■ 居其位,安其职,尽其诚而不逾其度。尽责是做好工作的基本要求,但前提是要明确责任,特别是要明确主体责任、第一责任。为此,在国家网络安全顶层设计中,如何建立网络安全责任制始终是一个重大问题。2017年8月15日,中央印发《党委(党组)网络安全工作责任制实施办法》(厅字〔2017〕32号),标志着我国网络安全责任制的正式建立。《党委(党组)网络安全工作责任制实施办法》(后文简称《实施办法》)是涉密文件,这几天刚刚公开,随即带来了全社会学习和推动工作的热潮。为此,“小贝说安全”总结了10个方面的问题,围绕这些问题对《实施办法》作出深入解读并在文末附上原文。

一、《实施办法》是怎么公开的?为什么这时候公开?

习近平总书记在庆祝中国共产党成立100周年大会上宣布,我们已经“形成比较完善的党内法规体系”。2021年7月,法律出版社公开出版发行了《中国共产党党内法规汇编》,最近几天刚刚上市。该书由中共中央办公厅法规局编辑,收录了新中国成立至2021年6月,党中央以及中央纪委和党中央工作机关制定的现行有效且公开发布的党内法规共183部,包括此前未公开但通过此次汇编而公开的文件。编辑出版这部书,为的是展现党内法规体系概貌,推动各级党组织和广大党员更好尊规学规守规用规,进一步增强“四个意识”、坚定“四个自信”、做到“两个维护”。

按照党内法规体系“1+4”的基本框架,该书分为党章以及党的组织法规、党的领导法规、党的自身建设法规、党的监督保障法规四大板块。《实施办法》在“党的领导法规”板块,是183篇中的第24篇,属于“党领导宣传思想文化工作”一节。

二、如何理解“党委(党组)”的网络安全工作责任?

《实施办法》第三条和第八条引人注目。第三条规定了各级党委(党组)的网络安全责任,第八条规定了应当追究网络安全责任的情形。第三条的具体规定是,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人

如何理解上述表述?这关系到如何看待党中央要制定这样一份文件。可以换个角度理解这个问题。如果没有这份文件,以前是什么样子的?

以前大体可以分为两种情况。一种情况是有的单位完全没有将网络安全列入议事日程,没有明确网络安全负责人。另外一种情况好一些,有的单位明确了网络安全负责人,但该负责人一般而言都是本单位分管信息化工作的副职,这已经算是做得不错的了。

可以毫不客气地说,在《实施办法》印发前,几乎没有哪个单位的网络安全负责人是本单位的行政一把手,更不会是本单位的党委(党组)书记。因为对于本单位业务而言,信息化只是个保障工作,网络安全自然还要从属于信息化。

但这与网络安全的重要性、网络安全形势是完全不匹配的。

首先,中央成立了网络安全和信息化委员会,习近平总书记亲自任主任。各省、各地市也都相应成立了网络安全和信息化委员会,省委(市委)书记任主任。那么,何以到了各个单位,党委(党组)书记就能作壁上观了呢?

第二,“党管互联网”是一条根本的政治原则,“过不了互联网这一关,就过不了长期执政这一关”是习近平总书记对全党发出的最振聋发聩的警示,如果网络安全列不进本单位党委(党组)议事日程、党委(党组)不亲自抓,何以体现和落实党中央、习近平总书记的上述指示精神?

第三,由行政副职分管网络安全,在实践中也会存在很多问题。典型如权限不够、资源不匹配,甚至有时还会出现与业务部门冲突的情况。

因此,《实施办法》的发布,标志着由一个单位的行政副职担任网络安全负责人、出事后将副职一免了之的做法彻底成为了历史。今后发生网络安全事件,首先要追责本单位的党委(党组)以及领导班子主要负责人。体制内的同志们很清楚这种表述方式,“主要负责人”就是指一把手。当然,各单位可以安排一名副职(领导班子成员)具体协助主要负责人抓网络安全工作,但其只是直接责任人,不是第一责任人。一把手再也不可能将网络安全责任推卸给副职。

全国人大常委会在2017年8月-11月期间,曾对《网络安全法》实施情况作了调研。调研结论认为,网络安全普遍没有得到应有的重视,“说起来重要、干起来次要、忙起来不要”的情况比较常见长此以往,谁来保护安全?产业如何发展?在耳边喊一万遍网络安全重要,也不如把担子压在肩上。因此,无论对于网络安全保护,还是对于发展网络安全产业,《实施办法》的印发都意义重大。

三、如何正确看待《实施办法》位列《中国共产党党内法规汇编》?

