中央对《党委(党组)网络安全工作责任制实施办法》解读
发布日期:2021-09-15
一、《实施办法》是怎么公开的?为什么这时候公开?
习近平总书记在庆祝中国共产党成立100周年大会上宣布,我们已经“形成比较完善的党内法规体系”。2021年7月,法律出版社公开出版发行了《中国共产党党内法规汇编》,最近几天刚刚上市。该书由中共中央办公厅法规局编辑,收录了新中国成立至2021年6月,党中央以及中央纪委和党中央工作机关制定的现行有效且公开发布的党内法规共183部,包括此前未公开但通过此次汇编而公开的文件。编辑出版这部书,为的是展现党内法规体系概貌,推动各级党组织和广大党员更好尊规学规守规用规,进一步增强“四个意识”、坚定“四个自信”、做到“两个维护”。
按照党内法规体系“1+4”的基本框架,该书分为党章以及党的组织法规、党的领导法规、党的自身建设法规、党的监督保障法规四大板块。《实施办法》在“党的领导法规”板块,是183篇中的第24篇,属于“党领导宣传思想文化工作”一节。
二、如何理解“党委(党组)”的网络安全工作责任?
《实施办法》第三条和第八条引人注目。第三条规定了各级党委(党组)的网络安全责任,第八条规定了应当追究网络安全责任的情形。第三条的具体规定是,各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
如何理解上述表述?这关系到如何看待党中央要制定这样一份文件。可以换个角度理解这个问题。如果没有这份文件,以前是什么样子的?
以前大体可以分为两种情况。一种情况是有的单位完全没有将网络安全列入议事日程,没有明确网络安全负责人。另外一种情况好一些,有的单位明确了网络安全负责人,但该负责人一般而言都是本单位分管信息化工作的副职,这已经算是做得不错的了。
可以毫不客气地说,在《实施办法》印发前,几乎没有哪个单位的网络安全负责人是本单位的行政一把手,更不会是本单位的党委(党组)书记。因为对于本单位业务而言,信息化只是个保障工作,网络安全自然还要从属于信息化。
但这与网络安全的重要性、网络安全形势是完全不匹配的。
首先,中央成立了网络安全和信息化委员会,习近平总书记亲自任主任。各省、各地市也都相应成立了网络安全和信息化委员会,省委(市委)书记任主任。那么,何以到了各个单位,党委(党组)书记就能作壁上观了呢?
第二,“党管互联网”是一条根本的政治原则,“过不了互联网这一关,就过不了长期执政这一关”是习近平总书记对全党发出的最振聋发聩的警示,如果网络安全列不进本单位党委(党组)议事日程、党委(党组)不亲自抓,何以体现和落实党中央、习近平总书记的上述指示精神?
第三,由行政副职分管网络安全,在实践中也会存在很多问题。典型如权限不够、资源不匹配,甚至有时还会出现与业务部门冲突的情况。
因此,《实施办法》的发布,标志着由一个单位的行政副职担任网络安全负责人、出事后将副职一免了之的做法彻底成为了历史。今后发生网络安全事件,首先要追责本单位的党委(党组)以及领导班子主要负责人。体制内的同志们很清楚这种表述方式,“主要负责人”就是指一把手。当然,各单位可以安排一名副职(领导班子成员)具体协助主要负责人抓网络安全工作,但其只是直接责任人,不是第一责任人。一把手再也不可能将网络安全责任推卸给副职。
全国人大常委会在2017年8月-11月期间,曾对《网络安全法》实施情况作了调研。调研结论认为,网络安全普遍没有得到应有的重视,“说起来重要、干起来次要、忙起来不要”的情况比较常见。长此以往,谁来保护安全?产业如何发展?在耳边喊一万遍网络安全重要,也不如把担子压在肩上。因此,无论对于网络安全保护,还是对于发展网络安全产业,《实施办法》的印发都意义重大。
三、如何正确看待《实施办法》位列《中国共产党党内法规汇编》?
