“军工涉密咨询新规”解读及实施(转载)
孙一杰
近年来,随着我国社会主义市场经济的深入发展和政府职能的逐步转变,各类咨询服务单位业务范围不断扩大,服务类型不断增加,很多单位的业务领域已扩展到国防军工系统,为涉密单位或涉密项目提供服务。这些咨询机构在为我国军工科研生产发挥越来越大的作用、做出巨大贡献的同时,也难免由于自身保密意识较弱、安全保密防护措施不到位等问题,给国家秘密安全带来隐患。为加强军工涉密业务咨询服务单位的监督管理,国防科工局于2019年12月31日印发《军工涉密业务咨询服务安全保密监督管理办法》(科工安密1545号,以下简称“新规”),取代原2011年发布的《军工涉密业务咨询服务安全保密监督管理办法(试行)》(科工安密356号,以下简称“原试行管理办法”)。与原试行管理办法相比,新规突出强调了国防科技工业管理部门对军工涉密业务咨询服务单位的监督管理职责,进一步明确了责任,阐明了备案流程,列出了负面清单,细化了保密条件,推动了多方位联动。
一、“军工涉密咨询新规”出台的背景及意义
一方面,新规的出台是政府“放管服”、加快转变职能的统一战略部署在咨询服务行业参与军工企业涉密项目时监管制度完善优化的体现。自2015年“放管服”改革概念首次提出以来,各部门机关根据时代发展要求健全管理体制、创新监管方式,完善市场监管和执法体制,完善公共服务管理体制,切实加强事中事后监管,不断深研做好简政放权的“减法”、加强监管的“加法”和优化服务的“乘法”,这一政府管理理念上的转变表现在军工涉密项目咨询服务领域,即力求通过对于原试行管理办法中不符合保密实践要求的各项条款进行修订完善,真正做到审批更简、监管更强、服务更优,把该管的事管好管到位、该放的权放足放到位、该提供的服务提供到位,为军民融合背景下咨询机构深入参与、切实服务军工企业涉密项目进程营造良好政策环境和社会氛围,不断推动高质量发展迈上新台阶。
另一方面,新规的出台是为适应近年来咨询机构从事涉密业务过程中信息保密风险的新发展、新变化。具体来看,一是窃密手段表现出日益多样化的趋势,尤其是当代OA技术以及通信技术的普及应用使得高新科技有机可乘,通信窃听设备无孔不入,网络窃密现象越发严重,窃密活动越来越呈现出高技术、全方位、立体化的特点。此外,在无线通讯设备的广泛应用下,手机泄密问题也愈发严重,获取机密信息的渠道和漏洞更为宽泛。二是咨询服务机构保密管理职能效用未得以充分发挥。实践中,保密管理水平较低的涉密咨询服务机构难以与其整体规模发展趋势以及承接咨询项目涉密程度保持同步,从而导致涉密项目咨询服务工作中的保密事项难免缺乏计划性、时效性、目的性,无法按照项目进程合理跟进,保密工作大都流于形式,存在忽略保密管理、注重效率与利益、收效甚微的问题,非但不能给保密信息提供保障,反而使得相关部门逐渐成为一种摆设,发展为一种管理能力引人质疑的宣传机构,导致其保密管理工作的根基被严重弱化。尽管宣教工作是保密管理工作的重点内容,但保密管理工作的本质在于管理,应以切实有效的管理手段和管理成效为核心。三是咨询服务机构审查备案与日常管理融合度不高。部分咨询服务单位在开展实际工作过程中,管理目标单一化、割裂化,往往为迎合审查备案而开展保密工作,为了通过审查,生搬硬套,“标准要求什么就做什么”,保密管理无法与单位的运营管理相对接,使保密工作仅流于表面形式,随之也将带来无穷危害。在新规颁布前,咨询服务机构所采取的咨询服务备案的方式,成为定期检验本单位日常保密管理水平的有效手段。但也正是由于备案工作的定期阶段性,导致某些咨询服务机构“审查前突击准备,审核后疏于管理”。这一现状的存在,亟待服务机构建立一套行之有效的涉密业务日常保密管理长效机制,予以改进和完善。
新规正是在这一背景下,通过对于责任主体的明确、对于涉密信息保护原则和理念的强化、对于具体保密条件和保密管理制度实践方式的拓宽,切实减少行政管理环节,加重咨询服务机构保密责任。从而在有效节约行政管理成本基础上,遏制政府权力寻租现象,提升政府公信力、执行力和权威性;促进咨询服务机构更加重视涉密信息保护工作,着力构筑符合自身实际情况的保密信息管理体制机制。
二、军工涉密咨询新规的内容重点
