美國(guó)“受控非密信息”的監(jiān)管經(jīng)驗(yàn)及其有益借鑒

摘 要 美國(guó)受控非密信息的監(jiān)管取得了較大成效，積累了較豐富的經(jīng)驗(yàn)，了解這些對(duì)我國(guó)重要數(shù)據(jù)的管理與利用具有積極的借鑒意義。論文綜合運(yùn)用文獻(xiàn)查閱、比較等方法，首先界定受控非密信息、重要數(shù)據(jù)等關(guān)鍵概念，并將中、美情況予以對(duì)比得出可適用性；接著對(duì)目前相關(guān)研究現(xiàn)狀進(jìn)行簡(jiǎn)要回顧，并描述和分析美國(guó)“受控非密信息”監(jiān)管的主要經(jīng)驗(yàn)及特點(diǎn)，然后在此基礎(chǔ)上總結(jié)對(duì)我國(guó)的有益借鑒。對(duì)借鑒之處提出如下建議：完善重要數(shù)據(jù)保護(hù)的相關(guān)法律法規(guī)、政策；做好重要數(shù)據(jù)的識(shí)別和分類管理工作；注重重要數(shù)據(jù)保護(hù)與國(guó)家安全、公共利益之間的平衡；合理借鑒之“揚(yáng)棄”——避免美國(guó)受控非密信息監(jiān)管中的不足。

關(guān)鍵詞 美國(guó)；受控非密信息；重要數(shù)據(jù)；數(shù)據(jù)安全；公共利益

分類號(hào) G252

DOI 10.16810/j.cnki.1672-514X.2024.02.012

The Regulatory Experience of “Controlled Unclassified Information” in the United States and Its Useful Reference

Deng Lingbin

Abstract The regulation of controlled unclassified information in the United States has achieved significant results and accumulated rich experience. Understanding these has positive reference significance for the management and utilization of important data in China. By comprehensively utilizing methods such as literature review and comparison， key concepts such as controlled unclassified information and important data are first defined， and applicability is obtained by comparing the situation between China and the United States.? Next， a brief review of the current research status will be conducted， and the main experience and character of regulating “controlled unclassified information” in the United States will be described and analyzed. Based on this， useful references for China will be summarized. The following suggestions are proposed for reference： improving relevant laws， regulations， and policies for the protection of important data; conduct identification and classification management of important data; cay attention to the balance between important data protection， national security， and public interests; reasonably learn from the “sublation”-to avoid deficiencies in the regulation of controlled unclassified information in the United States.

Keywords U.S.A. Controlled unclassified information. Important data. Data security. Public interest.

0 引言

隨著信息網(wǎng)絡(luò)通訊技術(shù)的發(fā)展和開源情報(bào)的興起，一種介于國(guó)家秘密與公開信息之間的“非密中間信息”近些年來逐漸受到人們的廣泛關(guān)注，如何采取措施保障此類信息的安全成為數(shù)字主權(quán)國(guó)家必須直接面對(duì)的議題。美國(guó)將此類信息稱之為“受控非密信息”（Controlled Unclassified Information，簡(jiǎn)稱CUI），并作出解釋：受控非密信息不在國(guó)家秘密之列；它由美國(guó)聯(lián)邦政府或者為美國(guó)政府服務(wù)的非政府機(jī)構(gòu)所持有、接收、產(chǎn)生；如果泄露，有可能危害國(guó)家安全和數(shù)據(jù)主權(quán)，應(yīng)依照法規(guī)、政策限制其傳播或者予以保護(hù)[1]。美國(guó)較重視“受控非秘信息”的立法、管理和實(shí)踐，積累了較豐富的經(jīng)驗(yàn)，并取得了一定成效，走在世界前列。

