作者 | 国家互联网应急中心 林星辰
一、前言
2021年8月4日,《人民日报》头版发布《中国共产党党内法规体系》一文。同时,《中国共产党党内法规体系》公开发行,收录了《党委(党组)网络安全工作责任制实施办法》(以下简称《实施办法》),正式揭开了《实施办法》的神秘面纱。
党内法规具有强烈政治属性、鲜明价值导向、科学治理逻辑、统一规范功能,高度凝结党的理论创新和实践经验,是党的中央组织,中央纪律检查委员会以及党中央工作机关和省、自治区、直辖市党委制定的体现党的统一意志、规范党的领导和党的建设活动、依靠党的纪律保证实施的专门规章制度。《实施办法》作为《中国共产党党内法规体系》唯一收录的网络安全领域的党内法规,它的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。本文将从责任主体、责任范围、责任事项、问责主体、启动问责的条件、问责措施等角度切入,深入解读这份首次面世的网络安全党内法规。
二、责任主体
( 一 ) 什么是党委、党组
《实施办法》第一条明确指出,本办法是为了明确和落实党委(党组)领导班子、领导干部的网络安全责任。为了理解《实施办法》,首先要弄清什么是党委和党组。
1.党组。《党章》第四十八条规定,在中央和地方国家机关、人民团体、经济组织、文化组织和其他非党组织的领导机关中,可以成立党组。《中国共产党党组工作条例》规定,党组是党在中央和地方国家机关、人民团体、经济组织、文化组织和其他非党组织的领导机关中设立的领导机构,在本单位发挥领导作用,是党对非党组织实施领导的重要组织形式。常见的党组有:国务院党组,国务院某部门党组,某省政府机关党组、人大常委会机关党组、政协机关党组、法院党组、检察院党组,中管企业党组,工会、妇联等人民团体党组等。
2.党委。《党章》第十条规定,党的最高领导机关,是党的全国代表大会和它所产生的中央委员会。党的地方各级领导机关,是党的地方各级代表大会和它们所产生的委员会。党的各级委员会向同级的代表大会负责并报告工作。
3.党委与党组的主要区别。一是产生方式不同,党委由同级党的代表大会选举产生,党组由批准其设立的党组织批准成立。二是负责对象不同,党委向选举其产生的党的代表大会负责,党组则必须服从批准其设立的党组织领导。三是设立权限不同,党中央或本级地方党委可以审批设立党组,而党组不得审批设立党组。
尽管有以上的不同之处,党委与党组还具有一个最重要的共同特点,即在本单位本组织的范围内,发挥领导核心作用。《党章》第四十八条规定:“党组发挥领导核心作用。党组的任务,主要是负责贯彻执行党的路线、方针、政策;加强对本单位党的建设的领导,履行全面从严治党责任;讨论和决定本单位的重大问题;做好干部管理工作;讨论和决定基层党组织设置调整和发展党员、处分党员等重要事项;团结党外干部和群众,完成党和国家交给的任务;领导机关和直属单位党组织的工作。”
( 二 ) 各级党委(党组)、各级(各地区各部门)网络安全和信息化领导机构、行业主管监管部门
《实施办法》规定,具有网络安全工作责任的主要有四类主体:各级党委(党组)、各地区各部门网络安全和信息化领导机构、行业主管监管部门。
1.各级党委(党组)。各地区各部门各级党政机关、关键信息基础设施运营单位、重要数据和个人信息的处理者等单位的党委(党组)是网络安全工作的责任主体。《实施办法》第二条规定:“按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。”此条规定明确了从中央到地方和基层的政府机关、企事业单位、人民团体中各级党委和党组,是网络安全工作的责任主体,并且进一步明确了领导班子主要负责人和相关领导班子成员的责任。
2.各级(各地区各部门)网络安全和信息化领导机构。《实施办法》第五条、第六条分别规定,各级(各地区各部门)网络安全和信息化领导机构具有分析研判网络安全信息、统筹协调网络安全检查、组织通报网络安全信息等职责。
3.行业主管监管部门。《实施办法》第四条规定:“行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。”
三、责任范围
《实施办法》所划定的责任主体,具有各自不尽相同的责任范围,形成一张相互交织、没有死角的网络安全责任网络,严密覆盖每一个行业和领域、地区、关键信息基础设施运营单位、党政机关。
( 一 ) 行业和领域。按照《实施办法》第四条,本行业本领域的网络安全检查、事件处置,由主管监管部门负责指导监管。没有主管监管部门的行业,由所在地区负指导监管责任。电信、能源、金融等行业的网络安全工作,由相关主管监管部门负责;少数没有主管监管部门的行业、领域,由所在地区网信领导机构负责。
( 二 ) 地区。按照《实施办法》第五条,本地区的网络安全事件汇集、分析研判、组织指导信息通报、统筹协调网络安全检查等工作,由本地区的网信领导机构负责。
( 三 ) 关键信息基础设施运营单位。关键信息基础设施运营单位网络安全工作,由本单位的党委(党组)负主体责任,由相关行业主管监管部门负指导监管责任,没有主管监管部门的关基单位,由所在地区网信领导机构负指导监管责任。
( 四 ) 党政机关。按照《实施办法》第三条,党政机关本单位的网络安全工作,由本单位党委(党组)负主体责任。
另外,《实施办法》第四条还对可能出现的交叉重叠责任进行了划分协调:“各地区开展网络安全检查、处置网络安全事件时,涉及重要行业的,应当会同相关主管监管部门进行。"
四、责任事项
《实施办法》划定的不同的责任主体,具有不同的责任事项。
( 一 ) 各级党委(党组)
按照《实施办法》第三条,各级党委(党组)主要承担的网络安全责任是:
1.认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署,贯彻落实网络安全法律法规,明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施;
2.建立和落实网络安全责任制,把网络安全工作纳入重要议事日程,明确工作机构,加大人力、财力、物力的支持和保障力度;
3.统一组织领导本地区本部门网络安全保护和重大事件处置工作,研究解决重要问题;