与原试行管理办法相比,新规强调“加强事中事后监管”,各地主管部门及各军工集团企业工作重点将放在“事中事后保密信息管理”上,按照“宽进严管”的原则,采取事中抽查、双随机检查等多种方式,对咨询服务机构的安全保密条件以及军工单位与咨询服务机构之间的履约情况进行监管。综合来看,新规的变化主要集中在以下几个方面:
(一)进一步明确主体责任
原试行管理办法规定,国防科工局负责全国军工涉密业务咨询服务的安全保密监督管理,省级国防科技工业管理部门负责本行政区域内军工涉密业务咨询服务的安全保密监督管理。新规中则明确,涉密业务咨询服务安全保密工作坚持“谁委托、谁负责,谁承接、谁负责”原则,军工单位对本单位涉密业务咨询服务安全保密管理负主体责任,军工集团公司负责本集团内部涉密业务咨询服务的组织管理,从事涉密业务咨询服务的单位或者组织对承担的涉密业务咨询服务事项安全保密管理负主体责任。从而将咨询服务事项安全保密管理担责主体予以落实,由国防科工局进行全面指导监管,敦促军工单位及咨询服务单位审慎管理涉密事项,加强保密工作。
(二)阐明备案流程
新规规定,军工单位应当对咨询服务单位执行保密协议情况进行监督检查,并于委托项目后30个工作日内将使用的咨询机构有关情况向主管单位(部门)备案。在2020年10月20日*新发布的《军工涉密业务咨询服务安全保密监督管理工作常见问题解答(第二版)》(以下简称“《问题解答》”)中进一步明确,军工集团公司所属单位应当逐级向军工集团备案,地方军工单位、民口民营单位应当向所在地的省级国防科技工业管理部门备案。军工集团公司、省级国防科技工业管理部门应将备案信息汇总后,统一报国防科工局。从而弥补了原试行管理办法中对于具体备案流程约定不明确的疏漏。
(三)列出了负面清单
新规第十条明确了咨询服务单位应当具备国家安全保密法律法规规定的从事涉密业务的条件。第十一条罗列了咨询服务单位在从事军工涉密业务咨询服务时禁止的行为。与原试行管理办法详尽罗列咨询服务单位应当具备的条件和应当从事的安全保密措施相比,新规一方面对于“应为”的行为给予原则性规定,另一方面对于“不可为”的情形则通过负面清单形式予以限制。这在一定程度上激发了涉密业务咨询服务机构自主进行涉密信息管理的主观能动性,在符合统一条件和标准的基础上,根据实际情况开展涉密业务信息保密工作;同时,针对窃密手段日益多样、信息联通和传递日益便捷的现实情形,对于涉密信息的存储、传输活动则通过禁止性规范予以重点关注,有的放矢地加强保密信息管理工作。
(四)细化了保密条件
新规规定,咨询服务机构应当按照规定成立保密组织和工作机构、制定完善的安全保密制度,并在涉密人员、涉密场所、涉密载体、涉密项目、协作配套、涉密会议、宣传报道、计算机信息系统和办公自动化设备管理等方面符合国家安全保密规定和标准。同时,在《问题解答》中,进一步对咨询机构经营条件、组织机构条件、制度条件、人员条件、场所条件及其他条件进行细化。值得一提的是,相较于原试行管理办法,新规对保密条件的细化体现在将协作配套、宣传报道、计算机信息系统等模块纳入涉密服务项目保密工作范畴,但在具体条件的限制上则偏向于原则性规范。
(五)推动了多方位联动
除明确军工单位应逐级向军工集团公司或向所在地省级国防科技工业管理部门备案,并*终由国防科工局全面指导监管外,新规还特别规定,在军工单位涉嫌委托涉密业务咨询服务、或咨询服务单位发生对应情形时,由国防科工局根据其情节严重程度,视情在军工系统内通报,从而对纵向的监管全流程、以及横向的系统内各军工单位之间的机构信息互通及多方联动起到推动作用,有利于军工单位及相应咨询服务机构强化信息保密意识,完善保密信息管理。
三、新规下咨询服务机构的工作重心
《问题解答》中规定,对于咨询服务机构应满足的各项条件,由军工单位采取书面审核、现场审核方式确认,或者由乙方提供具备相关条件书面承诺的方式进行确认即可。再结合上述新规的变化我们不难发现,与原试行管理办法相比,新规以原则性的、更为灵活的规范条例取代了原来对于咨询机构应满足的硬性条件、应采取的管理制度等大量具体的限缩性规定,给予咨询机构充分的保密信息管理自主权;同时,将涉密项目的事前监管流程拓宽到“咨询机构出具书面承诺”的程度,这就决定了军工单位将在*大程度上重视和加强对于咨询机构从事涉密项目的事中事后监管,而咨询机构如何充分发挥主观能动性,在原则条款范围内构建组织架构完备、运作切实有效的保密管理机制,则成为其能否承揽好、服务好涉密项目的直接因素。在笔者看来,咨询服务机构可从以下几个层面着力予以推进。
