国家治理现代化视域下我国网络信息安全问责机制研究*

马晓飞，卢奕同，艾力彼热·艾力肯

(北京邮电大学 经济管理学院，北京100876)

0 引言

随着网络信息化已与各行各业深度融合，互联网在推进国家治理现代化进程中发挥了不可替代的作用[1]。现阶段，国家范围内网络信息屡遭偷窃、泄露、篡改以及不良网络信息“满天飞”的现象突出，问题背后是我国长期面临网络信息安全相关法律执行力低、规章制度不健全、管理模式僵化等治理困境，很大程度上制约了我国网络空间治理现代化进程。所谓“有权必有责，失职要问责”，从根本上解决和防范网络信息安全问题应该搭好制度的“笼子”，切实落实主体责任。实际上，网络信息安全问责制度可将现实社会中的责任管制问题移植到网络空间，把网络空间的非制度化问责行为纳入制度轨道[2]，是国家网络空间治理实践中主要的表现形式。当前，网络信息安全问责机制的构建和发展是国家治理体系和治理能力现代化水平提升的必然要求，对优化治理环境、强化主体责任意识、确保国家和社会的网络信息安全有重要作用。

国外对于网络信息安全问责机制的研究总体立足于问责机制的构建，研究视角较为分散，综合性研究较少。其中，文献[3]从信息安全的角度出发，开展网络信息安全问责制总体架构设计以支持信息资源共享。文献[4]通过开发信息问责制相关模型，来确保信息数据库的正确存储、使用和维护，认为网络信息安全问责制的建立具有可行性和不可替代性。文献[5]则改变现有信息信任链并提出更具创新性的解决方案以构建具有责任意识的问责模式。国内学者则大多从信息安全治理、行政问责和网络问责等视角对网络信息安全问责机制进行了学术探讨，如宋涛[6]、胡洪彬[7]从网络行政问责机制构建的视角，对网络信息安全问责过程和模式的进一步优化提出了可行性建议。盖宏伟[8]、易臣何[9]、黄炜[10]等从国家信息安全治理角度梳理了国内外网络信息安全问责制度的实践经验，提出了对中国问责机制发展的启发和建议。拓展研究网络信息安全问责机制的中国特色发展路径还需进一步加强。本文归纳总结了我国网络信息安全问责机制的现行模式，深入分析了现阶段的运行困境，对应提出了完善我国网络信息安全问责机制的建议。

1 我国网络信息安全问责机制的现行模式

1.1 问责依据和内容

党的十八大以来，我国先后制定和颁布了一系列网络安全法律法规和规章办法，其不同程度地涉及了网络信息安全问责内容。2017年正式实施的《中华人民共和国网络安全法》(简称《网络安全法》)是我国第一部全面规范网络空间安全管理方面问题的基础性法律，其中针对网络信息安全各类主体的法律责任和承担的否定性后果予以了明确的规定。同年国家互联网信息办公室公布了《互联网新闻信息服务管理规定》，针对肆意篡改、嫁接、虚构新闻信息等情况，明确规定要采取行政手段实施问责行为。2018年公安部发布的《公安机关互联网安全监督检查规定》明确了公安机关执法的职责权限以及企业配合公安机关执法的权利和义务。《互联网网络安全突发事件应急预案》、《互联网论坛社区服务管理规定》等规范性文件也针对网站的管理责任、网信部门的监管责任、网民的用网责任等提出了要求，从制度层面为行业的规范发展确立了准则。

问责内容实质是针对发生的和潜在的网络信息安全违法失范具体行为进行责任追究和监督，对导致国家利益、公众利益或者公民的合法权益受到损害，或者造成不良影响的，不仅要严肃查处直接责任人，而且要追究相关领导人员的责任。问责主体即由谁来问责，我国对于网络信息安全的管理实行“多头分工、统一管理”，以政府部门问责为主，包括中央网信办、工信部、发改委、保密局等主管部门，以立法和司法部门问责、第三方问责、社会公众问责为辅的多元问责主体协同治理。另外中央还批准成立了两个重要机构：国家信息安全产品测评认证中心和国家计算机网络与信息安全管理中心，为网络信息安全管理工作发挥着技术支撑的作用[11]。问责客体即向谁问责，也称问责对象。在网络信息安全领域，对国家部门机构、社会各行业组织和公民的各项信息活动实施有效的管理监督。问责主体承担的责任包括决策责任、领导责任、执行责任、管理责任、廉洁责任、效能责任、监督责任等；问责客体承担的责任包括正面责任、负面责任、直接责任、连带责任、个人责任、主观责任、客观责任等，它们之间既相互区别，又相互渗透、相互转化，构成完整统一的问责责任体系。问责机制的设置原则体现着问责程序的合法性和强制性、问责主体的异体性和多元性、运行流程的动态性和一贯性、执行问责的高效性和回应性。

1.2 问责机制

1.2.1 流程管理机制

网络信息安全问责机制的运行需要程序化规范，问责流程能够流畅且完整进行更依赖于流程管理机制。流程管理机制包括预防机制、反应机制、追责机制、协调管理机制、问责监控机制。