《实施办法》是对党委(党组)提的要求,故只能作为党内法规,以中办名义印发。但不能仅仅从党的自身建设的角度去理解这份文件。

首先,党政军民学、东西南北中,《实施办法》体现了党对一切工作的领导。网络安全工作要始终置于党的绝对领导之下,但网络安全工作本身涉及面很广,特别是与业务直接相关,不能因为《实施办法》位列《中国共产党党内法规汇编》,就认为网络安全是一项党内工作,《实施办法》也没有这样的导向。网络安全工作需要全社会的共同努力,这项工作的确关系到全社会,关系到各个方面,这也是中央解密《实施办法》的重大意义。

其次,《实施办法》有很多网络安全制度创设,提出了做好网络安全工作的一些重要思路和方法,这对社会有很多指导意义。例如,第四条规定,各地区开展网络安全检查、处置网络安全事件时,涉及重要行业的,应当会同相关主管监管部门进行。这针对的是实际工作中常常出现的“条块”矛盾问题。《网络安全法》虽然已经明确,要以地方为主(此前出现过地方网络安全主管部门在一些行业单位调查网络安全事件时,连门都进不了的情况),《实施办法》的上述规定则进一步完善了这一制度设计,理顺了与行业主管监管部门的关系

四、《实施办法》为什么要涉及“行业主管监管部门”?

如前所述,《实施办法》重点解决的问题是,一个单位的网络安全工作,究竟由谁负责?出了事谁来担责?

但在更广的意义上,网络安全监督管理职责也是网络安全责任制的一部分。故《实施办法》也同时明确了行业主管监管部门的职责,即对本行业的网络安全负指导监管责任;没有主管监管部门的,则由所在地区负指导监管责任。

这里需要强调两点:

第一,《网络安全法》提出了“关键信息基础设施安全保护工作部门”,这个“工作部门”就是行业主管监管部门,与《实施办法》所指是一致的,其监督管理职责后来在法律中作了明确规定。

第二,无论行业主管监管部门如何“指导”和“监管”,都不改变行业内一个具体单位应当承担的网络安全责任。具体到这个单位,也依然是本单位党委(党组)负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。

五、《实施办法》为什么要涉及“网络安全和信息化领导机构”?

再次指出,《实施办法》重点解决的问题是一个单位的网络安全责任归属问题。但各地网络安全和信息化委员会的职责,也的确属于广义的网络安全责任制的一部分。故《实施办法》还规定了“网络安全和信息化领导机构”的职责

有人说,网信部门的职责在《网络安全法》等法律法规中都有规定,为什么《实施办法》还要再强调呢。事实上,这并不是强调,而是有三个方面的原因。

第一,《实施办法》规定的是各地区、各部门网络安全和信息化委员会的职责,而网信部门只是“网络安全和信息化委员会”的办事机构,不能将两者混淆。对各地区、各部门网络安全和信息化委员会而言,中央文件此前尚未作出明确职责规定,也未提出要求,但这又不可能通过法律法规来解决,只能由党内文件明确。例如,《实施办法》指出,各地区、各部门网信委如出台涉及网络安全的重要政策和制度措施,应当报中央网信委;每年度,各地区、各部门网信委应当向中央网信委报告网络安全工作情况。

