美日科技领域信息安全体系分析与启示
唐璐 张志强 陈云伟
摘要:[目的/意义]信息安全是国家安全的重要组成部分。本文深入考察美国和日本的科技领域信息安全政府治理体系,以期为我国建设针对高技术等科技领域的信息安全治理体系提供借鉴与参考,从而提高我国科技领域信息安全与科技安全水平,为高水平科技自立自强提供坚实保障,服务于新国际形势下的国际科技合作与竞争。[方法/过程]本文主要对美国、日本的信息保密制度、人员许可程序、专利保护制度、出口管制制度等科技领域涉密及敏感信息管理机制与具体实践进行调研和总结,梳理了其针对政府、高校院所、企业等不同主体开展的科研活动所产生的涉密与敏感信息的分类管理方式,结合中美竞争中的具体治理实践进行解读。[结果/结论]美国的科技领域信息安全体系较为完善成熟、法规政策交叉配合、实践操作灵活,注重信息保密与信息解密之间的平衡,对不同国家采取分类分级的科技信息共享与合作机制;
日本的科技领域信息安全体系发展较晚,处于逐步完善过程当中。这启示我国要研究和加强高新科技发展的信息安全体系,完善有关国际科技合作的信息安全法律法规制度,探索分类分级的科技领域信息安全治理模式。
关键词:科技领域信息安全体系 美国 日本 中美竞争 科技安全
分类号:C931.5
DOI:
10.19318/j.cnki.issn.2096-1634.2022.02.11
?本文系中国科学院政策研究课题“国际科技前沿态势研究”(项目编号:ZYS-2021-03)、中国科学院文献情报能力建设专项项目“科技领域战略情报研究咨询体系建设”(项目编号:E0290001)研究成果之一。
1 前言
信息安全是科技安全和国家安全的重要组成部分,信息安全体系建设是国家总体安全体系建设的重要组成部分。2014年4月,中央国家安全委员会第一次会议上,习近平总书记首次提出“总体国家安全观”,明确提出国家安全的12个构成要素,其中科技安全是国家安全的重要组成部分。近年来,随着新一轮科技与产业变革的加速推进、国际科技经济和政治竞争格局的深入演变,以高技术领域为代表的科技领域涉密与敏感信息安全问题在国际竞争中的战略地位逐渐凸显。我国的保密制度与信息安全管理领域发展起步较晚,随着形势的发展而强化治理体系建设、提升治理能力的需求日益迫切。因此,本文旨在对美国和日本的涉密信息管理、人员许可程序、专利保护制度、出口管制制度等构成的科技领域的信息安全治理体系及其合作发展情况进行系统梳理,以期为我国科技领域的信息安全治理体系建设提供启示与借鉴,从而提高我国科技领域信息安全水平,为高水平科技自立自强提供坚实保障,服务于新国际形势下的国际科技合作与竞争需求。
2 科技竞争与科技领域信息安全的重要性
2.1 研究背景
当今时代,世界百年未有之大变局持续演进,以新一轮科技与产业变革为代表的生产力之变是主要变量[1]。科技能力是国家实力的关键、大国崛起的战略支点、大国竞争的制高点[2]。随着科技与经济、社会發展的深度融合,科技领域风险渗透其他领域、影响国家外交政策与政治安全[3]。科技安全已不仅影响经济社会发展和人民福祉,而且事关大国博弈中的国家主权安全和发展利益。预判与应对科技领域风险,加强科技安全治理体系,确保国家科技自立安全愈发紧迫与关键[4]。
科技信息资源是重要的科技资源要素之一,为科技研发、科技成果转化与应用提供信息支撑[5]。科技信息资源丰富与否影响研发水平与创新能力,科技信息资源安全与否影响经济利益与军事安全。其中,高技术尤其是关键核心技术的知识产权安全已成为国家安全的战略屏障与前沿阵地[6]。对科技领域信息安全体系进行深入研究,对维护我国科技安全和国家安全、为高水平科技自立自强提供坚实机制保障、服务新时期的国际科技合作与竞争具有重要意义。
2.2 国内外研究现状
科技安全、信息安全是学术界高度关注的研究问题之一。国外对科技安全的关注较早。1919年,有学者开始关注技术安全问题,随后国外学者对非传统安全、人才安全、科技体制安全等进行了大量的研究[7]。国内研究起步相对较晚。1998年,连燕华等首次提出科技安全的概念[8]。随后,国内学者针对科技安全的概念、要素、特征、对策等问题进行了全面探讨。其中,马维野指出,信息安全是科技安全概念的重要外延之一,既包含对信息资源的法律和政策进行保护的运行系统安全,也包含对信息资源进行技术保护、对外部信息入侵进行防御的系统信息安全[9]。王世伟指出,近年来,针对“信息安全”的国内外研究多关注后者,即愈发聚焦于信息技术与通讯技术领域,大多数研究将“信息安全”与“网络安全”“网络空间安全”等概念相关联、并行甚至替换使用[10],而对前者的研究相对较少。夏文婷对我国科技项目合作中的涉密科技信息安全政策进行了分析[7]。其他直接针对科技领域信息安全的研究多关注金融[11]、现代农业[12]等具体科技领域。有些学者梳理了美国的保密制度[13-14],但未对整体科技领域的涉密与敏感信息治理情况进行针对性解读。
综上所述,目前针对整体科技领域的信息安全及其治理体系的研究仍较为薄弱。因此,本文以广义的科技领域信息安全为研究对象,以美国智库卡内基国际和平基金会的《高科技联盟:美日科技合作面临的挑战与机遇》[15]等最新报告为重要参考文献,系统梳理美国、日本的治理体系,以期为我国科技领域信息安全治理与体系建设提供借鉴,提高科技领域涉密与敏感信息安全保护整体水平,也为在大国战略竞争中,合理开展国际科技合作、探索分层级分类别的科技信息保密与共享提供思路。
