这个案例听起来像是电影情节,但它是真实发生的,而且发生在澳大利亚这样一个法治相对完善的国家。2018年,澳大利亚媒体报道了一件事:有人在一家二手店购买了一个文件柜,回家打开抽屉后发现里面装满了密密麻麻的政府文件。这些文件可不是什么普通材料,而是澳大利亚政府内阁会议的机密文件,涵盖了澳大利亚过去五年间多个关键领域的政策讨论记录、外交谈判的战略立场、边境管控的具体方案、情报共享协议、军方行动计划的细节、以及一些涉及政府高层人事安排的内部意见。根据澳大利亚法律,内阁文件属于政府密级,保密期限长达二十年甚至更久,正常情况下应该在专用档案室妥善保存、到期后按程序销毁或者移交国家档案馆。但这次它们却出现在二手市场的文件柜里,和旧衣服、旧家具摆在一起等人挑选。
买到这些文件的人一开始也没有意识到自己捡到的是什么。他打开柜子看到大量标注着"机密""内阁保密"的文件,开始时还以为是什么读书笔记或者小说草稿。但翻了几页后,看到上面有政府徽标、部长批注和秘密标记,才意识到事情的严重性。他把文件的一部分拍照发给了媒体,澳大利亚主流媒体立即组织了专题调查,经过分析确认这些文件确属真实的政府内阁机密文件,消息一出立刻掀起了巨大的政治风波。
这些文件怎么会出现在二手市场?调查结果显示,泄密的源头发生在堪培拉政府办公区域的一次办公室搬迁。澳大利亚政府有一个部门在搬迁办公室的时候,委托了一家商业搬家公司来处理老办公室里的家具和物品。在搬迁过程中,一个装有数百份机密文件的文件柜被错误地当作"废旧家具"列入了清理清单。没有人对这个文件柜的内容进行过检查和核验——负责清理的人以为这是个空柜子,或者装的是废纸,直接就把它随同其他旧家具打包处理了。二手家具商收购了这批家具,文件柜里的机密文件也就跟着流入了市场,最终被摆到了二手店的销售货架上。
从泄密路径来分析,这次事件暴露出的是澳大利亚政府内部信息资产管理制度在执行层面出现的巨大漏洞。机密文件和普通废旧物品被不加区分地混在一起处理,出口没有任何检查机制。文件柜以"废旧家具"的身份完整地离开了政府办公楼,里面装着机密文件,却没有任何人打开柜门去核实里面的东西。负责搬迁的工作人员没有经过必要的信息安全管理培训,对文件保密等级和处置流程没有基本概念。搬迁合同的条款也没有要求搬家公司对家具中的遗留物品进行专业清理。整个环节从头到尾,机密文件的保护措施根本就没被纳入搬迁流程的设计之中。
这起事件的后果相当严重。澳大利亚政府必须面对一个让人难以接受的事实:至少五年的内阁机密决策记录已经在公开市场上流转,任何买到这个文件柜的人都可能完整阅读这些文件。虽然买主主动联系媒体而不是把文件转卖给了境外势力,但真实世界中文件在二手店里摆放了多久,多少人翻阅过、复印过、拍照过,政府无法给出确切答案。澳大利亚总理面对议会质询时承认这是不可接受的重大安全事件,表示要追究相关人员的责任并进行全面整改。当时的主管机构和多名高级官员因此受到了纪律处分。
这个案例最大的教育意义在于:纸质化信息管理的风险在信息化时代并没有消失。很多人以为信息安全就是做好网络和数据库的防护就够了,但纸质文件和物理资产的安全管理同样是信息安全的重要组成部分。在办公室搬迁、改造、清理这些容易让人松懈的节点上,档案管理制度执行不到位,就可能引发不可挽回的泄密事件。任何一次办公室搬迁都应该是信息安全的重点管控节点。搬动之前要做彻底的档案清理和分类——哪些要销毁、哪些要移交、哪些要继续保存,每一份文件都要有明确的"身份标签"和处理路径。搬家公司作为第三方不应该有权接触机密文件的内容,搬迁过程中要有本单位的信息安全人员在现场全程监工和核验。一个文件柜里可能不但有办公用品,还有可能夹带机密资料,每个抽屉都要打开检查过才能说安全过关。这个案例告诉我们一个道理:保密工作不是只在办公室正常运转的时候才需要做,而是在每一个变动、每一次交接、每一个流程转换的瞬间都需要保持警觉。一个被当作"旧家具"运出去的文件柜,背后是一个政府花了多少年积累下来的决策机密。错把一个柜子当废品卖掉,也许卖掉的是整个国家几个月甚至几年的安全部署。
