國家治理現(xiàn)代化視域下我國網(wǎng)絡信息安全問責機制研究*

馬曉飛，盧奕同，艾力彼熱·艾力肯

(北京郵電大學 經(jīng)濟管理學院，北京100876)

0 引言

隨著網(wǎng)絡信息化已與各行各業(yè)深度融合，互聯(lián)網(wǎng)在推進國家治理現(xiàn)代化進程中發(fā)揮了不可替代的作用[1]。現(xiàn)階段，國家范圍內(nèi)網(wǎng)絡信息屢遭偷竊、泄露、篡改以及不良網(wǎng)絡信息“滿天飛”的現(xiàn)象突出，問題背后是我國長期面臨網(wǎng)絡信息安全相關法律執(zhí)行力低、規(guī)章制度不健全、管理模式僵化等治理困境，很大程度上制約了我國網(wǎng)絡空間治理現(xiàn)代化進程。所謂“有權必有責，失職要問責”，從根本上解決和防范網(wǎng)絡信息安全問題應該搭好制度的“籠子”，切實落實主體責任。實際上，網(wǎng)絡信息安全問責制度可將現(xiàn)實社會中的責任管制問題移植到網(wǎng)絡空間，把網(wǎng)絡空間的非制度化問責行為納入制度軌道[2]，是國家網(wǎng)絡空間治理實踐中主要的表現(xiàn)形式。當前，網(wǎng)絡信息安全問責機制的構建和發(fā)展是國家治理體系和治理能力現(xiàn)代化水平提升的必然要求，對優(yōu)化治理環(huán)境、強化主體責任意識、確保國家和社會的網(wǎng)絡信息安全有重要作用。

國外對于網(wǎng)絡信息安全問責機制的研究總體立足于問責機制的構建，研究視角較為分散，綜合性研究較少。其中，文獻[3]從信息安全的角度出發(fā)，開展網(wǎng)絡信息安全問責制總體架構設計以支持信息資源共享。文獻[4]通過開發(fā)信息問責制相關模型，來確保信息數(shù)據(jù)庫的正確存儲、使用和維護，認為網(wǎng)絡信息安全問責制的建立具有可行性和不可替代性。文獻[5]則改變現(xiàn)有信息信任鏈并提出更具創(chuàng)新性的解決方案以構建具有責任意識的問責模式。國內(nèi)學者則大多從信息安全治理、行政問責和網(wǎng)絡問責等視角對網(wǎng)絡信息安全問責機制進行了學術探討，如宋濤[6]、胡洪彬[7]從網(wǎng)絡行政問責機制構建的視角，對網(wǎng)絡信息安全問責過程和模式的進一步優(yōu)化提出了可行性建議。蓋宏偉[8]、易臣何[9]、黃煒[10]等從國家信息安全治理角度梳理了國內(nèi)外網(wǎng)絡信息安全問責制度的實踐經(jīng)驗，提出了對中國問責機制發(fā)展的啟發(fā)和建議。拓展研究網(wǎng)絡信息安全問責機制的中國特色發(fā)展路徑還需進一步加強。本文歸納總結了我國網(wǎng)絡信息安全問責機制的現(xiàn)行模式，深入分析了現(xiàn)階段的運行困境，對應提出了完善我國網(wǎng)絡信息安全問責機制的建議。

