馬曉飛，盧奕同，艾力彼熱·艾力肯

(北京郵電大學(xué) 經(jīng)濟管理學(xué)院，北京100876)

0 引言

隨著網(wǎng)絡(luò)信息化已與各行各業(yè)深度融合，互聯(lián)網(wǎng)在推進國家治理現(xiàn)代化進程中發(fā)揮了不可替代的作用[1]?，F(xiàn)階段，國家范圍內(nèi)網(wǎng)絡(luò)信息屢遭偷竊、泄露、篡改以及不良網(wǎng)絡(luò)信息“滿天飛”的現(xiàn)象突出，問題背后是我國長期面臨網(wǎng)絡(luò)信息安全相關(guān)法律執(zhí)行力低、規(guī)章制度不健全、管理模式僵化等治理困境，很大程度上制約了我國網(wǎng)絡(luò)空間治理現(xiàn)代化進程。所謂“有權(quán)必有責(zé)，失職要問責(zé)”，從根本上解決和防范網(wǎng)絡(luò)信息安全問題應(yīng)該搭好制度的“籠子”，切實落實主體責(zé)任。實際上，網(wǎng)絡(luò)信息安全問責(zé)制度可將現(xiàn)實社會中的責(zé)任管制問題移植到網(wǎng)絡(luò)空間，把網(wǎng)絡(luò)空間的非制度化問責(zé)行為納入制度軌道[2]，是國家網(wǎng)絡(luò)空間治理實踐中主要的表現(xiàn)形式。當(dāng)前，網(wǎng)絡(luò)信息安全問責(zé)機制的構(gòu)建和發(fā)展是國家治理體系和治理能力現(xiàn)代化水平提升的必然要求，對優(yōu)化治理環(huán)境、強化主體責(zé)任意識、確保國家和社會的網(wǎng)絡(luò)信息安全有重要作用。

國外對于網(wǎng)絡(luò)信息安全問責(zé)機制的研究總體立足于問責(zé)機制的構(gòu)建，研究視角較為分散，綜合性研究較少。其中，文獻[3]從信息安全的角度出發(fā)，開展網(wǎng)絡(luò)信息安全問責(zé)制總體架構(gòu)設(shè)計以支持信息資源共享。文獻[4]通過開發(fā)信息問責(zé)制相關(guān)模型，來確保信息數(shù)據(jù)庫的正確存儲、使用和維護，認為網(wǎng)絡(luò)信息安全問責(zé)制的建立具有可行性和不可替代性。文獻[5]則改變現(xiàn)有信息信任鏈并提出更具創(chuàng)新性的解決方案以構(gòu)建具有責(zé)任意識的問責(zé)模式。國內(nèi)學(xué)者則大多從信息安全治理、行政問責(zé)和網(wǎng)絡(luò)問責(zé)等視角對網(wǎng)絡(luò)信息安全問責(zé)機制進行了學(xué)術(shù)探討，如宋濤[6]、胡洪彬[7]從網(wǎng)絡(luò)行政問責(zé)機制構(gòu)建的視角，對網(wǎng)絡(luò)信息安全問責(zé)過程和模式的進一步優(yōu)化提出了可行性建議。蓋宏偉[8]、易臣何[9]、黃煒[10]等從國家信息安全治理角度梳理了國內(nèi)外網(wǎng)絡(luò)信息安全問責(zé)制度的實踐經(jīng)驗，提出了對中國問責(zé)機制發(fā)展的啟發(fā)和建議。拓展研究網(wǎng)絡(luò)信息安全問責(zé)機制的中國特色發(fā)展路徑還需進一步加強。本文歸納總結(jié)了我國網(wǎng)絡(luò)信息安全問責(zé)機制的現(xiàn)行模式，深入分析了現(xiàn)階段的運行困境，對應(yīng)提出了完善我國網(wǎng)絡(luò)信息安全問責(zé)機制的建議。

1 我國網(wǎng)絡(luò)信息安全問責(zé)機制的現(xiàn)行模式

1.1 問責(zé)依據(jù)和內(nèi)容

黨的十八大以來，我國先后制定和頒布了一系列網(wǎng)絡(luò)安全法律法規(guī)和規(guī)章辦法，其不同程度地涉及了網(wǎng)絡(luò)信息安全問責(zé)內(nèi)容。2017年正式實施的《中華人民共和國網(wǎng)絡(luò)安全法》(簡稱《網(wǎng)絡(luò)安全法》)是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，其中針對網(wǎng)絡(luò)信息安全各類主體的法律責(zé)任和承擔(dān)的否定性后果予以了明確的規(guī)定。同年國家互聯(lián)網(wǎng)信息辦公室公布了《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》，針對肆意篡改、嫁接、虛構(gòu)新聞信息等情況，明確規(guī)定要采取行政手段實施問責(zé)行為。2018年公安部發(fā)布的《公安機關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》明確了公安機關(guān)執(zhí)法的職責(zé)權(quán)限以及企業(yè)配合公安機關(guān)執(zhí)法的權(quán)利和義務(wù)?！痘ヂ?lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》、《互聯(lián)網(wǎng)論壇社區(qū)服務(wù)管理規(guī)定》等規(guī)范性文件也針對網(wǎng)站的管理責(zé)任、網(wǎng)信部門的監(jiān)管責(zé)任、網(wǎng)民的用網(wǎng)責(zé)任等提出了要求，從制度層面為行業(yè)的規(guī)范發(fā)展確立了準(zhǔn)則。