4.采取有效措施,为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障;
5.组织开展经常性网络安全宣传教育,采取多种方式培养网络安全人才,支持网络安全技术产业发展。
( 二 ) 行业主管监管部门
《实施办法》第四条规定:
行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的,由所在地区负指导监管责任。
主管监管部门应当依法开展网络安全检查、处置网络安全事件,并及时将情况通报网络和信息系统所在地区网络安全和信息化领导机构。各地区开展网络安全检查、处置网络安全事件时,涉及重要行业的,应当会同相关主管监管部门进行。
( 三 ) 各级(各地区各部门)网络安全和信息化领导机构
《实施办法》第五条:
各级网络安全和信息化领导机构应当加强和规范本地区本部门网络安全信息汇集、分析和研判工作,要求有关单位和机构及时报告网络安全信息,组织指导网络安全通报机构开展网络安全信息通报,统筹协调开展网络安全检查。
《实施办法》第六条:
各地区各部门网络安全和信息化领导机构应当向中央网络安全和信息化委员会及时报告网络安全重大事项,包括出台涉及网络安全的重要政策和制度措施等。
各地区各部门网络安全和信息化领导机构每年向中央网络安全和信息化委员会报告网络安全工作情况。
五、启动问责的条件
《实施办法》第八条规定了两种启动问责的条件,一是按行为,二是按后果。
( 一 ) 按行为问责
《实施办法》第八条第一款规定:各级党委(党组)违反或者未能正确履行本办法所列职责,按照有关规定追究其相关责任。按此规定,责任主体若未履行本办法所列职责,有违反本办法的不作为或乱作为行为,则按有关规定追究相关责任。
( 二 ) 按后果问责
《实施办法》第八条第二款规定:“有下列情形之一的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人直至主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任。
1.党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
2.地市级以上党政门户网站或者重点新闻网站受到攻击后没有及时组织处置,且瘫痪6小时以上的;
3.发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;
4.关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人民群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;
5.封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
6.阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
7.发生其他严重危害网络安全行为的。”
六、问责主体
《中国共产党问责条例》第十二条规定:“问责决定应当由有管理权限的党组织作出”。《实施办法》第九条规定了实施问责的主体:“对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。”回答“谁来实施问责”这个问题的关键,在于准确理解“有管理权限的党组织”。
按照党的民主集中制原则,下级党组织服从上级党组织,“有管理权限的党组织”即为被问责对象的上级党组织。然而,在党的组织结构中,普遍存在双重领导或多重领导的情形。另外,因为存在分管领域的划分,党组织之间还存在归口领导管理、归口指导、协调或监督职责等关系。如高校党组织,往往同时受地方党组织、教育部门党组织的双重领导;国有企业,往往受国资监管部门的领导,同时受所在行业主管监管部门的指导。
对此,为了准确理解“有管理权限的党组织”,可参考《中国共产党重大事项请示报告条例》的规定。《条例》第二章“党组织请示报告主体”对于党组织向上请示的对象做出规定,一是在双重领导的情况下,向负有主要领导职责的上级党组织请示报告,二是在归口领导、管理的情况下,服从批准其设立的党组织的领导。据此,将“有管理权限的党组织”理解为被问责党组织的上级党组织,或批准其设立的党组织则更为准确。
需要说明的是,虽然各级网信办有可能不是被问责对象的上级党组织,但作为网信领域发挥党的领导作用的核心机构,各级网信部门在实施问责中起到重要作用。《实施办法》第九条第二款规定:“各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。”
七、问责措施
《实施办法》第九条规定:“对领导班子、领导干部进行问责,应当由有管理权限的党组织依据有关规定实施。”此处的“有关规定”,即为《中国共产党问责条例》。《中国共产党问责条例》第八条规定了三种针对党组织的问责方式,即检查、通报、改组;四种针对党的领导干部的问责方式,即通报、诫勉、组织调整或者组织处理、纪律处分。给予纪律处分的,依照《中国共产党纪律处分条例》追究纪律责任。
八、保障措施
( 一 ) 表彰奖励
《实施办法》第七条规定,用表彰奖励的形式促进网络安全工作的落实:“中央网络安全和信息化委员会办公室会同有关部门按照国家有关规定对网络安全先进集体予以表彰,对网络安全先进工作者予以表彰奖励”。2016年,中央网信办、教育部指导中国互联网发展基金会网络安全专项基金设立“网络安全人才奖”、“网络安全优秀教师奖”等,在当年的国家网络安全宣传周上,对19名网络安全杰出人才、优秀人才及优秀教师进行表彰。自此,中央网信办每年都组织开展相关表彰活动。
( 二 ) 干部考核
《实施办法》第十条规定:“各级党委(党组)应当建立网络安全责任制检查考核制度,完善健全考核机制,明确考核内容、方法、程序,考核结果送干部主管部门,作为对领导班子和有关领导干部综合考核评价的重要内容”。
( 三 ) 审计保障
《实施办法》第十一条规定:“各级审计机关在有关部门和单位的审计中,应当将网络安全建设和绩效纳入审计范围”。
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。