中央對《黨委(黨組)網絡安全工作責任制實施辦法》解密,意義重大
一、《實施辦法》是怎么公開的?為什么這時候公開?
習近平總書記在慶祝中國共產黨成立100周年大會上宣布,我們已經“形成比較完善的黨內法規體系”。2021年7月,法律出版社公開出版發行了《中國共產黨黨內法規匯編》,最近幾天剛剛上市。該書由中共中央辦公廳法規局編輯,收錄了新中國成立至2021年6月,黨中央以及中央紀委和黨中央工作機關制定的現行有效且公開發布的黨內法規共183部,包括此前未公開但通過此次匯編而公開的文件。編輯出版這部書,為的是展現黨內法規體系概貌,推動各級黨組織和廣大黨員更好尊規學規守規用規,進一步增強“四個意識”、堅定“四個自信”、做到“兩個維護”。
按照黨內法規體系“1+4”的基本框架,該書分為黨章以及黨的組織法規、黨的領導法規、黨的自身建設法規、黨的監督保障法規四大板塊。《實施辦法》在“黨的領導法規”板塊,是183篇中的第24篇,屬于“黨領導宣傳思想文化工作”一節。
二、如何理解“黨委(黨組)”的網絡安全工作責任?
《實施辦法》第三條和第八條引人注目。第三條規定了各級黨委(黨組)的網絡安全責任,第八條規定了應當追究網絡安全責任的情形。第三條的具體規定是,各級黨委(黨組)對本地區本部門網絡安全工作負主體責任,領導班子主要負責人是第一責任人,主管網絡安全的領導班子成員是直接責任人。
如何理解上述表述?這關系到如何看待黨中央要制定這樣一份文件。可以換個角度理解這個問題。如果沒有這份文件,以前是什么樣子的?
以前大體可以分為兩種情況。一種情況是有的單位完全沒有將網絡安全列入議事日程,沒有明確網絡安全負責人。另外一種情況好一些,有的單位明確了網絡安全負責人,但該負責人一般而言都是本單位分管信息化工作的副職,這已經算是做得不錯的了。
可以毫不客氣地說,在《實施辦法》印發前,幾乎沒有哪個單位的網絡安全負責人是本單位的行政一把手,更不會是本單位的黨委(黨組)書記。因為對于本單位業務而言,信息化只是個保障工作,網絡安全自然還要從屬于信息化。
但這與網絡安全的重要性、網絡安全形勢是完全不匹配的。
首先,中央成立了網絡安全和信息化委員會,習近平總書記親自任主任。各省、各地市也都相應成立了網絡安全和信息化委員會,省委(市委)書記任主任。那么,何以到了各個單位,黨委(黨組)書記就能作壁上觀了呢?
第二,“黨管互聯網”是一條根本的政治原則,“過不了互聯網這一關,就過不了長期執政這一關”是習近平總書記對全黨發出的最振聾發聵的警示,如果網絡安全列不進本單位黨委(黨組)議事日程、黨委(黨組)不親自抓,何以體現和落實黨中央、習近平總書記的上述指示精神?
第三,由行政副職分管網絡安全,在實踐中也會存在很多問題。典型如權限不夠、資源不匹配,甚至有時還會出現與業務部門沖突的情況。
因此,《實施辦法》的發布,標志著由一個單位的行政副職擔任網絡安全負責人、出事后將副職一免了之的做法徹底成為了歷史。今后發生網絡安全事件,首先要追責本單位的黨委(黨組)以及領導班子主要負責人。體制內的同志們很清楚這種表述方式,“主要負責人”就是指一把手。當然,各單位可以安排一名副職(領導班子成員)具體協助主要負責人抓網絡安全工作,但其只是直接責任人,不是第一責任人。一把手再也不可能將網絡安全責任推卸給副職。
全國人大常委會在2017年8月-11月期間,曾對《網絡安全法》實施情況作了調研。調研結論認為,網絡安全普遍沒有得到應有的重視,“說起來重要、干起來次要、忙起來不要”的情況比較常見。長此以往,誰來保護安全?產業如何發展?在耳邊喊一萬遍網絡安全重要,也不如把擔子壓在肩上。因此,無論對于網絡安全保護,還是對于發展網絡安全產業,《實施辦法》的印發都意義重大。
三、如何正確看待《實施辦法》位列《中國共產黨黨內法規匯編》?
