論美國公務機關就一般公務機密核密狀態爭議之處理

刊登期別
2013年07月17日
 

論美國公務機關就一般公務機密核密狀態爭議之處理

科技法律研究所
2013年07月16日

壹、前言
  對於公務機密是否具機密核定適當性的問題,從近來公務機關內部所爆發的許多爭議案件中,已經逐漸引起社會大眾的關注。所謂公務機密,一般來說係包含國家機密與一般公務機密。有關於國家機密的核定權責機關、核解密方式,抑或是國家機密維護等事宜,主要係規範在國家機密保護法內;至於攸關一般公務機密的所有事宜,則主要是由行政院祕書處所頒布的文書處理手冊來作規範。

  觀察國家機密保護法與文書處理手冊就機密核定狀態爭議的處理,依據國家機密保護法第十條第一項規定,原核定機關或其上級機關有核定權責人員得依職權或依申請,就實際狀況適時註銷、解除機密或變更機密等級,並通知有關機關。其乃賦予原核定機關或其上級機關,對於國家機密的機密核定或機密等級是否適當之問題,有主動行使機密狀態註銷、解除或變更的權限。然而,針對一般公務機密機密核定是否適當與其爭議處理,文書處理手冊並未為相關的機制設計,因此也引發一般公務機密的核定機關,當其認為機密核定有不適當之情形時,無相關管道可針對此項爭議提出異議。

  是以,本文欲從美國公務機關解決公務機密狀態爭議(包含國家機密與一般公務機密)的機制出發,來觀察我國未來針對一般公務機密狀態爭議的機制建立,所必須著重與思考的面向,以作為未來主管機關增修相關法規範的參考。

貳、美國公務機關如何解決公務機密核密狀態之爭議
一、行政命令第13526號(Executive Order 13526)
  
為了在政府資訊公開與國家資訊保護兩者間界定完善的平衡點,美國歐巴馬政府於 2009 年頒布第 13526 號行政命令( Classified National Security Information )[1],該行政命令主要係規範涉及公務機密(包含國家機密與一般公務機密)之密等核定、機密維護與機密解密或降密等事宜。本號行政命令可視為是美國聯邦政府機關在其職責內涉及公務機密之公務資訊,如何就前述資訊建立其內部公務機密管理機制的範本。

  在本號行政命令第一部分,主要針對機密分類規範( Classification Standards )[2]、機密分類層級( Classification Levels )[3]、機密分類權限( Classification Authority )[4]、機密分類種類( Classification Categories )[5]、機密存續期間( Duration of Classification )[6]、機密識別與標示( Identification and Markings )[7]、機密分類禁止與限制( Classification Prohibitions and Limitations )[8]、機密分類爭議( Classification Challenges )[9],以及基本分類指導複查等事項( Fundamental Classification Guidance Review )[10],來提供聯邦政府機關制定內部規範的基準。其中,在機密分類爭議部分,若經授權持有公務機密之人善意且相信該機密的分類狀態( status )屬不適當時,其可依循所屬聯邦政府機關內部程序來就該機密的分類狀態提出異議 [11]。有關於該程序的建立,各聯邦政府機關首長或資深機關職員必須就該程序確保( 1 )該提出機密分類異議之人(包含經授權持有機密之機關內外部人員)不會因該異議的提出而遭受報復;( 2 )提供公正之官方人員或專門審查小組就機密分類異議有複查機會;( 3 )該提出機密分類異議之人若不滿聯邦政府機關內部所為之決定時,可向跨機關安全分類事務上訴委員會( Interagency Security Classification Appeals Panel, ISCAP )提出上訴。然,若公文因不揭露協議( Non-Disclosure Agreement, NDA )而需作發佈前審查( prepublication review )或依其他行政程序而需先行提出時,則不適用本項之規定。

  在第二部分,係規範使用派生機密分類( Use of Derivative Classification )[12]的情形與要求各聯邦政府機關需就該派生機密的使用制定指導手冊( Classification Guides ) [13];在第三部分,主要規範解密的權責機關( Authority of Declassification )[14]、被移轉機密紀錄( Transferred Records )[15]、機密自動解密( Automatic Declassification )[16]、機密系統性解密複查( Systematic Declassification Review )[17]、機密強制性解密複查( Mandatory Declassification Review )[18]、處理機密請求與複查( Processing Requests and Reviews )[19]與建立國家資訊解密中心( National Declassification Center )[20]等事項。

