编者按：2017年8月15日，中央印发《党委（党组）网络安全工作责任制实施办法》（厅字〔2017〕32号），标志着我国网络安全责任制的正式建立。《党委（党组）网络安全工作责任制实施办法》曾是涉密文件，2021年8月4日，《人民日报》头版发布《中国共产党党内法规体系》一文。同时《中国共产党党内法规体系》公开发行，并收录了《党委（党组）网络安全工作责任制实施办法》，正式揭开了党委（党组）领导下的网络安全工作责任制的神秘面纱。

《党委（党组）网络安全工作责任制实施办法》（以下简称《实施办法》）作为法律出版社公开出版发行的《中国共产党党内法规汇编》中，唯一收录的网络安全领域的党内法规，近日的公开发行有着重大的意义，将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。与此同时，《实施办法》的正式解密不仅受到各界关注，随即也带来了全社会学习和推动工作的热潮。

居其位，安其职，尽其诚而不逾其度。尽责是做好工作的基本要求，但前提是要明确责任，特别是要明确主体责任、第一责任。为此，在国家网络安全顶层设计中，如何建立网络安全责任制始终是一个重大问题。《实施办法》从责任主体、责任范围、责任事项、问责主体、启动问责的条件、问责措施等角度对网络安全工作责任制进行了明确定义。本文将对该《实施办法》进一步梳理总结，并作出深入解读；同时，将在本公众号次条文章附上原文。

1

《实施办法》是怎么公开的？为什么这时候公开？

按照党内法规体系“1+4”的基本框架，该书分为党章以及党的组织法规、党的领导法规、党的自身建设法规、党的监督保障法规四大板块。《实施办法》在“党的领导法规”板块，是183篇中的第24篇，属于“党领导宣传思想文化工作”一节。

2

如何正确看待《实施办法》位列《中国共产党党内法规汇编》？

《实施办法》是对党委（党组）提的要求，故只能作为党内法规，以中办名义印发。但不能仅仅从党的自身建设的角度去理解这份文件。 

首先，党政军民学、东西南北中，《实施办法》体现了党对一切工作的领导。网络安全工作要始终置于党的绝对领导之下，但网络安全工作本身涉及面很广，特别是与业务直接相关，不能因为《实施办法》位列《中国共产党党内法规汇编》，就认为网络安全是一项党内工作，《实施办法》也没有这样的导向。网络安全工作需要全社会的共同努力，这项工作的确关系到全社会，关系到各个方面，这也是中央解密《实施办法》的重大意义。 

其次，《实施办法》有很多网络安全制度创设，提出了做好网络安全工作的一些重要思路和方法，这对社会有很多指导意义。例如，第四条规定，各地区开展网络安全检查、处置网络安全事件时，涉及重要行业的，应当会同相关主管监管部门进行。这针对的是实际工作中常常出现的“条块”矛盾问题。《网络安全法》虽然已经明确，要以地方为主（此前出现过地方网络安全主管部门在一些行业单位调查网络安全事件时，连门都进不了的情况），《实施办法》的上述规定则进一步完善了这一制度设计，理顺了与行业主管监管部门的关系。

3

什么是党委和党组？二者的区别是什么？

4

各级党委（党组）、各级（各地区各部门）网络安全和信息化领导机构、行业主管监管部门都是什么意思？

《实施办法》规定，具有网络安全工作责任的主要有三类主体：各级党委（党组）、各地区各部门网络安全和信息化领导机构、行业主管监管部门。

1.各级党委（党组）。各地区各部门各级党政机关、关键信息基础设施运营单位、重要数据和个人信息的处理者等单位的党委（党组）是网络安全工作的责任主体。《实施办法》第二条规定：“按照谁主管谁负责、属地管理的原则，各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。”此条规定明确了从中央到地方和基层的政府机关、企事业单位、人民团体中各级党委和党组，是网络安全工作的责任主体，并且进一步明确了领导班子主要负责人和相关领导班子成员的责任。

2.各级（各地区各部门）网络安全和信息化领导机构。《实施办法》第五条、第六条分别规定，各级（各地区各部门）网络安全和信息化领导机构具有分析研判网络安全信息、统筹协调网络安全检查、组织通报网络安全信息等职责。

3.行业主管监管部门。《实施办法》第四条规定：“行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的，由所在地区负指导监管责任。”

