世界主要國家非密敏感信息管理實踐與啟示

關鍵詞：非密敏感信息；數據安全；信息分類；國際比較；管理體系

中圖分類號：G203 文獻標志碼：A 文章編號：1003-5168（2025）14-0152-07

DOI：10.19968/j.cnki.hnkj.1003-5168.2025.14.030

Practices and Insights ofUnclassified SensitiveInformation Management inMajor Countries Worldwide

YANG Ruixian1，2.3 GUO Shiyu1

（1.School ofInformation Management， Zhengzhou University，Zhengzhou 450oo1，China; 2.Data Governance

Research Center of Henan Province， Zhengzhou 45O001， China; 3.Zhengzhou Data Science Research Center， Zhengzhou 450001， China）

Abstract：[Purposes] This study aims to provide theoretical references and practical paths for improving the data security governance system in China and achieving precise control and compliant utilization of unclassified sensitive information.[Methods] This study systematically compares the management practices of unclassified sensitive information in major countriesand regions worldwide，such as the United States and the European Union. It extracts common paterns and distinctive characteristics from five dimensions： definition and clasification，legal frameworks，organizational structures，control mechanisms，and technological applications.[Findings]By summarizing the management practices of unclassified sensitive information in major countries and regions worldwide and integrating them with China's data management realities，this study identifies areas for improvement in China's governance of unclassified sensitive information，including top-level design，systemic coordination，closed-loop management and technical support.[Conclusions] A management framework with Chinese characteristics is proposed，which is guided by multi-dimensional objectives，grounded in core principles，supported by institutional，organizational，and technologicalpillars，andreinforcedbykeymechanisms.Itaims toachieve precise control and compliant utilization of unclassified sensitive information while advancing national security and the modernization of data governance.

Keywords：unclasified sensitive information;datasecurity;information clasification;international comparison;management system

0 引言

信息時代背景下，數據已經成為國家重要戰略資源和關鍵生產要素，數據安全上升為國家安全的重要組成部分。非密敏感信息作為介于公開數據與國家秘密之間的“灰色地帶”信息，具有顯著的雙重屬性：一方面，其內容未達到《中華人民共和國保守國家秘密法》所規定的國家秘密密級，不在傳統保密監管范圍內；另一方面，其中相當部分涉及國家安全、公共利益或個人隱私，一旦泄漏、濫用或跨境流動不當，可能對國家政治、經濟、社會穩定造成危害[。如果對此類信息缺乏有效管理，既可能危及國家安全（如被不當獲取用于情報分析或網絡攻擊），又會損害公眾利益（如個人敏感信息泄露引發隱私侵權）2]。因此，在國家整體安全觀和數據治理體系下，非密敏感信息管理具有不可或缺的地位。

縱觀國際社會，構建專門的非密敏感信息管理制度已成為趨勢。我國對非密敏感信息管理的關注也在增加。《網絡安全法》《數據安全法》《個人信息保護法》等立法初步確立了分類分級、出境審查、個人信息保護等制度。然而，我國尚無統一的“非密敏感信息\"定義與管理體系，不同領域術語交雜，標準不一，如“重要數據”“公開例外信息”“內部敏感信息”等混用，導致實踐中執行混亂，既易濫用限制信息流通，也可能放任應受保護的信息泄露[3]。因此構建統一協調的管理體系迫在眉睫。本研究聚焦美國、歐盟、英國、日本、韓國、加拿大、澳大利亞等具有代表性的國家和地區，從定義分類、法律機構、管控技術三大維度系統比較其之間的經驗與差異。在此基礎上，結合中國國情，提出以戰略目標為引領、核心原則為基石、制度組織技術協同為支柱、關鍵機制為保障的中國特色非密敏感信息管理體系，為我國健全數據安全治理體系提供理論參考與實踐路徑。

1非密敏感信息的定義與分類

各國雖然在法律術語上有所不同，但均界定了非密敏感信息這一介于公開信息與機密信息之間的特殊類別。表1匯總了美國、歐盟、英國、日本、韓國、加拿大、澳大利亞和中國當前關于非密敏感信息的官方術語、定義及分類要點。