我國(guó)多部法律法規(guī)、條例中均提到“重要數(shù)據(jù)”，如：《網(wǎng)絡(luò)安全法》[2] （2017年6月1日起施行）、《數(shù)據(jù)安全法》[3] （2021年9月1日起施行）、《重要數(shù)據(jù)識(shí)別指南（征求意見稿）》[4]、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》[5]，并將其概念界定為“特定領(lǐng)域達(dá)到一定規(guī)模的數(shù)據(jù)；不屬于國(guó)家秘密，但一旦泄露，可能損害國(guó)家安全、公共利益；需要進(jìn)一步加強(qiáng)管控”[4]。從這里可以看出，我國(guó)“重要數(shù)據(jù)”的概念與美國(guó)“受控非密信息”的含義較為接近；但在對(duì)關(guān)鍵概念作界定時(shí)，應(yīng)考慮中、美語(yǔ)境的差別。首先，“重要數(shù)據(jù)”與“受控非密信息”之間具有多個(gè)共同點(diǎn)，如：概念屬性相似，都不屬于國(guó)家秘密信息，但若泄露都會(huì)損害社會(huì)公共利益；管理方式接近，都采取較為靈活、寬松的管理方式，管理措施和要求也相對(duì)輕松；都做到合理識(shí)別，實(shí)行分類管理，并根據(jù)現(xiàn)實(shí)情況和需要進(jìn)行動(dòng)態(tài)性調(diào)整；以政府為主導(dǎo)，積極促進(jìn)各責(zé)任主體開展協(xié)同合作，政府機(jī)關(guān)是重要責(zé)任主體，并擁有其他較多的義務(wù)主體，各主體之間積極協(xié)作。這些共同特性為我國(guó)借鑒美國(guó)的有益經(jīng)驗(yàn)提供了可適用性。其次，二者存在一些重要差異，表現(xiàn)在：概念界定范圍不同，“重要數(shù)據(jù)” 的界定范圍比“受控非密信息”的要大一些；對(duì)安全認(rèn)知、立法取向的差異，我國(guó)以“總體國(guó)家安全觀”為基準(zhǔn)，美國(guó)以經(jīng)濟(jì)利益為重點(diǎn)，注重國(guó)家安全。我國(guó)近些年來對(duì)“重要數(shù)據(jù)”的監(jiān)管總體情況呈現(xiàn)良好勢(shì)頭，但仍存在一些實(shí)際問題，如：部分地區(qū)思想上不太重視、監(jiān)管措施不力、法律法規(guī)欠缺等。美國(guó)“受控非密信息”的監(jiān)管經(jīng)驗(yàn)對(duì)于我國(guó)“重要數(shù)據(jù)”的管理具有有益的借鑒和參考價(jià)值，因此本文對(duì)此主題開展研究也具有一定的現(xiàn)實(shí)指導(dǎo)意義。

1 研究現(xiàn)狀

為了全面了解國(guó)內(nèi)外有關(guān)“受控非密信息”的研究現(xiàn)狀，筆者進(jìn)行文獻(xiàn)調(diào)研，分別查閱美國(guó)官方有關(guān)網(wǎng)站、Spring Linker外文數(shù)據(jù)庫(kù)和“中國(guó)知網(wǎng)”中文數(shù)據(jù)庫(kù)，得到本研究相關(guān)文獻(xiàn)。

國(guó)外的有關(guān)研究主要集中在美國(guó)受控非密信息管理方面，學(xué)者們采用的研究方法以文獻(xiàn)查閱、綜合分析、對(duì)比等為主，研究?jī)?nèi)容主要分布在受控非密信息的分類標(biāo)識(shí)、監(jiān)管策略、實(shí)踐探索等方面[6-9]。

國(guó)內(nèi)關(guān)于“受控非密信息”的研究大體可分為以下幾方面：（1）美國(guó)受控非密信息監(jiān)管介紹及其啟示。張敏等[10]用綜合分析法研究了美國(guó)“受控非秘信息”協(xié)同治理的背景、動(dòng)因與基本路徑，張濤[11]分析了美國(guó)受控非密信息制度的管理與技術(shù)防護(hù)體系、職能架構(gòu)，孫寶云針對(duì)美國(guó)“受控非密信息”的注冊(cè)登記制度[12]、在線培訓(xùn)[13]進(jìn)行了研究，均認(rèn)為對(duì)我國(guó)有一定啟示。（2）美國(guó)受控非密信息的分類和標(biāo)識(shí)管理。徐與璠等[14]探討了美國(guó)“受控非密”信息的新類別：國(guó)防類別、自然和文化資源類別、協(xié)議類別。周亞超等[15]分析了美國(guó)聯(lián)邦政府受控非密信息的分類，闡述了非聯(lián)邦機(jī)構(gòu)受控非密信息的的一般安全控制和增強(qiáng)安全控制措施。李波洋[16] 研究了美國(guó)“受控非密信息”的標(biāo)識(shí)管理舉措。（3）美國(guó)受控非密信息管理的發(fā)展、變化。孫寶云等[17]從四個(gè)方面分析了特朗普政府時(shí)期美國(guó)“受控非密”信息管理的新變化，指出這些變化對(duì)我國(guó)敏感信息保護(hù)具有參考價(jià)值。吳瑞[18]、吳沈括等[19]研究了美國(guó)受控非密信息管理制度的新發(fā)展、新職能與監(jiān)督措施。（4）我國(guó)“重要數(shù)據(jù)”的保護(hù)。大多數(shù)學(xué)者結(jié)合我國(guó)《數(shù)據(jù)安全法》來研究重要數(shù)據(jù)的保護(hù)，較典型的有：劉雙陽(yáng)[20]根據(jù)《數(shù)據(jù)安全法》的相關(guān)條款，分析了數(shù)據(jù)處理者的重要數(shù)據(jù)保護(hù)義務(wù)及職責(zé)。藍(lán)藍(lán)[21]以《數(shù)據(jù)安全法》為研究背景和視角，闡明了重要數(shù)據(jù)的內(nèi)涵、識(shí)別與保護(hù)措施。劉耀華[22]結(jié)合《數(shù)據(jù)安全法》，重點(diǎn)研究了我國(guó)重要數(shù)據(jù)保護(hù)中的數(shù)據(jù)分類分級(jí)制度。謝永江[23]以《數(shù)據(jù)安全法》為視角，剖析了重要數(shù)據(jù)保護(hù)的意義、立法概況及保護(hù)制度建立等。