《实施办法》是对党委(党组)提的要求,故只能作为党内法规,以中办名义印发。但不能仅仅从党的自身建设的角度去理解这份文件。
首先,党政军民学、东西南北中,《实施办法》体现了党对一切工作的领导。网络安全工作要始终置于党的绝对领导之下,但网络安全工作本身涉及面很广,特别是与业务直接相关,不能因为《实施办法》位列《中国共产党党内法规汇编》,就认为网络安全是一项党内工作,《实施办法》也没有这样的导向。网络安全工作需要全社会的共同努力,这项工作的确关系到全社会,关系到各个方面,这也是中央解密《实施办法》的重大意义。
其次,《实施办法》有很多网络安全制度创设,提出了做好网络安全工作的一些重要思路和方法,这对社会有很多指导意义。例如,第四条规定,各地区开展网络安全检查、处置网络安全事件时,涉及重要行业的,应当会同相关主管监管部门进行。这针对的是实际工作中常常出现的“条块”矛盾问题。《网络安全法》虽然已经明确,要以地方为主(此前出现过地方网络安全主管部门在一些行业单位调查网络安全事件时,连门都进不了的情况),《实施办法》的上述规定则进一步完善了这一制度设计,理顺了与行业主管监管部门的关系。
四、《实施办法》为什么要涉及“行业主管监管部门”?
如前所述,《实施办法》重点解决的问题是,一个单位的网络安全工作,究竟由谁负责?出了事谁来担责?
但在更广的意义上,网络安全监督管理职责也是网络安全责任制的一部分。故《实施办法》也同时明确了行业主管监管部门的职责,即对本行业的网络安全负指导监管责任;没有主管监管部门的,则由所在地区负指导监管责任。
这里需要强调两点:
第一,《网络安全法》提出了“关键信息基础设施安全保护工作部门”,这个“工作部门”就是行业主管监管部门,与《实施办法》所指是一致的,其监督管理职责后来在法律中作了明确规定。
第二,无论行业主管监管部门如何“指导”和“监管”,都不改变行业内一个具体单位应当承担的网络安全责任。具体到这个单位,也依然是本单位党委(党组)负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人。
五、《实施办法》为什么要涉及“网络安全和信息化领导机构”?
再次指出,《实施办法》重点解决的问题是一个单位的网络安全责任归属问题。但各地网络安全和信息化委员会的职责,也的确属于广义的网络安全责任制的一部分。故《实施办法》还规定了“网络安全和信息化领导机构”的职责。
有人说,网信部门的职责在《网络安全法》等法律法规中都有规定,为什么《实施办法》还要再强调呢。事实上,这并不是强调,而是有三个方面的原因。
第一,《实施办法》规定的是各地区、各部门网络安全和信息化委员会的职责,而网信部门只是“网络安全和信息化委员会”的办事机构,不能将两者混淆。对各地区、各部门网络安全和信息化委员会而言,中央文件此前尚未作出明确职责规定,也未提出要求,但这又不可能通过法律法规来解决,只能由党内文件明确。例如,《实施办法》指出,各地区、各部门网信委如出台涉及网络安全的重要政策和制度措施,应当报中央网信委;每年度,各地区、各部门网信委应当向中央网信委报告网络安全工作情况。
第二,法律法规规定的是“网信部门”的职责,这特指“互联网信息办公室”的职责。作为网信委的办事机构,各地网信办有两个牌子,一个是网络安全和信息化委员会办公室,一个是互联网信息办公室。前者是党的序列,后者履行政府职能。法律法规不能规定党的机构的职责,所以法律法规中的“网信部门”均指“互联网信息办公室”。但“网络安全和信息化委员会办公室”的职责怎么办?这也只能通过党内文件来规定。例如,《实施办法》指出,各级网信办可以提出问责建议。
第三,人们常说“网信委”、“网信办”,那往往指的是各地“网信委”、“网信办”,但各部门也有“网信委”、“网信办”,例如国务院各部委往往都设立了网信委,部党组书记任主任,且在部内指定了网信办。对于后者,任何文件没有规定其职责。故《实施办法》也要作出明确。