今天以FBI的SENTINEL 系统为例,看看美国FBI要采集哪些个人信息。
一、系统介绍
在进行调查时,联邦调查局 (FBI) 的员工必须使用案件档案记录所有活动并记录所有信息。案件档案是保存这些记录和管理调查资源的中央系统。因此,案件档案包括从案件开始到结束的文件。FBI 使用案件档案来管理所有犯罪和情报收集活动,以及人事和行政事务。
FBI 目前使用纸质系统来保存记录,同时以电子方式管理信息。SENTINEL 系统是一种自动化案件管理系统,它将改变 FBI 的业务方式,使该局从主要基于纸质的案件管理系统转变为电子记录系统。
SENTINEL 提供案件、记录、任务、工作流程和收集项目的管理,以及搜索和报告功能,将取代当前的纸质案件管理系统及其相关功能。SENTINEL 使 FBI 员工能够创建案件文件并通过电子工作流程提交。主管、审阅者和其他参与审批流程的人员可以审查、评论和批准将文件插入适当的 FBI 电子案件档案。经批准后,SENTINEL 系统将对文件进行序列化并上传到 SENTINEL 存储库,这些文件将成为官方 FBI 案件档案的一部分。SENTINEL 保留所有交易的可审计记录。SENTINEL 为所有授权用户提供基于 Web 的访问权限以及改进的搜索和索引功能,使用户可以访问允许访问的所有相关数据。SENTINEL 记录和管理案件,从开始到结束。SENTINEL 的实施整合并简化了流程,大大减少了对纸质表格以及这些表格的传输和归档的依赖。
二、收集的信息
1、收集什么类型的信息?
SENTINEL 系统将包括 FBI 在执行任务过程中收集的调查、情报、人事和管理数据。该系统将包括多种类型的信息,这些信息要么直接识别个人(例如姓名、地址、社会安全号码、电话号码、电子邮件地址、照片或其他唯一识别号码、代码或特征),要么间接识别个人(例如性别、种族、出生日期、出生地、地理标志、驾照号、车辆识别符(包括车牌)和其他描述符)。SENTINEL 中可能包含的其他个人信息包括财务账号以及医疗、教育或军事记录。信息可能涉及美国公民、合法永久居民或外国人。信息也可能涉及在世或已故个人。一些信息可能涉及未成年人。
对于 SENTINEL 中与 FBI 雇员相关的信息,系统将包括姓名、电子邮件地址、工作电话、安全许可、社会安全号码、公民身份、出生日期和出生地,以及员工上司的姓名。
有关个人的信息可能会出现在 SENTINEL 的结构化字段中,也可能包含在用户可以输入自由文本的区域中。
2、信息从谁那里收集?
SENTINEL 中的信息来自众多来源。一些信息可能直接从个人那里收集,例如求职者、犯罪受害者和目击者、人力资源和公众。其他信息可能由其他执法机构提供,包括州、地方、部落和外国执法机构,以及其他政府机构,包括民事、军事和国土安全部。信息也可能从私营部门实体和开源情报(例如报纸、互联网或电视广播)收集。
有关 FBI 雇员的信息通常是直接从他们那里收集的,除非 FBI 雇员成为调查对象。在这种情况下,该雇员被视为与任何其他受调查的个人相同。
在执法和情报环境中,如果某个人是调查或情报收集的对象或潜在对象,通常需要从该人以外的来源获取信息。有时,只有熟悉该人及其活动的其他来源才能获得重要信息。在某些情况下,直接向个人索取信息可能会危及正在进行的调查,因为该人会知道他或她正在接受调查。
3、为什么要收集信息?