表1顯示，在定義方面，各國對非密敏感信息存在本質共識：雖非國家秘密，但因涉及安全、利益或隱私需加以管控，防止不當公開帶來危害。術語差異體現不同理念：美國“受控非機密信息”（CUI）強調政府未定密信息需依法控4；歐盟等用“敏感”凸顯內容特殊性；英、澳納入政府信息分級框架，通過附加標記管理；日本、韓國則從負面清單角度，列舉不得公開或需特別保護的信息[5。各國保護范圍側重不同：美國CUI覆蓋國防、執法至隱私等廣泛領域；歐盟側重公共安全與個人數據；韓國聚焦信息公開例外；中國目前主要關注經濟科技領域的重要數據安全，反映了各國安全關切與政策差異。總體而言，非密敏感信息可理解為“非國家秘密但需要實施控制的信息”：它不符合定密標準，無法按國家秘密管理，但直接公開又可能造成一定損害，需采取適當限制措施予以保護。這一特殊類別廣泛存在于政府、國防、公共安全等領域，兼具公開性與敏感性，在信息安全治理中占據重要地位。

在分類模式方面也各具特色：美、加采用獨立精細分類（如CUI20類）指導差異化管控；英、澳屬融合分類，在統一框架內附加標識（如Sensitive）；日、韓傾向列舉式清單，無獨立分級體系。中國的重要數據分類借鑒風險評估和行業目錄方法，尚處起步階段。各國目標一致：匹配信息風險等級與保護力度，避免“一刀切”。

2法律法規體系與機構設置

非密敏感信息管理往往涉及多個法律領域和監管機構，各國均通過法律法規和組織架構的建立，為敏感信息保護提供制度保障和執行支撐。下面對比主要國家（地區）的立法框架和機構設置。

2.1法律政策體系

如圖1所示，世界主要國家普遍構建了“基本法 ⁺ 配套制度 + 技術標準”的金字塔規范體系管理非密敏感信息。頂層通常由法律或行政命令確立基本原則和授權框架，分別在政務信息、數據分類、網絡安全、個人信息等領域規定了敏感信息保護要求，但尚缺乏統一的“非密敏感信息”立法；中層以行政法規、政策或標準細化操作細節；底層則依托技術標準和行業指南支撐實施，為數據分類提供依據。通過層級銜接，各國確保敏感信息保護有法可依、有章可循。

表1各國非密敏感信息的定義要點及分類概述

2.2 主管機構與協同機制

在組織架構上，各國普遍采用中央統籌、部門分工的管理模式，建立跨部門協作網絡。中央層面設有專門機構負責核心政策制定與監督：例如美國國家檔案局下設的CUI執行辦公室負責制定政策、發布目錄和監督落實8，歐盟層面由歐盟委員會及機構間信息安全協調小組牽頭制定規則并統一標準，英國內閣辦公廳政府安全局（GSG）負責制定政府安全分類政策并監督執行。各部門內部通常設立專職崗位（如美國的CUI高級職員、英國的安全負責人負責本部門信息管理。此外，獨立的監管機構（如英國信息專員辦公室ICO）處理特定領域的違規投訴。各國還普遍建立“雙軌制”的監管體制。一方面由中央或跨部門機構負責政策制定與總體協調，另一方面由各行業主管或地方機構負責屬地化管理。這種監管網絡既確保了政策的一致性，又發揮了各專業部門的積極性，實現縱向分級、橫向協同。

綜上，各國通過明確牽頭單位、部門職責和協作渠道，形成了覆蓋中央一部門一行業一技術各層面的治理架構，對我國建立統籌有力、分工明確的敏感信息治理機制具有借鑒意義。

圖1世界主要國家金字塔法律政策體系結構

3管控機制與技術手段

有效的管控機制和技術手段是非密敏感信息管理制度發揮作用的關鍵保障。在具體管理機制上，各國圍繞“識別標識一控制保護一動態評估一事后響應”建立了全流程閉環管控體系，并不斷引入新技術增強管理效能。

3.1分類標識與訪問控制

明確標識與分級訪問控制是各國管理非密敏感信息的核心措施。美國要求在CUI文件頁眉顯著標注類別，未經授權不得訪問，并根據信息類型設置訪問權限與加密存儲要求，如涉控出口信息限專業人員處理，涉隱私信息需加密存儲[9。歐盟規定SNC信息須標注“SENSITIVE”并限定知悉范圍，傳輸中使用與機密級別相當的系統保障安全。英國OFFICIAL-SENSITIVE信息除標識外，還結合“個人數據”等提示詞，嚴格實行“最小知悉”原則，僅授權履職人員訪問[10]。此外，各國普遍采取“四道防線”式訪問控制，包括身份認證、權限管理、日志審計和物理防護，如操作日志追蹤、物理隔離等。標識提醒與權限控制的結合，已成為國際敏感信息保護的基礎共識。