  在第四部分中,則規範一般使用限制( General Restrictions on Access )[21]、機密散佈控管( Distribution Controls )[22]、特殊使用程序( Special Access Programs )[23],以及針對過去有使用機密紀錄之研究者與某些前政府人員使用資訊( Access by Historic Researchers and Certain Former Government Personnel )[24]的情形。在第五部分,其謂資訊安全監督辦公室主任( The Director of the Information Security Oversight Office ),在檔案保管員( Archivist )的指示且諮詢國家安全顧問( National Security Advisor )後,應發佈可落實本行政命令且拘束各聯邦政府機關的指令[25]。同時,也針對資訊安全監督辦公室與 ISCAP 的設立、權責、功能、規則與程序作逐一說明[26]。此外,亦對各聯邦政府機關首長就其機關內部所建立之機密分類機制所應負的責任與若違法時所應遭受的裁罰另作完整規範[27]

  最後,在第六部分,係針對名詞定義[28]、一般事項[29]、有效日期[30]與發佈[31]等行政事宜作完整說明。

二、美國國防部( Department of Defense )公務機密管理機制
(一)美國國防部公務機密管理機制介紹

  為遵循美國行政命令第 13526 號,美國國防部對於其業內公務機密(包含國家機密與一般公務機密),亦建立自身公務機密管理機制來防止該資訊受到外國或恐怖分子的刺探或取得。美國國防部公務機密管理機制主要分成六個部分[32],第一部分為參照( References );第二部分為責任( Responsibilities );第三部分為資訊安全工作概觀( DoD Information Security Program Overview );第四部分為分類資訊( Classifying Information ),其就機密分類政策、機密分類等級、機密最初分類與派生分類的規定與流程、機密分類期限與機密分類爭議等事項作敘明;第五部分為解密與分類變更( Declassification and Changes in Classification ),其涉及機密解密程序、機密自動解密、機密強制解密複查、機密解密系統性複查等其他攸關解密或變更機密等事宜;最後,第六部分為安全分類指導( Security Classification Guides ),其內容乃就前述涉及安全分類內容、資料編輯考量、安全分類複查、安全分類取消或安全分類變更報告等程序或細部事項提供內部權責人員在處理相關事務時的參考。

(二)美國國防部就涉及機密分類爭議的處理方式
  如前所述,美國國防部公務機密管理機制第四部分針對機密分類爭議設有明確的處理原則與程序,在分類爭議處理原則中[33],假若機密持有人有足夠理由相信其持有機密的分類是不適宜或不必要時,該持有人應該就此確信向資訊安全管理者或最初分類權責機關( Original Classified Authority, OCA )提出任何必要矯正建議。前述矯正建議可藉由非正式( informal )或正式( formal )方式提出。以正式提出而言,機密持有人應聯絡原始文件或資料分類者( the classifier of the source document or material )來解決機密分類的爭議;同時,其必須就該爭議機密提出足夠描述來容許原分類者盡合理努力來發現是否有不合宜或不適當的機密分類情況,且應提出理由來說明為何他(她)相信該機密是被不合宜或不適當分類的依據。此外,本規範亦要求美國國防部內部主事者( Heads )應確保對提出機密分類狀態質疑或就機密分類爭議以正式方式提出之任何人,不得對其行使報復行為或採取類似行動;同時,就受質疑的機密應確保其保密狀態且亦受到保護,除非且直到原核定人員已經作出解密之決定。然而,有關於可受機密分類爭議的客體,將不會擴及因同意不揭露協議而需受發佈前審查或依其他行政程序而需先行提出的資訊。

  至於處理機密分類爭議的程序[34],美國國防部內部主事者應就分類爭議建立完善的處理程序,該程序需就以正式方式提出機密分類質疑的處理情形、追縱情況與記錄均建構完整的流程(其中包含就持有機密者因不滿決定所提出的上訴程序);同時,就機密分類爭議的審查,也必須賦予公正的官方人員或委員會就該爭議機密有再次複查的機會。有關於處理流程,審查機密分類爭議的權責人員必須於收受案件後 60 日內以書面方式回覆處理情形,假若未於 60 日內作出完整回覆,則美國國防部應轉而接受處理該機密分類爭議並提供預期的回應日期。前述美國國防部收受確認回覆之聲明,應包含假若對機密分類提出質疑之人於提出後 120 日內未收到任何回應,則該質疑者有權將該案件轉交 ISCAP 。此外,當美國國防部於收受上訴申請後 90 日內未對上訴進行回應時,則該質疑者也可將該爭議案件轉交 ISCAP 來作裁處。

