本章共20条,主要规定国家秘密载体、涉密信息系统、信息发布、涉密采购、对外交往和合作、涉密会议活动、保密要害部门部位、军事禁区与涉密场所、从事涉密业务的企业事业单位、涉密人员等方面的保密管理制度,并针对危害国家秘密安全的行为作出禁止性规定。
第二十一条 国家秘密载体的制作、收发、传递、使用、复制、保存、维修和销毁,应当符合国家保密规定。
绝密级国家秘密载体应当在符合国家保密标准的设施、设备中保存,并指定专人管理;未经原定密机关、单位或者其上级机关批准,不得复制和摘抄;收发、传递和外出携带,应当指定人员负责,并采取必要的安全措施。
释义:
本条是关于国家秘密载体保密管理的规定。
第一款明确国家秘密载体从制作到销毁各环节的管理要求。“国家秘密载体”(可简称“涉密载体”),是指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、光介质、电磁介质等各类物品。纸介质涉密载体是指传统的纸质涉密文件、资料、书刊、图纸等。光介质涉密载体是指利用激光原理写入和读取涉密信息的存储介质,包括CD、VCD、DVD等各类光盘。电磁介质涉密载体包括电子介质和磁介质两种类型。电子介质涉密。载体是指利用电子原理写入和读取涉密信息的存储介质,包括各类优盘、移动硬盘等;磁介质涉密载体是指利用磁原理写入和读取涉密信息的存储介质,包括硬磁盘、软磁盘、磁带等。
第二款明确绝密级国家秘密载体的管理要求。绝密级涉密载体涉及国家核心秘密,一旦泄露将会对国家安全和利益造成特别严重损害。按照“突出重点”的要求,绝密级涉密载体的保密管理,除执行本条第一款规定外,在保存、管理、复制、摘抄、收发、传递和外出携带等关键环节,必须采取更为严格的管理措施。
近年来,我国先后颁布了《印刷、复印等行业复制国家秘密载体暂行管理办法》、《关于禁止邮寄或非法携运国家秘密文件、资料和其他物品出境的规定》、《关于国家秘密载体保密管理的规定》、《国家秘密载体销毁管理规定》、《邮政机要通信保密管理规定》、《信息系统和信息设备使用保密管理规定》等,对涉密载体制作、收发、传递、使用、复制、保存、维修和销毁各环节的保密管理作出了明确规定。
制作方面,要标明密级和保密期限,注明发放范围、制作数量及编号;制作涉密载体要在机关、单位内部,或在保密行政管理部门审查批准的单位进行;制作涉密载体的场所应符合保密要求。
收发与传递方面,要认真履行清点、编号、登记、签收手续;传递涉密载体要通过机要交通或机要通信部门;机关、单位指派专人传递的,要选择安全的交通工具和交通线路,并采取安全保密措施。
使用方面,要根据涉密载体的密级和制发机关、单位的要求,确定知悉人员范围;阅读和使用涉密载体要办理登记、签收手续,在符合保密要求的办公场所进行。使用绝密级涉密载体,除按以上要求外,还要对接触、知悉人员作出文字记载,因工作需要携带涉密载体外出,要经本机关、本单位主管领导批准,并采取保密措施,使涉密载体始终处于携带人有效监控之下;携带绝密级涉密载体外出,必须指定专人负责,并采取绝对可靠的安全措施;禁止携带绝密级涉密载体参加涉外活动。
复制方面,机密级、秘密级涉密载体复制,应当经过机关、单位负责人批准,不得改变密级、保密期限和知悉范围;要履行登记手续,复制件应当加盖复制机关、单位的复印戳记,并视同原件管理;汇编涉密文件、资料,要经制发机关、单位批准,不得改变密级、保密期限和知悉范围;未经原定密机关、单位或者其上级机关批准,不得复制和摘抄绝密级涉密载体。
保存方面,要选择安全保密的场所和部位,配备必要的保密设备;定期对保存的涉密载体进行清查、核对,发现问题要及时向保密行政管理部门报告;机关、单位工作人员离岗离职前,要将使用和保管的涉密载体全部清退,并办理移交手续;被撤销或合并的机关、单位应当将涉密载体移交给承担原职能的机关、单位或上级机关、单位,并履行登记、签收手续;绝密级涉密载体,必须存放在符合国家保密标准的设施、设备中。
