第三章 現行美國安全認證制度之探討
第二節 美國的安全認證執行
壹、保密資訊分級
在民主國家中,人民有權獲得充分的資訊自由,以充分瞭解政府的運 作。但是有些重要資訊關係到國家安全與人民利益,必須加以保護。否則 一旦外洩,將可能引起重大的損失。為了妥善保存這些資訊,各國政府均 有專責機構並制訂許多相關規定。同時也要求因業務而需接觸、使用保密 資訊的人員,必須通過安全認證,確保其嚴守保護資訊的責任。美國由於 掌握許多軍事武器、高科技等與國家安全有重大關係之資訊,因此就資訊 保密與安全認證工作制訂了許多規定。
一、保密資訊分級之名稱
美國政府將保密資訊區分為三個等級,「機密」(confidential)、「極 機密」(secret)、「絕對機密」(top secret)。
(一) 密:用以標明資訊或資料,若有未經許可及外洩或類似情 形者,而依理性判斷此情形將會使國家安全受損者。例如:
對載有美國境內或海外之美地面、空軍部隊力量資訊的損 害、機密性之戰爭用軍火訓練、維修及檢查等相關技術性 資訊、武器特性、測試資料、設計及生產資料等。
(二) 機密:用以標明資訊或資料,若有未經許可及外洩或類似 情形者,而依理性判斷此情形將會使國家安全嚴重受損 者。例如:會導致外交關係分裂而明顯影響國家安全者、
對某計畫或某政策有明顯損害而與國家安全有直接關係 者、特別之軍事計畫或情報行動資訊,或會損害到上述行 動之資訊、與國家安全有關之特別科學或技術發展等。
(三) 極機密:用以標明資訊或資料,若有未經許可及外洩或類 似情形者,而依理性判斷此情形將會使國家安全遭受極為 嚴重損害者。例如:針對美國及其盟國之武裝敵對行為、
導致外交關係分裂而對國家安全產生致命影響、損害重要 國防計畫、或複雜之密碼與通訊情報系統、敏感情報活動 曝光、洩漏與國家安全有重大關連之特別科學或技術發展
等。8
二、保密資訊的種類
下列的分類為有關美國政府要保護的資訊類別:
(一) 人員資訊:包括政府人員;與政府有業務往來之法人;軍事 人員等。
(二) 活動安全:如情報收集與分析;敏感的行動、人員、財產之 遷移;敏感的訓練;通訊、網絡聯繫;科技研發及敏感科技;
敏感科技的生產;保護核武、生化武器的資料;保護武器、
爆裂物及相關設備之資料。
(三) 資訊:如保密資訊;尚未分類資訊;系統設計;情報設備;
取得專利權之資訊;系統性能與弱點;敏感的資料;敏感的 金融資料。
(四) 設備:如產業場所/基地;總部;區域辦公室、行政大樓;
訓練設施與環境;法人之設施環境;儲存設備及環境;生產 設備;研發實驗室;發電廠;設施、機具之停放場所;機棚;
駐在地等。
(五) 設備、原料:如運輸車輛或設備;維修設備;操作設備;通 訊設備;安全設備;武器;自動資訊系統設備。
三、保密資訊之分級
(一) 唯有揭露後可合理推定將損害國家安全的資訊才可列為保密 資訊。
(二) 當對資訊是否應列為保密資訊存疑時,應列為「機密」保護 之。對於保密資訊分級合適性存疑時,以較高之分級標準保 護之。
(三) 若總統、機關主管或依法指定之官員以書面做出資訊分級之 判定時,得撤銷原有之分級,或將以公開之資訊重新列為保 密資訊。
8 John Pike, “Security and Classification, ” <http://www.ostgate.com/classification.html >
四、保密資訊分級之職權 以國務院規定為例:
(一) 極機密:國務卿或由國務卿、助理國務卿依法指定高級官員。
通常被指派之官員職位均不低於助理國務卿。如:部長,代理 大使、駐節海外之獨立領事等。
(二) 機密:除了有權區分極機密資訊之官員外,尚有國際合作發 展機構(AID)與公共聯繫辦公室(USIA)主任等。該職權可 委任予國務院之高級官員。
(三) 密:除上述官員外,海外私有投資公司之總裁亦享有此權限。
(四) 被授權分級職責之個人,不得將職權重新委任予他人。
五、列為保密資訊的時間長短
以國家資訊安全監督局之規定為例:
(一) 資料列密後,應登註密等、列密人、列密機關、解密指示、
解密時間、列密原因等。依行政命令第 12958 號規定,資料列 為保密資料的時間長短係以其敏感性、日期、事件重要性等作 為判別標準。在將資料列密時,解密期限不應超過十年,該日 期以最初決定密等之日期開始起算。如該資料性質特殊,或與 國家安全有重大關係,可不受十年解密期之限制,但必須在文 件上加註。如文件年限已超過廿五年,則可自動解密,並決定 該文件是否應永久保存。
(二) 免受十年解密限制的資料範疇有:
1. 情報來源、手法、運作,或密碼系統及其運作方式。
2. 足以協助發展或使用大規模毀滅性武器之情報。
3. 美國武器系統發展、武器系統內使用之科技情報。
4. 美國軍事謀略、國家安全緊急規劃。
5. 外國政府情報。