三、美國國土安全部( Department of Homeland Security )公務機密管理機制
(一)美國國防部公務機密管理機制介紹

  為了落實第 13526 號行政命令,美國國土安全部就其業內公務機密(包含國家機密與一般公務機密),對於機密分類機制的履行、管理與監督亦建制自身的公務機密管理規範。美國國土安全部公務機密管理機制主要區分為六章[35],第一章為制定目的( Purpose );第二章為適用範圍( Scope );第三章為制定權限授與( Authority );第四章為名詞定義( Definitions );第五章為掌管公務機密安全之權責機關責任( Responsibilities );第六章為公務機密安全的政策與流程( Policy & Procedures )。在第六章中,其規範內容包含最初分類、派生分類、機密分類考量(其中亦涉及機密分類爭議處理程序)、機密解密、機密解密之強制複查、資訊自由法( Freedom of Information Act )與隱私法( Privacy Act )之法規要求、機密解密之系統性複查、機密分類降級與升級事項等事項。

(二)美國國土安全部就涉及機密分類爭議的處理方式
  對於美國國土安全部機密分類爭議處理[36],假若經授權之機密持有者善意相信其所持有的機密分類狀態係屬不適當時,其可對該機密分類狀態提出質疑。該機密分類爭議應該向機密核定者( the classifier of the information )提出,當有必要性時,對於機密分類狀態有質疑者可以透過美國國土安全部安全工作室( the DHS Office of Security )來就相關程序尋求協助與 / 或以匿名的方式來進行機密分類爭議流程。

  至於機密分類爭議的提出方式,美國國土安全部公務機密管理機制將其區分為正式提出與非正式提出而異其流程。先以正式提出而論,對於機密分類狀態有疑問者,應先以書面方式向該機密的最初分類權責機關提出機密分類爭議,且此程序相互往來之書面文件應保持在不核密( unclassified )的狀態。然而,假若該機密分類爭議案件包含其他經核密的資訊時,則該爭議案件應該為保密標示且作任何必要的保護措施[37]

  有關於書面撰寫內容,對機密分類狀態有質疑者應對爭議機密有足夠的描述,且僅可包含為何該機密被核密或為何該機密被核定為某等級機密的問題[38]。同時,對機密分類質疑者不得就其提出行為進行任何類型的報復,且美國國土安全部安全工作室亦可要求該爭議程序需以匿名的方式來進行處理。若以匿名方式進行時,美國國土安全部安全工作室必須對機密分類質疑者承諾其匿名性,並作為該質疑者在相關爭議案件程序的代理人( agent )[39]

  當爭議機密的最初分類權責機關在收受該爭議案件後,其應於 60 日內以書面方式對該機密分類質疑者作出是否仍維持該機密核密狀態或進行解密程序的決定[40]。若機密分類質疑者不滿最初分類權責機關之決定時,其可就該決定上訴至 ISCAP[41]。有必要時,美國國土安全部安全工作室就上訴程序需提供機密分類質疑者各式相關的協助[42]。至於爭議機密的狀態,在最初分類權責機關作出最後決定前,應該確保該機密在爭議案件程序中仍然維持其核密狀態並提供其最高程度的保護[43]

  相反的,以非正式提出而言,經授權之機密持有者可直接聯繫該機密的最初分類權責機關來獲得質疑內容的所有澄清[44]。假若該爭議機密已經由非正式提出方式獲得分類狀態的解決時,該機密分類質疑者應確保作出分類狀態改變之機關係有權責來作出此項決定,且應確保變更過程中的各式相關紀錄(包含機關人員姓名、職位、服務機關、日期)有影印之副本存[45]。茲以下表來比較美國國防部與美國國土安全部所建立之公務機密狀態爭議處理機制。

參、代結論
  考量美國公務機關針對公務機密(包含國家機密與一般公務機密)狀態爭議設有完整的處理程序,來供公務機密持有者當就手邊的公務機密狀態有所質疑時可提出異議。由於該處理機制對涉及國家機密或一般公務機密狀態爭議有一體適用的特性,也因此讓人思考是否在機制設計上有偏重國家機密,而在以相同機制處理一般公務機密的面向上,存有處理方式失衡的可能性。為了避免發生如同美國公務機關,以相同機制處理國家機密與一般公務機密所致生的權重失衡問題,未來我國公務機關在設計一般公務機密爭議處理程序時,除應考慮一般公務機密與國家機密有本質與特性的差異外,也須考量現行我國行政機關處理一般公務機密的實際運作環境,來制定出切合行政機關需求的一般公務機密爭議處理機制。