维修方面,要由本机关、本单位专门技术人员负责;需外单位人员维修的,要由本机关、本单位的管理人员现场监督;需要送外维修的,应当送保密行政管理部门审查批准的定点单位进行。
销毁方面,要履行清点、登记手续,经机关、单位主管领导审核批准后,送交专门的涉密载体销毁机构销毁;机关、单位自行销毁的,应严格执行国家有关保密规定和标准。
第二十二条 属于国家秘密的设备、产品的研制、生产、运输、使用、保存、维修和销毁,应当符合国家保密规定。
释义:
本条是关于国家秘密设备、产品保密管理的规定。
“属于国家秘密的设备、产品”,是指直接含有国家秘密信息,或者通过观察、测试、分析等手段能够获取所承载的国家秘密信息的设备和产品,简称密品。如有关密码设备,需要保密的新型尖端武器装备,具有国际领先技术水平且需要保密的科学技术设备、产品,通过特殊途径引进的且根据约定需要对外承担保密义务的产品等。
《国家秘密设备、产品的保密规定》对密品保密管理作出了具体规定,主要包括:有关部门应及时确定密品的密级、保密期限和保密要点;密品的研制、生产、保存、使用单位应对本单位密品的密级、保密期限、知悉范围、保密要点、管理责任部门和人员等内容进行登记,并根据工作需要,向参与人员告知有关登记内容,对其进行保密教育,要求其履行保密义务和责任;在生产和保存时,对外形或者构造容易暴露国家秘密信息的密品,应采取遮盖措施或其他保护性措施,有特殊要求的密品,应在出厂前对可能暴露国家秘密信息的文字标志、特征标志采取伪装或者删除等措施;密品运输时,应将密品密封包装,发货、收货、承运单位对密品的名称、运输方式、运输时间和路线、中途停靠、安全警卫措施等情况应当保密;密品检修、维修,严禁交由境外人员承担,确需境外人员承担时,应履行审批手续,并采取现场监督等保密措施;密品销毁应履行登记、审批手续,选择有保密保障的部门、场所进行,并指定专人负责监销,确保销毁后不留有涉密信息。
第二十三条 存储、处理国家秘密的计算机信息系统(以下简称涉密信息系统)按照涉密程度实行分级保护。
涉密信息系统应当按照国家保密标准配备保密设施、设备。保密设施、设备应当与涉密信息系统同步规划,同步建设,同步运行。
涉密信息系统应当按照规定,经检查合格后,方可投入使用。
释义:
本条是关于涉密信息系统保密管理的规定。
第一款确立涉密信息系统分级保护原则。
“涉密信息系统”,是指由计算机及其相关和配套设施、设备构成的,按照一定应用目标和规则存储、处理、传输国家秘密信息的系统或网络。涉密信息系统与公共信息系统的区别,主要体现在4个方面:一是信息内容不同。涉密信息系统存储、处理和传输的信息涉及国家秘密和其他敏感信息,应严格控制知悉范围;公共信息系统存储、处理和传输的信息不能涉及国家秘密。二是设施、设备标准不同。涉密信息系统的安全保密设施、设备,必须符合国家保密标准;公共信息系统的安全保密设施、设备也应符合一定技术标准要求,但并不要求执行国家保密标准。三是检测审批要求不同。涉密信息系统必须满足安全保密需求,符合国家保密标准要求,投入使用前必须经安全保密检测评估和审查批准;公共信息系统投入使用前也需要进行相关检测,但检测的目的和要求不同。四是使用权限不同。涉密信息系统要严格控制使用权限;公共信息系统则是开放性的,只要具备一定访问条件就可以使用。
“涉密程度”,是指涉密信息系统存储、处理和传输的国家秘密信息的密级,是确定系统安全保密防护级别的依据。涉密信息系统应当按照系统规划设计处理信息的最高密级,划分为绝密、机密和秘密三个级别,并按照不同强度的防护要求进行保护。集中处理工作秘密的信息系统,应当参照秘密级信息系统进行保护。