1 我國網(wǎng)絡信息安全問責機制的現(xiàn)行模式

1.1 問責依據(jù)和內(nèi)容

黨的十八大以來，我國先后制定和頒布了一系列網(wǎng)絡安全法律法規(guī)和規(guī)章辦法，其不同程度地涉及了網(wǎng)絡信息安全問責內(nèi)容。2017年正式實施的《中華人民共和國網(wǎng)絡安全法》(簡稱《網(wǎng)絡安全法》)是我國第一部全面規(guī)范網(wǎng)絡空間安全管理方面問題的基礎性法律，其中針對網(wǎng)絡信息安全各類主體的法律責任和承擔的否定性后果予以了明確的規(guī)定。同年國家互聯(lián)網(wǎng)信息辦公室公布了《互聯(lián)網(wǎng)新聞信息服務管理規(guī)定》，針對肆意篡改、嫁接、虛構新聞信息等情況，明確規(guī)定要采取行政手段實施問責行為。2018年公安部發(fā)布的《公安機關互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》明確了公安機關執(zhí)法的職責權限以及企業(yè)配合公安機關執(zhí)法的權利和義務。《互聯(lián)網(wǎng)網(wǎng)絡安全突發(fā)事件應急預案》、《互聯(lián)網(wǎng)論壇社區(qū)服務管理規(guī)定》等規(guī)范性文件也針對網(wǎng)站的管理責任、網(wǎng)信部門的監(jiān)管責任、網(wǎng)民的用網(wǎng)責任等提出了要求，從制度層面為行業(yè)的規(guī)范發(fā)展確立了準則。

問責內(nèi)容實質是針對發(fā)生的和潛在的網(wǎng)絡信息安全違法失范具體行為進行責任追究和監(jiān)督，對導致國家利益、公眾利益或者公民的合法權益受到損害，或者造成不良影響的，不僅要嚴肅查處直接責任人，而且要追究相關領導人員的責任。問責主體即由誰來問責，我國對于網(wǎng)絡信息安全的管理實行“多頭分工、統(tǒng)一管理”，以政府部門問責為主，包括中央網(wǎng)信辦、工信部、發(fā)改委、保密局等主管部門，以立法和司法部門問責、第三方問責、社會公眾問責為輔的多元問責主體協(xié)同治理。另外中央還批準成立了兩個重要機構：國家信息安全產(chǎn)品測評認證中心和國家計算機網(wǎng)絡與信息安全管理中心，為網(wǎng)絡信息安全管理工作發(fā)揮著技術支撐的作用[11]。問責客體即向誰問責，也稱問責對象。在網(wǎng)絡信息安全領域，對國家部門機構、社會各行業(yè)組織和公民的各項信息活動實施有效的管理監(jiān)督。問責主體承擔的責任包括決策責任、領導責任、執(zhí)行責任、管理責任、廉潔責任、效能責任、監(jiān)督責任等；問責客體承擔的責任包括正面責任、負面責任、直接責任、連帶責任、個人責任、主觀責任、客觀責任等，它們之間既相互區(qū)別，又相互滲透、相互轉化，構成完整統(tǒng)一的問責責任體系。問責機制的設置原則體現(xiàn)著問責程序的合法性和強制性、問責主體的異體性和多元性、運行流程的動態(tài)性和一貫性、執(zhí)行問責的高效性和回應性。

1.2 問責機制

1.2.1 流程管理機制

網(wǎng)絡信息安全問責機制的運行需要程序化規(guī)范，問責流程能夠流暢且完整進行更依賴于流程管理機制。流程管理機制包括預防機制、反應機制、追責機制、協(xié)調(diào)管理機制、問責監(jiān)控機制。

一是建立預防機制。首先構建網(wǎng)絡信息安全審查制度總體框架，形成應急預案并有計劃開展監(jiān)測試點，指導監(jiān)測平臺運用核心技術與基礎設施對公共基礎信息網(wǎng)絡以及重點行業(yè)或部門的信息系統(tǒng)和安全事件自主監(jiān)測，多渠道形成日常審查報告，全方位發(fā)掘隱患和漏洞并做好精準防控處理，構建全產(chǎn)業(yè)鏈常態(tài)化保障格局[12]。二是反應機制。反應機制是關鍵環(huán)節(jié)，是落實和明確問責的基礎。焦點聚焦與動態(tài)監(jiān)管登記備案的網(wǎng)絡行為和使用情況，有信息安全危險源產(chǎn)生立即啟動反應機制。三是追責機制。追責機制作為流程管理機制的核心環(huán)節(jié)，其重點目標是實時跟蹤轉化，即責任追蹤-調(diào)查取證-問責決定。首先建立責任清單制度，匯總問題和調(diào)查取證，對應責任追究的評判依據(jù)和事項名錄，揭示事件關聯(lián)主體并將其錄入程序系統(tǒng)，最后問責主體基于調(diào)查結果進行案件討論作出受理和處置決定。四是協(xié)調(diào)管理機制。協(xié)調(diào)管理機制是負責善后處置工作的必要環(huán)節(jié)，將問責處置結果第一時間傳達反饋，回顧和評價問責整體過程，使后續(xù)問責流程能夠恢復正常高效運轉。五是問責監(jiān)控機制。問責監(jiān)控是鞏固責任治理成果最有力的手段，嚴格遵守監(jiān)督實施條例進行有效的全過程內(nèi)外部責任監(jiān)督。圖1為網(wǎng)絡信息安全問責的流程管理機制圖。