3 美国科技领域信息安全体系
美国已形成针对不同科研主体与信息敏感程度分类管理的、较为完备的科技领域信息安全体系。针对美国政府开展或资助的科研活动所产生的涉密信息,主要以保密制度、特殊访问机制、特定项目管理、人员许可程序加以治理;
针对私营部门开展的科研活动所产生的涉密信息,以发明保密制度、漏洞公平裁决程序、受外国所有/控制或影响的企业管理机制等加以管理;
对各类科研主体产生的科技领域受控非密信息,依据出口管制制度与基础研究豁免制度进行管理。
3.1 美国政府科研活动的涉密信息管理机制
3.1.1 美国政府科研活动的信息定密机制 2009年,奥巴马政府签署的第13526号行政令《国家安全信息保密》确定了美国的定密制度,是美国现行的保密行政法令与管理指南。该行政令对涉密信息的密级、定密权限、定密范围、解密时限等进行了详细规定。
涉密信息被划分为绝密、机密和秘密三个密级。初始定密权限被授予至众多政府部门和内阁级机构的负责人(包括美国国家航空航天局局长、国防部长、能源部长、美国贸易代表和环境保护署署长等)。定密范围包含与军事、情报、外交、核问题、大规模杀伤性武器,以及与国家安全有关的科技、经济活动等相关的8类信息[16]。即该行政令将“国家安全相关科学、技术或经济事项”明确列为一种定密信息类别,其所辖范围不仅限于国防部(U.S. Department of Defense,DOD)的军事信息,美国联邦政府资助的尖端技术研发成果也受其管辖。
美国联邦政府资助的尖端技术研发通常受到DOD及能源部(U.S Department of Energy,DOE)的资助,并主要由DOE下属国家实验室及其他美国政府研究机构开展。许多研究被认定为与国家安全相关,并由各自所属部门和机构确定为国家涉密信息。虽然该行政令明确规定“与国家安全没有明确关联的基础科学研究信息不得被定密”,但尚无法律指导方针对如何区分是否存在上述关联做出明确阐述。
3.1.2 美国政府科研活动的信息访问机制 通常外国实体或公民无法获取美国的涉密材料,仅可在某些情形下有限地接触特定类型的涉密材料。
(1)DOD《美国国家工业安全计划操作手册》(National Industrial Security Program Operating Manual,NISPOM)关于“有限访问权限”(Limited Access Authorization,LAA)的规定[17]
NISPOM规定,在极少数情况下,当一个外国公民拥有美国公民所不具备的独特或特殊的技能或专业知识,且该技能或专业知识是支持一项需要接触特定涉密信息的美国政府具体合同所迫切需要的,则此人可能会被授予LAA权限。然而,该条款应用于科研交流时存在一些限制。例如,不允许LAA人员访问绝密信息、受限数据(Restricted Data,RD)、外国公民不可访问信息(No Foreign Nationals,NOFORN)或通信安全信息(Communications Security,COMSEC)等信息类型,且不适用于持续性研究合作项目、不具备互惠互利精神。
(2)美国政府与其他国家共享涉密军事情报(Classified Military Information,CMI)和其他敏感信息的指南和程序
美国政府已制定了一套指南与程序,以便与其他国家共享CMI和其他敏感信息。例如,美日两国主要依据2007年签署的《军事情报保护协定》(General Security of Military Information Agreement,GSOMIA)框架共享军事与情报秘密(尤其是涉及军事、防务装备、核能等领域的信息)。根据GSOMIA,获得了各自政府颁发的“人员安全许可”的美日人员可参与CMI的传递。日本或美国政府实体产生的、与国防相关的科技情报均被纳入了CMI范畴。双方同意以“基本相同”的方式保护CMI,包括信息存储、传输以及通过人员安全审查系统对访问人员进行审查。
(3)DOD《国际项目安全手册》关于“国家信息披露政策”(National Disclosure Policy,NDP)的规定[18]
美国国防部的NDP政策主要对技术数据、应用研发、受控非密信息(Controlled Unclassified Information,CUI)以及与国防或国家安全研究相关的国际项目信息进行约束管控。与外国实体或公民共享敏感或涉密信息前必须满足符合美国的外交政策、符合军事与安全目标、接收国有意愿与能力提供相当的信息保护、为美国带来等价或更高利益以及进行最低程度信息披露等5项信息披露标准。其中,美国政府通过考察接收国是否签订双边GSOMIA协议、由国家信息披露政策委员会(National Disclosure Policy Committee,NDPC)进行实地调查、评估项目与美国标准的合规度、调查伙伴国的特定技术与能力、为GSOMIA签订《工业安全附件》(Industrial Security Annex,ISA)等方式,判断接收国是否符合第三项标准。