3.2動態評估與調整

針對信息風險的動態評估和保護策略的靈活調整，是各國提高敏感信息管理有效性的重要手段。英國等國要求在處理公民個人敏感數據或跨部門共享數據前開展“數據保護影響評估（DPIA）”，系統分析擬處理信息的敏感性、影響范圍和潛在風險，根據評估結果決定是否需要附加保護措施或限制公開。韓國在《公共機構信息公開法》等制度中建立了“指定一解除\"機制，規定政府部門對特定非公開行政信息的保密期限進行設定，期限屆滿或敏感性降低時應及時解除限制狀態，以防長期過度保護[11]。美國CUI制度也強調定期復核：各機構需周期性審查所標識的CUI類別及數量，確保不因情境變化而繼續將某些信息錯置于受控狀態[12]。可以說，通過引人風險評估、限定保密期限和定期審查，各國實現了敏感信息保護強度可動態調整：既避免“一放了之\"導致泄露風險，也防止“不加區分地長期管控\"妨礙信息流通。

3.3違規處置與事后響應

為實現閉環管理，各國普遍建立了嚴格的敏感信息泄露處罰與報告機制。日本《特定秘密保護法》對泄露責任人最高可判刑 10a ，并追究管理失責者責任，以強化震懾。歐美則通過行政、民事處罰提升成本，如GDPR下泄露敏感個人信息可處高額罰款。同時，多國實行強制通報制度，如歐盟、加拿大要求泄露事件72小時內上報監管機構并通知當事人，美國聯邦機構亦需依CUI制度及時向國土安全部門報告。各國還構建了分級響應機制：韓國將事件劃分為一般、重大、特別重大三級，分別由機構、監管機關、國家安全部門處理。總體來看，各國通過處罰、報告、分級應對三位一體機制，實現了敏感信息從事前預防到事后問責的完整閉環。

3.4先進技術應用

面對大數據時代層出不窮的新風險，各國積極引入先進技術手段，提升敏感信息保護的智能化水平。一是智能監測：韓國行政安全部開發“K-DataGuard\"系統，利用聯邦學習等技術，在不觸碰敏感數據內容的前提下，對政府各機構數據傳輸流量進行異常檢測，及時發現可疑外泄行為[13]。二是零信任架構：美國國防部于2023年啟動“CUI云保護計劃”，要求凡在云環境訪問CUI的行為均須經過持續的多因素身份驗證和行為分析，相當于為敏感信息構筑\"永不信任、持續驗證\"的訪問機制[14]。三是溯源防護：英國情報機構GCHQ研發了“敏感數據指紋\"技術，對OFFICIAL-SENSITIVE文件嵌入不可見的數字水印標記，實現敏感信息泄露后的精準追蹤定位，有助于事后調查取證和責任認定[15]。此外，數據加密、數字版權管理（DRM）、訪問日志分析、機器學習異常檢測等技術也在各國敏感信息管理中得到廣泛應用。這些技術工具的應用，使得敏感信息的保護從人工管理為主加速走向人技融合、智能防控的新階段。對于我國來說，充分利用人工智能、大數據、安全計算等技術加強敏感信息全流程防護，是未來治理模式的重要發展方向。

綜上所述，通過對美國、歐盟等主要國家和地區在非密敏感信息管理的比較，可見共性規律與差異特點并存，對中國具有重要啟示。中國非密敏感信息管理的現狀與其他國家相比，在統一頂層概念與定義、管理體系、分類分級體系、全流程閉環管理、技術支撐能力、平衡安全與利用的機制等方面有待優化。深刻了解并理解國際經驗，結合我國數據管理實踐，是推動我國非密敏感信息管理制度化、規范化、現代化發展的關鍵前提

4構建中國特色非密敏感信息管理體系的建議

基于對國際經驗的批判性吸收與我國國情及政策環境的深入分析，構建系統化、規范化的非密敏感信息管理體系已迫在眉睫。其核心挑戰在于：填補現行“國家秘密-公共信息”二分法下的管理真空，精準平衡國家安全、公共利益與數據要素價值釋放，適應數字治理現代化要求。為此，本研究提出一個以戰略目標為引領、核心原則為基石、制度組織技術協同為支柱、關鍵機制為保障的中國特色管理體系框架（見圖2）。