上述有關(guān)美國(guó)“受控非密信息”、我國(guó)“重要數(shù)據(jù)”保護(hù)的研究提供了較有價(jià)值的參考借鑒和現(xiàn)實(shí)指導(dǎo)意義，為后續(xù)學(xué)者的研究指引了較明晰的學(xué)術(shù)思路。但綜合看來，目前已有的研究尚存在一些不足，如：研究力量較為分散，未形成穩(wěn)定的研究團(tuán)隊(duì)；研究?jī)?nèi)容前后重復(fù)，前面已闡述的內(nèi)容在后面亦有再現(xiàn)；提出的借鑒策略較為模糊，針對(duì)性不強(qiáng)。基于此，本研究思路是：在綜合目前已有研究文獻(xiàn)的基礎(chǔ)上，尋找突破口；系統(tǒng)梳理美國(guó)“受控非密信息”的監(jiān)管經(jīng)驗(yàn)，并與中國(guó)“重要數(shù)據(jù)”保護(hù)作比較，分析其共性和差異之處，提升美國(guó)經(jīng)驗(yàn)對(duì)中國(guó)有益借鑒的適用性；有針對(duì)性提出我國(guó)重要數(shù)據(jù)保護(hù)的基本策略和思路，以供參考。

2 美國(guó)“受控非密信息”監(jiān)管的主要經(jīng)驗(yàn)

2.1 較成熟的法規(guī)、政策為受控非密信息的監(jiān)管“保駕護(hù)航”

為了實(shí)現(xiàn)受控非密信息的規(guī)范管理和法制管理，美國(guó)政府制定發(fā)布了相關(guān)法律法規(guī)、政策、指南等，條款內(nèi)容較為詳盡，建立起有序規(guī)范的受控非密信息監(jiān)管法律體系。2008年，布什政府組建成立“受控非密信息”辦公室，發(fā)布《指定和共享受控非密信息（CUI）》備忘錄[24]，較早開始探索受控非密信息的管理。2010年，奧巴馬政府頒布第13556號(hào)行政命令《受控非密信息》，對(duì)CUI的認(rèn)識(shí)、識(shí)別、傳播控制、安全防護(hù)及監(jiān)管等均作了較為詳細(xì)的規(guī)定[25]。這部法律標(biāo)志著美國(guó)受控非密信息的管理由混亂走向規(guī)范，具有里程碑式意義。2016年，《美國(guó)聯(lián)邦法規(guī)》“最終條例”（32 CFR Part 2002）對(duì)CUI的監(jiān)管規(guī)則進(jìn)行了細(xì)化，為《受控非密信息》（即第13556號(hào)行政命令）提供實(shí)施指南[9]。2017年特朗普政府執(zhí)政以來，更加重視受控非密信息的監(jiān)管，密集發(fā)布較多新政策、新指南和新標(biāo)準(zhǔn)，擴(kuò)大了CUI的監(jiān)管范圍[17]。典型的如：2017年6月發(fā)布1號(hào)公告《受控非密信息項(xiàng)目實(shí)施建議》；2019年9月發(fā)布《監(jiān)督私營(yíng)部門的受控非密信息項(xiàng)目公告》；2020年6月發(fā)布《關(guān)于非聯(lián)邦信息系統(tǒng)處理“受控非密”信息的安全要求》，執(zhí)行NIST SP 800-171標(biāo)準(zhǔn)（即《在非聯(lián)邦系統(tǒng)和組織中保護(hù)受控非密信息》[26]）。美國(guó)較成熟的法規(guī)、政策、指南為受控非密信息的依法監(jiān)管“保駕護(hù)航”，并打下堅(jiān)實(shí)基礎(chǔ)。