問責(zé)內(nèi)容實質(zhì)是針對發(fā)生的和潛在的網(wǎng)絡(luò)信息安全違法失范具體行為進行責(zé)任追究和監(jiān)督，對導(dǎo)致國家利益、公眾利益或者公民的合法權(quán)益受到損害，或者造成不良影響的，不僅要嚴肅查處直接責(zé)任人，而且要追究相關(guān)領(lǐng)導(dǎo)人員的責(zé)任。問責(zé)主體即由誰來問責(zé)，我國對于網(wǎng)絡(luò)信息安全的管理實行“多頭分工、統(tǒng)一管理”，以政府部門問責(zé)為主，包括中央網(wǎng)信辦、工信部、發(fā)改委、保密局等主管部門，以立法和司法部門問責(zé)、第三方問責(zé)、社會公眾問責(zé)為輔的多元問責(zé)主體協(xié)同治理。另外中央還批準(zhǔn)成立了兩個重要機構(gòu)：國家信息安全產(chǎn)品測評認證中心和國家計算機網(wǎng)絡(luò)與信息安全管理中心，為網(wǎng)絡(luò)信息安全管理工作發(fā)揮著技術(shù)支撐的作用[11]。問責(zé)客體即向誰問責(zé)，也稱問責(zé)對象。在網(wǎng)絡(luò)信息安全領(lǐng)域，對國家部門機構(gòu)、社會各行業(yè)組織和公民的各項信息活動實施有效的管理監(jiān)督。問責(zé)主體承擔(dān)的責(zé)任包括決策責(zé)任、領(lǐng)導(dǎo)責(zé)任、執(zhí)行責(zé)任、管理責(zé)任、廉潔責(zé)任、效能責(zé)任、監(jiān)督責(zé)任等；問責(zé)客體承擔(dān)的責(zé)任包括正面責(zé)任、負面責(zé)任、直接責(zé)任、連帶責(zé)任、個人責(zé)任、主觀責(zé)任、客觀責(zé)任等，它們之間既相互區(qū)別，又相互滲透、相互轉(zhuǎn)化，構(gòu)成完整統(tǒng)一的問責(zé)責(zé)任體系。問責(zé)機制的設(shè)置原則體現(xiàn)著問責(zé)程序的合法性和強制性、問責(zé)主體的異體性和多元性、運行流程的動態(tài)性和一貫性、執(zhí)行問責(zé)的高效性和回應(yīng)性。

1.2 問責(zé)機制

1.2.1 流程管理機制

網(wǎng)絡(luò)信息安全問責(zé)機制的運行需要程序化規(guī)范，問責(zé)流程能夠流暢且完整進行更依賴于流程管理機制。流程管理機制包括預(yù)防機制、反應(yīng)機制、追責(zé)機制、協(xié)調(diào)管理機制、問責(zé)監(jiān)控機制。

一是建立預(yù)防機制。首先構(gòu)建網(wǎng)絡(luò)信息安全審查制度總體框架，形成應(yīng)急預(yù)案并有計劃開展監(jiān)測試點，指導(dǎo)監(jiān)測平臺運用核心技術(shù)與基礎(chǔ)設(shè)施對公共基礎(chǔ)信息網(wǎng)絡(luò)以及重點行業(yè)或部門的信息系統(tǒng)和安全事件自主監(jiān)測，多渠道形成日常審查報告，全方位發(fā)掘隱患和漏洞并做好精準(zhǔn)防控處理，構(gòu)建全產(chǎn)業(yè)鏈常態(tài)化保障格局[12]。二是反應(yīng)機制。反應(yīng)機制是關(guān)鍵環(huán)節(jié)，是落實和明確問責(zé)的基礎(chǔ)。焦點聚焦與動態(tài)監(jiān)管登記備案的網(wǎng)絡(luò)行為和使用情況，有信息安全危險源產(chǎn)生立即啟動反應(yīng)機制。三是追責(zé)機制。追責(zé)機制作為流程管理機制的核心環(huán)節(jié)，其重點目標(biāo)是實時跟蹤轉(zhuǎn)化，即責(zé)任追蹤-調(diào)查取證-問責(zé)決定。首先建立責(zé)任清單制度，匯總問題和調(diào)查取證，對應(yīng)責(zé)任追究的評判依據(jù)和事項名錄，揭示事件關(guān)聯(lián)主體并將其錄入程序系統(tǒng)，最后問責(zé)主體基于調(diào)查結(jié)果進行案件討論作出受理和處置決定。四是協(xié)調(diào)管理機制。協(xié)調(diào)管理機制是負責(zé)善后處置工作的必要環(huán)節(jié)，將問責(zé)處置結(jié)果第一時間傳達反饋，回顧和評價問責(zé)整體過程，使后續(xù)問責(zé)流程能夠恢復(fù)正常高效運轉(zhuǎn)。五是問責(zé)監(jiān)控機制。問責(zé)監(jiān)控是鞏固責(zé)任治理成果最有力的手段，嚴格遵守監(jiān)督實施條例進行有效的全過程內(nèi)外部責(zé)任監(jiān)督。圖1為網(wǎng)絡(luò)信息安全問責(zé)的流程管理機制圖。

