DOI:10.14015/j.cnki.1004-8049.2023.6.002 刘崇瑞、徐东华:“国家信息安全治理的国际经验与启示——基于人员安全保障的视角”,《太平洋学报》,2023年第6期,第14-27页。 LIU Chongrui,XU Donghua,"International Experience and Implications of National Information Security Governance:The Case of Personnel Security Assurance",Pacific Journal,Vol.31,No.6,pp.14-27. 作者感谢《太平洋学报》编辑部匿名审稿专家提出的建设性修改意见,文中错漏由笔者负责。 一、研究背景与现状 党的二十大报告中指出,“必须坚定不移贯彻总体国家安全观,把维护国家安全贯穿党和国家工作各方面全过程,确保国家安全和社会稳定”,强调健全国家安全体系、增强维护国家安全能力、提高公共安全治理水平,对维护国家安全作出了新的重要部署①。随着新一轮信息科技加速推进及国际政治竞争格局的深入演变,信息安全问题已成为各国国家安全保障必须面对的一个日常性问题②。国家信息安全是指维持国家政治、经济、军事、科技、文化、社会生活等系统不受到内外威胁、干扰、破坏而正常运行的状态③。为防范内部威胁,各国政府纷纷将针对关键岗位和要害部门的人员安全保障作为国家信息安全治理的一项重要内容。 人员安全保障是支撑国家信息安全治理的一项基础性工作。当人为导致国家秘密泄露、重要设备受损、核心区域曝光等事件发生,必然影响政府有效履行国家信息安全治理职能。2013年美国中情局前职员爱德华·斯诺登(Edward Snowden)爆料的美国“棱镜门”计划,将美国利用信息技术优势在国内外进行监控的丑闻公之于众,引发全世界关注④。“棱镜门”事件充分表明,网络空间已成为国家主权扩张的新疆域,国家信息安全治理成为新时期世界各国普遍关注的重要议题⑤。“棱镜门”事件还折射出,人员安全保障不力给国家安全造成严重损害。据《华盛顿自由灯塔报》报道,因美国中央情报局和国家安全局的人员安全保障制度存在严重疏漏,导致未对斯诺登进行严格审查的情况下赋予其接触绝密级国家秘密的安全许可⑥。据美国国家情报总监办公室的报告,2012年有483236名承包商员工拥有高级安保许可(Top-secret Security Clearances),还有近582542承包商员工有较低级别的安保许可,而政府工作人员中则有270万人拥有此类许可,在能接触机密的人中,承包商及其员工占到相当高的比例。因此,出现斯诺登这样的泄密者并不奇怪⑦。 “斯诺登事件”之后,信息安全治理更加受到各国普遍关注。尤其随着网络安全形势的进一步恶化,信息安全治理成为全球治理领域的优先议题⑧。相较于欧、美等发达国家,中国当前在国家信息安全治理方面的顶层设计依然略显不足,相应的法律法规和配套措施还不完善,现有法律体系还无法很好地保障国家信息安全和个人隐私⑨。国内学者对国家信息安全治理领域的人员安全保障的知识基础形成较晚,以对域外经验的借鉴和实践新方向的定性描述为主。人类学家盖伊·斯旺森(Guy Swanson)曾强调比较研究在社会科学研究中的重要性,认为“在缺乏比较之下所做的科学思考和科学研究都会令人匪夷所思”⑩。涂永前等聚焦公共行政管理视角,兼顾了美国人员安全保障经验研究及中美的比较研究(11),但仅以美国为研究对象,聚焦单一国家的比较限制了研究的视野,无法克服国家信息安全治理制度对域外经验借鉴所呈现的碎片化之特性。因此,由于单一国家的局限性,不能完全由单一国家的情况来推导出普遍性的结论,还需要积累其他国家的知识(12)。 在借鉴已有研究成果的基础上,本文立足国家信息安全治理,从国际比较的视角入手,以人员安全保障作为切入点,聚焦多国比较基础上的经验概括和理论提升,通过探索美国、英国、加拿大、澳大利亚、新西兰、南非六个国家的信息安全治理的制度嬗变、实践情况以及基础理论的建构等方面,系统研究和批判性分析域外国家信息安全治理的经验特征及存在不足,并在此基础上提炼出对我国完善国家信息安全治理体系的启示。 二、域外国家信息安全治理的经验特征 人员安全保障是世界各国国家信息安全治理的重要环节。许多国家的保密法律法规都重点关注涉密人员的安全保障问题,在治理的主体、原则、范围、手段、标准、程序等方面都具有较为详尽的规定。本文选取美国、英国、加拿大、新西兰、澳大利亚、南非六个代表性国家的国家信息安全治理相关制度设计与实践操作进行比较分析。美国、英国、加拿大、澳大利亚、新西兰、南非六国在基本国情、政治制度、市场经济的发育程度等方面存在较大差异,对六国的国家信息安全治理制度与实践进行比较研究之前,有必要明确一些使本文研究工作具有价值的一些前提假设。这些前提假设是:第一,人员安全保障是现代国家信息安全治理的一项重要抓手;第二,人员安全保障的出发点是维护国家信息安全;第三,人员安全保障的目的是任用、聘用安全可靠的人员,以确保国家信息安全治理的人才支撑。