“分级保护”,是指涉密信息系统的建设使用单位依据分级保护管理办法和国家保密标准,对不同级别的涉密信息系统采取相应的安全保密防护措施,确保既不“过防护”,也不“欠防护”。各级保密行政管理部门根据涉密信息系统的不同级别实施相应的监督管理,确保涉密信息系统及其存储、处理、传输的国家秘密信息的安全。
第二款规定涉密信息系统保密设施、设备规划建设和配备要求。一是涉密信息系统必须配备符合国家保密标准的设施、设备。国家保密局制定的《涉及国家秘密的信息系统分级保护技术要求》、《涉及国家秘密的信息系统分级保护方案设计指南》、《涉及国家秘密的信息系统分级保护管理规范》等国家保密标准对此有明确规定。二是涉密信息系统保密设施、设备建设必须与整个系统同步规划,同步建设,同步运行,在方案设计、工程实施、投人使用和系统运行等阶段,保证保密设施、设备建设与系统建设过程同步,以实现安全保密防护措施与系统应用的有机结合,避免“带病运行”。
第三款规定涉密信息系统投入使用必须经检查合格。根据《涉及国家秘密的信息系统审批管理规定》,涉密信息系统投入使用前必须经过系统测评和系统审批两个环节。系统建设完成后,应通过国家保密行政管理部门授权的测评机构的安全保密测评,经具有审批权限的保密行政管理部门审查批准,符合涉密信息系统分级保护要求后,方可投入使用。
根据涉密信息系统分级保护管理规定和标准要求,除上述系统测评和系统审批两个环节外,涉密信息系统的全过程保密管理还包括系统定级、方案设计论证、工程实施、日常保密管理、保密监督检查和系统废止等环节,各个环节均应满足相应的保密管理要求。系统定级,是指涉密信息系统建设使用单位依据系统规划设计处理信息的最高密级,确定系统的保护等级。方案设计论证,是指涉密信息系统建设使用单位组织涉密信息系统集成资质单位等,依据分级保护技术要求、管理规范和方案设计指南,进行系统方案设计,并组织开展方案评审。工程实施,是指涉密信息系统集成资质单位依据分级保护建设方案,组织实施工程建设,监理资质单位负责工程监理。在涉密信息系统投入运行后,建设使用单位应当加强日常保密管理,明确安全保密管理策略,组建安全保密管理机构,设置安全保密管理人员,落实保密管理制度,并组织实施系统运行过程中的安全保密管理。涉密信息系统建设使用单位要定期对系统安全保密状况、安全保密制度落实情况进行自查,并接受保密行政管理部门的检查。系统废止,是指涉密信息系统不再使用时,系统建设使用单位应当向保密行政管理部门备案,并按照保密要求对涉密信息设备、产品、国家秘密载体等进行处理。
第二十四条 机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为:
(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;
(二)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;
(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;
(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;
(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
释义:
本条是关于信息系统和信息设备保密管理的禁止性规定。
针对信息系统和信息设备使用过程中存在的安全保密问题,本条明令禁止5种违反信息系统和信息设备使用保密管理规定的行为。这一规定对有效防范和遏制信息化条件下的窃密泄密事件发生具有重要作用。
将涉密计算机、涉密存储设备接入互联网及其他公共信息网络,将导致涉密信息处于不可控状态,直接危害国家秘密安全。
在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换,容易被植入“木马”等窃密程序,使涉密信息系统受远程控制,导致国家秘密被窃取。