SENTINEL 的主要任务是为 FBI 提供基于浏览器的案件管理解决方案。通过 SENTINEL 系统,员工能够执行与案件相关工作项目的创建和管理相关的所有操作,包括行动项目、线索、收集的项目记录以及用于记录调查的表格。此外,还可通过搜索和显示服务发现案件(无论是已结案还是已结案)中包含的信息。因此,SENTINEL 将包含与调查相关的个人的信息,这些信息可用于建立事件与调查之间的潜在联系。
4、信息的用途
SENTINEL 的主要目的是执行案件管理。SENTINEL 还提供搜索和情报分析功能,尽管这不是该系统的主要重点。SENTINEL 提供的搜索和情报分析功能可用于识别案件与活动模式之间的联系。SENTINEL 将提供搜索和报告案件内和案件间信息的功能,这可能会揭示被调查的个人和团体之间以前未知的关系。搜索服务包括姓名搜索功能(包括姓名变体和外国姓名)、传记信息(例如出生国家、出生日期、体重、身高)和全文搜索功能,包括支持不同的搜索类型(模糊、通配符、邻近、布尔)并且 SENTINEL 根据预定的相关性/排名因素返回结果。
SENTINEL 调查案件管理解决方案还支持情报分析功能。情报分析员可以利用 SENTINEL 中存储的数据并将其与其他信息源集成。SENTINEL 支持使用 Web 界面进行直接查询,以及提取、转换和加载工具,这些工具可以填充元数据存储库和数据仓库。这些功能对于支持 FBI 的官方调查案件文件以及调查、情报和分析技术和工具(例如链接分析、社交网络分析、竞争假设检验、映射以及针对原始数据的复杂查询和搜索)是必不可少的。
FBI 的中央记录系统 (CRS) 通知是涵盖 FBI 运营和非运营案件档案的《隐私法记录系统通知》(SORN) 的总括(参见 1998 年 2 月 20 日第 63 号《联邦公报》第 8671 号,经修订和更新)。SORN 列出了 FBI 案件信息的常规用途。此外,SENTINEL 中的信息将在 FBI 的其他信息技术系统中复制,这些系统依赖案件信息作为系统的基础文件,并且在有限情况下,可供其他政府机构用于分析或其他授权目的。(参见第 4.1 节)。
5、信息准确性
作为与 FBI 特工、情报分析员和其他 SENTINEL 用户的日常任务相关的正常程序的一部分,将验证或检查作战信息。FBI 执行的与刑事调查、国家安全情报制作和科学支持相关的程序包括对局内和外部的多层监督和审查,以确保检查信息的准确性。SENTINEL 的工作流程设计将有助于审查过程。此外,在采取行动之前,从尽可能多的可用来源证实和核实个人信息的准确性是执法和情报分析的标准做法——SENTINEL 案件管理系统也将遵循这一做法。这种做法不仅是出于保护 SENTINEL 中信息所属人员隐私的愿望,也是出于确保资源得到正确使用和集中用于最有效用途的迫切需要。
6、SENTINEL 的处置
信息受国家档案和记录管理局 (NARA) 管辖。输入到 SENTINEL 的信息将根据该单个记录的相应记录时间表保存。记录时间表取决于数据类型或案件分类。例如,SENTINEL 中的案件可能是公共腐败案件、反恐案件或恐怖主义案件。FBI 的记录管理部门 (RMD) 根据 SENTINEL 中保存的记录类型遵循处置时间表的流程和程序。
7、信息共享
内部共享
作为一般规则,除非法律或政策规定了额外限制,否则所有在履行职责时需要 SENTINEL 案件信息的 FBI 用户都可以访问这些信息。例如,根据 FBI 信息共享政策委员会 (ISPB) 颁布的政策,某些数据的访问权限将受到限制。此外,某些数据可能会根据案件经理的判断受到限制。案件档案中的文档可由具有限制权限的员工查看。对受法律或政策限制的信息(例如,联邦大陪审团材料)或高度敏感的案件档案信息(间谍活动、公共腐败信息、消息来源身份)的访问也将受到限制。最后,根据法律、谅解备忘录、司法部长指南以及 FBI 政策通知和指令,受 FBI 监管的个人(例如其他政府机构 (OGA) 和承包商人员)对案件信息的访问权限将受到限制。
对于 FBI 执法和国家安全任务而言,至关重要的是,所有参与案件工作的 FBI 员工都必须在法律允许的最大范围内访问 SENTINEL 中与案件相关的所有信息,以便协调相关案件,发现看似分散的主体之间的关系,并且总体上“连接各个点”并找出 FBI 任务覆盖范围中的漏洞。
其他系统记录类别(不涉及刑事和国家安全案件和情报的记录类别)将具有与特定记录类别、信息敏感性和需要知道相关的额外访问限制。示例包括:人事记录(例如与 FBI 员工招聘、背景调查/重新调查、管理和绩效有关的记录)仅限于人力资源 (HR) 人员,即使对于 HR 人员,对每个人事档案的访问权限也仅限于相应的总部和外地办事处 HR 人员;并且唯一向一般用户群体公开的企业目录系统 (EDS) 属性是姓名、办公室任务、电话号码和办公室电子邮件(任何其他个人身份信息要么不用于 SENTINEL,要么仅限于负责分配角色和其他办公室任务的少数管理人员);敏感的合同/采购信息仅限于处理特定问题的人员;并且限制对非 FBI 人员(例如白宫人员和总统任命)的背景调查。
SENTINEL 向 FBI 内部的多个独立系统提供案件和线索统计数据、文档文本/属性、案件信息和索引信息以及执法信息,使它们能够执行与执法和国家安全调查以及情报收集和分析相关的特定功能。此共享功能通过电子界面执行,每个授权用户都可以通过其桌面上的图标或类似技术访问这些界面。SENTINEL 还与数据仓库共享案件文件信息,例如数据集成和可视化系统 (DIVS) 和外国恐怖分子追踪工作组 (FTTTF)。这些仓库系统旨在为授权的 FBI 和工作组用户提供联合1查询大量 FBI 和其他联邦机构数据集的能力,以进行广泛的搜索和分析。