4.1 明晰戰略定位與多維目標體系

基于上述國際經驗與中國現狀分析，構建中國特色非密敏感信息管理體系需明確以下戰略定位與目標。

第一，筑牢國家安全與發展基石。將防范非密敏感信息（如關鍵基礎設施運行數據、未定密的重要國家安全關聯信息、重大公共利益信息）泄露可能引發的系統性風險作為首要自標，彌補當前保密制度與一般數據安全管理制度之間的保護縫隙，避免其成為安全鏈條中的“短板”。第二，激活數據要素潛能與規范流動。破解“一管就死、一放就亂”困境。通過建立科學的分類分級、授權訪問和共享機制，在嚴格保障安全底線的前提下，依法依規促進政府部門之間、政企之間等特定場景下的敏感數據安全可信共享與開發利用，服務于宏觀經濟決策、社會治理優化和科技創新。第三，完善國家信息治理譜系。將非密敏感信息管理定位為國家信息治理體系的關鍵“中觀”層。通過專門制度設計，實現“國家秘密（嚴格保護）一非密敏感信息（受控保護）一公共信息（開放利用）\"三級治理架構的無縫銜接與動態平衡，提升治理體系的完整性、科學性和精細化水平。第四，提升全球數據治理規則塑造能力。構建既符合國際通行數據保護原則（如必要性、比例原則）又彰顯中國特色（如強調國家安全優先、多主體協同治理）的制度體系。為參與跨境數據流動規則談判（如DEPA、CPTPP相關條款）應對“長臂管轄\"風險、推動“數字絲綢之路\"建設提供堅實的國內法依據和治理實踐支撐，增強我國的國際話語權。

圖2中國特色非密敏感信息管理體系

4.2確立指導制度設計的核心原則

中國特色非密敏感信息管理體系制度構建須遵循以下不可妥協的基本原則，確保方向正確、邊界清晰。第一是遵循法治原則：盡快制定《非密敏感信息管理條例》等上位法規，明確定義、范圍、權責與基本規則，確保與《中華人民共和國保守國家秘密法》《數據安全法》《個人信息保護法》《政府信息公開條例》等有效銜接。第二是遵循分類分級、精準施策原則：依據信息領域、敏感程度、影響范圍等要素實施精細化分類分級管理，差異化配置管控措施，確保資源投人與風險匹配。第三是遵循最小必要原則：信息收集、使用、傳播限制應限于實現目的之最小范圍，定期評估并動態調整敏感狀態（如降級或解除），平衡安全與利用。第四是遵循全生命周期管控原則：覆蓋信息產生、標識、存儲、使用、共享、脫敏、銷毀各環節，明確規程標準，嵌入業務流程，消除監管真空。第五是遵循權責清晰、可追溯可追責原則：明確生成方、持有方、使用方等主體的責任義務，建立簽名備案、日志審計、水印溯源等技術支撐的留痕機制，健全違規處罰與責任追究制度。

4.3構建協同聯動的制度一組織一技術支柱體系

首先，用制度規范體系奠定治理基石。制度體系是實現全生命周期管控的基礎。首要任務是建立統一的界定標準與分類分級體系，制定《非密敏感信息判定指南》和《國家分類分級目錄》，構建“基礎通用類別 + 行業擴展”的動態架構，并配套《標識規范》，實現統一標注。同時，構建覆蓋生成、使用、流轉、退出的閉環管理機制：信息生成時同步判定與標注；對外提供前嚴格審批和評估；存儲與使用中實行分級存儲、最小權限控制與審計；設立1～2a定期復評與“解敏”機制，明確最長保護期限（ 10～ 15a ；完善泄露監測與響應機制，在《數據安全法》中細化責任追究，輔以黑名單和舉報獎勵制度。

其次，用組織運行體系保障執行效能。高效治理需構建中央一執行一社會三級協同網絡。中央層面可依托中央網信委設立國家非密敏感信息管理辦公室，負責制度設計、分類目錄維護、部門協調與全國監督，并與保密、公安、國家安全等部門建立常態協作機制。執行層面，各級政府與重點行業單位應設立專職崗位，負責信息識別、防護與應急響應；對極高敏感信息可設立獨立監督崗。社會層面，企業須設首席數據安全官履行責任，行業協會制定自律規范，公眾享有知情舉報權，國家監察機構或信息專員負責抽查評估，強化外部監督與社會共治。

最后，用技術支撐體系賦能智慧管理。技術支撐體系重點構建四類能力。第一，建設國家級智能管理平臺，集成分類知識庫、輔助判定、電子標識與審批流轉等功能，并與政務系統、企業平臺對接，實現標識自動嵌人與風險預警。第二，發展智能風控技術，基于自然語言處理實現文本、圖像等多模態敏感識別，結合聯邦學習與安全計算開展異常行為監測，部署敏感信息泄露的主動監測與溯源系統。第三，強化防護能力，推廣國密算法分級加密，實施零信任架構與ABAC精細授權，探索量子密鑰分發用于政務高保密通信。第四，完善溯源應急機制，開發數字水印與區塊鏈存證系統，整合電子取證與應急決策工具，提升事件響應效率。