6. 破壞美國與外國政府關係、洩漏機密情報來源之資訊,在 十年後仍將嚴重損害外交運作者。
7. 負責保護美國總統、副總統、及其他與國家安全有關特定 人士官員者。
8. 違反法令、條約或國際協定之資訊。
六、衍生資料保密分級(derivative classification)
依行政命令第 12958 號規定,經參考或使用原始機密資料後,又產 生的資料,也應將其列為機密。衍生資料的密等由原始資料的密等 來決定。在衍生資料的段落中,必須指出使用資料的來源。
唯有因改寫或刪除,使衍生資料明確喪失其所以被列為保密資訊之 理由,始可除去或降低衍生資料之密等。
七、撤銷及降低保密資訊之分級
(一) 保密資訊一旦不再影響國家安全,即應儘速撤銷或降低其保 密分級。
(二) 有權撤銷或降低資訊密等的官員,與區分資訊密等之官員規 定相同。
八、保密資訊之維護
(一) 通過安全認證者,且其利用資訊為合法、必要時,得利用保 密資訊。
(二) 各機關應管制,以確定保密資訊之安全。
(三) 保密資訊非經原始機關之同意,不得在其他機關以外傳布。
(四) 經總統指派的機關首長,可以書面指示創立「特別利用資訊 計畫」。CIA 局長有權創立有關情報活動的利用計畫。創立「特 別利用資訊計畫」的首長,亦應維持報告系統。資訊安全監 督局局長對各報告系統有利用權。
九、資訊安全監督局(Information Security Oversight Office, ISOO)
資訊安全監督局乃是根據行政命令第12356 號而成立,係美國政府 體系中,負責安全認證之重要機構。其主要功能如下:
(一) 經國安會核定後,發佈資訊保密之相關指令,該指令對各機 關有拘束力。
(二) 監督各機關資訊保密之工作。
(三) 審查各機關之施行規定、內規、要點等。如與本命令牴觸,
ISOO 局長在國安會同意後,應要求修改該規則。
(四) 對相關政府單位及法人進行實地監督,要求法人提供報告及 必要的合作。如 ISOO 的要求對國家安全有重大影響,該單 位或法人得向國安會請求拒絕 ISOO 之指令。
(五) 審查官員申請區分資訊保密等級權力之案件。
(六) 處理來自政府內外的抱怨或建議。
(七) 透過國安會,向總統報告諮詢委員會的建議。
(八) 召開並主持機關間會議。
貳、人員安全認證
在既有之國家安全資料機密等級分類上,政府可統一規定人員安全認 證規範,核發審查作業,與任何必要接觸機密資料的人員必需遵行之管制 規範。而人員安全認證(personnel clearance) 則於工作人員必須接觸或執 行任何機密性工作或服務時必須取得。機密資料之管理者是以「有無需要」
(Need-to-Know)來決定,哪些人可獲得授權接觸或使用機密資料。
人員安全認證的調查程度,依調查對象獲得授權接觸或執行的保密資 訊層級而不同。美國政府的人員安全認證程序為,先進行一般之安全認證 調查,若受調查對象能夠接觸的保密資訊密等越高,所要接受的調查也就 越詳細,費時也更久。
為了避免各政府機關採取之調查措施重疊且耗時,造成行政資源浪 費,美國政府特於 1991 年 10 月 21 日頒佈的國安指令第 63 號(National Security Directive No. 63)中,指示全國各政府機關通用之相關安全調查最 低調查範圍及標準。
一、國安指令第63 號:
(一) 人員安全調查的時間範圍:過去 10 年或年滿 18 歲後(以時 間較短者為準),調查範圍可視需要擴大。
(二) 國家機關之查對:聯邦調查局應對調查對象、其配偶/同居人 進行調查,調查包括:指紋紀錄、與該人員有關之相關國家 紀錄(如:中情局、聯邦人事管理局、移民歸化局等相關紀 錄)
(三) 填報資料:需翔實填寫與國家安全相關的標準表格 SF 86
(Standard Form 86)、兩張指紋卡 FD-258 (FBI applicant fingercards)
(四) 面談:受調查對象除要填寫問題表格外,尚須接受面談。面 談係由受過訓練之安全調查人員或反情報人員進行,調查過 程中,發生重大訊息或矛盾時,應進行額外之面談,另外,
在政策許可下,得進行測謊。
(五) 安全認證中,必須查明下列有關受調查人的資訊:
1. 出生:出生日期地點與獨立的出生證明
2. 公民資格:調查對象需為美國公民(應取得公民資格之獨 立證明、國外出生之近親,亦應有公民資格或法律地位之 證明)
3. 教育狀況:由學術機構以封緘成績單之方式取得學位/文憑 之獨立證明,或所有教育紀錄不再調查範圍內,需確認該 調查對象有高中以上教育程度。
4. 受雇情形:調查範圍內所有受雇情形。至少應包括最近兩 年之紀錄。任職六個月以上之工作,應約談兩位上級或同
4. 受雇情形:調查範圍內所有受雇情形。至少應包括最近兩 年之紀錄。任職六個月以上之工作,應約談兩位上級或同