2.2 分類管理受控非密信息，并動(dòng)態(tài)調(diào)整

針對(duì)數(shù)量巨大的受控非密信息，美國(guó)采取“分類管理、動(dòng)態(tài)調(diào)整”的方式進(jìn)行監(jiān)管，這是美國(guó)受控非密信息管理的主要經(jīng)驗(yàn)和特色。美國(guó)受控非密信息執(zhí)行機(jī)構(gòu)（CUI EA）按照法律、法規(guī)、政策、指南等的規(guī)定，遵循相關(guān)規(guī)則，確定管轄信息目錄，將受控非密信息劃分為大類，然后在其下劃分子類別。迄今為止，已核定的管轄信息目錄共分為20個(gè)大類別、126個(gè)子類別[27]；引用相關(guān)法律，對(duì)每個(gè)類別的受控非密信息予以描述，規(guī)范其標(biāo)識(shí)、管理要求，為推進(jìn)美國(guó)受控非密信息的管理發(fā)揮了重要作用。同時(shí)，充分考慮到時(shí)勢(shì)和情況的變化，受控非密信息管轄目錄實(shí)行動(dòng)態(tài)調(diào)整、不斷完善，及時(shí)反映最新法規(guī)、政策的進(jìn)展[15]。例如，特朗普政府執(zhí)政時(shí)對(duì)受控非密信息管轄目錄進(jìn)行調(diào)整，在原有基礎(chǔ)上增加了3個(gè)新類別：“國(guó)防”類別、“自然和文化資源”類別、“協(xié)議信息”類別，分別涉及到國(guó)防部、自然文化與考古資源、協(xié)議信息等方面的受控非密信息內(nèi)容[14，28]。目前，美國(guó)的受控非密信息管轄目錄和范圍基本趨于穩(wěn)定，但仍在不斷完善，從中也可以看出美國(guó)的受控非密信息分類監(jiān)管具有較好的“動(dòng)態(tài)性”和彈性[10]。

2.3 明確設(shè)立職能部門，加強(qiáng)受控非密信息的監(jiān)管

為了提高受控非密信息的管理效率和水平，美國(guó)明確設(shè)立了職能部門并規(guī)范其職責(zé)，各司其職加強(qiáng)對(duì)受控非密信息的監(jiān)管。首先，第13556號(hào)總統(tǒng)令《受控非密信息》規(guī)定，受控非密信息的執(zhí)行部門是國(guó)家檔案與文件管理局（National Archives and Documents Administration），總體執(zhí)行總統(tǒng)令關(guān)于CUI的各項(xiàng)法律規(guī)定并確保落到實(shí)處。后來根據(jù)現(xiàn)實(shí)情況需要，國(guó)家檔案與文件管理局委托下設(shè)部門——信息安全監(jiān)督局（Information Security Oversight Office，簡(jiǎn)稱ISOO）具體負(fù)責(zé)全國(guó)受控非密信息的事務(wù)監(jiān)管工作。這樣一來，ISOO成為美國(guó)受控非密信息監(jiān)管的實(shí)際執(zhí)行機(jī)構(gòu)，具體負(fù)責(zé)CUI的注冊(cè)登記、分類標(biāo)識(shí)及安全控制等管理事務(wù)[29]。其次，設(shè)立受控非密信息管理的監(jiān)督部門。設(shè)立聯(lián)邦機(jī)構(gòu)，監(jiān)督其他機(jī)構(gòu)對(duì)受控非密信息法規(guī)、政策制度等的貫徹實(shí)施與實(shí)際落實(shí)情況。同時(shí)在內(nèi)部指定CUI高級(jí)官員，與執(zhí)行部門保持通訊聯(lián)系，并將CUI履行情況報(bào)告給上級(jí)部門。最后，設(shè)立受控非密信息咨詢委員會(huì)（CUI Advisory Committee），受理有關(guān)受控非密信息法律法規(guī)、政策、指南及日常監(jiān)管的咨詢業(yè)務(wù)，向上級(jí)主管部門提出實(shí)施建議等。總之，執(zhí)行部門、監(jiān)督部門及CUI委員會(huì)共同形成了美國(guó)受控非密信息監(jiān)管的職能架構(gòu)[11]，為CUI的有效管理提供了很好的保障。