3.1.3 美国政府科研活动的信息安全管理实践
(1)DOD项目
为了促进关于敏感问题的国际研究合作且保障国家安全,DOD根据前述NDP政策的规定推出并资助与其他国家合作开展的研究项目。项目类型包括双边学术研究倡议(Bilateral Academic Research Initiative,BARI)、联合作战计划(Coalition Warfare Program,CWP)、联合原型计划(Allied Prototyping Initiative,API)等(具体见表1);
合作形式包括数据和信息交流项目、工程师和科学家交流项目、特定的合作项目、国外比较测试(探索美国和外国制造的国防设备的兼容性)等。
(2)DOE项目
DOE作為美国实质上的科学研究部门,承担国家实验室网络与人员管理、涉密与非涉密研究、经费拨款等职责,并定期发布融资机会公告(Funding Opportunity Announcements,FOAs)为特定领域研究提供竞争性资助。DOE的涉密工作主要包括核武器储备项目“核武器库存管理计划”(Stockpile Stewardship and Management Plan,SSMP),以及DOD、情报系统、执法部门等委托合同任务。上述涉密项目主要由DOE核安全管理局(National Nuclear Security Administration,NNSA)所辖的劳伦斯利弗莫尔国家实验室、洛斯阿拉莫斯国家实验室和桑迪亚国家实验室,以及DOE科学办公室所辖的橡树岭国家实验室、太平洋西北国家实验室等机构承担。同时,上述国家实验室承担涉密与非涉密研究项目。因此,DOE采取了多种信息安全保障措施(见表2)。
(3)美国国家科学基金会(U.S. National Science Foundation,NSF)项目
NSF作为美国联邦政府的独立科学基金资助机构,绝大多数经费流向高校和其他学术机构,小部分流向了小企业、非营利机构与私营企业。NSF的政策规定:NSF基金用于非涉密的、公开发布成果的科学研究;
若研究产出了可能被视为涉密的信息或成果,则应遵照保护涉密信息的相关法规进行管理,研究人员有义务立即通知基金会项目管理人员或联邦政府代表。此外,近年来,为应对中美竞争的加剧,NSF更新了其敏感研究政策,推出了严格科研诚信审查、创建研究安全战略和政策小组等措施(见表3)。
3.1.4 美国政府的人员许可程序 为了确保政府机构与部门雇员的可靠、可信、忠诚,美国政府对其雇员、承包商、军职人员进行背景调查、签发安全许可,以确定对涉密国家安全信息的访问权限[19]。目前,根据美国的13869号行政令,于2019年新成立的国防反情报与安全局(Defense Counterintelligence and Security Agency,DCSA)是负责相关职能的主要联邦政府部门,受DOD情报副部长管辖。DCSA主要职能包括:①承担约95%的联邦政府背景调查工作,包括内部威胁分析、持续评估和审查计划;
②负责监督“国家工业安全计划”(National Industrial Security Program,NISP)和NISPOM的实施,包括审批用于存放DOD等联邦政府机构的涉密材料的承包商设施、监督拥有许可资质的承包商等。NISP旨在确保美国产业界在履行政府合同任务时充分准备,并有效履行保护涉密信息的责任。
3.2 美国私营部门科研活动的涉密信息管理机制
私营部门(尤其是非国防军用的高科技企业)投资仍是美国绝大部分科研活动的资金来源。私营部门的技术研发超出了美国政府的涉密信息管控范围,但政府可以根据《发明保密法》,颁发保密令、漏洞公平裁决程序、对受外国所有/控制或影响(Foreign Ownership, Control or Influence,FOCI)企业的管理规定等一系列安全审查程序,对相关科技信息进行管控。
3.2.1 发明保密制度 在美国的发明保密制度中,政府利用颁发保密令从而中止专利申请程序的方式确保涉密或敏感信息安全。根据1951年的《发明保密法》,当美国专利商标局的专利专员认定一项专利申请包含敏感技术信息或一旦公开将威胁美国国家安全的知识产权时,该专员可向专利申请人颁发保密令,限制其公布上述知识产权的能力。美国专利局通常不会向其发放外国专利许可,从而限制专利申请人在外国司法管辖区寻求专利保护的能力。专利专员与武装部队、国家安全局(U.S. National Security Agency,NSA)、DOE、国家航空航天局(U.S. National Aeronautics and Space Administration,NASA)和司法部(U.S. Department of Justice,DOJ)等部门官员协商判定专利是否包含上述信息,并对照列有可能被视为国家机密的技术类型名册《专利保密等级审查清单》(Patent Security Category Review List,PSCRL)对潜在的涉密专利申请进行审查。
