幕雪

为积极应对保密工作新形势新任务防范开源信息泄密风险新修订的增加了机关单位信息公开:是什么、为什么、哪里、多少、如何、需要做什么?


为积极应对保密工作新形势新任务防范开源信息泄密风险新修订的增加了机关单位信息公开:是什么、为什么、哪里、多少、如何、需要做什么?

当前的保密工作面临前所未有的新形势和新任务。随着信息技术的飞速发展和应用普及,特别是大数据、人工智能和互联网的广泛互联,传统的保密边界日益模糊。在这种背景下,“开源信息泄密风险”成为了一个突出且复杂的挑战。为了积极有效地应对这一风险,新修订的相关规定中一个重要的调整是增加了机关单位的信息公开力度。这看似与“保密”目标矛盾,实则是一种以主动、规范的“开”来防范无序、不可控的“泄”的策略性转变。

围绕这一新变化,许多具体的问题值得深入探讨,例如:这种“增加的信息公开”到底是什么?为什么增加公开反而能防范泄密风险?这些规定体现在哪些方面?公开的范围和程度“有多少”?具体“如何”实施?机关单位需要“做什么”来适应这些变化?以下将详细阐述这些问题。

是什么:新增的机关单位信息公开具体指什么?什么是开源信息泄密风险?

新修订规定中增加的机关单位信息公开,并非指将涉密信息公之于众。它特指在严格界定并排除国家秘密、工作秘密、商业秘密和个人隐私等不应公开信息的前提下,要求机关单位更加主动、及时、规范地公开那些依法依规应当公开、与公众利益密切相关、有助于提高政府公信力和运行透明度的信息。

这包括但不限于:

  • 机构职能、领导分工、内设机构等基本信息;
  • 政策法规、规章制度及其解读;
  • 发展规划、工作计划及其执行情况;
  • 财政预算、决算信息;
  • 行政许可、行政处罚等具体行政行为信息;
  • 重大项目建设、公共资源配置等信息;
  • 突发公共事件的应对处置信息;
  • 以及其他依照法律法规和国家有关规定应当主动公开的信息。

这里的“增加”,强调的是公开的广度、深度、时效性和规范性相较于以往有所提升,从过去的“被动回应式”更多转向“主动发布式”。

“开源信息泄密风险”,是指通过收集、整合、分析公开渠道(即“开源”)获得的非涉密信息,通过关联比对、模式识别等手段,却能推导出原本属于国家秘密、工作秘密或其他敏感信息的风险。

这种风险的来源包括但不限于:

  • 官方网站上发布的组织结构、人员变动、项目进展等信息;
  • 采购网站上发布的设备型号、技术要求、服务内容等招标信息;
  • 学术论文、技术报告、会议纪要中无意透露的技术细节或研究方向;
  • 社交媒体上工作人员发布的包含工作场景、设备标识、地理位置等信息的照片或文字;
  • 媒体报道、年鉴统计数据等;
  • 甚至地图软件、卫星图像等公共地理信息。

将这些看似分散、无害的公开信息,与通过其他非法渠道获取的信息(如网络攻击窃取的部分非关键数据)结合起来,经过复杂的分析和大数据挖掘,攻击者或敌对势力就可能从中拼凑出敏感情报,例如单位的运行模式、薄弱环节、技术能力、甚至人员动向等,从而对国家安全和单位利益构成威胁。这就是开源信息“碎片化”和“聚合化”带来的风险。

为什么:为何增加信息公开能帮助防范开源信息泄密?

将“增加信息公开”作为防范“开源信息泄密风险”的手段,其核心逻辑在于通过主动、规范的公开,去对抗无序、不可控的泄露和推导

主要理由包括:

  1. 挤压非规范信息传播空间: 当机关单位主动、及时、全面地公开那些本身就应该公开的信息时,公众获取官方信息的渠道更加畅通和权威。这有助于减少小道消息、不实信息甚至经过恶意篡改的信息在开源渠道的传播,从而降低攻击者利用这些“脏数据”进行分析推导的可能性。
  2. 标准化信息源,提高分析难度: 规范公开的信息往往经过了内部审核和标准化处理,格式统一,内容准确。攻击者试图从海量、非结构化的开源信息中提取有用情报时,一个经过清洗和标准化的官方信息源,反而可能因为其“规范性”而使其难以与其他零碎信息进行有效关联或区分真伪,或者说,攻击者通过碎片信息进行“验证”的难度增加了。
  3. 促使内部信息梳理和分类: 强制性的、更加严格的信息公开要求,迫使机关单位必须对内部信息进行更彻底、更精细的梳理和分类。在准备公开信息时,必须先进行严格的保密审查和定密解密流程。这个过程本身就是对内部信息管理的一次全面体检和强化。通过明确区分“能公开的”和“不能公开的”,反而有助于发现和堵塞内部管理中可能导致无意泄露的漏洞。换句话说,为了更好地“开”,必须先做好更严格的“守”。
  4. 降低“探测”动机: 如果某些非敏感但有助于推导的信息可以通过官方渠道轻易获得,攻击者花费巨大力气从其他风险更高、合法性存疑的开源渠道(如通过社交工程、利用软件漏洞等方式获取的看似公开实则边缘的数据)去“挖”这些信息的动力就会减弱。
  5. 提升公众对官方信息的认知度和信任度: 长期、稳定的信息公开有助于提升机关单位的公信力。当公众习惯于从官方渠道获取信息时,对于非官方、来源不明的信息就会更加警惕和辨别,这间接减少了恶意信息利用开源渠道进行传播和影响的可能性。

因此,这里的“增加信息公开”并非简单的信息“放水”,而是以强化的内部信息管理和严格的保密审查为前提,将那些经得起保密审查的、本身就应该公开的信息,以更主动、更规范的方式呈现出来,以此作为一道“防火墙”,通过占据主要信息阵地和规范信息源来压缩非正规渠道的空间,并倒逼内部保密管理水平的提升。

哪里:新修订的规定体现在哪些方面?在哪里可以获取这些公开信息?

新修订的规定并非单一的法律条文,而是体现在一系列法律法规和政策文件中,这些文件共同构建了新形势下的保密和信息公开工作体系。

这些修订和要求主要融入在:

  • 国家层面的保密法律法规: 如修订后的《中华人民共和国保守国家秘密法》及其配套法规,会更加强调适应新形势下信息公开与保密的协同,对信息公开中的保密审查提出更高要求。
  • 政府信息公开条例: 《中华人民共和国政府信息公开条例》等相关法规的修订或实施细则中,会进一步明确公开的范围、程序、时限,并与保密要求紧密结合,要求在信息发布前必须经过严格的保密审查。
  • 各行业、各部门的具体规定: 不同领域的机关单位(如教育、交通、卫生、科技等)会根据国家总体要求和本行业特点,出台或修订本部门的信息公开实施细则,这些细则会更加具体地规定哪些信息可以公开、哪些必须保密、公开的方式和流程等。
  • 相关的信息安全和数据安全管理规定: 这些规定也会从技术和管理层面,对信息公开平台的建设、数据处理过程中的安全保障等提出要求,确保公开过程本身不产生新的泄密风险。

这些修订的核心精神是:将保密审查作为信息公开的前置程序和刚性要求,确保“应公开尽公开”与“应保密尽保密”有机结合,不因公开而泄密,也不以保密为借口逃避公开。

至于在哪里获取这些公开信息,主要渠道包括:

  • 机关单位官方网站: 这是最主要和最权威的公开平台,设有信息公开专栏。
  • 政府信息公开平台: 国家和地方政府设立的统一信息公开平台。
  • 政务新媒体: 如官方微博、微信公众号、短视频账号等,发布日常工作信息、政策解读、突发事件应对等。
  • 新闻发布会和媒体通气会: 发布重要政策、工作进展、回应社会关切。
  • 政府公报: 发布法律法规、规章、规范性文件等。
  • 国家和地方档案馆、图书馆: 提供查阅服务。
  • 各类专题数据库和信息系统: 如企业信用信息公示系统、国家科技资源共享服务平台等,提供特定领域的公开数据。

新要求下,这些平台的建设和管理也将更加规范化,确保公开信息的及时性、准确性和易获得性。

多少:信息公开的范围和程度有多大?如何确定公开的边界?