一是建立预防机制。首先构建网络信息安全审查制度总体框架，形成应急预案并有计划开展监测试点，指导监测平台运用核心技术与基础设施对公共基础信息网络以及重点行业或部门的信息系统和安全事件自主监测，多渠道形成日常审查报告，全方位发掘隐患和漏洞并做好精准防控处理，构建全产业链常态化保障格局[12]。二是反应机制。反应机制是关键环节，是落实和明确问责的基础。焦点聚焦与动态监管登记备案的网络行为和使用情况，有信息安全危险源产生立即启动反应机制。三是追责机制。追责机制作为流程管理机制的核心环节，其重点目标是实时跟踪转化，即责任追踪-调查取证-问责决定。首先建立责任清单制度，汇总问题和调查取证，对应责任追究的评判依据和事项名录，揭示事件关联主体并将其录入程序系统，最后问责主体基于调查结果进行案件讨论作出受理和处置决定。四是协调管理机制。协调管理机制是负责善后处置工作的必要环节，将问责处置结果第一时间传达反馈，回顾和评价问责整体过程，使后续问责流程能够恢复正常高效运转。五是问责监控机制。问责监控是巩固责任治理成果最有力的手段，严格遵守监督实施条例进行有效的全过程内外部责任监督。图1为网络信息安全问责的流程管理机制图。

图1 网络信息安全问责的流程管理机制图

1.2.2 制约责任机制

问责机制中制约责任机制的建立是对主体职能交叉、客体责任不清等现象的纠正和约束，我国采用创新有效的“多头分工、统一管理”方式[13]。

一是国家制约形式。国家各级政府为提高治理水平，不断完善网络信息安全监控体系，制定全国性法律制度，《网络安全法》作为法律基石，对信息安全责任和权利实行分类管理和统筹制约。国家加强对国产化核心技术发展的扶持，通过全方位技术创新实现网络信息安全的协调发展和可控监督。

二是部门制约形式。国家立法和司法部门机构作为主要异体问责主体深入贯彻网信安全思想，最大限度优化网络信息化立法和司法体制，整合部门信息资源对网络信息安全相关议题的实施状况进行审计监督[14]。我国问责制约机构还包含工业和信息化部及其下设部门、国家网信办等，巩固推进网络信息安全管理工作。

三是社会公众制约形式。社会公众在合理保障自身信息安全权利的同时，明确网络信息安全岗位责任制的具体内容，增强问责形式的多样性，采取共同治理的共识模式，广泛运用公众投诉举报、企业社会组织参与监督等方式，充分拓宽责任制约渠道。图2所示为网络信息安全问责的制约责任机制图。

图2 网络信息安全问责的制约责任机制图

1.2.3 考评机制

网络信息安全问责机制的考评机制在“行为—结果—责任”之间建立因果链，以考评信息、企业与人员、产品与系统的应用为核心，来实现机制的有效契合[15]。考评机制主要概括为六项工作：考核测评工作、资质考评工作、信息安全产品和系统测评工作、评估惩罚工作、目标激励管理工作以及综合培训工作。

考核测评是考核主体设计考核标准和制定细则要求，建立系统化、科学化、精细化和量级化的考评制度，对问责主体问责执行不力、问责客体责任落实不畅等情况进行监管、通报、追责、裁定、整改等一系列问责考核过程。中国信息安全测评中心为我国网络信息安全管理工作提供坚实的技术保障，构建了一套专属的信息安全专业人员能力认证的综合考评机制。资质考评是对提供网络信息安全服务的企业组织资质进行核定和评估，并考证信息技术产品和硬件设备以及系统、软件、数据库等的安全性[16]，确保提供信息服务时所运用技术、资源、法律和管理等具有一定的稳定性和可靠性。评估惩罚机制的建立是为了更好推动问责机制永续发展，解决实际问题。目标激励管理工作建立了合理的下属机制，如激励-约束机制、竞争-合作机制和新陈代谢机制，有效激励了网络信息安全管理工作中的专业技术人员，并充分考量数据分析工作中的主观因素，提升了组织人员的沟通和审议讨论的质量[17]。综合培训工作则为定期开展相关信息安全技术教育和培训工作，包括信息安全专业人员的专业知识培训、重要信息系统使用准则及注意事项，信息安全意识培育等[16]。图3为网络信息安全问责的考评机制图。

2 我国网络信息安全问责机制的运行困境

2.1 法律法规问责条款有待细化

目前，我国在网络信息安全问责领域面临的困境是“有问责之事，而无问责之法”。在问责实体依据层面，我国网络信息安全问责部分只是在相关法律法规及政策文件中进行了大致的阐述和规定，针对网络信息安全问责内容并没有细化的法律条例，问责标准、主体认定、责任划分等笼统而模糊，可操作性和效用针对性相对较低。在程序依据层面，网络信息安全问责呈现重实体、轻程序的倾向。