使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息,将使国家秘密失去有效控制和保护,极易造成泄密。
擅自卸载、修改涉密信息系统的安全技术程序、管理程序,将造成涉密信息系统技术防护措施部分或全部失效,导致技术防护和管控能力下降或丧失,大大增加泄密风险。
将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途,其中存储的国家秘密信息即使删除仍可通过技术手段恢复,存在严重泄密隐患。
理解本条规定,需要把握以下概念:
“涉密存储设备”,是指用于存储涉密信息的各类介质和设备的总称,主要包括计算机硬盘、移动硬盘、光盘、优盘、存储卡、记忆棒、录音带、录像带等存储介质,以及具有信息存储功能的打印机、传真机、复印机、扫描仪、照相机、摄像机等设备。
“安全技术程序、管理程序”,是指为确保涉密信息系统的运行安全、信息安全而安装在涉密信息系统中,对系统进行安全保密防护的应用程序。安全技术程序主要包括身份鉴别程序、访问控制程序、主机监控程序、防病毒程序等。安全管理程序主要包括权限管理程序、审计管理程序、安全策略管理程序等。
“安全技术处理”,是指为保证涉密信息安全,对退出使用的涉密信息设备所采取的符合国家保密标准要求的技术处理措施,包括对涉密存储设备进行销毁或者信息消除,以确保涉密信息无法被恢复。
第二十五条 机关、单位应当加强对国家秘密载体的管理,任何组织和个人不得有下列行为:
(一) 非法获取、持有国家秘密载体;
(二) 买卖、转送或者私自销毁国家秘密载体;
(三) 通过普通邮政、快递等无保密措施的渠道传递国家秘密载体;
(四) 邮寄、托运国家秘密载体出境;
(五) 未经有关主管部门批准,携带、传递国家秘密载体出境。
释义:
本条是关于国家秘密载体管理的禁止性规定。
“非法获取、持有国家秘密载体”,主要包括:不属于国家秘密知悉范围内的人员,通过窃取、骗取、抢夺、购买等非正当途径和手段,获取并留存涉密载体;知悉范围内的人员,未经批准留存涉密载体,经提醒、催促拒不上交;知悉范围内的人员离岗离职后,未按有关规定及时清退涉密载体。
国家秘密载体属于国家所有,应当按照国家有关规定配发或装备,任何组织和个人不得私自买卖、转送。机关、单位应当按照国家有关保密规定和标准销毁国家秘密载体,任何组织和个人不得私自销毁。
普通邮政、快递、物流等不具备安全保密保障条件,通过这些方式传递涉密载体,将造成涉密载体管理失控,极易泄密,应当严格禁止。在国内传递涉密载体必须通过机要通信、机要交通或者指派专人传递,在市内传递机密级、秘密级涉密载体,也可通过机要交换站进行。
向境外传递涉密载体,应当按照国家有关规定办理。凡是外交信使能够到达的地方,必须由外交信使携运;境外目的地不通外交信使难以携运,且确因工作需要自行携运出境的,应当向有批准权限的保密行政管理部门或机构申请办理批准手续。经批准携带出境的,必须采取严格保密防护措施。禁止任何组织和个人以任何方式邮寄、托运涉密载体至境外。
第二十六条 禁止非法复制、记录、存储国家秘密。
禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密。
禁止在私人交往和通信中涉及国家秘密。
释义:
本条市关于国家秘密信息管理方面的禁止性规定。
“非法复制、记录、存储国家秘密”,主要包括:未经批准,擅自复制、摘抄涉密文件资料;擅自对涉密谈话、会议和活动等内容进行文字记录或录音、录像;私自留存、存储国家秘密信息或者国家秘密载体。在工作中,确需复制、记录、存储国家秘密的,应当事先报经有关部门或者主管领导批准,并严格执行保密管理规定。