圖1 網(wǎng)絡信息安全問責的流程管理機制圖

1.2.2 制約責任機制

問責機制中制約責任機制的建立是對主體職能交叉、客體責任不清等現(xiàn)象的糾正和約束，我國采用創(chuàng)新有效的“多頭分工、統(tǒng)一管理”方式[13]。

一是國家制約形式。國家各級政府為提高治理水平，不斷完善網(wǎng)絡信息安全監(jiān)控體系，制定全國性法律制度，《網(wǎng)絡安全法》作為法律基石，對信息安全責任和權利實行分類管理和統(tǒng)籌制約。國家加強對國產(chǎn)化核心技術發(fā)展的扶持，通過全方位技術創(chuàng)新實現(xiàn)網(wǎng)絡信息安全的協(xié)調(diào)發(fā)展和可控監(jiān)督。

二是部門制約形式。國家立法和司法部門機構作為主要異體問責主體深入貫徹網(wǎng)信安全思想，最大限度優(yōu)化網(wǎng)絡信息化立法和司法體制，整合部門信息資源對網(wǎng)絡信息安全相關議題的實施狀況進行審計監(jiān)督[14]。我國問責制約機構還包含工業(yè)和信息化部及其下設部門、國家網(wǎng)信辦等，鞏固推進網(wǎng)絡信息安全管理工作。

三是社會公眾制約形式。社會公眾在合理保障自身信息安全權利的同時，明確網(wǎng)絡信息安全崗位責任制的具體內(nèi)容，增強問責形式的多樣性，采取共同治理的共識模式，廣泛運用公眾投訴舉報、企業(yè)社會組織參與監(jiān)督等方式，充分拓寬責任制約渠道。圖2所示為網(wǎng)絡信息安全問責的制約責任機制圖。

圖2 網(wǎng)絡信息安全問責的制約責任機制圖

1.2.3 考評機制

網(wǎng)絡信息安全問責機制的考評機制在“行為—結果—責任”之間建立因果鏈，以考評信息、企業(yè)與人員、產(chǎn)品與系統(tǒng)的應用為核心，來實現(xiàn)機制的有效契合[15]。考評機制主要概括為六項工作：考核測評工作、資質考評工作、信息安全產(chǎn)品和系統(tǒng)測評工作、評估懲罰工作、目標激勵管理工作以及綜合培訓工作。

考核測評是考核主體設計考核標準和制定細則要求，建立系統(tǒng)化、科學化、精細化和量級化的考評制度，對問責主體問責執(zhí)行不力、問責客體責任落實不暢等情況進行監(jiān)管、通報、追責、裁定、整改等一系列問責考核過程。中國信息安全測評中心為我國網(wǎng)絡信息安全管理工作提供堅實的技術保障，構建了一套專屬的信息安全專業(yè)人員能力認證的綜合考評機制。資質考評是對提供網(wǎng)絡信息安全服務的企業(yè)組織資質進行核定和評估，并考證信息技術產(chǎn)品和硬件設備以及系統(tǒng)、軟件、數(shù)據(jù)庫等的安全性[16]，確保提供信息服務時所運用技術、資源、法律和管理等具有一定的穩(wěn)定性和可靠性。評估懲罰機制的建立是為了更好推動問責機制永續(xù)發(fā)展，解決實際問題。目標激勵管理工作建立了合理的下屬機制，如激勵-約束機制、競爭-合作機制和新陳代謝機制，有效激勵了網(wǎng)絡信息安全管理工作中的專業(yè)技術人員，并充分考量數(shù)據(jù)分析工作中的主觀因素，提升了組織人員的溝通和審議討論的質量[17]。綜合培訓工作則為定期開展相關信息安全技術教育和培訓工作，包括信息安全專業(yè)人員的專業(yè)知識培訓、重要信息系統(tǒng)使用準則及注意事項，信息安全意識培育等[16]。圖3為網(wǎng)絡信息安全問責的考評機制圖。