第二,法律法规规定的是“网信部门”的职责,这特指“互联网信息办公室”的职责。作为网信委的办事机构,各地网信办有两个牌子,一个是网络安全和信息化委员会办公室,一个是互联网信息办公室。前者是党的序列,后者履行政府职能。法律法规不能规定党的机构的职责,所以法律法规中的“网信部门”均指“互联网信息办公室”。但“网络安全和信息化委员会办公室”的职责怎么办?这也只能通过党内文件来规定。例如,《实施办法》指出,各级网信办可以提出问责建议。

第三,人们常说“网信委”、“网信办”,那往往指的是各地“网信委”、“网信办”,但各部门也有“网信委”、“网信办”,例如国务院各部委往往都设立了网信委,部党组书记任主任,且在部内指定了网信办。对于后者,任何文件没有规定其职责。故《实施办法》也要作出明确。

六、如何理解《实施办法》所列的应当追究责任的几类情况?

《实施办法》第八条规定了六种需要追究责任的情况。

第一种主要涉及党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改后导致反动言论或者谣言等违法有害信息大面积扩散的情况。需要注意,大型网络平台有可能位于商业领域,不一定位于体制内,因此,追责事项实际上还包括对综合协调或监管部门在事件报告和组织处置中的履职情况。

第二种主要涉及地市级以上党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的情况。

第三种主要涉及国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的情况。在《数据安全法》即将实施,国家加强数据安全监管背景下,这类情况需要引起更多注意。

第四种主要涉及关键信息基础设施遭受网络攻击的情况。网络安全不是绝对的,不是不允许出事,但如果没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的,应当追责。我国正在建立关键信息基础设施保护制度,《关键信息基础设施安全保护条例》即将发布,故这类情况也需引起注意。

第五种主要涉及封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的情况。一些单位会认为,“封锁”或“瞒报”情况与其无关,但事实上各单位常常需要对通报的问题和风险进行整改,故这类情况并不鲜见。

第六种主要涉及阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的情况。

七、由谁实施问责?怎么问责?

《实施办法》指出,“按有关规定”追究其相关责任。

这里的“按有关规定”指有管理权限的党组织按照党内有关问责程序和纪律处分追究责任

这里的“责任”分为两类,一类是集体责任,一类是个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。

《实施办法》特别指出,各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。这是一种科学的制度设计,因为网信办本身没有权限代替其他单位的党委和纪委进行问责

需要指出,问责不意味着代替免除刑事责任。涉嫌犯罪的,应当按程序移交司法机关处理。

八、《实施办法》提出的表彰制度如何落实?

《实施办法》第七条指出,中央网络安全和信息化委员会办公室会同有关部门按照国家有关规定对网络安全先进集体予以表彰,对网络安全先进工作者予以表彰奖励。

以往很多文件中的“表彰、奖励”条款往往“蜻蜓点水”,其实重在处罚。但这一次不一样,中央网信办高度重视表彰制度的落实。前不久,人社部、中央网信办联合印发了《关于开展国家网络安全先进集体和先进个人评选表彰工作的通知》。这是一种重要荣誉,是我国网络安全历史上首次由官方对先进集体和先进工作者进行高级别表彰。

目前,相关工作仍在组织之中。最近几天可以看到很多地区和部门都在对候选人进行公示。由于这一表彰采取的是名额分配制,故一定会有遗珠之憾,希望此表彰制度能一直延续下去,充分体现表彰机制的激励作用。

九、《实施办法》实施情况如何?

自《实施办法》于2017年8月发布实施后,各地区、各部门迅速采取行动,组织学习文件精神。很多省委、市委甚至一些单位的党委(党组)都制定了文件实施细则。因此,这个文件实际上已经是个“老文件”了,已实施4年之久。但由于其本身属于密件,故在网上虽然可以看到很多党委(党组)印发的大量的实施细则、贯彻落实意见,但文件本身却找不到。

但从另一个角度而言,很多单位对《实施办法》的学习可能还不充分。《实施办法》公开后,很多网信部门的同志居然第一次看到文件的内容,甚至第一次听说文件的名字,更不要说其他部门。而且,由于是密件,文件的宣传也受到了很大限制。希望随着文件的公开,我国网络安全责任制的建设步伐会大大加快

十、如何理解《实施办法》对审计工作提出的要求?