  然而,相較於美國公務機關對於公務機密狀態爭議訂有完整的處理方式,作為我國一般公務機密處理準則的文書處理手冊,僅要求對於納入檔案管理之機密文書,若有變更機密或解密者,應即按規定辦理變更或解密手續[46],但對於何人可提出解除機密或機密變更的聲請、提出解除機密或機密變更的方式、一般公務機密原核定機關對於解除機密或機密變更的處理期限、提出一般公務機密狀態是否適當之質疑者的人身或職位安全保障,抑或是對原核定機關解除機密或機密變更之決定有不服者如何提出複查之聲請,均未有完整的規範。

  由於文書處理手冊的規範,現行我國公務機關就一般公務資訊或有可能發生不當核密(或解密)的情況,其緣由可能因核定人員為防止不確定是否為機密之公務資訊有外洩之虞,抑或是因機關內部缺乏合適的諮詢單位,而導致核定人員誤將非機密之公務資訊以機密文書方式處理。因而,如何在一般公務機密核密狀態遭受質疑時,能提供原核定機關或持有一般公務機密者有適當管道或機制來作相應處理,乃是我國公務機關遲早必須面對的議題。

[1] The White House ( 2013 ) ‧ Exec. Order No. 13526 ‧Retrieved from http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed July. 16, 2013)
[2]id . Sec. 1.1.
[3]id . Sec. 1.2.
[4]id . Sec. 1.3.
[5]id . Sec. 1.4.
[6]id . Sec. 1.5.
[7]id . Sec. 1.6.
[8]id . Sec. 1.7.
[9]id . Sec. 1.8.
[10]id . Sec. 1.9.
[11] id. Sec. 1.8(a).
[12]id. Sec. 2.1.
[13]id. Sec. 2.2.
[14]id. Sec. 3.1.
[15]id. Sec. 3.2.
[16]id. Sec. 3.3.
[17]id. Sec. 3.4.
[18]id. Sec. 3.5.
[19]id. Sec. 3.6.
[20]id. Sec. 3.7.
[22]id. Sec. 4.1.
[22]id. Sec. 4.2.
[23]id. Sec. 4.3.
[24]id. Sec. 4.4.
[25]id. Sec. 5.1(a).
[26]id. Sec. 5.2 & 5.3.
[27]id. Sec. 5.4 & 5.5.
[28]id. Sec. 6.1.
[29]id. Sec. 6.2.
[30]id. Sec. 6.3.
[31]id. Sec. 6.4.
[32]Department of Defense ‧ DoD Information Security Program: Overview, Classification, and Declassification ‧ Retrieved from http://www.dtic.mil/whs/directives/corres/pdf/520001_vol1.pdf (last accessed July. 16, 2013)
[33]id. Sec. 22(a).
[34]id. Sec. 22(b).
[35]Department of Homeland Security Management Directive System ‧ Protection of Classification National Security Information Classification Management ‧ Retrieved from http://www.fas.org/sgp/othergov/dhs/md11044.pdf (last accessed July. 16, 2013)
[36]id. Chapter IV, E, 3.
[37]id . at 3(a)(1).
[38]id.
[39]id . at 3(a)(2).
[40]id . at 3(a)(3).
[41]id . at 3(a)(4).
[42]id .
[43]id . at 3(a)(5).
[44]id . at 3(b).
[45]id .
[46]文書處理手冊第 71 點。

※ 論美國公務機關就一般公務機密核密狀態爭議之處理, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=6257 (最後瀏覽日:2021/04/11)
引註此篇文章
你可能還會想看
歐盟將公布精準醫療國際合作發展倡議