《實施辦法》是對黨委(黨組)提的要求,故只能作為黨內法規,以中辦名義印發。但不能僅僅從黨的自身建設的角度去理解這份文件。
首先,黨政軍民學、東西南北中,《實施辦法》體現了黨對一切工作的領導。網絡安全工作要始終置于黨的絕對領導之下,但網絡安全工作本身涉及面很廣,特別是與業務直接相關,不能因為《實施辦法》位列《中國共產黨黨內法規匯編》,就認為網絡安全是一項黨內工作,《實施辦法》也沒有這樣的導向。網絡安全工作需要全社會的共同努力,這項工作的確關系到全社會,關系到各個方面,這也是中央解密《實施辦法》的重大意義。
其次,《實施辦法》有很多網絡安全制度創設,提出了做好網絡安全工作的一些重要思路和方法,這對社會有很多指導意義。例如,第四條規定,各地區開展網絡安全檢查、處置網絡安全事件時,涉及重要行業的,應當會同相關主管監管部門進行。這針對的是實際工作中常常出現的“條塊”矛盾問題。《網絡安全法》雖然已經明確,要以地方為主(此前出現過地方網絡安全主管部門在一些行業單位調查網絡安全事件時,連門都進不了的情況),《實施辦法》的上述規定則進一步完善了這一制度設計,理順了與行業主管監管部門的關系。
四、《實施辦法》為什么要涉及“行業主管監管部門”?
如前所述,《實施辦法》重點解決的問題是,一個單位的網絡安全工作,究竟由誰負責?出了事誰來擔責?
但在更廣的意義上,網絡安全監督管理職責也是網絡安全責任制的一部分。故《實施辦法》也同時明確了行業主管監管部門的職責,即對本行業的網絡安全負指導監管責任;沒有主管監管部門的,則由所在地區負指導監管責任。
這里需要強調兩點:
第一,《網絡安全法》提出了“關鍵信息基礎設施安全保護工作部門”,這個“工作部門”就是行業主管監管部門,與《實施辦法》所指是一致的,其監督管理職責后來在法律中作了明確規定。
第二,無論行業主管監管部門如何“指導”和“監管”,都不改變行業內一個具體單位應當承擔的網絡安全責任。具體到這個單位,也依然是本單位黨委(黨組)負主體責任,領導班子主要負責人是第一責任人,主管網絡安全的領導班子成員是直接責任人。
五、《實施辦法》為什么要涉及“網絡安全和信息化領導機構”?
再次指出,《實施辦法》重點解決的問題是一個單位的網絡安全責任歸屬問題。但各地網絡安全和信息化委員會的職責,也的確屬于廣義的網絡安全責任制的一部分。故《實施辦法》還規定了“網絡安全和信息化領導機構”的職責。
有人說,網信部門的職責在《網絡安全法》等法律法規中都有規定,為什么《實施辦法》還要再強調呢。事實上,這并不是強調,而是有三個方面的原因。
第一,《實施辦法》規定的是各地區、各部門網絡安全和信息化委員會的職責,而網信部門只是“網絡安全和信息化委員會”的辦事機構,不能將兩者混淆。對各地區、各部門網絡安全和信息化委員會而言,中央文件此前尚未作出明確職責規定,也未提出要求,但這又不可能通過法律法規來解決,只能由黨內文件明確。例如,《實施辦法》指出,各地區、各部門網信委如出臺涉及網絡安全的重要政策和制度措施,應當報中央網信委;每年度,各地區、各部門網信委應當向中央網信委報告網絡安全工作情況。
第二,法律法規規定的是“網信部門”的職責,這特指“互聯網信息辦公室”的職責。作為網信委的辦事機構,各地網信辦有兩個牌子,一個是網絡安全和信息化委員會辦公室,一個是互聯網信息辦公室。前者是黨的序列,后者履行政府職能。法律法規不能規定黨的機構的職責,所以法律法規中的“網信部門”均指“互聯網信息辦公室”。但“網絡安全和信息化委員會辦公室”的職責怎么辦?這也只能通過黨內文件來規定。例如,《實施辦法》指出,各級網信辦可以提出問責建議。
第三,人們常說“網信委”、“網信辦”,那往往指的是各地“網信委”、“網信辦”,但各部門也有“網信委”、“網信辦”,例如國務院各部委往往都設立了網信委,部黨組書記任主任,且在部內指定了網信辦。對于后者,任何文件沒有規定其職責。故《實施辦法》也要作出明確。
六、如何理解《實施辦法》所列的應當追究責任的幾類情況?
