《日經新聞》本(10)月 5 日報導,日本政府授予可經手處理安全機密資訊的認證制度草案已出爐。將按資訊的重要性分為兩個級別,若洩漏資訊也會面臨罰則。藉此跟上歐美主要國家的腳步,確保日本企業在發展先進技術時能夠保持國際競爭力。
將要新設的「安全許可」(Security clearance)是一種授予政府官員和民間人員存取、經手處理國家安全機密資格的制度。政府將查核個人身分背景以及民間企業的資訊管理體制,評估是否可信任。不過,要存取資訊仍要在「基於僅需要知道」(Need-to-Know)的前提下。在美國,還會調查用藥紀錄和債務等經濟情況,也設有在機敏資訊外洩時的罰則。
這原本應該是要納入 2022 年 5 月成立的《經濟安全保障促進法》,但因為涉及隱私問題所以延宕。
相關報導:日本「經濟安保法案」概要出爐 將審查外國產品及系統以減少基建安全受威脅
日本政府計劃在 2024 年國會法定會期間提交納入此項制度的《經濟安全保障促進法》修正案。日本政府近期將再次召開由經濟界和法律專家組成的專家會議,進一步制定制度的詳細內容。
修正草案將安全機密資訊的範圍分為「會對我國安全保障造成顯著損害」和「會影響我國安全保障」兩種。預估需要保護的對象包含關於經濟制裁的分析以及太空和網路等日本政府在經濟安保設定的 20 個重要技術。
相較美國則將機密資訊依重要性分為絕對機密(Top Secret)、極機密(Secret)、機密(Confidential)三個級別。並對存取不同級別資訊的人分別進行審查及授予資格,依據資訊的重要程度,審查內容與資格的有效期限也會有不同。
據日本內閣府的資料,美國獲得安全許可的公民超過 400 萬人,官佔 7 成、民佔 3 成,簡單計算後光是民間就有 120 萬人。其他主要國家也都有數十萬人取得資格。
特定秘密保護法管不夠寬
而日本為了保護機密資訊,在 2014 年施行了《特定秘密保護法》。《日經新聞》7 月 28 日的報導稱這是一種「似是而非的機制」。
因為特定秘密的保護對象僅限於國防、外交、反間諜活動和反恐怖主義等 4 個領域,雖然也會對需要存取資訊的相關人士進行適任性查核。看起來和美國的制度很相像,但就結果上而言,可以存取資訊的多半都是國家公務員。截至 2022 年 3 月底,有 13.2 萬人取得資格,但民間人士約 3,800 人左右,只佔不到 3%。
而且軍事和非軍事技術之間的分界越來越模糊,有許多技術可以「軍民兩用」。除了與國防工業相關以外,其他在經濟安全上相當重要的人工智慧(AI)和網路安全等領域的先進技術以及與重要基礎設施有關的資訊,卻不一定在特定秘密保護範圍內,萬一洩漏到海外,將可能成為安全上的威脅。
-1024x768.jpg)
圖片為OpenAI提供的生成式文字AI「ChatGPT」。
(圖/Focal Foto/CC BY-NC 2.0)
有利於企業發展 取得商機
在七大工業國集團(G7)中,只有日本尚未建立依照資訊重要程度分級授予存取資格的制度,日本企業因此失去了許多機會。
引入這樣的安全許可制度將使日本企業更容易與海外企業共同開發衛星、人工智慧等涉及機敏情報的次世代技術,參與擁有安全許可資格才能參加的軍民兩用技術相關的會議,或是政府採購案。
這對於業務內容包含國防工業和尖端技術的企業來說是一個有利因素。NEC 的社長森田隆之先前就曾提出此問題,他表示要和美國協商,需要日本建立與美國同等級的制度,但這靠個別企業是不可能做到的,由國家來建立,可以為國際共同開發奠定基礎。
(圖/JAXA)
為對應美國的三個級別,日本政府將建立一個能夠分類分級機密資訊的系統,調整到能和其他主要國家的共享資訊。