2.4 通過技術(shù)防護(hù)助力受控非密信息監(jiān)管

除了依靠法規(guī)、政策及相應(yīng)職能部門之外，美國(guó)還通過技術(shù)防護(hù)措施和標(biāo)準(zhǔn)來助力受控非密信息監(jiān)管。聯(lián)邦機(jī)構(gòu)和非聯(lián)邦機(jī)構(gòu)均建立了受控非密信息管理系統(tǒng)，并遵照相應(yīng)技術(shù)標(biāo)準(zhǔn)。如：聯(lián)邦機(jī)構(gòu)使用管理系統(tǒng)對(duì)受控非密信息進(jìn)行處理時(shí)必須遵守NIST SP800-53、SP800-60、FIPS PUB 199、PUB 200等技術(shù)標(biāo)準(zhǔn)，并明確受控非密信息的安全技術(shù)控制舉措、具體要求及風(fēng)險(xiǎn)防范決策。非聯(lián)邦機(jī)構(gòu)通過管理系統(tǒng)對(duì)受控非密信息實(shí)行一般安全控制和增強(qiáng)安全防護(hù)，主要是提高CUI管理系統(tǒng)的通信保護(hù)與信息完整性防護(hù)能力，增強(qiáng)管理人員的安全意識(shí)，加大風(fēng)險(xiǎn)評(píng)估力度，提高應(yīng)急快速響應(yīng)能力，抵御網(wǎng)絡(luò)攻擊，保護(hù)CUI的完整性等。另外，非聯(lián)邦機(jī)構(gòu)管理受控非密信息須遵守美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的SP800-171安全技術(shù)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)從管理人員安全、訪問權(quán)限控制、設(shè)施配置、風(fēng)險(xiǎn)防范、事故追責(zé)等多個(gè)方面對(duì)受控非密信息進(jìn)行安全保護(hù)[26]。

3 美國(guó)受控非密信息監(jiān)管的主要特點(diǎn)

通過以上分析，可以總結(jié)美國(guó)受控非密信息監(jiān)管的主要特點(diǎn)如下：（1）依靠嚴(yán)密的立法體系作為有效監(jiān)管的保障。美國(guó)政府制定了較為完善的法律、政策等，并借助現(xiàn)代信息技術(shù)保障受控非密信息監(jiān)管的順利實(shí)施。（2）監(jiān)管主體之間密切合作，協(xié)調(diào)一致。美國(guó)受控非密信息監(jiān)管的主體多樣，以美國(guó)政府為主，各聯(lián)邦機(jī)構(gòu)、非聯(lián)邦機(jī)構(gòu)、信息安全監(jiān)督辦公室等部門協(xié)調(diào)合作，互相監(jiān)督，有效管理。（3）受控非密信息的監(jiān)管類型及時(shí)調(diào)整，保持動(dòng)態(tài)性。美國(guó)受控非密信息監(jiān)管的類型并不是一成不變，而是根據(jù)形勢(shì)、現(xiàn)實(shí)的需要及時(shí)調(diào)整適用范圍，并作精確細(xì)分，保持動(dòng)態(tài)性和彈性。（4）過去的實(shí)踐中存在低效、混亂的不足，導(dǎo)致受控非密信息文件的標(biāo)記和保護(hù)不一致、不明確或不必要的限制性傳播政策，對(duì)授權(quán)信息共享造成障礙。（5）通過受控非密信息（CUI）程序進(jìn)行管理，強(qiáng)調(diào)整個(gè)政府、聯(lián)邦機(jī)構(gòu)和非聯(lián)邦機(jī)構(gòu)實(shí)踐的公開性和統(tǒng)一性，旨在解決美國(guó)受控非密信息監(jiān)管中出現(xiàn)的問題。（6）從無序混亂走向規(guī)范統(tǒng)一。美國(guó)早期（布什政府時(shí)期）受控非密信息的管理顯得無序和混亂，管理流程并不科學(xué)，效率也不高。奧巴馬政府頒布《受控非密信息》行政命令后，美國(guó)受控非密信息監(jiān)管開始走向規(guī)范統(tǒng)一，建立了較科學(xué)、規(guī)范的監(jiān)管程序，管理效率大大提高。此后，美國(guó)陸續(xù)發(fā)布受控非密信息監(jiān)管相關(guān)法規(guī)、政策、指南等，完善了受控非密信息的一系列監(jiān)管體系。