专利专员可签发3类保密令[20]。①第一类保密令,是指在特定的国家进行外国专利申请的保密令。它适用于属于出口控制但不属于国家秘密的发明[21],旨在限制军事与太空应用等主题信息的传播,同时不影响其使用、促进敏感技术的商业化推广。②第二类保密令,是指对含有涉密或应保密技术信息的专利申请的保密令。它通常被颁发给与DOD签署了安全协议或受安全协议约束的专利申请人[13],申请人可根据NISPOM对这些信息进行披露。③第三类保密令,是指一般保密令。对不适用于前两种保密令且专利申请包含应保密信息的其他情形,颁发此类保密命令。它通常被颁发给未与美国DOD签署安全协议的专利申请人,禁止其在保密专员未明确允许的情况下披露相关信息。
3.2.2 漏洞公平裁决程序(Vulnerabilities Equities Process,VEP) 美国政府机构为进行情报收集和网络间谍活动而搜寻、开发和使用“零日漏洞”的必要涉密任务,同时也需向可修补漏洞的开发人员进行漏洞披露以改善网络安全、保护美国公民的个人信息和商业秘密等公共利益。为平衡两者的关系,美国政府于2008年推出“漏洞公平裁决程序”(VEP)。根据该程序,如果由国土安全部、白宫行政管理和预算办公室、国家情报总监办公室、财政部、国务院、司法部等10个联邦政府实体[22]构成的“公平裁决委员会”(Equity Review Board)成员认为披露某涉密漏洞将满足一定公共利益,而不會损害军事、作战、情报、商业、执法或外交利益,那么可将其向软件开发人员进行披露与报告以供修补漏洞,并可以选择向盟国政府机构秘密通报漏洞[23]。
3.2.3 对受外国所有、控制或影响(Foreign Ownership, Control, or Influence,FOCI)的企业的管理规定 美国政府通过识别被外国所有、受到外国控制或影响(FOCI)的企业并限制其访问涉密信息与设施、履行涉密合同的能力,确保在美外企不接触到涉密与敏感信息安全。DCSA负责FOCI企业的管理。DCSA根据以下标准判断企业是否为 FOCI企业,符合任意一条则被视为FOCI企业:①外国实体持有企业大量股权或债务;
②非美国公民担任董事会成员或者高级管理人员;
③外国实体有权委任或者控制董事会;
④依赖外国市场或实体获取大量收入;
⑤与外国机构有其他人员或财务往来。
FOCI企业需采取补救措施以减轻上述因素造成的影响:①通过董事会决议,确保可能控制企业或对企业施加影响的外国实体不能接触任何涉密信息;
②签署“特别安全协议”(Special Security Agreement,SSA),创建一个基本独立、完全本土化、具有财务可行性、负责处理涉密合同与信息的子公司,以与外国实体保持距离;
③签署“表决权信托”(Voting Trust Agreement,VTA)或“委托协议”(Proxy Agreement,PA),外国实体将其部分职权(如投票权、企业管理、合并或破产声明)委托给一位经DCSA批准的美国公民[24]。
3.3 美国各类科研主体的受控非密信息(Controlled Unclassified Information, CUI)管理
除涉密信息外,美国政府对特定类型信息的访问也加以限制。2010年,奥巴马签署的第13556号行政令提出“受控非密信息”(CUI)的概念,并对其传播控制标准做出统一规定。CUI是指为政府创建或由政府创建、需要根据法律法规或政策加以保护的信息。各政府机构可自行确定哪些信息属于CUI,但需遵循统一的CUI信息处理标准。总体而言,CUI既包括个人信息、人事记录、健康记录或其他受法律保护不予公开的、与国家安全或经济安全无关的信息,也包括关键基础设施、核、情报和出口控制研究等重要信息。美国政府主要采取出口管制的方式对CUI的传播进行限制。
3.3.1 敏感技术信息的出口管制制度 作为美国敏感技术出口管制制度的一部分,《国际武器贸易条例》(International Trafficking in Arms Regulations,ITAR)和《出口管制条例》(Export Administration Regulations,EAR)是管理科技信息出口管制的两个主要法规。其中,ITAR由国务院管理,主要涉及军事和航空航天技术;
EAR由商务部管理,涉及几乎其他所有领域的敏感技术(如通信技术、非军用核技术、工业技术、生物或化学技术等)。DOD和其他机构也在美国出口管制制度中发挥作用,即大部分出口管制研究均受商务部工业和安全局(Bureau of Industry and Security,BIS)的管辖,BIS有权确定哪些研究属于CUI、需受出口管制许可要求的约束,这对由外国公民开展的、涉及外国资金的研究有重要影响。总体而言,敏感主题领域的科技信息可能需受到控制,但其并不一定是CUI(除非属于政府开展的或政府委托开展的研究活动);
BIS可能会视情况以CUI的管理方式对某些敏感研究加以限制,甚至将其标记为CUI,从而对其进行出口管制。
3.3.2 基础研究豁免与例外 根据1985年里根总统签署的“第189号国家安全决策指令”(National Security Decision Directive-189,NSDD-189),大多数高校开展的基础研究享受“基础研究豁免”,即联邦政府资助的高校开展基础研究产出的敏感技术与软件等科技信息,应尽可能不受或受较少的出口管制。除《美国联邦法规》(Code of Federal Regulations,CFR)第15条明令禁止的事项外[25],只要不违反下列条件,即可进行由外国公民开展的、受外国经费资助的定期的科研活动:①主要研究人员需有意发表基础研究的成果(如书籍、学术论文等);
