2021年8月4日，《人民日报》头版发布《中国共产党党内法规体系》一文。同时，《中国共产党党内法规汇编》公开发行，收录了《党委（党组）网络安全工作责任制实施办法》（以下简称《实施办法》），正式揭开了《实施办法》的神秘面纱。

01如何理解“党委（党组）”的网络安全工作责任？

       第三条规定了各级党委（党组）的网络安全责任，第八条规定了应当追究网络安全责任的情形。第三条的具体规定是，各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。

       如何理解上述表述？这关系到如何看待党中央要制定这样一份文件。可以换个角度理解这个问题。如果没有这份文件，以前是什么样子的？

       以前大体可以分为两种情况。一种情况是有的单位完全没有将网络安全列入议事日程，没有明确网络安全负责人。另外一种情况好一些，有的单位明确了网络安全负责人，但该负责人一般而言都是本单位分管信息化工作的副职，这已经算是做得不错的了。

       在《实施办法》印发前，几乎没有哪个单位的网络安全负责人是本单位的行政一把手，更不会是本单位的党委（党组）书记。因为对于本单位业务而言，信息化只是个保障工作，网络安全自然还要从属于信息化。

       但这与网络安全的重要性、网络安全形势是完全不匹配的。

       首先，中央成立了网络安全和信息化委员会，习近平总书记亲自任主任。各省、各地市也都相应成立了网络安全和信息化委员会，省委（市委）书记任主任。那么，何以到了各个单位，党委（党组）书记就能作壁上观了呢？

       第二，“党管互联网”是一条根本的政治原则，“过不了互联网这一关，就过不了长期执政这一关”是习近平总书记对全党发出的最振聋发聩的警示，如果网络安全列不进本单位党委（党组）议事日程、党委（党组）不亲自抓，何以体现和落实党中央、习近平总书记的上述指示精神？

       第三，由行政副职分管网络安全，在实践中也会存在很多问题。典型如权限不够、资源不匹配，甚至有时还会出现与业务部门冲突的情况。

       因此，《实施办法》的发布，标志着由一个单位的行政副职担任网络安全负责人、出事后将副职一免了之的做法彻底成为了历史。今后发生网络安全事件，首先要追责本单位的党委（党组）以及领导班子主要负责人。体制内的同志们很清楚这种表述方式，“主要负责人”就是指一把手。当然，各单位可以安排一名副职（领导班子成员）具体协助主要负责人抓网络安全工作，但其只是直接责任人，不是第一责任人。一把手再也不可能将网络安全责任推卸给副职。

02《实施办法》为什么要涉及“行业主管监管部门”？

       如前所述，《实施办法》重点解决的问题是，一个单位的网络安全工作，究竟由谁负责？出了事谁来担责？

       网络安全监督管理职责也是网络安全责任制的一部分。故《实施办法》也同时明确了行业主管监管部门的职责，即对本行业的网络安全负指导监管责任；没有主管监管部门的，则由所在地区负指导监管责任。

这里需要强调两点：

       第一，《网络安全法》提出了“关键信息基础设施安全保护工作部门”，这个“工作部门”就是行业主管监管部门，与《实施办法》所指是一致的，其监督管理职责后来在法律中作了明确规定。

       第二，无论行业主管监管部门如何“指导”和“监管”，都不改变行业内一个具体单位应当承担的网络安全责任。具体到这个单位，也依然是本单位党委（党组）负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。

03《实施办法》为什么要涉及“网络安全和信息化领导机构”？

       再次指出，《实施办法》重点解决的问题是一个单位的网络安全责任归属问题。但各地网络安全和信息化委员会的职责，也的确属于广义的网络安全责任制的一部分。故《实施办法》还规定了“网络安全和信息化领导机构”的职责。