信息公开的范围和程度,即“有多少”信息会被公开,取决于信息的属性及其与国家秘密、工作秘密等的关系。这里的“增加”,体现在:

  • 横向范围的拓展: 过去可能一些非核心、非敏感的辅助性或过程性信息没有被纳入主动公开范围,现在可能会被要求公开,例如更详细的办事流程、更多的服务指南、非涉密的内部管理制度摘要等。
  • 纵向深度的增加: 对于已公开的信息类别,可能会要求公开更详细的数据、更具体的解释、更即时的更新,例如预算决算的细化程度、行政许可事项的办理状态查询、政策执行的效果反馈等。
  • 公开的及时性要求提高: 许多信息要求在形成或变更后的一定时间内必须公开,而非无限期延迟。
  • 公开形式的多样化和友好性: 鼓励采用数据图表、可视化报告、常见问题解答等更易于公众理解和获取的形式。

但是,这个“增加”绝不是无限制的。信息公开的边界是清晰且严格的,其核心是以不损害国家安全、公共利益、单位正常工作秩序和合法权益为前提

确定公开边界的关键机制在于:

  1. 严格的保密审查: 任何拟公开的信息都必须经过保密审查。这要求机关单位建立健全信息公开保密审查机制,明确审查的主体、程序和责任。审查的依据是现行的保密法律法规和定密规定。
  2. 依法依规: 严格遵守《保守国家秘密法》、《政府信息公开条例》等法律法规的规定,明确哪些信息属于不予公开的范围(如国家秘密、工作秘密、商业秘密、个人隐私,以及公开后可能危及国家安全、公共安全、经济安全、社会稳定的信息)。
  3. 分类分级管理: 机关单位内部信息本身就有严格的分类分级(如秘密、机密、绝密)。公开的信息只能是那些不属于任何密级,或者依照规定已经解密的信息。对于边缘信息,需要进行风险评估。
  4. 动态调整: 信息的敏感度是动态变化的。今天可以公开的信息,明天可能因为形势变化而需要限制公开,反之亦然。因此,信息公开的边界需要根据实际情况进行动态评估和调整。
  5. 风险评估: 对于那些本身不是密级信息,但与其他公开信息或易获取信息结合后可能推导出敏感信息的,需要进行聚合风险评估。评估结果将作为是否公开、公开到何种程度的重要依据。

公开的原则是“以公开为常态,不公开为例外”,但这个“例外”必须是基于法律法规和严格的保密审查与风险评估。增加公开的力度,是在这个框架下,努力挖掘和释放那些过去可能因保守观念或流程不畅而被“锁”住的非敏感信息。

如何:机关单位如何具体实施增加信息公开的要求?

实施增加信息公开的要求,需要机关单位从多个层面进行体系化的建设和管理:

  1. 完善内部信息管理体系:

    • 建立健全信息资产目录: 全面梳理本单位产生和掌握的所有信息,形成清晰的信息资产清单。
    • 强化信息分类分级管理: 这是基础中的基础。必须对所有信息进行准确的密级判定,确保秘密信息不流入公开环节。同时,明确非密信息的类别,为公开做准备。
    • 优化信息产生和流转流程: 在信息产生的源头就考虑其潜在的公开属性和保密要求,将保密审查环节嵌入到信息生成、审批、发布的各个环节。
  2. 建立健全信息公开保密审查机制:

    • 明确审查主体和责任: 规定由哪个部门或哪些人员负责信息公开的保密审查,建立多级复核机制,明确责任追究。通常保密工作机构、信息公开工作机构、业务部门等需要协同参与。
    • 规范审查流程和标准: 制定详细的保密审查流程图和审查要点清单,确保审查过程规范化、标准化,减少人为随意性。
    • 引入风险评估机制: 对于难以界定的信息,引入专业的风险评估方法,评估其聚合泄密风险。
  3. 提升信息公开平台建设和管理水平:

    • 建设统一规范的公开平台: 确保官方网站、政府信息公开平台等具备应有的功能,信息发布便捷、检索方便、界面友好。
    • 加强平台安全防护: 确保信息公开平台本身的安全,防止被攻击篡改或植入恶意代码。
    • 规范信息发布流程: 建立严格的信息上传、审核、发布的管理制度,防止未经审查或错误信息发布。
    • 提高平台互动性: 在确保安全的前提下,适当增加与公众的互动功能(如留言、咨询),及时回应公众关切。
  4. 加强人员培训和意识提升:

    • 全员培训: 对单位所有人员进行信息公开和保密教育培训,特别是负责信息产生、处理、发布、审查的人员,使其充分认识到开源信息泄密风险的危害性,以及信息公开在防范风险中的作用。
    • 提高技术防范能力: 培训人员掌握信息脱敏、数据清洗、文档元数据清理等技术手段,避免在公开非密信息时无意泄露敏感信息。
    • 强化岗位责任: 将信息公开和保密要求纳入岗位职责,明确奖惩措施。
  5. 建立动态评估和持续改进机制:

    • 定期评估公开效果和风险: 定期对信息公开的实践进行评估,包括公开信息的质量、及时性、公众反馈,以及是否存在潜在的泄密风险。
    • 根据评估结果持续改进: 根据评估发现的问题,及时调整信息公开的范围、方式和内部管理流程,确保工作持续有效。

需要做什么:机关单位为落实新要求需要采取哪些具体行动?

为了积极有效地落实新修订的关于增加信息公开以防范开源信息泄密风险的要求,机关单位需要采取一系列具体的、操作层面的行动:

  1. 立即组织学习和解读: 组织全体员工,特别是领导干部和关键岗位人员,深入学习新修订的保密法、信息公开条例及相关配套规定,深刻理解新形势下保密工作面临的挑战和信息公开的新要求及其战略意义。
  2. 全面梳理和更新信息公开目录: 对照新规定,全面梳理本单位当前的信息公开目录,评估哪些过去未公开但符合新要求的非敏感信息可以纳入公开范围,并建立清单。定期对目录进行动态更新。
  3. 修订内部信息公开和保密管理制度: 结合新要求,修订本单位的信息公开工作制度、保密工作制度、文件资料管理办法、网络信息发布管理规定等,确保各项制度与上位法保持一致,并具备可操作性。特别要细化保密审查的流程和标准。
  4. 建立或强化信息公开保密审查专班: 指定或组建由办公室、保密工作机构、业务部门等共同参与的信息公开保密审查工作小组或专班,明确各自职责,建立联审机制。
  5. 开展信息资产和泄密风险点排查: 组织技术和管理人员,对单位的信息资产进行全面盘点,特别是那些可能出现在开源渠道的信息(如网站、公文、采购信息、社交媒体等),评估其潜在的聚合泄密风险点。
  6. 升级信息公开平台和技术手段: 检查现有信息公开平台是否满足新要求的发布、互动和安全需求。必要时进行升级改造。引入或运用信息脱敏、敏感信息检测、元数据清除等技术工具,辅助进行保密审查和安全发布。
  7. 加强全员保密和信息公开意识教育: 定期开展常态化教育培训,通过案例分析等方式,增强干部职工对开源信息泄密风险的认识,提高遵守保密规定和信息公开要求的自觉性。
  8. 规范第三方合作管理: 对于涉及第三方参与(如网站建设维护、数据处理、宣传外包等)的情况,必须在合同中明确保密和信息公开责任,加强对第三方行为的监督管理,防止因第三方操作不当导致信息泄露或不当公开。
  9. 建立举报和监督机制: 鼓励内部员工和外部公众对违反信息公开或保密规定的行为进行举报,建立有效的处理机制,形成外部监督力量。
  10. 定期进行内部审计和自查: 保密工作机构或内审部门应定期对本单位的信息公开和保密工作进行审计和自查,及时发现问题并限期整改。

这些具体行动需要各级领导高度重视,将其作为一项系统工程来抓,投入必要的资源,建立长效机制,确保在积极应对保密工作新形势新任务的同时,通过规范有序的信息公开,有效防范开源信息泄密风险。这不是简单地多发几条信息,而是涉及内部管理、流程再造、技术支撑和全员意识提升的全面变革。


为积极应对保密工作新形势新任务防范开源信息泄密风险新修订的增加了机关单位信息公开