②研究资助者不得对任何研究成果的发表有任何事先限制,以及资助者和主要研究人员间不得有任何交换条件;
③联邦政府资助的研究成果需经预发布程序确定是否含有敏感研究,审查机构具有自由裁量权,可能发现不符合基础研究豁免的情况;
④不得对基础研究的实体产品进行跨国转移,只可发布及允许学界获取研究结果;
⑤基础研究必须在美国境内进行。
企业研发等不符合上述条件的研究所产出的技术和软件信息可能被BIS视为CUI,并受出口管制限制;
但被识别为CUI的研究及其成果仍可被用于国际信息共享。相关方可向BIS申请出口许可证,以获取带有“可向某国发布(REL TO[country])”[26]标记的CUI。BIS对相关申请一事一议并可能提出特别要求,对外国实体、非执行分支实体等的CUI披露还需以书面协议等形式进行规范管理与限制。
3.4 美國近年强化科技领域信息安全的举措
自2018年美国政府发动对华贸易战以来,美国持续加大对中国高科技发展的封锁和围堵,以我国“知识产权盗窃”“强制技术转移”等为借口,在部分高技术领域采取保护主义措施,以加大对我国的技术出口管制、人员审查力度等方式,限制中美科技领域信息交流,掐断中美科技交流合作,意图在高技术领域与我国“科技脱钩”(见表4)。对中国科研机构等的“实体清单”限制的加大,致使中美科技合作与交流受到严重阻碍。
总而言之,美国政府的科技领域信息安全体系较为完善成熟,各类法规政策交叉配合,实践操作灵活,且尤为注重在信息的保密与解密之间取得平衡:一方面,出于国家与公众利益而对涉密与敏感信息的传播加以限制;
另一方面,为维护公民的知情权、促进知识的流动而不断解密。此外,随着近年来中美战略竞争的白热化,美国政府的科技领域信息治理举措显露出一些新趋势:一方面,多部门合力限制中美科技交流与合作,试图扰乱中国科技崛起;
另一方面,敦促盟国完善涉密信息与敏感信息治理体系,推进与其在关键技术领域开展科技信息共享与合作。
4 日本科技领域信息安全体系
自二战以来,日本对国家安全和军事秘密的处理一直是学术界、反对党和普通民众密切关注的对象。日本近年通过设立国家安全委员会(National Security Council,NSC)、颁布《特定秘密保护法》(Act on the Protection of Specially Designated Secrets,SDS Act),以改善决策过程,加强对敏感信息的控制,从而强化首相对国家安全政策的管理能力。整体而言,日本的科技领域信息安全体系起步较晚,目前尚不完善且管控力度较低。
4.1 日本政府科研活动的信息管理机制
4.1.1 日本政府科研活动的“特定秘密指定”机制
日本SDS法对“国家涉密信息”进行了严格界定,包括4类信息:军事防御信息(如防御行动、计划、防御密碼学和防御设备)、外交信息、反情报行动信息(防止在日本的“有害活动”)及恐怖主义信息。SDS法的国家涉密信息清单是详尽的准许清单,即未列明的信息类别则不被视为国家涉密信息。
SDS法在“国家涉密信息”方面存在一些不足:①对于可能涉及经济或科技领域信息的广义国家安全信息,以及“军事防卫”及武器秘密以外的、事关国家安全的非军事研究科技信息,SDS法并未明确规定定密职权;
②SDS法对国防设备相关研发信息加以保护,但仅限于现有设备及有拨款支持的特定武器系统,故不适用于具有潜在军民两用的技术或产品的科学探索或研发;
③拥有权限指定国家秘密的部委机构较少,仅限于防卫省、外务省、经济、贸易和工业部、法务省等,且上述机构行使职权的次数相对较少。例如,文部科学省(Japan’s Ministry of Education, Culture, Sports, Science and Technology,MEXT)仍无权指定国家秘密,尽管其承担着日本原子能研究开发机构的监督职权,且是最大的科研经费拨款政府部门。
4.1.2 日本政府科研活动的人员许可程序 SDS法就公职人员与私营承包商获得个人安全许可、查看和处理涉密信息的流程进行了规定。内阁秘书处在此基础上制定相关标准并监管其执行,各个部委与机构承担个人许可的签发工作。日本的个人许可审查程序和标准与美国相似,申请人需填写详细的个人信息表格,并接受背景调查,并需五年重新进行一次评估。各部门的人事办公室利用其掌握的人事记录,与日本国家警察厅、公安调查厅和内阁情报调查室协同调查其犯罪记录、药物滥用或其他具有潜在危害的行为或个人关系的指控记录。合同任务中含有涉密信息访问需求的政府承包商也可申办许可。
SDS法在人员许可程序方面存在一些不足:①对信息保密对象和内容进行了严格限制,获得许可的日本人员数量相对较少;
②SDS法只涵盖与军事装备直接相关的科技信息,政府无权向非军事研究人员或私营部门雇员授予安全许可,这极大地影响了美日在非军事领域开展潜在技术合作,也不利于本土企业利用盟国政府共享的涉密网络安全信息,以保护自身免受零日攻击。
4.1.3 日本政府的科技管理体系与信息管理实践