丸紅經濟研究所所長今村卓指出:「如果將來自民間的資訊廣泛納入監管對象,可能會對商業活動造成影響,希望政府能夠明確以多個階層區分什麼樣的資訊是監管對象。」防衛工業的企業高層表示,焦點將會是重要資訊的範圍。
隱私問題的擔憂
焦點實際上在於要將資訊委託給誰來處理。和特定秘密的適任性查核一樣,安全許可的查核也需要對個人進行背景調查,所以根據特定秘密保護法的規定,日本政府在修正草案中規定,身分背景查核「僅在本人同意的情況下實施」,並確保拒絕審查的人不會在工作上受到不利對待。
由於查核內容包含與間諜活動的關聯、犯罪記錄、精神疾病、濫用藥物以及配偶的國籍等。引起日本內部擔憂這可能侵犯隱私。所以在 8 月統整關於引入安全許可制時的具體政策思考方向中就有提到需要「保證當事人是真的同意以及拒絕調查的權利」。
日本政府將建立一個機構,統一負責執行調查。經濟安全保障大臣高市早苗表示,「由於這將民間人士廣泛納入實施對象,需要有一個能負責管理重要個人資訊的組織」。
-1024x576.png)
(圖/記者會直播截圖)
美國政府在 2015 年曾遭受網路攻擊導致規模達 2,000 萬人的個資外洩。於是 2019 年在美國國防部創設了一個新組織,由數千名專業人員負責進行背景調查,同時嚴格實施網路安全措施。
東大尖端科學技術研究中心特任講師井形彬認為,進行背景調查需要「相當多的人力資源」。即使在美國,由於調查對象眾多,曾有案例從調查開始到審查結束花上了超過一年的時間。平均取得安全許可花費的時間為 4 至 12 個月,越高級別審查時間相對也會越長。
引入安全許可標準 強化國際合作
井形彬指出,如果有這樣的制度,民間企業在通訊等領域,也將更容易獲得工作。各相關政府部門將能夠與其他國家進行含有機敏資訊在內的交流。獲得安全許可才能參與的國際協商,不僅政府還將可以有來自企業、大學等單位提供的外部視角。
為了獲得美國和其他國家信任這是一個接近相同標準的制度,必須要有罰則。不僅是個人,也會需要有可信任、能進行機密資訊交流的機構。
對於資訊洩漏或非法取得的罰則,日本政府主要以「10 年以下的有期徒刑」作為考量。這是參考《特定秘密保護法》和《不當競爭防止法》的規定。
擁有類似制度的美國、英國、加拿大、澳洲和紐西蘭等五個國家組成了共享機密情報的「五眼聯盟」。日本政府也希望藉由引入此制度,加強與這些國家在網路安全等方面的合作。
經濟安全沒有承平時期
日本警察廳偵測到從海外發動的網路攻擊次數在這 4 年內快速增長近 3 倍。6 月日本公家研究機構「產業技術綜合研究所」的一名中國籍研究院因涉嫌洩漏資訊給中國企業而被逮捕。
相關報導:中國籍研究員疑似參與千人計畫 外洩日本公家研究數據
國家和企業所擁有的重要資訊和技術不論是外部還是內部都有人想要。《日經新聞》指出經濟安全沒有「平時」。不是何時會發生,而是隨時隨地都可能發生。
據悉,美國每年花費約 70 萬美元(約新台幣 2,250 萬元)在進行安全許可的背景調查等工作,那是因為考慮到失去時要付出的代價比這更慘痛。
參考新聞連結:
2023/10/05 日経 機密資格を米欧並みに厳しく、情報漏洩に罰則 政府原案
2023/06/07 日経 セキュリティー・クリアランスとは 機密扱う人審査・認定
2023/07/28 日経 機密扱う資格制度、「G7唯一の未整備国」返上なるか
2023/08/24 日経 セキュリティー・クリアランス導入 商機獲得にらむ
2023/10/05 日経 機密扱う資格制度、企業への影響は 識者に聞く
2023/08/25 セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~