2 我國網(wǎng)絡信息安全問責機制的運行困境

2.1 法律法規(guī)問責條款有待細化

目前，我國在網(wǎng)絡信息安全問責領域面臨的困境是“有問責之事，而無問責之法”。在問責實體依據(jù)層面，我國網(wǎng)絡信息安全問責部分只是在相關法律法規(guī)及政策文件中進行了大致的闡述和規(guī)定，針對網(wǎng)絡信息安全問責內(nèi)容并沒有細化的法律條例，問責標準、主體認定、責任劃分等籠統(tǒng)而模糊，可操作性和效用針對性相對較低。在程序依據(jù)層面，網(wǎng)絡信息安全問責呈現(xiàn)重實體、輕程序的傾向。

2.2 網(wǎng)絡信息安全的問責主體不到位

一是我國互聯(lián)網(wǎng)行政隊伍力量相對弱小；二是在網(wǎng)絡信息安全的同體問責中由于政府職能部門之間缺乏互聯(lián)互通，職責不清或職能交叉，使得責任落實和追究過程中問責主體難以明確；三是網(wǎng)絡信息安全問責的異體問責較為薄弱，大多數(shù)網(wǎng)絡信息安全問責局限于政府內(nèi)部問責，政府之外的問責主體或因問責渠道不通暢、或因問責能力不足等很難起到切實的監(jiān)管作用。

2.3 網(wǎng)絡信息安全的問責客體泛化不具體

網(wǎng)絡信息安全問責的最終目標是建立一個常態(tài)化的問責體系，對問責客體精準把握、監(jiān)督和追究。在問責過程中，由于責任主體難以明確，責任問詢和監(jiān)督是需要聚焦的重點攻堅任務，尚存在問責客體的責任認定原則沒有精細劃定與歸類，責任認定程序還較為欠缺且具有很強的臨時性，問責實施過程容易造成思維定勢等問題。

2.4 網(wǎng)絡信息安全的問責范圍較為狹窄

目前的網(wǎng)絡信息安全問責多是具體結果驅動的事后問責，即在出現(xiàn)顯性的重大網(wǎng)絡安全事故或具體過錯之后啟動問責工作。問責范圍相對狹窄往往導致疏忽于事前預警，忽略了可能發(fā)生和即將發(fā)生的觸發(fā)性隱患。網(wǎng)絡信息安全的追責究責不能僅限于關系公共利益的重大網(wǎng)絡信息安全事件，而應包括相關行政機關及行政人員的監(jiān)察失職、用人失察、領導過失、決策不當、應對不力等方面。

2.5 網(wǎng)絡信息安全的問責程序規(guī)范性不足

網(wǎng)絡信息安全問責機制流程管理有序性不足，問責方式及結果界定不清，各問責環(huán)節(jié)之間各自孤立；考評機制與其他機制相比較為薄弱，機制的整合還缺乏多重視角下系統(tǒng)性的規(guī)劃研究和清晰呈現(xiàn)，仍有中間環(huán)節(jié)上的漏洞，各項工作比較分散且不能聚焦問責事件問題，指標體系建設和問責制裁方式的應用有所欠缺，需要兼顧多方責任保障。

3 優(yōu)化網(wǎng)絡信息安全問責機制的思路與建議

3.1 繼續(xù)健全網(wǎng)絡信息安全的問責依據(jù)