日本主要以制定“科学技术五年计划”的形式指导科技决策与资助。2021年的“六五计划”强调增加公共投资,推动数字化转型,在教育中融合自然科学和人文社会科学以刺激科技创新,制定“技术外流对策”。在日本的科技管理体系架构中,综合科学技术创新会议(Japan Council on Science, Technology and Innovation,CSTI)负责科技研发的基本资助计划;
MEXT是科研活动的主要参与方,负责管理日本的顶尖科研机构;
经济产业省(Japan Ministry of Economy Trade and Industry,METI)、内政部及通信部(Japan Ministry of Internal Affairs and Communications,MIC)也日益发挥更大的作用和影响力(见图1)。
相较于美国,日本的科研经费来源具有鲜明特点:①政府在整体科研经费投入方面的作用较小。MEXT是为日本科研活动提供最大经费来源的政府机构,其次是METI,环境省的科研拨款也逐渐提高;
②政府对私营部门研发的直接经费支持相对较低;
③外资对日本科研活动的支持极少。
近年来,日本政府通过多种形式加强对科技领域信息的管理力度,针对盟国促进国际合作,针对竞争国家加强信息安全防范:①依托多个重大计划积极招募国际合作伙伴,提高科研活动的国际合作元素,如旨在复兴科技创新立国的新项目“登月型研究开发制度”、2050年前实现碳中和的目标、数字化转型事业等;
②为保护人工智能、量子计算、数据流等领域的科技成果与进展不被中国所利用,政府正计划起草一份国家经济和技术安全战略,并已开始对申请公共基金的高校研究人员实施更严格的信息披露规则,在拨款前识别与中国资助方或项目的关联,从而加强日本本土研究的完整性。
4.2 日本私营部门科研活动的信息管理机制
日本的国内研发主要受私营部门的资金支持,且基本不受政府控制。根据日本《外汇及外国贸易法》(Japan Foreign Exchange and Foreign Trade Act,FEFTA),政府可通过出口管制和投资限制等技术安全工具管理私营企业的对外合作。但该法律适用范围较为有限,且对外国交易仅施加“最低限度的必要管控或协调”。
(1)政府认定的出口管制范围狭窄。通常只有在与履行国际条约、维护国际和平与安全的义务相关(如维护《军备控制条约》、限制野生动植物贸易)时,日本内阁方可做出实施出口管制或投资限制的决定。其中,“旨在提供与特定商品的设计、制造或使用有关的技术”的交易被视为一种服务交易,需经过METI的许可才能进行技术信息的转让。目前,日本仅认可“瓦森纳安排”和“核供应国集团”等多边军备控制制度下的技术信息转让。
(2)对于未明确考虑到军备控制军民两用用途的技术研究数据或设计信息,尚没有可靠灵活的法律对其出口进行管理。日本内阁的管制措施只适用于居民和非居民之间的交易。因此,在日本合法生活和工作超过6个月的外国科学家不受上述限制,日本企业雇用的、参与其在日本境内的研发活动或从事被美国法律界定为出口活动的外国员工,无需日本METI的许可即可接触到受控技术。政府严重依赖私营部门对企业商业秘密的保护措施。
(3)受出口控制的商业研究未被纳入FEFTA。根据FEFTA,日本内阁政府确实可以“在为维持日本和平与安全的特需时刻”干预特殊的国际金融交易、投资、进出口案例。迄今为止,该法主要被用于对朝鲜实施经济制裁与贸易管制。
(4)缺乏保密專利管理体系和可以裁决涉密信息民事或刑事案件的保密法庭系统,如未明确可授予专利分类权力的部门等。
近年来,日本已自主或在美国的敦促下采取措施,加强对私营部门科研活动生成的科技领域信息的保护,具体包括两方面。①加强对合法外国投资的审查。2020年修订FEFTA,针对可能对国家安全构成潜在威胁的特定经济领域(如电力、天然气、通信、交通等关键基础设施)降低采购批准阈值、增加事先通知要求,且增设新的数据处理(含半导体、数据存储等)、信息处理相关软件以及电信业务(如与互联网应用和移动通信相关业务)种类。②增强私营部门保护商业秘密和技术的能力,防止外国公民从事工业间谍活动。2018年,日本政府通过《产业竞争力强化法》修正案,为本土工业安全制定统一标准及检验企业符合高标准的认证程序。然而,该认证程序只涵盖非涉密材料和企业专有信息,并未对私营部门的涉密材料提供保护。
5 启示与建议
鉴于科技领域信息安全对科技安全乃至国家总体安全的重要战略意义,各国已纷纷通过法律法规、保密制度、知识产权制度、出口管制政策等方式,控制科技领域涉密信息的传播[27]、保障科技领域敏感和关键信息安全。我国在国家秘密保护和信息安全管理领域起步较晚,随着近年来国内经济、科技的快速发展和国际政治形势的日益复杂,我国已迅速制定和出台一系列法律法规和政策措施。例如,2015年11月修订《科学技术保密规定》;
2016年11月通过《网络安全法》;
2018年8月颁布实施《国家科学技术秘密定密管理办法》和《国家科学技术秘密持有单位管理办法》;
2020年12月实施《出口管制法》对敏感技术等出口加以管理;
2021年6月10日通过《中华人民共和国数据安全法》;
2021年8月通过《个人信息保护法》;