4.4強化支撐體系落地的關鍵機制

為保障制度、組織與技術體系高效協同，需建立四重保障機制：一是構建縱貫中央一地方、橫聯各部門的常態化協同治理網絡，配套統一信息共享平臺，解決“九龍治水，各管一頭\"的效率低下問題，強化指揮權與處置流程標準化。二是完善風險導向的彈性調整機制，嵌入定期評估與“解敏”要求，利用AI動態優化管控策略，實現與風險等級精準匹配。三是形成技術一制度協同迭代機制，設立敏感信息治理技術實驗室，加快隱私計算、智能識別等前沿成果轉化，推動標準與法規同步更新。四是建立能力建設與宣傳機制，將管理培訓納入公務員與關鍵崗位考核，加強政策宣傳與合規教育，推動社會多元主體共治。

5結語

在數據深度融入國家發展的大背景下，非密敏感信息作為連接國家秘密與公共信息的“關鍵一環”，其安全管理對國家整體安全與數據要素價值釋放具有重要意義。本研究系統梳理了主要國家的管理實踐，揭示全球治理趨勢的同時，反映出我國在定義不清、體系分散、閉環薄弱與技術賦能有待優化等方面的現實挑戰。本研究提出以戰略目標為引領、核心原則為基礎、制度一組織一技術協同為支柱、關鍵機制為保障的中國特色治理框架，旨在實現從“嚴格保護\"到“開放利用”的有序銜接，推動信息治理體系法治化、精準化、全流程化與智能化，為我國參與全球數據治理規則塑造提供制度支撐與實踐路徑。

參考文獻：

[1]鄧靈斌.美國“受控非密信息”的監管經驗及其有益借鑒[J].新世紀圖書館，2024（2）：80-85.

[2]楊艷紅.我國非密敏感信息保護及其評價：基于CUI方法的研究[D].北京：中國社會科學院研究生院，2013.

[3]張敏，王玥.美國“受控非秘信息”協同治理路徑及對我國“重要數據”立法的啟示[J].情報理論與實踐，2022，45（10）：36-44.

[4]宋繼偉.總體國家安全觀下的“敏感信息”管理機制芻議：美國經驗借鑒[J].情報雜志，2018，37（8）：107-113.

[5]PARK H. Management of controlled unclassified in-formation：a three nationscomparative review[J].KoreanJournal ofPolicyAnalysisand Evaluation，2010，20（4）：203-228.

[6]齊巍，孫寶云.美國保密管理改革新趨勢及背景探析[J].保密工作，2022（12）：56-59.

[7]UK Cabinet Office. Government Security Classifica-tionsPolicy[Z].2013.https：//www.gov.uk/government/publi-cations/government-security-classifications.

[8]University of Virginia. Controlled unclassified infor-mation[EB/OL].（2017-12-20）[2025-03-20].https：//export.virginia.edu/controlled-unclassified-information.

[9]周亞超，左曉棟.美國受控非密信息分類與安全控制解析[J].網絡空間安全，2020，11（3）：12-17.

[10]于潔，栗琳.英國敏感信息管理及對我國的啟示[J].情報理論與實踐，2021，44（7）：184-190.

[11]陳美.韓國開放政府數據的隱私風險控制研究[J].情報理論與實踐，2021，44（8）：180-186，111.

[12]吳沈括，崔婷婷.美國受控非密信息管理制度研究[J].中國信息安全，2019（5）：87-91.

[13]Ministryof the Interior and Safety（MOIS），Repub-lic ofKorea.K-DataGuard System Technical Report[R].Seoul：MOIS，2023.

[14]U.S.Department of Defense （DoD）.DoD ZeroTrust Strategy [EB/OL].Washington，DC：DoD，（2022-09-01）[2025-03-24].https：//dodcio.defense.gov/Portals/0/Docu-ments/Library/Zero-Trust-Strategy.pdf.

[15]National Cyber Security Centre （NCSC），UK.Guidance：UsingDigital Watermarkingto ProtectOFFICIALInformation[EB/OL]. （2022-01-01）[2025-03-23]. https：//www.ncsc.gov.uk/guidance/using-digital-watermarking.

（欄目編輯：蔣姍姍）