2.2 网络信息安全的问责主体不到位

一是我国互联网行政队伍力量相对弱小；二是在网络信息安全的同体问责中由于政府职能部门之间缺乏互联互通，职责不清或职能交叉，使得责任落实和追究过程中问责主体难以明确；三是网络信息安全问责的异体问责较为薄弱，大多数网络信息安全问责局限于政府内部问责，政府之外的问责主体或因问责渠道不通畅、或因问责能力不足等很难起到切实的监管作用。

2.3 网络信息安全的问责客体泛化不具体

网络信息安全问责的最终目标是建立一个常态化的问责体系，对问责客体精准把握、监督和追究。在问责过程中，由于责任主体难以明确，责任问询和监督是需要聚焦的重点攻坚任务，尚存在问责客体的责任认定原则没有精细划定与归类，责任认定程序还较为欠缺且具有很强的临时性，问责实施过程容易造成思维定势等问题。

2.4 网络信息安全的问责范围较为狭窄

目前的网络信息安全问责多是具体结果驱动的事后问责，即在出现显性的重大网络安全事故或具体过错之后启动问责工作。问责范围相对狭窄往往导致疏忽于事前预警，忽略了可能发生和即将发生的触发性隐患。网络信息安全的追责究责不能仅限于关系公共利益的重大网络信息安全事件，而应包括相关行政机关及行政人员的监察失职、用人失察、领导过失、决策不当、应对不力等方面。

2.5 网络信息安全的问责程序规范性不足

网络信息安全问责机制流程管理有序性不足，问责方式及结果界定不清，各问责环节之间各自孤立；考评机制与其他机制相比较为薄弱，机制的整合还缺乏多重视角下系统性的规划研究和清晰呈现，仍有中间环节上的漏洞，各项工作比较分散且不能聚焦问责事件问题，指标体系建设和问责制裁方式的应用有所欠缺，需要兼顾多方责任保障。

3 优化网络信息安全问责机制的思路与建议

3.1 继续健全网络信息安全的问责依据

健全国家治理现代化视域下网络信息安全问责机制，就必须完善法律制度体系，克服制度缺陷，弥补制度漏洞，为实施问责夯实法律依据和程序依据。应实现四个方面内容：一是健全网络信息安全问责机制的法律制度，实现问责合法化和刚性化，产生真正的法律约束力；二是整理划分现有的规章制度，理顺关系并消除存在冲突的条款，实现相关规定的内在统一；三是细化、量化现有的网络信息安全问责制度，增强可操作性和执行力。

3.2 全面落实网络信息安全的问责主体

我国应致力于建立以人大问责为核心，政府问责为主导，民意和舆论监督为基础，社会多方力量有序参与、协同配合的问责主体体系。全面落实网络信息安全问责主体的地位和权力，明确其问责职能权限，逐步消除网络信息安全问责的无作为、不作为、乱作为现象；通过人大监督和上级考核提高问责主体的问责能力；通过发挥新闻媒体和民众的舆论监督调动问责主体的问责积极性；通过动员多元主体等多种形式参与问责工作。

3.3 精准确定网络信息安全的问责客体

明确问责客体和对象，即确定和评估启动问责的网络安全事件，在此基础上逐渐“问”到具体人员或单位。我国应当严格按照权责对等原则，对网络信息安全的相关责任和义务作出细致清晰的规定，才能在追责问责时环环相扣找到具体的问责客体。问责客体的确定应“精准”，即客体涉及的范围既不能无限扩大也不能有所遗漏，避免问责时无人负责或多人负责而无法追究或追究困难的现象。

3.4 调整充实网络信息安全的问责内容

调整充实网络信息安全的问责内容，明细界定网络信息安全的问责范围，在追究具体责任人的政治责任、伦理责任及职责责任的基础上，法律责任、刑事责任也不容懈怠，同时落实连带责任、领导责任、监管责任等内容。问责内容扩展到一切有关公众网络信息安全利益的决策行为、执行行为和监督行为，并将事后问责扩展到事中和事前问责，贯穿于网络信息安全日常活动的始终。

3.5 严格规范网络信息安全的问责程序

网络信息安全问责机制的建设要重点完善、严格规范问责程序，问责程序涉及的问责的启动、责任的认定、问责的回应等需要进行规范化的流程管理。例如形成规范操作机制、协同共制机制；将问责时间和方式、问责步骤和顺序明确化，形成全程介入机制；同时要保证问责程序如提立案、调查、决定等步骤的公正和透明；顶层设计构建系统、高效、规范的问责程序，使问责事件产生的负面效应最小化，问责效果最优化。

4 结论

本文依托网络安全相关法律法规，总结分析我国网络信息安全问责机制的现行模式，呈现为问责系统各部分相互统一、相互关联和作用的动态过程，针对机制运行过程中面临的诸多挑战和难题，提出推进网络信息安全问责机制的现代化建设，应该坚持有责必问、问责必严，抓好问责依据、主体、客体、内容、范围、程序的制度化和规范化。网络信息安全问责机制的发展优化路径还需进一步完善。