4 對(duì)我國(guó)重要數(shù)據(jù)管理的有益借鑒

4.1 完善重要數(shù)據(jù)保護(hù)的相關(guān)法律法規(guī)、政策

美國(guó)依靠較成熟的法律法規(guī)、政策、指南作為受控非密信息監(jiān)管的堅(jiān)強(qiáng)“后盾”，經(jīng)過較長(zhǎng)時(shí)間的推進(jìn)，建立了較完善的CUI管理制度和法規(guī)、政策保障體系。這一點(diǎn)對(duì)我國(guó)具有積極的借鑒意義：針對(duì)“我國(guó)重要數(shù)據(jù)保護(hù)的相關(guān)法律法規(guī)、政策缺失”這一問題，應(yīng)進(jìn)一步完善重要數(shù)據(jù)保護(hù)的相關(guān)法律法規(guī)、政策、條例等，加快重要數(shù)據(jù)保障制度建設(shè)。近些年來，我國(guó)開始重視“重要數(shù)據(jù)”的保護(hù)和管理工作，并在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等相關(guān)立法及其他條例中列有重要數(shù)據(jù)保護(hù)條款[23]，在實(shí)踐中取得了一定成效。但總的看來，也存在一些問題，如：對(duì)重要數(shù)據(jù)保護(hù)的相關(guān)條款較為散亂和籠統(tǒng)，系統(tǒng)性不強(qiáng)，沒有切實(shí)具體的操作方案和行動(dòng)指南；未建立較健全的重要數(shù)據(jù)管理保障體系；未出臺(tái)一部專門的重要數(shù)據(jù)管理綜合性法律法規(guī)，等。因此，可借鑒美國(guó)的有益經(jīng)驗(yàn)，盡快建立和完善重要數(shù)據(jù)管理的立法規(guī)章，具體明確規(guī)定重要數(shù)據(jù)的概念內(nèi)涵、 識(shí)別程序、分類目錄范圍、管理規(guī)章制度、監(jiān)管措施、法律責(zé)任等，以法律和政策、制度作為有效支撐，進(jìn)而構(gòu)建與“重要數(shù)據(jù)”本質(zhì)特征相符合的法律保障體系和標(biāo)準(zhǔn)政策體系，實(shí)現(xiàn)我國(guó)重要數(shù)據(jù)管理工作的新飛躍。

4.2 做好重要數(shù)據(jù)的識(shí)別和分類管理工作

美國(guó)把分類管理作為受控非密信息規(guī)范化監(jiān)管的關(guān)鍵環(huán)節(jié)，并根據(jù)實(shí)際情況實(shí)行動(dòng)態(tài)調(diào)整。這一點(diǎn)對(duì)我國(guó)也有啟發(fā)：應(yīng)當(dāng)重視并做好重要數(shù)據(jù)的識(shí)別和分類管理工作。針對(duì)“我國(guó)重要數(shù)據(jù)保護(hù)中的數(shù)據(jù)分類管理工作不力”這一問題，首先應(yīng)該認(rèn)識(shí)到，合理識(shí)別重要數(shù)據(jù)是推進(jìn)我國(guó)重要數(shù)據(jù)分類管理工作的源頭，也是立法的基礎(chǔ)。我國(guó)要建立和完善重要數(shù)據(jù)的識(shí)別和分類管理機(jī)制，明確其具體工作流程，組織協(xié)調(diào)各個(gè)業(yè)務(wù)部門，從“數(shù)據(jù)安全”和“既有實(shí)踐”兩個(gè)方面對(duì)重要數(shù)據(jù)進(jìn)行合理識(shí)別。在報(bào)請(qǐng)上級(jí)機(jī)關(guān)嚴(yán)格審核的基礎(chǔ)上，形成業(yè)界重要數(shù)據(jù)目錄；并根據(jù)現(xiàn)實(shí)具體情況予以動(dòng)態(tài)調(diào)整，保持重要數(shù)據(jù)目錄的原則性與靈活性，做到與法律法規(guī)相銜接。在此基礎(chǔ)上，將重要數(shù)據(jù)劃分為若干類別和子類別，建立分類管理規(guī)程，根據(jù)各數(shù)據(jù)類別的特性設(shè)立相應(yīng)的分類管理方式，形成統(tǒng)一管理與分類管理相結(jié)合的管理模式，以便提高重要數(shù)據(jù)管理的效率和水平。

4.3 注重重要數(shù)據(jù)保護(hù)與國(guó)家安全、公共利益之間的平衡

美國(guó)受控非密信息監(jiān)管確立有明確的目標(biāo)：較好地平衡“國(guó)家安全”與“信息共享” 之間的關(guān)系[9]。這種監(jiān)管的“平衡性”對(duì)我國(guó)具有一定的參考價(jià)值：應(yīng)注重重要數(shù)據(jù)保護(hù)與國(guó)家安全、公共利益之間的平衡。也就是說，針對(duì)“我國(guó)重要數(shù)據(jù)保護(hù)中沒有有效注重利益平衡”這一問題，既要建立重要數(shù)據(jù)的立法保障機(jī)制，確保國(guó)家安全、重要數(shù)據(jù)安全與可控性，又要照顧到社會(huì)公眾對(duì)重要數(shù)據(jù)的正常需求，注重社會(huì)公共利益，我國(guó)《數(shù)據(jù)安全法》對(duì)重要數(shù)據(jù)的安全保護(hù)制度作了較為明確、詳細(xì)的規(guī)定，如：重要數(shù)據(jù)目錄的制定、數(shù)據(jù)處理者的保護(hù)義務(wù)、重要數(shù)據(jù)的安全審查制度和出口管制制度等[3]；但對(duì)于重要數(shù)據(jù)的不當(dāng)使用、限制性使用造成公共利益損害的規(guī)范較少，沒有很好地明確違反重要數(shù)據(jù)使用相關(guān)規(guī)定應(yīng)承擔(dān)的法律責(zé)任。因而，為了有效平衡重要數(shù)據(jù)保護(hù)與國(guó)家安全、社會(huì)公共利益，應(yīng)盡快建立重要數(shù)據(jù)安全管理機(jī)制、重要數(shù)據(jù)處理者權(quán)益行政復(fù)議機(jī)制及安全解除機(jī)制等，保障當(dāng)事人的合法權(quán)益，明確相關(guān)法律責(zé)任。