5

如何理解“党委（党组）”的网络安全工作责任？

《实施办法》第三条和第八条引人注目。第三条规定了各级党委（党组）的网络安全责任，第八条规定了应当追究网络安全责任的情形。第三条的具体规定是，各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。 

如何理解上述表述？这关系到如何看待党中央要制定这样一份文件。可以换个角度理解这个问题。如果没有这份文件，以前是什么样子的？ 

以前大体可以分为两种情况。一种情况是有的单位完全没有将网络安全列入议事日程，没有明确网络安全负责人。另外一种情况好一些，有的单位明确了网络安全负责人，但该负责人一般而言都是本单位分管信息化工作的副职，这已经算是做得不错的了。 

可以毫不客气地说，在《实施办法》印发前，几乎没有哪个单位的网络安全负责人是本单位的行政一把手，更不会是本单位的党委（党组）书记。因为对于本单位业务而言，信息化只是个保障工作，网络安全自然还要从属于信息化。 

但这与网络安全的重要性、网络安全形势是完全不匹配的。 

首先，中央成立了网络安全和信息化委员会，习近平总书记亲自任主任。各省、各地市也都相应成立了网络安全和信息化委员会，省委（市委）书记任主任。那么，何以到了各个单位，党委（党组）书记就能作壁上观了呢？ 

第二，“党管互联网”是一条根本的政治原则，“过不了互联网这一关，就过不了长期执政这一关”是习近平总书记对全党发出的最振聋发聩的警示，如果网络安全列不进本单位党委（党组）议事日程、党委（党组）不亲自抓，何以体现和落实党中央、习近平总书记的上述指示精神？ 

第三，由行政副职分管网络安全，在实践中也会存在很多问题。典型如权限不够、资源不匹配，甚至有时还会出现与业务部门冲突的情况。 

因此，《实施办法》的发布，标志着由一个单位的行政副职担任网络安全负责人、出事后将副职一免了之的做法彻底成为了历史。今后发生网络安全事件，首先要追责本单位的党委（党组）以及领导班子主要负责人。体制内的同志们很清楚这种表述方式，“主要负责人”就是指一把手。当然，各单位可以安排一名副职（领导班子成员）具体协助主要负责人抓网络安全工作，但其只是直接责任人，不是第一责任人。一把手再也不可能将网络安全责任推卸给副职。 

全国人大常委会在2017年8月-11月期间，曾对《网络安全法》实施情况作了调研。调研结论认为，网络安全普遍没有得到应有的重视，“说起来重要、干起来次要、忙起来不要”的情况比较常见。长此以往，谁来保护安全？产业如何发展？在耳边喊一万遍网络安全重要，也不如把担子压在肩上。因此，无论对于网络安全保护，还是对于发展网络安全产业，《实施办法》的印发都意义重大。

6

如何理解责任范围？

《实施办法》所划定的责任主体，具有各自不尽相同的责任范围，形成一张相互交织、没有死角的网络安全责任网络，严密覆盖每一个行业和领域、地区、关键信息基础设施运营单位、党政机关。

( 一 ) 行业和领域。按照《实施办法》第四条，本行业本领域的网络安全检查、事件处置，由主管监管部门负责指导监管。没有主管监管部门的行业，由所在地区负指导监管责任。电信、能源、金融等行业的网络安全工作，由相关主管监管部门负责；少数没有主管监管部门的行业、领域，由所在地区网信领导机构负责。

( 二 ) 地区。按照《实施办法》第五条，本地区的网络安全事件汇集、分析研判、组织指导信息通报、统筹协调网络安全检查等工作，由本地区的网信领导机构负责。

( 三 ) 关键信息基础设施运营单位。关键信息基础设施运营单位网络安全工作，由本单位的党委（党组）负主体责任，由相关行业主管监管部门负指导监管责任，没有主管监管部门的关基单位，由所在地区网信领导机构负指导监管责任。

( 四 ) 党政机关。按照《实施办法》第三条，党政机关本单位的网络安全工作，由本单位党委（党组）负主体责任。

另外，《实施办法》第四条还对可能出现的交叉重叠责任进行了划分协调：“各地区开展网络安全检查、处置网络安全事件时，涉及重要行业的，应当会同相关主管监管部门进行。"

 

《实施办法》指出，“按有关规定”追究其相关责任。这里的“按有关规定”指有管理权限的党组织按照党内有关问责程序和纪律处分追究责任。

 