圖1 網(wǎng)絡(luò)信息安全問責(zé)的流程管理機制圖

1.2.2 制約責(zé)任機制

問責(zé)機制中制約責(zé)任機制的建立是對主體職能交叉、客體責(zé)任不清等現(xiàn)象的糾正和約束，我國采用創(chuàng)新有效的“多頭分工、統(tǒng)一管理”方式[13]。

一是國家制約形式。國家各級政府為提高治理水平，不斷完善網(wǎng)絡(luò)信息安全監(jiān)控體系，制定全國性法律制度，《網(wǎng)絡(luò)安全法》作為法律基石，對信息安全責(zé)任和權(quán)利實行分類管理和統(tǒng)籌制約。國家加強對國產(chǎn)化核心技術(shù)發(fā)展的扶持，通過全方位技術(shù)創(chuàng)新實現(xiàn)網(wǎng)絡(luò)信息安全的協(xié)調(diào)發(fā)展和可控監(jiān)督。

二是部門制約形式。國家立法和司法部門機構(gòu)作為主要異體問責(zé)主體深入貫徹網(wǎng)信安全思想，最大限度優(yōu)化網(wǎng)絡(luò)信息化立法和司法體制，整合部門信息資源對網(wǎng)絡(luò)信息安全相關(guān)議題的實施狀況進行審計監(jiān)督[14]。我國問責(zé)制約機構(gòu)還包含工業(yè)和信息化部及其下設(shè)部門、國家網(wǎng)信辦等，鞏固推進網(wǎng)絡(luò)信息安全管理工作。

三是社會公眾制約形式。社會公眾在合理保障自身信息安全權(quán)利的同時，明確網(wǎng)絡(luò)信息安全崗位責(zé)任制的具體內(nèi)容，增強問責(zé)形式的多樣性，采取共同治理的共識模式，廣泛運用公眾投訴舉報、企業(yè)社會組織參與監(jiān)督等方式，充分拓寬責(zé)任制約渠道。圖2所示為網(wǎng)絡(luò)信息安全問責(zé)的制約責(zé)任機制圖。

圖2 網(wǎng)絡(luò)信息安全問責(zé)的制約責(zé)任機制圖

1.2.3 考評機制

網(wǎng)絡(luò)信息安全問責(zé)機制的考評機制在“行為—結(jié)果—責(zé)任”之間建立因果鏈，以考評信息、企業(yè)與人員、產(chǎn)品與系統(tǒng)的應(yīng)用為核心，來實現(xiàn)機制的有效契合[15]?？荚u機制主要概括為六項工作：考核測評工作、資質(zhì)考評工作、信息安全產(chǎn)品和系統(tǒng)測評工作、評估懲罰工作、目標(biāo)激勵管理工作以及綜合培訓(xùn)工作。