健全國家治理現(xiàn)代化視域下網(wǎng)絡信息安全問責機制，就必須完善法律制度體系，克服制度缺陷，彌補制度漏洞，為實施問責夯實法律依據(jù)和程序依據(jù)。應實現(xiàn)四個方面內(nèi)容：一是健全網(wǎng)絡信息安全問責機制的法律制度，實現(xiàn)問責合法化和剛性化，產(chǎn)生真正的法律約束力；二是整理劃分現(xiàn)有的規(guī)章制度，理順關系并消除存在沖突的條款，實現(xiàn)相關規(guī)定的內(nèi)在統(tǒng)一；三是細化、量化現(xiàn)有的網(wǎng)絡信息安全問責制度，增強可操作性和執(zhí)行力。

3.2 全面落實網(wǎng)絡信息安全的問責主體

我國應致力于建立以人大問責為核心，政府問責為主導，民意和輿論監(jiān)督為基礎，社會多方力量有序參與、協(xié)同配合的問責主體體系。全面落實網(wǎng)絡信息安全問責主體的地位和權力，明確其問責職能權限，逐步消除網(wǎng)絡信息安全問責的無作為、不作為、亂作為現(xiàn)象；通過人大監(jiān)督和上級考核提高問責主體的問責能力；通過發(fā)揮新聞媒體和民眾的輿論監(jiān)督調(diào)動問責主體的問責積極性；通過動員多元主體等多種形式參與問責工作。

3.3 精準確定網(wǎng)絡信息安全的問責客體

明確問責客體和對象，即確定和評估啟動問責的網(wǎng)絡安全事件，在此基礎上逐漸“問”到具體人員或單位。我國應當嚴格按照權責對等原則，對網(wǎng)絡信息安全的相關責任和義務作出細致清晰的規(guī)定，才能在追責問責時環(huán)環(huán)相扣找到具體的問責客體。問責客體的確定應“精準”，即客體涉及的范圍既不能無限擴大也不能有所遺漏，避免問責時無人負責或多人負責而無法追究或追究困難的現(xiàn)象。

3.4 調(diào)整充實網(wǎng)絡信息安全的問責內(nèi)容

調(diào)整充實網(wǎng)絡信息安全的問責內(nèi)容，明細界定網(wǎng)絡信息安全的問責范圍，在追究具體責任人的政治責任、倫理責任及職責責任的基礎上，法律責任、刑事責任也不容懈怠，同時落實連帶責任、領導責任、監(jiān)管責任等內(nèi)容。問責內(nèi)容擴展到一切有關公眾網(wǎng)絡信息安全利益的決策行為、執(zhí)行行為和監(jiān)督行為，并將事后問責擴展到事中和事前問責，貫穿于網(wǎng)絡信息安全日常活動的始終。

3.5 嚴格規(guī)范網(wǎng)絡信息安全的問責程序

網(wǎng)絡信息安全問責機制的建設要重點完善、嚴格規(guī)范問責程序，問責程序涉及的問責的啟動、責任的認定、問責的回應等需要進行規(guī)范化的流程管理。例如形成規(guī)范操作機制、協(xié)同共制機制；將問責時間和方式、問責步驟和順序明確化，形成全程介入機制；同時要保證問責程序如提立案、調(diào)查、決定等步驟的公正和透明；頂層設計構建系統(tǒng)、高效、規(guī)范的問責程序，使問責事件產(chǎn)生的負面效應最小化，問責效果最優(yōu)化。

4 結論

本文依托網(wǎng)絡安全相關法律法規(guī)，總結分析我國網(wǎng)絡信息安全問責機制的現(xiàn)行模式，呈現(xiàn)為問責系統(tǒng)各部分相互統(tǒng)一、相互關聯(lián)和作用的動態(tài)過程，針對機制運行過程中面臨的諸多挑戰(zhàn)和難題，提出推進網(wǎng)絡信息安全問責機制的現(xiàn)代化建設，應該堅持有責必問、問責必嚴，抓好問責依據(jù)、主體、客體、內(nèi)容、范圍、程序的制度化和規(guī)范化。網(wǎng)絡信息安全問責機制的發(fā)展優(yōu)化路徑還需進一步完善。