       有人说，网信部门的职责在《网络安全法》等法律法规中都有规定，为什么《实施办法》还要再强调呢。三个方面的原因。

       第一，《实施办法》规定的是各地区、各部门网络安全和信息化委员会的职责，而网信部门只是“网络安全和信息化委员会”的办事机构，不能将两者混淆。对各地区、各部门网络安全和信息化委员会而言，中央文件此前尚未作出明确职责规定，也未提出要求，但这又不可能通过法律法规来解决，只能由党内文件明确。例如，《实施办法》指出，各地区、各部门网信委如出台涉及网络安全的重要政策和制度措施，应当报中央网信委；每年度，各地区、各部门网信委应当向中央网信委报告网络安全工作情况。

       第二，法律法规规定的是“网信部门”的职责，这特指“互联网信息办公室”的职责。作为网信委的办事机构，各地网信办有两个牌子，一个是网络安全和信息化委员会办公室，一个是互联网信息办公室。前者是党的序列，后者履行政府职能。法律法规不能规定党的机构的职责，所以法律法规中的“网信部门”均指“互联网信息办公室”。但“网络安全和信息化委员会办公室”的职责怎么办？这也只能通过党内文件来规定。例如，《实施办法》指出，各级网信办可以提出问责建议。

       第三，人们常说“网信委”、“网信办”，那往往指的是各地“网信委”、“网信办”，但各部门也有“网信委”、“网信办”，例如国务院各部委往往都设立了网信委，部党组书记任主任，且在部内指定了网信办。对于后者，任何文件没有规定其职责。故《实施办法》也要作出明确。

04责任范围

      《实施办法》所划定的责任主体，具有各自不尽相同的责任范围，形成一张相互交织、没有死角的网络安全责任网络，严密覆盖每一个行业和领域、地区、关键信息基础设施运营单位、党政机关。

一 、行业和领域。按照《实施办法》第四条，本行业本领域的网络安全检查、事件处置，由主管监管部门负责指导监管。没有主管监管部门的行业，由所在地区负指导监管责任。电信、能源、金融等行业的网络安全工作，由相关主管监管部门负责；少数没有主管监管部门的行业、领域，由所在地区网信领导机构负责。

二 、地区。按照《实施办法》第五条，本地区的网络安全事件汇集、分析研判、组织指导信息通报、统筹协调网络安全检查等工作，由本地区的网信领导机构负责。

三 、关键信息基础设施运营单位。关键信息基础设施运营单位网络安全工作，由本单位的党委（党组）负主体责任，由相关行业主管监管部门负指导监管责任，没有主管监管部门的关基单位，由所在地区网信领导机构负指导监管责任。

四 、党政机关。按照《实施办法》第三条，党政机关本单位的网络安全工作，由本单位党委（党组）负主体责任。

另外，《实施办法》第四条还对可能出现的交叉重叠责任进行了划分协调：“各地区开展网络安全检查、处置网络安全事件时，涉及重要行业的，应当会同相关主管监管部门进行。"

《实施办法》作为《中国共产党党内法规汇编》唯一收录的网络安全领域的党内法规，它的公开发布将对厘清网络安全责任、落实保障措施、推动网信事业发展产生巨大影响。以下附全文：

党委（党组）网络安全工作责任制实施办法

（2017年8月15日中共中央批准2017年8月15日中共中央办公厅发布）

第一条  为了进一步加强网络安全工作，明确和落实党委（党组）领导班子、领导干部网络安全责任，根据《中国共产党问责条例》、《中央网络安全和信息化委员会工作规则》等有关规定，制定本办法。

第二条  网络安全工作事关国家安全、政权安全和经济社会发展。按照谁主管谁负责、属地管理的原则，各级党委（党组）对本地区本部门网络安全工作负主体责任，领导班子主要负责人是第一责任人，主管网络安全的领导班子成员是直接责任人。