4.4 合理借鑒之“揚(yáng)棄”——避免美國(guó)受控非密信息監(jiān)管中的不足

然而，我們要實(shí)事求是地看到：美國(guó)對(duì)于受控非密信息的監(jiān)管并非盡善盡美，在監(jiān)管過程中也存在某些不足。在2010年第13556號(hào)總統(tǒng)令《受控非密信息》發(fā)布之前，美國(guó)的受控非密信息管理狀態(tài)可以用“無序”“混亂”來形容，主要體現(xiàn)在：（1）稱謂不統(tǒng)一，五花八門。對(duì)受控非密信息使用的名字稱呼繁多，有“敏感但非密信息”“僅限官方使用信息”等，名稱的混亂導(dǎo)致標(biāo)識(shí)的混亂，各部門使用的保護(hù)標(biāo)志和術(shù)語(yǔ)多達(dá)100多種，且界限不分明。（2）缺乏權(quán)威、統(tǒng)一的法律法規(guī)約束，管理混亂。長(zhǎng)時(shí)期內(nèi)，美國(guó)遲遲沒有出臺(tái)關(guān)于受控非密信息管理的權(quán)威、統(tǒng)一的法律法規(guī)，各地各部門的政策、標(biāo)準(zhǔn)、指南也不一致，沒有建立統(tǒng)一的管理制度，這種狀況導(dǎo)致權(quán)責(zé)關(guān)系不清、法律依據(jù)模糊，在實(shí)施中面臨重視不夠、推進(jìn)遲緩、效率不高等問題，嚴(yán)重影響受控非密信息的保護(hù)和共享、利用[30]。直到第13556號(hào)總統(tǒng)令頒布之后，美國(guó)的受控非密信息監(jiān)管才逐漸走向正軌、有序。因此，我國(guó)應(yīng)該持合理借鑒之“揚(yáng)棄”態(tài)度，即合理借鑒美國(guó)受控非密信息監(jiān)管的有益經(jīng)驗(yàn)，同時(shí)注意避免其監(jiān)管中的不足。應(yīng)結(jié)合我國(guó)的國(guó)情，考量美國(guó)“受控非密信息”與我國(guó)“重要數(shù)據(jù)”之間的差異和共同性，積極探尋我國(guó)重要數(shù)據(jù)的保護(hù)與安全利用、社會(huì)公共利益的關(guān)聯(lián)，建立和完善重要數(shù)據(jù)保護(hù)的法律法規(guī)體系和重要數(shù)據(jù)合理利用的保障體系。

參考文獻(xiàn)：

Controlled unclassified information [EB/OL].[2023-04-02].https：//www.federalre gister.gov/ documents/2010/11/09/2010-28360/controlled-unclassified-information.

國(guó)家法律法規(guī)數(shù)據(jù)庫(kù).《網(wǎng)絡(luò)安全法》[EB/OL].

[2023-04-16]. https：//flk.npc.gov.cn/detail2.html？MmM5MDlmZGQ2NzhiZjE3OTAxNjc4YmY4Mjc2ZjA5M2Q%3D.

國(guó)家法律法規(guī)數(shù)據(jù)庫(kù).《數(shù)據(jù)安全法》[EB/OL].

[2023-04-16]. https：//flk.npc.gov.cn/detail2.html？ZmY4MDgxODE3OWY1ZTA4MDAxNzlmODg1YzdlNzAzOTI%3D.

美創(chuàng). 國(guó)家標(biāo)準(zhǔn)《重要數(shù)據(jù)識(shí)別指南》又有重大修改[EB/OL].[2023-04-16].http：//www.mchz.com.cn/cn/about-us/industry-news/info_366.aspx？itemid=5470&ezeip=es515pfuwaihdff3mzwbdg==.

百度百科.網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）

[EB/OL].[2023-04-16]. https：//baike.baidu.com/item/網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）/.

NARA：CUI policy and guidance[EB/OL].[2023-07-20].https：//www.archives.gov/cui/registry/policy-

guidance#direc-tines.

CUI notice： establishing， eliminating， or modifying

categories of controlled? unclassified information[EB/

OL].[2023-07-21].https：//www.archives.gov/files/

cui/documents/20181116-cui-notice-2018-06-

establishing-eliminating-modifying-cui-categories.

pdf.