互联网、固定电话网、移动通信网、广播电视网等公共信息网络,以及没有保密措施的有线和无线通信,都无法确保信息传递的安全,不能用来传递国家秘密。机关、单位及其工作人员传递国家秘密,应当使用有相应等级保密措施的有线和无线通信设施、设备,如铺设专用线路或租用专用信道,并采取加密等安全保密技术措施。
私人交往、通信中涉及国家秘密,会导致国家秘密知悉范围的扩大和造成股价秘密失控,必须严格禁止。
第二十七条 报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,互联网、移动通信网等公共信息网络及其他传媒的信息编辑、发布,应当遵守有关保密规定。
释义:
本条是关于新闻出版、广播影视、网络及其他传媒保密管理的规定。
新闻出版、广播影视、网络及其他传媒受众面广、传播迅速,一旦泄密,难以补救,必须加强保密管理。报刊、图书、音像制品、电子出版物的编辑、出版、印制、发行,广播节目、电视节目、电影的制作和播放,应建立严格的自审和送审制度,确保不涉及国家秘密。自审,是指单位或作者对拟公开出版、发布的内容进行审查。送审,是指对有关内容是否涉及国家秘密界限不清或无法判断时,提请有关业务主管部门或其上级机关审定。审查发现涉及国家秘密又确需公开出版、报道的,应当采取删节、改编、隐去等措施进行技术处理。互联网、移动通信网等公共信息网络及其他传媒编辑、发布信息,应当认真履行保密义务,不得涉及国家秘密。
第二十八条 互联网及其他公共信息网络运营商、服务商应当配合公安机关、国家安全机关、检察机关对泄密案件进行调查;发现利用互联网及其他公共信息网络发布的信息涉及泄露国家秘密的,应当立即停止传输,保存有关记录,向公安机关、国家安全机关或者保密行政管理部门报告;应当根据公安机关、国家安全机关或者保密行政管理部门的要求,删除涉及泄露国家秘密的信息。
释义:
本条是关于公共信息网络运营商、服务商保密义务的规定。
在现行公共信息网络监督管理规定的基础上,本条明确了互联网及其他公共信息网络运营商、服务商的配合调查、情况报告和信息删除义务。
“运营商”,是指提供固定电话、移动电话和互联网、广播电视网络运营服务的企业。“服务商”,是指提供网络接人服务、信息浏览、文件下载、电子邮件及其他服务的企业。
配合调查义务,是指应当按照公安机关、国家安全机关、检察机关的要求,提供泄密案件调查所需要的信息等。情况报告义务,是指发现利用公共信息网络发布信息涉及国家秘密的,应当立即停止传输,保存有关记录,并报告公安机关、国家安全机关或者保密行政管理部门。信息删除义务,是指根据公安机关、国家安全机关或者保密行政管理部门的要求,删除在公共信息网络上运行的国家秘密信息。
第二十九条 机关、单位公开发布信息以及对涉及国家秘密的工程、货物、服务进行采购时,应当遵守保密规定。
释义:
本条是关于公开发布信息、涉密采购保密管理的规定。
“公开发布信息”,既包括行政机关公开发布政府信息,也包括其他机关、单位公开发布信息。行政机关公开政府信息,应当按照《中华人民共和国政府信息公开条例》规定,建立健全政府信息发布保密审查机制,明确审查的程序和职责。行政机关以外的机关、单位公开发布信息,也应当建立相应的保密审查机制。机关、单位公开发布信息应当遵循“谁公开,谁审查”原则、事前审查原则和依法审查原则,严格执行信息提供部门自审、信息公开工作机构专门审查、主管领导审核批准的工作程序。对不能确定是否涉及国家秘密的事项,应当报上级主管部门或者同级保密行政管理部门确定。机关、单位应加强公开发布信息保密审查的组织领导,落实承办机构和责任人员,规范审查程序,加强监督管理。
