保密法首次大修 盯准互联网泄密渠道

目前已经实施的《中华人民共和国保守国家秘密法》（以下简称《保密法》）即将迎来重大修改。

《保密法》自1989年5月1日起的正式实施，标志着我国保密工作开始走上依法管理的新阶段。20年来，有关部门在贯彻执行《保密法》及其配套法规的过程中，已经感到保密法规与保密工作实际存在着一些不相适应的问题，特别是近些年来，随着形势的发展变化，保密工作面临的新情况、新问题日益增多，这种不适应情况更显突出。

保密工作的新问题

全国人大内务司法委员会认为，现行《保密法》存在秘密范围过宽、密级过高、一密定终身等突出问题。6月22日，在首次提请十一届全国人大常委会第九次会议审议的《中华人民共和国保守国家秘密法（修订草案）》中，出现了许多引人注目的新规定。如：建立定密责任人制度，负责本机关、单位的国家秘密确定、变更和解除工作；完善解密审查制度，机关、单位应当定期对所确定的国家秘密进行审核；对在保密期限内不需要继续保密的，应当及时解密；严防通过计算机、互联网泄密等。

国家保密局局长夏勇表示，随着信息化发展和电子政务的建设与应用，保密工作出现新情况和新问题，国家秘密存在的形态和运行方式发生了变化，国家秘密载体由纸介质为主发展到声、光、电、磁等多种形式，现代通信和计算机网络条件下存储、处理和传输国家秘密的制度亟待补充完善。

夏勇在做《关于〈保密法〉（修订草案）的说明》时称，此次修订主要涉及五个方面内容：增加了针对涉密信息系统的保密措施，加强了对涉密机关、单位和涉密人员的保密管理，完善了国家秘密的确定、变更和解除制度，明确了保密行政管理部门的行政管理职能，强化了保密法律责任。

全国人大内务司法委员会调研显示，多年来，我国国家秘密确定体制的症结在于，各地随意定密现象比较普遍，定密偏高，缺少密级变更和解密机制，往往一密定终身，导致大量已经没有保密意义的涉密载体堆积。很多地方和部门未适时调整国家秘密范围，甚至将工作秘密、商业秘密等同于国家秘密管理，有的部门将所有文字材料及领导讲话一律纳入绝密或机密范围。美国每年产生秘密文件10万件，我国则多达数百万件，国家秘密范围过宽过滥，不但增加了管理成本，而且有失国家秘密的科学性和严肃性。

全国人大内务司法委员会建议：严格界定国家秘密范围并设立适时调整机制，明确非属国家秘密事项不得列入该范围，把国家秘密范围和知悉国家秘密范围都限定在最小；确定定密专职化制度，对定密主体进行限制性解释，明确其权利义务；补充完善定密、解密及密级变更程序、定密监督程序，完善定密纠错机制。

调研报告同时提出，去年5月1日起实施的《中华人民共和国政府信息公开条例》对修改保密法产生了重要影响，条例规定了政府信息公开的保密审查制度，如何合理界定国家秘密范围，正确处理保守国家秘密与保障公民知情权的关系，是修改保密法面临的重要课题。

目前保密工作正处于泄密高发期，其中计算机网络泄密案发数已经占到泄密案发总数的70%以上，并逐年增长。因此，本次修订，针对互联网泄密渠道，特别增加了相应的保密措施。

涉密存储设备禁接互联网

信息资料泄密可能因用户原因导致资料丢失，或因黑客蓄意窃取而导致资料外泄。信息资料的泄密造成的后果比被破坏严重得多，对于个人和企业来说，轻则将蒙受财产损失，重则将遭受包括声誉、前途甚至生命等方面的威胁；对于国家来说，可能面对政治、经济、军事等方面的风险。对信息安全来说，防泄密是比防破坏更加重要的领域。

事实上，随着信息技术的飞速发展和广泛使用，网络安全保密问题成为世界各国高度重视的问题。美国早在2003年就出台了国家网络空间战略。2008年1月布什又签发了54号国家安全总统令和23号国土安全总统令，进一步提高网络监控、打击网络犯罪和应对网络安全威胁的能力，全面推进美国政府网络安全建设。奥巴马政府执政以来，继续将保护信息网络安全作为美国新时期国土安全策略的重点。

“针对当前涉密信息系统频繁泄密的严峻形势，修订草案增加了相应的保密措施。”夏勇说。根据《保密法（修订草案）》，涉密信息系统将按照涉密程度分为绝密级、机密级、秘密级，实行分级保护，并对这一系统采取技术保护，规定涉密信息系统投入使用前，应当经设区的市级以上保密行政管理部门检查合格。

值得注意的是，在《保密法（修订草案）》中明确表示：不得将涉密计算机、涉密存储设备接入互联网及其他公共信息网络；不得在未采取防护措施的情况下，在涉密信息系统与互联网及其他公共信息网络之间进行信息交换；不得使用非涉密计算机、非涉密存储设备存储和处理国家秘密信息；不得擅自卸载涉密信息系统的安全技术程序、管理程序；不得将未经安全技术处理退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃；不得在未采取保密措施的有线和无线通信、互联网及其他公共信息网络中传递国家秘密。

夏勇表示，定密制度是保密工作的前提和基础。《保密法（修订草案）》从三个方面对定密制度做了完善：建立定密责任人制度，限定国家秘密的知悉范围，完善解密审查制度。

在信息化时代的今天，一些地方和部门的保密工作人员仍习惯于计划经济时期“锁好柜，管好嘴”的内部管理方式，有的保密工作人员身兼数职，一些专职人员缺少现代保密管理知识，主动防范意识淡漠。

夏勇说，根据现行法律、行政法规的规定，追究泄露国家秘密行为的法律责任的前提是造成了泄露国家秘密的后果，而对于违反保密规定，尚未造成泄密后果的行为，缺乏相应的法律责任规定，造成实践中大量的严重威胁国家秘密安全的行为不受追究。

为此，《保密法（修订草案）》规定：有违反本法规定的行为之一，尚不构成犯罪的，依法给予处分。对不适用处分的人员，由保密行政管理部门给予警告和罚款。

信息防泄密的技术误区

此次《保密法（修订草案）》的出台标志着法律层面的逐步完善，但很多单位仍然需要在技术层面寻求信息防泄密的解决方案，与此同时也出现了一些误区：

1. 传统的用户在进行信息防泄密时把过多的注意力放到了外围访问控制方面，通过设置防火墙、入侵检测、防病毒软件等手段来防御信息泄密。但是，这种防御只能防止外部网络的攻击和入侵，对于单位内部的信息泄漏显然无济于事。

2. 目前市场上针对信息防泄密的具体应用很多，整体上可以分为针对数据应用环境和数据本身两种思路。这里面涉及的数据应用环境，指的是数据运行和应用的软硬件平台，如各种终端、应用系统等。对于环境的监控，从管理的角度上来讲，更多的是倾向于“堵”。

通过对输入、输出端口的控制，以及相应信息传播工具的管理，实现“机密信息泄露出去就被发现”的管理状态，实现管理的威慑。显然，这种应用对于企业内部的效率多少都会有些影响。

而且，软、硬件应用都是在不断地向前发展，“堵”的管理手段将永远是在它们的发展的后面进行追赶。

（责编：yangyang）

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。