在法律上要保障機密資訊,首先應會想到營業秘密法。符合營業秘密三要件包括秘密性、經濟性及合理保密措施,但這三項要件並不一定適用所有資訊之保護與管理,因此須採行不同之管理措施或機制,本文將以美國受控非機密資訊之管理為例進行說明。
在規劃資料治理或其他運用前,資訊分級與管理是關鍵要素之一。為了突顯機密資訊保護與管理之重要,小時候常聽到的一種情形或可作為反例:「我跟你說,你不要跟別人說,XXX秘密如何如何」,當然,最後的發展常是這件秘密(如機密資訊)會變成每個人都知道。
在法律上,要保障機密資訊,首先應會想到營業秘密法。不管是何種資訊,若能符合營業秘密法規範之三要件,如該法第2條之規定:「一、非一般涉及該類資訊之人所知者。二、因其秘密性而具有實際或潛在之經濟價值者。三、所有人已採取合理之保密措施者。」並搭配具體管理措施,或可獲得一定之保護。然大家也知道,最終認定非爭執雙方說了算,多需要透過法院判決確定。
更重要的是,要符合營業秘密三要件:秘密性、經濟性及合理保密措施,缺一不可。但這三項要件並不一定適用所有資訊之保護與管理,如另有不少資訊涉及國家安全、公務機密或政府資訊,則可能分別適用國家機密保護法、檔案法或政府資訊公開法。此時適用對象以公務機關,或涉及委託行使公權力者為主,需要採行不同之管理措施或機制。
美國對於機密資訊之保護與管理:以受控非機密資訊為例
以受控非機密資訊為例,說明美國對於機密資訊之保護與管理。
受控非機密資訊(CUI)概述
在資料經濟時代內,大家都非常重視資訊分級與管理之議題。以管控機密資訊著稱之美國為例,前總統歐巴馬於2009年簽署之第13526號行政命令,將聯邦政府機密資訊分為:極機密(Top Secret)、機密(Secret)及密(Confidential)三類,並搭配相關要求,以處理保存期限、解密等事項。
另除機密資訊外,美國對於非機密資訊,也有類似之保護與管理規範。以聯邦採購為例,相關契約約定除了對聯邦契約資訊(FCI)之規範外,還有受控非機密資訊(Controlled Unclassified Information,CUI)之要求。此一要求源於前總統歐巴馬於2010年11月簽署之第13556號行政命令。該號行政命令希冀建立一個統一的機制,以在符合相關法令內,管理屬政府政策保護與控制傳播之訊息。
因政府機密資訊已有相關法令,但對於非機密資訊,在第13556號行政命令前,聯邦政府各部門多透過臨時性、自訂之政策或程序來保護或控制此類訊息,例如涉及隱私、安全、商業利益或執法調查之資訊。但是各自為政的結果,不僅效率不彰,也造成政策的不一致,如對是否管理相關資訊產生不明確之政策或不必要的限制。
在第13556號行政命令後,除已定義受控非機密資訊(該號行政命令Sec. 2參照)外,還律定審查程序(如Sec. 3)、發展相關支援措施(如Sec. 4, 5),以建立一致性規範。且為協助各部門落實執行CUI之保護與管理,美國國家標準暨技術研究院(NIST)也研擬SP 800-171等文件供參考。
SP 800-171為一參考指引,內容以提供處理、儲存及傳輸CUI之建議,以及其安全要求為主。最初版本係於2015年6月發布,之後陸續有所修正;目前最新版本為2020年2月之Rev.2,但於2021年1月尚有更新部分內容。
受控非機密資訊之保護與管理建議
在SP 800-171 Rev.2內,主要提供三重點方向與相關建議,供聯邦政府各部門規劃保護與管理CUI參考,計有:1.緒論,包含文件目的與適用性、目標讀者以及出版組織等3項。2.基礎,包含基礎假設與制定安全要求2項。而3.具體要求,則包含存取控制、認知與訓練、稽核與問責、設定管理、識別與認證、事件處理,以及維運等14項。
此外,SP 800-171 Rev.2關於CUI之安全要求,尚可能涉及國防聯邦採購規則補充規定(DFARS)之252.204-7012或其他規定。美國國防聯邦採購規則補充規定與聯邦採購規則(FAR)兩規範的差異在於:聯邦政府之一般採購行為係依FAR為之,但涉及國防採購系統,如符合10 U.S.C 2545之Chapter 149定義Sections 2545 - 2548)者,像是國防所需之技術、計畫或產品支援,則適用DFARS。
爰一般採購行為依第13556號行政命令規定,如為CUI應經主管機關審查。倘又屬國防採購時,如DFARS 252.204-7012規定內,所提及涵蓋的國防資訊包含CUI與其他訊息時,亦會納入管理。此所謂「其他訊息」係指在符合相關法令內,受保護或控制傳播之訊息;並符合由承包商或代表承包商蒐集、研發、接收、傳輸、使用或存儲,且用於契約之履行時,供應商尚須注意美國國防部(DoD)細部規範,如相關作業流程、說明書。至於是否為納管之CUI或進一步資訊可至「https://www.archives.gov/cui/registry/category-list」查詢。
綜前,在美國,除依契約與FAR規範,要求供應商(含承包商或分包商)落實安全管理或其他作為外,以國防部為例,在受控非機密資訊部分,尚應適用DFARS,並訂有5200.48操作說明書,就CUI事宜,如權責,流程設計,以及CUI之傳遞、解除控制和銷毀等,提供具體建議供參。
結語
欲運用法令保護或管理機密資訊,除透過我國營業祕密法規範外,因美國對於聯邦政府相關資訊之管理規範尚稱完備,不僅針對機密資訊,連非機密資訊,如涉及隱私、安全、商業利益或執法調查之資訊,若有保護與管理之必要,亦有機制可供參考。
在資料經濟時代內,大家都知道資料的重要性,也希望透過轉換,使其具備交易可能或增加附加價值,因此資料治理或其他運用油然而生。但無論是組織對於手邊擁有的資料,欲規劃資料治理或進行相關行為前,除了考量以系統或工具處理同步、異質及其他需求外,本文建議務必注意合規性之議題,且要注意資訊之分類搭配不同管理機制,始能符合資料信任、可靠等特質,並可避免後續衍生不必要之困擾。
<本文作者:陳宏志近年來專注在資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權領域,規劃區塊鏈或相關應用。>