《實施辦法》第八條規定了六種需要追究責任的情況。
第一種主要涉及黨政機關門戶網站、重點新聞網站、大型網絡平臺被攻擊篡改后導致反動言論或者謠言等違法有害信息大面積擴散的情況。需要注意,大型網絡平臺有可能位于商業領域,不一定位于體制內,因此,追責事項實際上還包括對綜合協調或監管部門在事件報告和組織處置中的履職情況。
第二種主要涉及地市級以上黨政機關門戶網站或者重點新聞網站受到攻擊后沒有及時組織處置,且癱瘓6小時以上的情況。
第三種主要涉及國家秘密泄露、大面積個人信息泄露或者大量地理、人口、資源等國家基礎數據泄露的情況。在《數據安全法》即將實施,國家加強數據安全監管背景下,這類情況需要引起更多注意。
第四種主要涉及關鍵信息基礎設施遭受網絡攻擊的情況。網絡安全不是絕對的,不是不允許出事,但如果沒有及時處置導致大面積影響人民群眾工作、生活,或者造成重大經濟損失,或者造成嚴重不良社會影響的,應當追責。我國正在建立關鍵信息基礎設施保護制度,《關鍵信息基礎設施安全保護條例》即將發布,故這類情況也需引起注意。
第五種主要涉及封鎖、瞞報網絡安全事件情況,拒不配合有關部門依法開展調查、處置工作,或者對有關部門通報的問題和風險隱患不及時整改并造成嚴重后果的情況。一些單位會認為,“封鎖”或“瞞報”情況與其無關,但事實上各單位常常需要對通報的問題和風險進行整改,故這類情況并不鮮見。
第六種主要涉及阻礙公安機關、國家安全機關依法維護國家安全、偵查犯罪以及防范、調查恐怖活動,或者拒不提供支持和保障的情況。
七、由誰實施問責?怎么問責?
《實施辦法》指出,“按有關規定”追究其相關責任。
這里的“按有關規定”指有管理權限的黨組織按照黨內有關問責程序和紀律處分追究責任。
這里的“責任”分為兩類,一類是集體責任,一類是個人責任。追究集體責任時,領導班子主要負責人和主管網絡安全的領導班子成員承擔主要領導責任,參與相關工作決策的領導班子其他成員承擔重要領導責任。
《實施辦法》特別指出,各級網絡安全和信息化領導機構辦公室可以向實施問責的黨委(黨組)、紀委(紀檢組)提出問責建議。這是一種科學的制度設計,因為網信辦本身沒有權限代替其他單位的黨委和紀委進行問責,
需要指出,問責不意味著代替免除刑事責任。涉嫌犯罪的,應當按程序移交司法機關處理。
八、《實施辦法》提出的表彰制度如何落實?