这里的“责任”分为两类，一类是集体责任，一类是个人责任。追究集体责任时，领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任，参与相关工作决策的领导班子其他成员承担重要领导责任。

 

《实施办法》特别指出，各级网络安全和信息化领导机构办公室可以向实施问责的党委（党组）、纪委（纪检组）提出问责建议。这是一种科学的制度设计，因为网信办本身没有权限代替其他单位的党委和纪委进行问责，

 

需要指出，问责不意味着代替免除刑事责任。涉嫌犯罪的，应当按程序移交司法机关处理。

7

启动问责的条件和问责主体都是什么？

《实施办法》第八条规定了两种启动问责的条件，一是按行为，二是按后果。

( 一 ) 按行为问责

《实施办法》第八条第一款规定：各级党委（党组）违反或者未能正确履行本办法所列职责，按照有关规定追究其相关责任。按此规定，责任主体若未履行本办法所列职责，有违反本办法的不作为或乱作为行为，则按有关规定追究相关责任。

( 二 ) 按后果问责

《实施办法》第八条第二款规定：“有下列情形之一的，各级党委（党组）应当逐级倒查，追究当事人、网络安全负责人直至主要负责人责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

1.党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改，导致反动言论或者谣言等违法有害信息大面积扩散，且没有及时报告和组织处置的；

2.地市级以上党政门户网站或者重点新闻网站受到攻击后没有及时组织处置，且瘫痪6小时以上的；

3.发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的；

4.关键信息基础设施遭受网络攻击，没有及时处置导致大面积影响人民群众工作、生活，或者造成重大经济损失，或者造成严重不良社会影响的；

5.封锁、瞒报网络安全事件情况，拒不配合有关部门依法开展调查、处置工作，或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的；

6.阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动，或者拒不提供支持和保障的；

7.发生其他严重危害网络安全行为的。”

（三）问责主体

《中国共产党问责条例》第十二条规定：“问责决定应当由有管理权限的党组织作出”。《实施办法》第九条规定了实施问责的主体：“对领导班子、领导干部进行问责，应当由有管理权限的党组织依据有关规定实施。”回答“谁来实施问责”这个问题的关键，在于准确理解“有管理权限的党组织”。

按照党的民主集中制原则，下级党组织服从上级党组织，“有管理权限的党组织”即为被问责对象的上级党组织。然而，在党的组织结构中，普遍存在双重领导或多重领导的情形。另外，因为存在分管领域的划分，党组织之间还存在归口领导管理、归口指导、协调或监督职责等关系。如高校党组织，往往同时受地方党组织、教育部门党组织的双重领导；国有企业，往往受国资监管部门的领导，同时受所在行业主管监管部门的指导。

对此，为了准确理解“有管理权限的党组织”，可参考《中国共产党重大事项请示报告条例》的规定。《条例》第二章“党组织请示报告主体”对于党组织向上请示的对象做出规定，一是在双重领导的情况下，向负有主要领导职责的上级党组织请示报告，二是在归口领导、管理的情况下，服从批准其设立的党组织的领导。据此，将“有管理权限的党组织”理解为被问责党组织的上级党组织，或批准其设立的党组织则更为准确。

需要说明的是，虽然各级网信办有可能不是被问责对象的上级党组织，但作为网信领域发挥党的领导作用的核心机构，各级网信部门在实施问责中起到重要作用。《实施办法》第九条第二款规定：“各级网络安全和信息化领导机构办公室可以向实施问责的党委(党组)、纪委(纪检组)提出问责建议。”

8

如何理解《实施办法》所列的应当追究责任的几类情况？

 

9

《实施办法》提出的表彰制度如何落实？

 

10

《实施办法》实施情况及后续审计工作如何开展？

自《实施办法》于2017年8月发布实施后，各地区、各部门迅速采取行动，组织学习文件精神。很多省委、市委甚至一些单位的党委（党组）都制定了文件实施细则。因此，这个文件实际上已经是个“老文件”了，已实施4年之久。但由于其本身属于密件，故在网上虽然可以看到很多党委（党组）印发的大量的实施细则、贯彻落实意见，但文件本身却找不到。

 

 

公众可能会关心，文件实施4年以来，这项工作进展到什么程度了。这项制度需要审计署、中央网信办等部门联合推动，据了解目前仍在制度研究之中。希望在《实施办法》公开后，国家网络安全审计制度能取得突破性进展。