第三条  各级党委（党组）主要承担的网络安全责任是：

（一）认真贯彻落实党中央和习近平总书记关于网络安全工作的重要指示精神和决策部署，贯彻落实网络安全法律法规，明确本地区本部门网络安全的主要目标、基本要求、工作任务、保护措施；

（二）建立和落实网络安全责任制，把网络安全工作纳入重要议事日程，明确工作机构，加大人力、财力、物力的支持和保障力度；

（三）统一组织领导本地区本部门网络安全保护和重大事件处置工作，研究解决重要问题；

（四）采取有效措施，为公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动提供支持和保障；

（五）组织开展经常性网络安全宣传教育，采取多种方式培养网络安全人才，支持网络安全技术产业发展。

第四条  行业主管监管部门对本行业本领域的网络安全负指导监管责任。没有主管监管部门的，由所在地区负指导监管责任。

主管监管部门应当依法开展网络安全检查、处置网络安全事件，并及时将情况通报网络和信息系统所在地区网络安全和信息化领导机构。各地区开展网络安全检查、处置网络安全事件时，涉及重要行业的，应当会同相关主管监管部门进行。

第五条  各级网络安全和信息化领导机构应当加强和规范本地区本部门网络安全信息汇集、分析和研判工作，要求有关单位和机构及时报告网络安全信息，组织指导网络安全通报机构开展网络安全信息通报，统筹协调开展网络安全检查。

第六条  各地区各部门网络安全和信息化领导机构应当向中央网络安全和信息化委员会及时报告网络安全重大事项，包括出台涉及网安全的重要政策和制度措施等。

各地区各部门网络安全和信息化领导机构每年向中央网络安全和信息化委员会报告网络安全工作情况。

第七条  中央网络安全和信息化委员会办公室会同有关部门按照国家有关规定对网络安全先进集体予以表彰，对网络安全先进工作者予以表彰奖励。

第八条  各级党委（党组）违反或者未能正确履行本办法所列职责，按照有关规定追究其相关责任。

有下列情形之一的，各级党委（党组）应当逐级倒查，追究当事人、网络安全负责人直至主要负责人责任。协调监管不力的，还应当追究综合协调或监管部门负责人责任。

（一）党政机关门户网站、重点新闻网站、大型网络平台被攻击篡改，导致反动言论或者谣言等违法有害信息大面积扩散，且没有及时报告和组织处置的；

（二）地市级以上党政机关门户网站或者重点新闻网站受到攻击后没有及时组织处置，且瘫痪6小时以上的；

（三）发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的；

（四）关键信息基础设施遭受网络攻击，没有及时处置导致大面积影响人民群众工作、生活，或者造成重大经济损失，或者造成严重不良社会影响的；

（五）封锁、瞒报网络安全事件情况，拒不配合有关部门依法开展调查、处置工作，或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的；

（六）阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动，或者拒不提供支持和保障的；

（七）发生其他严重危害网络安全行为的。

第九条  实施责任追究应当实事求是，分清集体责任和个人责任。追究集体责任时，领导班子主要负责人和主管网络安全的领导班子成员承担主要领导责任，参与相关工作决策的领导班子其他成员承担重要领导责任。

对领导班子、领导干部进行问责，应当由有管理权限的党组织依据有关规定实施。各级网络安全和信息化领导机构办公室可以向实施问责的党委（党组）、纪委（纪检组）提出问责建议。

第十条  各级党委（党组）应当建立网络安全责任制检查考核制度，完善健全考核机制，明确考核内容、方法、程序，考核结果送干部主管部门，作为对领导班子和有关领导干部综合考核评价的重要内容。

第十一条  各级审计机关在有关部门和单位的审计中，应当将网络安全建设和绩效纳入审计范围。

第十二条  网络意识形态工作责任制按照《党委（党组）网络意识形态工作责任制实施细则》执行。涉密网络按照有关规定执行。

第十三条  本办法由中央网络安全和信息化委员会办公室负责解释。

第十四条  本办法自2017年8月15日起施行。