《實施辦法》第七條指出,中央網絡安全和信息化委員會辦公室會同有關部門按照國家有關規定對網絡安全先進集體予以表彰,對網絡安全先進工作者予以表彰獎勵。
以往很多文件中的“表彰、獎勵”條款往往“蜻蜓點水”,其實重在處罰。但這一次不一樣,中央網信辦高度重視表彰制度的落實。前不久,人社部、中央網信辦聯合印發了《關于開展國家網絡安全先進集體和先進個人評選表彰工作的通知》。這是一種重要榮譽,是我國網絡安全歷史上首次由官方對先進集體和先進工作者進行高級別表彰。
目前,相關工作仍在組織之中。最近幾天可以看到很多地區和部門都在對候選人進行公示。由于這一表彰采取的是名額分配制,故一定會有遺珠之憾,希望此表彰制度能一直延續下去,充分體現表彰機制的激勵作用。
九、《實施辦法》實施情況如何?
自《實施辦法》于2017年8月發布實施后,各地區、各部門迅速采取行動,組織學習文件精神。很多省委、市委甚至一些單位的黨委(黨組)都制定了文件實施細則。因此,這個文件實際上已經是個“老文件”了,已實施4年之久。但由于其本身屬于密件,故在網上雖然可以看到很多黨委(黨組)印發的大量的實施細則、貫徹落實意見,但文件本身卻找不到。
但從另一個角度而言,很多單位對《實施辦法》的學習可能還不充分。《實施辦法》公開后,很多網信部門的同志居然第一次看到文件的內容,甚至第一次聽說文件的名字,更不要說其他部門。而且,由于是密件,文件的宣傳也受到了很大限制。希望隨著文件的公開,我國網絡安全責任制的建設步伐會大大加快。
十、如何理解《實施辦法》對審計工作提出的要求?
《實施辦法》第十一條指出,各級審計機關在有關部門和單位的審計中,應當將網絡安全建設和績效納入審計范圍。該條看起來平淡無奇,但卻宣告了一個重大制度的啟動,為未來的深遠影響難以估量。
眾所周知,我國審計署的主要審計事項與財政、資金、經濟相關,此后根據生態保護工作需要增加了對自然資源管理、污染防治和生態保護與修復情況的審計。《實施辦法》的出臺意味著,今后我國將建立網絡安全審計制度,由國家審計署對各單位的網絡安全進行審計。這一“實招”將極大地提升各單位主要負責人對網絡安全履職盡責的意愿,極大地增強網絡安全監督管理手段,極大地釋放網絡安全市場空間。
公眾可能會關心,文件實施4年以來,這項工作進展到什么程度了。這項制度需要審計署、中央網信辦等部門聯合推動,據了解目前仍在制度研究之中。希望在《實施辦法》公開后,國家網絡安全審計制度能取得突破性進展。
結語
公開《黨委(黨組)網絡安全工作責任制實施辦法》,是中央的一次重大考量,體現了中央更深更實更快推動網絡安全工作的決心。這個文件的重大意義,必將隨著我國網絡安全工作取得的一個又一個歷史性成績而得到驗證。
《黨委(黨組)網絡安全工作責任制實施辦法》
(2017年8月15日中共中央批準2017年8月15日中共中央辦公廳發布)
第一條 為了進一步加強網絡安全工作,明確和落實黨委(黨組)領導班子、領導干部網絡安全責任,根據《中國共產黨問責條例》、《中央網絡安全和信息化委員會工作規則》等有關規定,制定本辦法。
第二條 網絡安全工作事關國家安全、政權安全和經濟社會發展。按照誰主管誰負責、屬地管理的原則,各級黨委(黨組)對本地區本部門網絡安全工作負主體責任,領導班子主要負責人是第一責任人,主管網絡安全的領導班子成員是直接責任人。
第三條 各級黨委(黨組)主要承擔的網絡安全責任是:
(一)認真貫徹落實黨中央和習近平總書記關于網絡安全工作的重要指示精神和決策部署,貫徹落實網絡安全法律法規,明確本地區本部門網絡安全的主要目標、基本要求、工作任務、保護措施;
(二)建立和落實網絡安全責任制,把網絡安全工作納入重要議事日程,明確工作機構,加大人力、財力、物力的支持和保障力度;