(一)建构并完善咨询机构保密责任体系
作为一项系统工程,要想切实构建有效的全方位保密管理系统,就应明确各大责任主体,责任追究到人,形成保密工作角色控制关键节点。针对咨询服务机构而言,考虑到其内部管理模式较为扁平化,可创设“单位责任人—保密部门分管负责人—涉密项目责任人—具体涉密人员”四层涉密人员责任体系,进而确保涉密人员能各自依照责任分工切实履行责任,在有效开展专项保密工作的基础上审慎完成咨询服务项目。
(二)涉密人员分流程管理
涉密人员作为涉密信息的生成者、知悉者与运用者,是独特的涉密载体,在掌握众多涉密信息的同时,也具备独立的行为与思考能力。保密监管的重点在于加强对涉密人员的全程管理,而这种“全程管理”体现在涉密人员上岗、在岗、离岗的全流程中。在上岗阶段,**,咨询机构应当对其进行资质审查,主要内容应包含家庭、社会及境外关系情况,出入境情况,工作经历,遵守法纪情况,是否与涉密人员的基本要求相符等;其次,应当按照其工作涉密等级,编制并参照《涉密岗位一览表》对相关涉密人员从事涉密工作类别进行报备;再次,在涉密人员上岗接触涉密信息前,应当参加相关涉密业务培训,咨询机构也应当与其签订相关承诺书、保密责任书等,明确相应义务及法律责任。涉密人员在岗阶段,除应当重视定期培训工作外,咨询机构还应当为其生成独立台账及管理档案,及时了解其思想变化情况,进行定期考评,重点关注其基于个人因素的出境审查审批工作,并根据保密责任体系架构及时落实主体责任。若涉密人员离开涉密岗位,则在收回相关涉密载体及涉密设备的同时,还应当由涉密人员签订保密承诺书,并重视涉密人员脱密期管理。
(三)进一步强化包含计算机及信息系统在内的涉密载体管理
涉密载体是保密工作难点及关键所在。加强涉密载体管理,就管理方式而言,*关键的是要重视审查审批权的分配和行使,为了使整个生命周期处于可控状态,尽可能减少涉密信息知悉者,应从载体生成到损毁地各个环节构建标准化的流程,进而高效开展审查审批工作,并依个人分工行使职责。其二,要构建涉密载体台账,从个人、部门、单位三个级别维度进行架构,对载体制作份数、名称、时间、页数、机密级别、流通过程等信息进行详细记录,确保在涉密媒体完整生命周期内,档案跟进目标得以全面实现。其三,采用集中方式进行管理,结合咨询服务机构运营管理实践,依照“安全可控”“*小化”的基本准则在项目负责人团队内或整个咨询机构层面设置涉密载体,并通过机构内人防、物防、技防措施完备的涉密场所,以集中方式进行管理,进行“集中制造、保管、收发、编号”。
从管理流程上看,要将安全保密需求纳入对涉密载体“选型—采购—验收—领用与定密—安装与配置—变更—维修—报废处理”的全流程之内,对涉密信息知悉范围严格控制并依据必要手续进行审批,针对相应保密及安全防护级别,配备与之对应的操作权限、安全策略配置、台账创建、端口绑定工作等。
咨询机构涉密信息保护是一项系统性工程。新规发布后,其内核已逐渐由原来“以试行管理办法规定的条件和流程进行机构设置”,过渡为“在原则性规范框架下构建符合机构自身实际的管理模式”。这尤其需要咨询机构充分认识到建设全方位保密管理模式的重要意义,运用多样化的管理技术与理论方法,审慎保障涉密信息安全,削减乃至消除咨询服务机构泄密风险。
参考文献:
《军工涉密业务咨询服务安全保密监督管理办法(试行)》(科工安密356号)第六条规定了咨询服务单位应当具备的基本条件,其中不乏“涉密人员100人(含)以上的,要有专门独立机构管理安全保密工作,编制2-3人;涉密人员50人(含)以上,100人以下的,要明确一个部门管理安全保密工作,设1名专职安全保密管理人员;涉密人员(包含外聘专家)与境外人员无婚姻关系;涉密场所应当门窗坚固,建立电子门禁、视频监控、入侵报警等技术防范系统”等规范,通过大量限缩性条件对咨询服务机构进行不必要限制,同时也无法体现立法理念和立法技术的进步。
(作者:孙一杰,上海市锦天城律师事务所律师。)