  歐盟於2016年5月公布將成立個人化醫療國際聯合會(International Consortium for Personalised Medicine, IC PerMed),並草擬發展倡議。其成立背景為目前用來治療大部分病人之一般藥品效果未如預期,且因藥物嚴重副作用導致需急性醫療入院情形,約超過60%之比例。此外,歐盟的醫療照護成本將隨著人口老化以及慢性疾病增加而加重。個人化醫療具有特定預防目的以及治療方法,因此,病人利用最佳的治療方是,可避免試驗與治療錯誤之問題。個人化醫療是一個快速成長的市場,歐洲醫療照護產業具有發展潛力,並同時帶來經濟成長與就業機會。   歐盟認為,儘管個人化醫療尚未有明確定義,但依據Horizon2020諮詢小組(Horizon 2020 Advisory Group)定義為利用個人表現型或基因型特徵之醫療模型,針對正確的個人、治療時間,以明確的醫療政策為目標進行診治,或者是找出疾病特徵給予即時的預防。其中,重要部份在於,個人化關注的不僅是藥品或醫療產品,尚需對於生物機制以及環境與疾病、健康之間的交互作用等進行瞭解是否影響整體的健康照護。雖然歐洲部分國家已經開始引進個人化醫療,但實際上歐洲仍處在早期執行階段,尚待更多的研究開發。   為此,歐盟執委會與部分健康研究機構以及決策組織團體等共同合作,決議成立個人化醫療國際聯合會,目標為2016年底之前開始此項計畫。歐盟執委會與IC PerMed組織成員合作,將進行以下事項: 1.將歐洲建立成為全球個人化醫療研究領導者地位 2.透過合作研究支持個人化醫療醫學 3.將個人化醫療的利益展現於民眾以及醫療照護體制 4.為精準醫療提供給民眾做好準備   IC PerMed將聚焦在研發補助與合作,以實現上述所設定之任務。目前,IC PerMed正研擬發展倡議藍圖。依據草擬之藍圖,IC PerMed將提供各組織成員之間彈性合作架構。藍圖主要建構於個人化醫療歐洲願景(Shaping Europe’s Vision for Personalised Medicine)之相關文件,該文件屬於政策研發議程(Strategic Research and Innovation Agenda, SRIA)之一部分,同時為先前歐盟所補助之PerMed(2013~2015)計畫範圍之一。依據PerMed SRIA,發展可區分為五項領域,包括: 發展過程與結果、整合巨量資料與ICT解決模式、將基礎轉為臨床研究、將研發鏈結市場、以及形成延續性的醫療照護體系。未來,IC PerMed發展倡議藍圖將依上述五個領域建構,並在2016年底預計公布第一部分的施行願景。

三星電子開發出色弱者使用的顯示器

  三星電子十六日表示,目前大舉開發色弱者使用的顯示器等新概念顯示器,可令色弱者與正常人一樣享受多媒体功能、增加了色彩保真功能(Magic Vision)的產品「SyncMaster 730C」和「SyncMaster 930C」。   Magic Vision具有將顯示器的紅、綠、青三原色分別分類為十個等級的功能,由此使用者可依照最適合自己的色彩敏感度來調節顯示器的色彩。    三星電子還計劃近期推出具有1500:1的明暗比、6ms(千分之一秒)響應速度、符合人體工學的三重鉸鏈(3-Hinge)底座的顯示器「SyncMaster750P」和具有世界最快響應速度—4ms的顯示器「SyncMaster 930B」。    三星電子強調,明暗比和響應速度的性能大幅提升,將可能終結「液晶顯示器不適合遊戲及動態視頻」這一爭議。

歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告

  為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。   因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有: 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。 行動設備威脅:行動設備遭竊或遺失與不當近用。 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。 消費者威脅:POS惡意軟體、MiTM、重放攻擊。 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。 支付網路提供者威脅:代碼服務崩潰、拒絕服務。 發行商威脅:付款授權流程崩潰與代碼資料崩潰。 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。   因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準: 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。 行動支付業者應當建立詐騙監控機制。   網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。

台灣、美國與日本對歐盟所徵收三項高科技產品進口關稅向WTO爭端解決小組(Panel)提出成立一個爭端解決小組

  台灣、美國與日本因為歐盟所徵收進口機頂盒、平板顯示器以及多功能列印三項科技產品的高進口關稅,於8月19日正式向世界貿易組織(WTO)爭端解決小組(Panel)提出成立一個爭端解決小組的請求。   WTO會員國於1996年針對特定的高科技產品簽署禁止課稅的「資訊科技協議」(WTO Information Technology Agreement,簡稱ITA),歐盟也同意依WTO關稅時程表取消「資訊科技協定」中所約定產品的關稅。然而,歐盟目前對進口的機頂盒課徵13.9%、平板顯示器14%以及對多功能列印機6%的高進口關稅。美國的貿易談判代表Susan Schwab表示,歐盟對所承諾事項相悖的行為,不僅違反1994年關稅及貿易總協定第2條,並有礙資訊科技產業的技術創新發展。該不公平的進口關稅,事實上也影響相關業者與消費者的權益。   依照複邊簽定而在次年生效的ITA協定,該協定下產品應為零關稅。但歐盟自前年起,以稅則附註等法規,將部分平面顯示器、具硬碟的機上盒及多功能事務機等新技術科技產品,以功能增強或有新功能為由,歸類為家電產品,排除適用同一協定。WTO爭端解決機構(The WTO dispute settlement body,簡稱DSB)將會於 8 月29日召開會議時對本爭端案件進行討論。

TOP