此外,SENTINEL 还向那些涉及招聘和员工管理的 FBI 系统提供管理数据。可能接收 Sentinel 数据的系统具有自己的访问控制作为附加隐私功能。每个系统的功能和收集的信息均在 FBI OGC 内部网站上列出的或 FBI 互联网网站上发布的已批准 PTA 或 PIA 中进行了描述。SENTINEL 从多个系统接收有关 FBI 人员的信息。例如,来自企业目录系统的信息用于管理系统的访问控制功能。来自 QuickHire(用于完成、审查和处理工作申请的在线系统)的信息将信息上传到 SENTINEL 进行索引。
外部共享
鉴于与执法和情报界合作伙伴进行强有力的信息共享的职责,SENTINEL 将与州和地方执法机构以及其他联邦执法和情报机构共享信息。在某些情况下,共享将通过直接访问和向某些 OGA 传输数据进行。也就是说,信息只会在法律允许和适当的范围内共享。某些信息可能会标有传播限制的警告(例如医疗和青少年信息)。受隐私法保护的信息只会在隐私法允许的范围内共享,包括为 FBI 中央记录系统 (JUSTICE/FBI-002) 或其他适用记录通知系统建立的常规用途。(这包括向有直接访问权限的个人披露,除非存在适当的披露权限,否则这些个人将无权访问,并且他们必须同意遵守适用于 FBI 系统的行为规则(包括隐私保护规则),并每年接受这些规则的培训)。此外,任何外部用户(主要是特别工作组官员 (TFO))对 SENTINEL 的直接访问均受 FBI 信息共享政策委员会 (ISPB) 定义的规则控制。已成立安全小组(目前有 17 个)来限制访问权限,这些访问权限由每个小组根据其需要确定的一组商定的案件分类决定。
8、信息传递
FBI 人员(包括工作组成员、承包商和少数其他类似人员)将通过 FBI 的企业架构直接访问 SENTINEL 系统。FBI 与司法部内其他组织共享的信息可以通过多种不同的方式传输。它可以通过受密码保护和/或加密的可移动电子媒体或网络以电子方式共享;它可以通过安全电子邮件发送(假设分类允许);它可以传真、打印或邮寄/运送。信息可以以部分文档或批量文件传输的形式共享。
某些 OGA 的有限授权人员也将有权访问 SENTINEL。这些机构将被要求签署谅解备忘录 (MOU),并在适当的情况下,在数据访问可用之前制定互连安全协议 (ISA) 以解决安全和隐私要求。FBI MOU 在最终确定之前要经过法律审查,必须包含适当的隐私条款才能获得批准。此外,与内部用户一样,SENTINEL 的所有外部用户在获得访问权限之前都将签署一套行为准则。
所有直接访问 SENTINEL 数据的用户和接收者都有责任保护个人的隐私利益,符合执法业务惯例,包括保护政府雇员和承包商的信息。此外,所有 SENTINEL 数据的用户和接收者都有责任遵守所有适用的联邦、州和地方法律以及为保护个人隐私而制定的机构政策和惯例。基于政策和与共享系统的谅解备忘录的访问控制和过滤规则将确保信息共享针对每个接收者进行定制和可定制,以保护隐私并确保仅提供合法可共享的信息。
三、系统中的信息
SENTINEL 将包含为支持 FBI 的多方面任务而收集的个人敏感信息。鉴于这项任务的范围广泛、收集支持该任务的信息至关重要,以及执法调查和威胁检测与预防中固有的不确定性和变化无常,存在收集过多个人信息的风险,而且其中大部分信息将被证明是不准确和/或无关的。为了减轻这些风险,FBI 的内部政策规定,只有在个人信息用于有效的执法或国家安全目的,或与 FBI 人事或行政职能相关时,才可以收集个人信息。此外,将使用审批流程,以便主管和其他审阅者批准将文件插入适当的文件。使用此审批流程可确保仅收集和使用与 FBI 批准事项具体相关的个人身份信息。此审批流程的一部分将是证实和核实来自可用来源的个人信息的准确性。此外,安全控制(包括基于角色的访问控制和与数据共享相关的控制)将用于管理对个人身份信息的访问,并确保只有具有适当知情需要的个人才能访问数据。
此外,调查过程旨在确保任何被证明不准确和/或无关的信息仅用于记录目的。已制定规则以确保文件得到适当标记,或在某些情况下被清除。将向所有局人员提供培训,确保只收集和保存与任务相关的必要信息。
四、系统的目的和使用
SENTINEL的主要目的是在电子环境中进行案件管理。联邦调查局使用其案件档案来管理所有犯罪和情报收集活动以及人事和行政事务。联邦调查局目前使用纸质系统来维护记录,同时以电子方式管理信息。SENTINEL 是一种自动化案件管理系统,它将改变联邦调查局的业务方式,使该局能够从主要基于纸质的案件管理系统转变为电子记录系统。
SENTINEL 使 FBI 员工能够创建案件文件并通过电子工作流程提交。主管、审阅人员和其他参与审批流程的人员可以审阅、评论和批准将文件插入适当的 FBI 电子案件档案。经批准后,SENTINEL 系统将文件序列化并上传到 SENTINEL 存储库,这些文件将成为官方 FBI 案件档案的一部分。SENTINEL 保留所有交易的可审计记录。SENTINEL 为所有用户提供基于内联网的访问权限以及改进的搜索和索引功能,可访问所有相关数据。SENTINEL 可整合和简化流程,并大大减少对纸质表格以及这些表格的传输和归档的依赖。SENTINEL 专为进一步收集、使用和维护 FBI 执行任务活动所需的信息而设计。