《实施办法》第十一条指出,各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围。该条看起来平淡无奇,但却宣告了一个重大制度的启动,为未来的深远影响难以估量。

众所周知,我国审计署的主要审计事项与财政、资金、经济相关,此后根据生态保护工作需要增加了对自然资源管理、污染防治和生态保护与修复情况的审计。《实施办法》的出台意味着,今后我国将建立网络安全审计制度,由国家审计署对各单位的网络安全进行审计。这一“实招”将极大地提升各单位主要负责人对网络安全履职尽责的意愿,极大地增强网络安全监督管理手段,极大地释放网络安全市场空间。

公众可能会关心,文件实施4年以来,这项工作进展到什么程度了。这项制度需要审计署、中央网信办等部门联合推动,据了解目前仍在制度研究之中。希望在《实施办法》公开后,国家网络安全审计制度能取得突破性进展。

小贝结语

■ 公开《党委(党组)网络安全工作责任制实施办法》,是中央的一次重大考量,体现了中央更深更实更快推动网络安全工作的决心。这个文件的重大意义,必将随着我国网络安全工作取得的一个又一个历史性成绩而得到验证。

党委(党组)网络安全工作责任制实施办法

(2017年8月15日中共中央批准2017年8月15日中共中央办公厅发布)

第一条 为了进一步加强网络安全工作,明确和落实党委(党组)领导班子、领导干部网络安全责任,根据《中国共产党问责条例》、《中央网络安全和信息化委员会工作规则》等有关规定,制定本办法。

第二条 网络安全工作事关国家安全政权安全和经济社会发展。按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。

第三条 各级党委(党组)主要承担的网络安全责任是:

(一)认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,贯彻落实网络安全法律法规,明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施;

(二)建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,明确工作机构,加大人力、财力、物力的支持和保障力度;

(三)统一组织领导本地区本部门网络安全保护和重大事件处置工作,研究解决重要问题;

(四)采取有效措施,为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障;

(五)组织开展经常性网络安全宣传教育,采取多种方式培养网络安全人才,支持网络安全技术产业发展。

第四条 行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。

主管监管部门应当依法开展网络安全检查、处置网络安全事件,并及时将情况通报网络和信息系统所在地区网络安全和信息化领导机构。各地区开展网络安全检查、处置网络安全事件时,涉及重要行业的,应当会同相关主管监管部门进行。

第五条 各级网络安全和信息化领导机构应当加强和规范本地区本部门网络安全信息汇集、分析和研判工作,要求有关单位和机构及时报告网络安全信息,组织指导网络安全通报机构开展网络安全信息通报,统筹协调开展网络安全检查。

第六条 各地区各部门网络安全和信息化领导机构应当向中央网络安全和信息化委员会及时报告网络安全重大事项,包括出台涉及网安全的重要政策和制度措施等。

各地区各部门网络安全和信息化领导机构每年向中央网络安全和信息化委员会报告网络安全工作情况。

第七条 中央网络安全和信息化委员会办公室会同有关部门按照国家有关规定对网络安全先进集体予以表彰,对网络安全先进工作者予以表彰奖励。

第八条 各级党委(党组)违反或者未能正确履行本办法所列职责,按照有关规定追究其相关责任。

有下列情形之一的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人至主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任。

(一)党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;

(二)地市级以上党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的;

(三)发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;

(四)关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;

(五)封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;

(六)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;

(七)发生其他严重危害网络安全行为的。

第九条 实施责任追究应当实事求是,分清集体责任和个人责任。追究集体责任时,领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任,参与相关工作决策的领导班子其他成员承担重要领导责任。

对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。

第十条 各级党委(党组)应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容。

第十一条 各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围。

第十二条 网络意识形态工作责任制按照《党委(党组)网络意识形态工作责任制实施细则》执行。涉密网络按照有关规定执行。

第十三条 本办法由中央网络安全和信息化委员会办公室负责解释。

第十四条 本办法自2017年8月15日起施行。

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。