CUI Memo： review of proposed categories for CUI

registry[EB/OL].[2023-07-21].https：//www. archives.

gov/files/cui/documents/2012-cuio-memo-2012-proposed-category-review.pdf.

CUI Implementing Regulation： 32 CFR part 2002 “Controlled Unclassified Information” September 14，2016[EB/OL].[2023-07-21].https：//www.govinfo.gov/content/pkg/CFR-2018-title32-vo16/pdf/CFR-2018-title32-vol6-part2002.pdf.

張敏，王玥.美國(guó)“受控非秘信息”協(xié)同治理路徑及對(duì)我國(guó)“重要數(shù)據(jù)”立法的啟示[J].情報(bào)理論與實(shí)踐，2022，45（10）：36-44.

張濤.美國(guó)受控非密信息制度及其啟示[J].情報(bào)理論與實(shí)踐，2023，46（1）：197-204.

孫寶云.美國(guó)“受控非密信息”注冊(cè)登記制度透視[J].保密工作，2017（6）：48-50.

孫寶云.美國(guó)“受控非密信息”在線培訓(xùn)的啟示[J].保密工作，2015（5）：46-47.

徐與璠，孫煒力，劉暢.美國(guó)“受控非密”信息新類別探析[J].保密科學(xué)技術(shù)，2021（2）：52-58.

周亞超，左曉棟.美國(guó)受控非密信息分類與安全控制解析[J].網(wǎng)絡(luò)空間安全，2020，11（3）：12-17.

李波洋.美國(guó)“受控非密信息”的標(biāo)識(shí)管理[J].保密工作，2018（6）：39-40.

孫寶云，劉崇瑞，徐與璠.特朗普政府“受控非密”信息管理的新變化及啟示[J].情報(bào)雜志，2020，39（12）：67-73.

吳瑞.美軍受控非密信息管理的新發(fā)展[J].保密科學(xué)技術(shù)，2014（9）：51-61.

吳沈括，崔婷婷.美國(guó)受控非密信息管理制度研究[J].中國(guó)信息安全，2019（5）：87-91.

劉雙陽(yáng).論數(shù)據(jù)處理者的重要數(shù)據(jù)安全保護(hù)義務(wù)及刑事責(zé)任[J].北京社會(huì)科學(xué)，2022（6）：80-90.

藍(lán)藍(lán).數(shù)據(jù)安全立法視角下的重要數(shù)據(jù)：內(nèi)涵、識(shí)別與保護(hù)[J].思想理論戰(zhàn)線，2022，1（2）：106-115.

劉耀華.強(qiáng)化重要數(shù)據(jù)和核心數(shù)據(jù)保護(hù) 《數(shù)據(jù)安全法》構(gòu)建數(shù)據(jù)分類分級(jí)制度[J].中國(guó)電信業(yè)，2021（9）：57-59.

謝永江.從《數(shù)據(jù)安全法》視角探討重要數(shù)據(jù)保護(hù)[J].中國(guó)教育網(wǎng)絡(luò)，2021（8）：70-72.

BUSH G W. Designation and sharing of controlled unclassified information， memo random for the heads of executive departments and agencies [EB/OL].[2023-04-04]. https：//georgew bush white house. archives.gov/news/releases/2008/05/20080509-6.html.

BARACK H. Obama： executive order 13556-controlled

unclassified information [EB/OL].[2023-04-04].hops：//www.govinfo.gov/content/pkg/DCPD-201000942/pdf/DCPD-201000942.pdf.

SP 800-171 Rev. 2 protecting controlled unclassified

information in nonfederal systems and organizations，

February 2020 [EB/OL].[2023-04-06].https：//csrc.nist.gov/publications/detail/sp/800-171/rev-2/final.

CUI Categories [EB/OL].[2023-04-07].https：//www.archives.gov/cui/registry/category-list.

CUI notice： provisional categories [EB/OL].[2023-04-08].https：//www.archives.gov/files/cui/documents/20181116-cui-notice-2018-04-provisional-categories.pdf.

Information Security Oversight Office 2021 annual report to the president July 26，2022 [EB/OL].[2023

-04-12].https：//www.archives.gov/files/isoo/reports/

isoo-2021-annual-report-to-the-president-final.pdf.

李杰.從混亂到規(guī)范：美國(guó)“受控非密信息”管理簡(jiǎn)介 [EB/OL].[2023-04-20].https：//www.docin.

com/p-247103827.html.

鄧靈斌 南華大學(xué)經(jīng)濟(jì)管理與法學(xué)學(xué)院副教授。 湖南衡陽(yáng)，421001。

（收稿日期：2023-05-06 編校：謝艷秋，陳安琪）