2021年9月印发《知识产权强国建设纲要(2021—2035年)》等。这些法规战略反映了我国对科技活动中敏感与涉密信息的逐渐重视,推动了我国科技保密管理政策体系日渐完善、科技保密工作逐渐制度化和规范化,为开展科技活动、推动科技进步和加强科技安全提供重要保障。
总体而言,我国的科技信息安全仍面临众多挑战:①中美“科技脱钩”与国际科技竞争加剧的环境,亟需保障高技术领域信息安全与知识产权安全、完善科技领域信息安全治理体系、服务新时期的国际科技竞争与合作需求;
②新一轮科技革命和产业变革加速演变,人工智能、大数据、区块链、云计算等一系列新技术为信息安全本身带来极大技术挑战;
③科技体制改革的深化推动科技创新体系主体多样化、科技合作与交流形式丰富化,科技信息安全治理复杂,保密管理工作难度大;
④军民融合创新,对合理平衡涉密与敏感工作的信息安全与信息共享提出较高要求。
通过系统梳理和分析美日两国对政府、高校院所、私营部门等不同主体开展的科研活动中涉密与敏感信息的管理机制,本文提出以下几点启示与建议。
(1)强化各类责任主体的科技信息安全意识。要提高各类科技活动主体的科技安全与信息安全意识,研究加强我国高新科技发展的信息安全体系建设。我国要树立“科技安全发展”的理念[4],提高各类科技活动参与主体的科技安全与信息安全意识,提升信息化条件下的科技领域信息安全日常防范工作整体水平;
加强我国的高新科技发展的安全体系建设,明确各类活动主体与职责,形成信息安全方针政策制定、工作部署落实、监督反馈的全流程管理体系,防范各种形式的高科技间谍活动和网络安全漏洞,以保障我国的最新科技成果的绝对安全。
(2)全面完善科技信息安全治理体系。要完善我国有关国际科技合作的信息安全法律法规制度,既促进有效和实质性的国际科技合作,又防范关键科技信息的泄露。要进一步梳理制约我国开展国际科技竞争的信息安全瓶颈,弥补国际科技合作的信息安全漏洞,完善有关国际科技合作的信息安全法律法规制度、规范国际科技合作行为。一方面,要切实保障我国关键科技领域信息的安全:①加强专利申请保密审查制度的相关监督措施;
②完善人员许可程序,严格涉密与敏感科研机构的员工管理政策;
③建设外国敏感人员与实体清单或数据库,构建与利用“科技风险矩阵”筛选,加强对潜在外国科技合作对象的审核;
④严格涉外科技合作中的科研诚信审查。另一方面,要促成合理的国际科技合作:①探索双边及多边科研活动信息访问机制,通过签订政府间、政府与非政府机构间国际协议或特定项目安全协议、制定项目指南与操作流程、利用人员安全许可机制等方式,对涉密或敏感知识产权与数据等信息进行合理共享与有效保护;
②完善保密专利解密程序、网络安全披露规则体系、敏感信息管理制度,以实现信息资源的合理利用。
(3)提高科技信息安全治理能力。要探索与完善分类分级的科技领域信息安全治理模式,提高科技安全与科技领域信息安全重大风险预判、防范与化解能力。根据科技活动主体类别、科技领域范畴、涉密与敏感程度、合作或竞争对象等,探索与完善分类分级、覆盖全面而操作灵活的信息安全治理模式。关注与追踪全球科技领域信息安全发展态势与举措,形成适用于我国科技合作与竞争活动的信息安全政策包、工具箱,提高重大风险预判、防范、化解能力与系统弹性。围绕关键核心技术等的信息安全问题,建设科技、产业、执法、外交等跨部门政策联动与合作配合机制。
参考文献:
[1] 张志强. 世界百年未有之大变局与智库使命和智库建设[J]. 智库理论与实践, 2020, 5(4):
1-12.
[2] 任泽平. 中美科技实力对比:
全球视角[J]. 发展研究, 2018(8):
4-10.
[3] 以高水平科技安全支撑和保障国家总体安全[N]. 科技日报, 2021-04-15(001).
[4] 张志强. 坚持科技发展正确理念,实现科技自主自立自强[J]. 世界科技研究与发展, 2021,43(1):
1-7.
[5] 刘玲利. 科技资源要素的内涵、分类及特征研究[J].情报杂志, 2008, 27(8):
125-126.
[6] 马一德. 知识产权安全是国家安全的主战场[N]. 中华工商时报, 2021-09-07(003).
[7] 夏文婷. 我国科技项目合作中的国家涉密科技信息安全政策研究[D]. 天津:
天津大学, 2019.
[8] 连燕华,马维野. 科技安全:国家安全的新概念[J]. 科学学与科学技术管理, 1998, 19(11):
20-22.
[9] 马维野. 科技安全:定义、内涵和外延[J]. 国际技术经济研究, 1999(2):
13-17.
[10] 王世伟. 论信息安全、网络安全、网络空间安全[J].中国图书馆学报, 2015, 41(2):
72-84.
[11] 伍旭川, 刘学. 浅谈金融科技信息技术安全三个重要体系的建设[J]. 债券, 2017(8):
52-54.
[12] 梁毅劼, 莫彬, 李云祥, 等. 网络环境下农业科技信息安全与对策研究[J]. 农业网络信息, 2008(12):
90-93.
[13] 袁晓东, 张军荣, 冯灵. 美国发明保密制度的历史沿革、运行及评价[J]. 自然辩证法通讯, 2013, 35(4):
70-75, 87, 127.