目前,对涉及国家秘密的工程、货物、服务的采购如何进行保密管理尚没有统一规定,有关法律对涉密采购仅作了例外规定。如《中华人民共和国政府采购法》第八十五条规定,涉及国家安全和秘密的采购不适用该法。《中华人民共和国招标投标法》第六十六条规定,涉及国家安全、国家秘密等特殊情况,不适宜进行招标的项目,按照国家有关规定可以不进行招标。为加强涉密采购保密管理,本条对涉密工程、涉密货物、涉密服务的采购提出原则要求。
涉密工程,是指用途、功能或关键部位涉及国家秘密事项,公开后会危害国家秘密安全和利益的建筑物的新建、改建、扩建、装修、拆除、修缮等。涉密工程的保密管理涉及环节较多,包括涉密工程的确认、建设、使用等整个过程。涉密工程应先经过保密行政管理部门的确认。经确认属于涉密工程的,应当采取严格的保密管理措施:不得公开招标;对涉密工程的勘察、设计、施工和监理单位应进行保密审查;建设单位应制定具体的保密管理措施和方案,并与工程的勘察、设计、施工和监理单位签订保密协议;建设单位应进行全过程的保密监督管理;工程竣工后,建设单位应收回涉密图纸、资料等涉密载体,并办理移交手续,清除计算机储存的信息;涉密工程启用前必须通过安全保密检查检测。
涉密货物的采购,是指采购的货物属于国家秘密,或者采购用途、采购行为涉及国家秘密。涉密货物采购保密管理主要包括:坚持“谁采购,谁负责”;坚持国产货物优先;采购进口货物应通过第三方进行,屏蔽最终用户信息,并对供应商进行背景调查;投入使用前,应进行安全保密技术检查检测。
涉密服务,主要是指涉及国家秘密的会议活动、资产评估、财务审计、维修维护、法律咨询等服务。机关、单位采购涉密服务应当遵守有关规定,进行保密审查,加强保密管理。
第三十条 机关、单位对外交往与合作中需要提供国家秘密事项,或者任用、聘用的境外人员因工作需要知悉国家秘密的,应当报国务院有关主管部门或者省、自治区、直辖市人民政府有关主管部门批准,并与对方签订保密协议。
释义:
本条是关于对外提供国家秘密和境外人员因工作需要知悉国家秘密保密管理的规定。
针对对外交往与合作中涉密事项增多、境外人员在国有企业担任高管等情况,本条建立了对外提供国家秘密事项、境外人员知悉国家秘密的审批制度和保密协议制度。
“对外交往与合作中需要提供国家秘密事项”,是指在对外交往与合作中,从国家整体利益和对外交往合作的实际出发,权衡利弊,遵循合理、合法、适度、对等的原则,经有关机关审查批准后,向境外合作方提供国家秘密。机关、单位对外提供国家秘密时,应确定范围,进行保密审查并作必要的技术处理,报有审批权限的部门批准,执行政府间保密协定或与对方签订保密协议,任何组织和个人不得擅自对外提供国家秘密。目前,涉及这方面的具体规定主要包括《对外经济合作提供资料保密暂行规定》和《国家秘密技术出口审查规定》等。根据现有规定,机关、单位经批准后,可以根据工作需要对外提供机密级以下国家秘密,绝密级国家秘密不得对外提供。
“任用、聘用的境外人员”,是指机关、单位根据工作需要,任用、聘用的具有外国国籍的人员及港、澳、台地区的人员。随着我国对外交流与合作的不断深入,许多领域引进境外人才,任用、聘用境外管理人员、科研人员的情况日益增多。这些人员在工作中确需接触、知悉我国家秘密的,应按照“谁主管,谁负责”和“一事一批”原则,报有关机关批准。
机关、单位对外交往合作中提供国家秘密事项的,应根据有关保密法律法规,与接受方签订保密协议,要求其承担保密义务。协议的基本内容包括:对外提供的国家秘密事项及理由、承担的保密义务、违约责任等。机关、单位任用、聘用境外人员的,应根据有关保密法律法规与接触、知悉国家秘密的境外人员签订保密协议,要求其承担保密义务。协议的基本内容包括:需要知悉的国家秘密事项及理由、承担的保密义务、违约责任、协议的法律效力等。机关、单位应指定专门机构和人员对保密协议执行情况进行经常性的监督检查。一旦发现违反协议的情形或存在威胁国家秘密安全的行为,应立即采取有效措施,消除泄密隐患,并依法严肃追究有关责任人员的责任。