所发生的事件,因此不能将测谎结果作为一项主要指标作出相关评价,而应将其视作一项参考指标辅助审查判断。
3.6动态管理基于风险评估的审查结果会随着审查对象个人数据的变化而不断发生变化,因此对于情报人员的安全管理也应采取动态管理的模式。动态管理就是根据审查结果定期更新情报人员的分级类型,按照更新后的级别属性重新核定授权、调整对应的限制措施和管理方式。动态管理能够及时调整人员权限、灵活配置人力资源、改善情报机构的队伍结构,有助于打破情报人员授权终身制,提高安全管理的针对性和精准度。
4 结 语
综上,本文围绕情报人员安全审查的制度创新,探索构建一套标准化的工作新机制,希望为国家安全理论研究和相关的工作实践提供实用的参考建议。此外,基于本文的情报人员安全审查制度落实,笔者提出以下两点建议:
一是先试点运行后逐步推广应用。基于风险评估的情报人员安全审查是情报人员管理的一项创新性制度设计,建议以示范项目的形式试点运行。可选取特定地区作为试点,也可选取特定情报机构布局试点,实践该项创新思路和技术探索,在实践中总结经验、发现问题、加以改进,完善形成可复制可推广的制度做法,待时机成熟后在全国情报机构普遍推行应用。
二是建立情报人员安全审查报告制度。上文指出,情报人员安全审查不仅包括背景审查,还包括持续的过程审查;所以此项工作不应只是一项专项工作,更应当形成常态化工作机制,由负责审查的部门形成审查报告,定期向国家安全委员会报告。报告内容可以包括:a.情报人员数量、分布、审查情况;b.审查结果及说明;c.情报人员变化趋势;d.审查工作中存在的主要问题及改进情况;e.其他需要报告的事项。