[14] 孙宝云, 赵冬. 论美国保密制度的特点及对中国的启示[J]. 理论与改革, 2011(4):
24-29.
[15] SCHOFF J L, RAKE D E, LEVY J. A high-tech alliance:
Challenges and opportunities for U.S.-Japan science and technology collaboration[R]. Washington D C:
Carnegie Endowment for International Peace, 2021:
8-38.
[16] The White House. Executive order 13526- Classified National Security Information[EB/OL]. (2009-12-29)[2021-10-16]. https://obamawhitehouse.archives.gov/thepress-office/executive-order-classified-national-security-information.
[17] National Archives. National industrial security program operating manual (NISPOM) [EB/OL]. (2020-12-21)[2022-04-17]. https://www.federalregister.gov/documents/2020/12/21/2020-27698/national-industrial-security-program-operating-manual-nispom.
[18] U.S. Department of Defense. “National Disclosure Policy” in international programs security handbook (2009)[EB/OL]. [2021-10-17]. https://www.dscu.mil/documents/ publications/international_programs_security_handbook/ Chapter3_04052010.pdf.
[19] Defense Counterintelligence and Security Agency. Investigations, adjudications and clearance processes at a glance[EB/OL]. [2021-10-17]. https://www.dcsa.mil/mc/ pv/mbi/gicp/.
[20] The United States Patent and Trademark Office. Manual of patent examining procedure, chapter 0100, section 120[EB/OL]. (2020-06-25)[2021-10-10]. https://www. uspto.gov/web/offices/pac/mpep/s120.html.
[21] 袁晓东, 王平. 美国保密发明审查机制研究[J]. 知识产权, 2017, 27(2):
104-108.
[22] 桂畅旎, 杨婧婧, 李维杰. 美国《漏洞公平裁决政策和程序》分析及对我国启示[J]. 信息安全與通信保密, 2018, 16(1):
43-51.
[23] The White House. Vulnerabilities equities policy and process for the United States government[EB/OL]. (2017-11-15)[2021-10-10]. https://trumpwhitehouse.archives. gov/sites/whitehouse.gov/files/images/External%20-%20 Unclassified%20VEP%20Charter%20FINAL.PDF.
[24] Defense Counterintelligence and Security Agency. Foreign ownership, control or influence (FOCI)[EB/OL].[2021-10-10]. https://www.dcsa.mil/mc/ctp/foci/.
[25] National Archives. Code of federal regulations, title 15 subtitle B chapter VII Subchapter C Part 734[EB/OL].[2021-09-09]. https://ecfr.federalregister.gov/current/title-15/subtitle-B/chapter-VII/subchapter-C/part-734.
[26] Center for Development of Security Excellence, CDSE. NOFORN/REL TO:
A Quick Reference Guide to Dissemination Controls[EB/OL]. [2021-09-09]. https://www. cdse.edu/Portals/124/Documents/jobaids/information/ NOFORN_pamphlet.pdf?ver=zFoXXEt3zvnAadlFnWSZMw==.
[27] 鐘灿涛. 开放与保密:
科技信息传播控制及其对创新的影响:
以美国科技信息传播控制机制为例[J]. 科学学研究, 2013, 31(3):
335-343.
作者贡献说明:
唐 璐:收集、整理资料和信息,撰写文章;
张志强:确定选题与研究思路,修改审定论文;
陈云伟:修改审定论文。
Analysis and Enlightenment of the U.S. and Japanese Information Security System in Science and Technology Field
Tang Lu1 Zhang Zhiqiang1,2 Chen Yunwei1,2
1Chengdu Library and Information Center of Chinese Academy of Sciences, Chengdu 610041 2Department of Library, Information and Archives Management, School of Economics and Management, University of the Chinese Academy of Sciences, Beijing 100190
Abstract:
[Purpose/significance] Information security is an essential part of national security. This paper makes an in-depth study of the U.S. and Japanese information security governance system in S&T field. Hopefully, this study may provide references and reflections for China’s construction of information security governance system for S&T, especially for high-tech, so as to safeguard China’s classified and sensitive S&T information, provide a solid institutional foundation for striving for high-level S&T self-reliance and self-improvement, and assist China’s international cooperation and competition in this new era. [Method/process] This paper mainly investigates and summarizes the governance mechanisms and practices of classified and sensitive information in the field of S&T in the U.S. and Japan, including their classification regimes, personnel clearance processes, classified patents regimes, and export control regulations, etc.. The diversified management methods of S&T classified and sensitive information generated in research activities conducted by different actors, i.e., the governments, universities/institutions and private sectors are combed and further interpreted in the current context of China-U.S. competition. [Result/conclusion] It reveals that the U.S. possesses a relatively mature and integrated information security system for S&T, with intersecting and coordinated laws and regulations, and flexible and practical operations. It stresses the balance between information confidentiality and information decryption, and adopts a sorted and tiered S&T information sharing and cooperation mechanism targeting different countries. Japan’s construction of its information security system for S&T started relatively late and is making gradual improvement. It suggests that China should study and strengthen the construction of information security system for high-tech, perfect its laws and regulations for international S&T cooperation, and explore sorted and tiered information security governance mode for S&T.
Keywords:
information security system for S&T U.S. Japan China-U.S. Competition S&T security