(三)統一組織領導本地區本部門網絡安全保護和重大事件處置工作,研究解決重要問題;
(四)采取有效措施,為公安機關、國家安全機關依法維護國家安全、偵查犯罪以及防范、調查恐怖活動提供支持和保障;
(五)組織開展經常性網絡安全宣傳教育,采取多種方式培養網絡安全人才,支持網絡安全技術產業發展。
第四條 行業主管監管部門對本行業本領域的網絡安全負指導監管責任。沒有主管監管部門的,由所在地區負指導監管責任。
主管監管部門應當依法開展網絡安全檢查、處置網絡安全事件,并及時將情況通報網絡和信息系統所在地區網絡安全和信息化領導機構。各地區開展網絡安全檢查、處置網絡安全事件時,涉及重要行業的,應當會同相關主管監管部門進行。
第五條 各級網絡安全和信息化領導機構應當加強和規范本地區本部門網絡安全信息匯集、分析和研判工作,要求有關單位和機構及時報告網絡安全信息,組織指導網絡安全通報機構開展網絡安全信息通報,統籌協調開展網絡安全檢查。
第六條 各地區各部門網絡安全和信息化領導機構應當向中央網絡安全和信息化委員會及時報告網絡安全重大事項,包括出臺涉及網安全的重要政策和制度措施等。
各地區各部門網絡安全和信息化領導機構每年向中央網絡安全和信息化委員會報告網絡安全工作情況。
第七條 中央網絡安全和信息化委員會辦公室會同有關部門按照國家有關規定對網絡安全先進集體予以表彰,對網絡安全先進工作者予以表彰獎勵。
第八條 各級黨委(黨組)違反或者未能正確履行本辦法所列職責,按照有關規定追究其相關責任。
有下列情形之一的,各級黨委(黨組)應當逐級倒查,追究當事人、網絡安全負責人直至主要負責人責任。協調監管不力的,還應當追究綜合協調或監管部門負責人責任。
(一)黨政機關門戶網站、重點新聞網站、大型網絡平臺被攻擊篡改,導致反動言論或者謠言等違法有害信息大面積擴散,且沒有及時報告和組織處置的;
(二)地市級以上黨政機關門戶網站或者重點新聞網站受到攻擊后沒有及時組織處置,且癱瘓6小時以上的;
(三)發生國家秘密泄露、大面積個人信息泄露或者大量地理、人口、資源等國家基礎數據泄露的;
(四)關鍵信息基礎設施遭受網絡攻擊,沒有及時處置導致大面積影響人民群眾工作、生活,或者造成重大經濟損失,或者造成嚴重不良社會影響的;
(五)封鎖、瞞報網絡安全事件情況,拒不配合有關部門依法開展調查、處置工作,或者對有關部門通報的問題和風險隱患不及時整改并造成嚴重后果的;
(六)阻礙公安機關、國家安全機關依法維護國家安全、偵查犯罪以及防范、調查恐怖活動,或者拒不提供支持和保障的;
(七)發生其他嚴重危害網絡安全行為的。
第九條 實施責任追究應當實事求是,分清集體責任和個人責任。追究集體責任時,領導班子主要負責人和主管網絡安全的領導班子成員承擔主要領導責任,參與相關工作決策的領導班子其他成員承擔重要領導責任。
對領導班子、領導干部進行問責,應當由有管理權限的黨組織依據有關規定實施。各級網絡安全和信息化領導機構辦公室可以向實施問責的黨委(黨組)、紀委(紀檢組)提出問責建議。
第十條 各級黨委(黨組)應當建立網絡安全責任制檢查考核制度,完善健全考核機制,明確考核內容、方法、程序,考核結果送干部主管部門,作為對領導班子和有關領導干部綜合考核評價的重要內容。
第十一條 各級審計機關在有關部門和單位的審計中,應當將網絡安全建設和績效納入審計范圍。
第十二條 網絡意識形態工作責任制按照《黨委(黨組)網絡意識形態工作責任制實施細則》執行。涉密網絡按照有關規定執行。
第十三條 本辦法由中央網絡安全和信息化委員會辦公室負責解釋。
第十四條 本辦法自2017年8月15日起施行。
內容來源:公眾號《小貝說安全》