考核測評是考核主體設(shè)計考核標(biāo)準(zhǔn)和制定細則要求，建立系統(tǒng)化、科學(xué)化、精細化和量級化的考評制度，對問責(zé)主體問責(zé)執(zhí)行不力、問責(zé)客體責(zé)任落實不暢等情況進行監(jiān)管、通報、追責(zé)、裁定、整改等一系列問責(zé)考核過程。中國信息安全測評中心為我國網(wǎng)絡(luò)信息安全管理工作提供堅實的技術(shù)保障，構(gòu)建了一套專屬的信息安全專業(yè)人員能力認證的綜合考評機制。資質(zhì)考評是對提供網(wǎng)絡(luò)信息安全服務(wù)的企業(yè)組織資質(zhì)進行核定和評估，并考證信息技術(shù)產(chǎn)品和硬件設(shè)備以及系統(tǒng)、軟件、數(shù)據(jù)庫等的安全性[16]，確保提供信息服務(wù)時所運用技術(shù)、資源、法律和管理等具有一定的穩(wěn)定性和可靠性。評估懲罰機制的建立是為了更好推動問責(zé)機制永續(xù)發(fā)展，解決實際問題。目標(biāo)激勵管理工作建立了合理的下屬機制，如激勵-約束機制、競爭-合作機制和新陳代謝機制，有效激勵了網(wǎng)絡(luò)信息安全管理工作中的專業(yè)技術(shù)人員，并充分考量數(shù)據(jù)分析工作中的主觀因素，提升了組織人員的溝通和審議討論的質(zhì)量[17]。綜合培訓(xùn)工作則為定期開展相關(guān)信息安全技術(shù)教育和培訓(xùn)工作，包括信息安全專業(yè)人員的專業(yè)知識培訓(xùn)、重要信息系統(tǒng)使用準(zhǔn)則及注意事項，信息安全意識培育等[16]。圖3為網(wǎng)絡(luò)信息安全問責(zé)的考評機制圖。

2 我國網(wǎng)絡(luò)信息安全問責(zé)機制的運行困境

2.1 法律法規(guī)問責(zé)條款有待細化

目前，我國在網(wǎng)絡(luò)信息安全問責(zé)領(lǐng)域面臨的困境是“有問責(zé)之事，而無問責(zé)之法”。在問責(zé)實體依據(jù)層面，我國網(wǎng)絡(luò)信息安全問責(zé)部分只是在相關(guān)法律法規(guī)及政策文件中進行了大致的闡述和規(guī)定，針對網(wǎng)絡(luò)信息安全問責(zé)內(nèi)容并沒有細化的法律條例，問責(zé)標(biāo)準(zhǔn)、主體認定、責(zé)任劃分等籠統(tǒng)而模糊，可操作性和效用針對性相對較低。在程序依據(jù)層面，網(wǎng)絡(luò)信息安全問責(zé)呈現(xiàn)重實體、輕程序的傾向。

2.2 網(wǎng)絡(luò)信息安全的問責(zé)主體不到位

一是我國互聯(lián)網(wǎng)行政隊伍力量相對弱小；二是在網(wǎng)絡(luò)信息安全的同體問責(zé)中由于政府職能部門之間缺乏互聯(lián)互通，職責(zé)不清或職能交叉，使得責(zé)任落實和追究過程中問責(zé)主體難以明確；三是網(wǎng)絡(luò)信息安全問責(zé)的異體問責(zé)較為薄弱，大多數(shù)網(wǎng)絡(luò)信息安全問責(zé)局限于政府內(nèi)部問責(zé)，政府之外的問責(zé)主體或因問責(zé)渠道不通暢、或因問責(zé)能力不足等很難起到切實的監(jiān)管作用。

2.3 網(wǎng)絡(luò)信息安全的問責(zé)客體泛化不具體

網(wǎng)絡(luò)信息安全問責(zé)的最終目標(biāo)是建立一個常態(tài)化的問責(zé)體系，對問責(zé)客體精準(zhǔn)把握、監(jiān)督和追究。在問責(zé)過程中，由于責(zé)任主體難以明確，責(zé)任問詢和監(jiān)督是需要聚焦的重點攻堅任務(wù)，尚存在問責(zé)客體的責(zé)任認定原則沒有精細劃定與歸類，責(zé)任認定程序還較為欠缺且具有很強的臨時性，問責(zé)實施過程容易造成思維定勢等問題。

2.4 網(wǎng)絡(luò)信息安全的問責(zé)范圍較為狹窄

目前的網(wǎng)絡(luò)信息安全問責(zé)多是具體結(jié)果驅(qū)動的事后問責(zé)，即在出現(xiàn)顯性的重大網(wǎng)絡(luò)安全事故或具體過錯之后啟動問責(zé)工作。問責(zé)范圍相對狹窄往往導(dǎo)致疏忽于事前預(yù)警，忽略了可能發(fā)生和即將發(fā)生的觸發(fā)性隱患。網(wǎng)絡(luò)信息安全的追責(zé)究責(zé)不能僅限于關(guān)系公共利益的重大網(wǎng)絡(luò)信息安全事件，而應(yīng)包括相關(guān)行政機關(guān)及行政人員的監(jiān)察失職、用人失察、領(lǐng)導(dǎo)過失、決策不當(dāng)、應(yīng)對不力等方面。

2.5 網(wǎng)絡(luò)信息安全的問責(zé)程序規(guī)范性不足

網(wǎng)絡(luò)信息安全問責(zé)機制流程管理有序性不足，問責(zé)方式及結(jié)果界定不清，各問責(zé)環(huán)節(jié)之間各自孤立；考評機制與其他機制相比較為薄弱，機制的整合還缺乏多重視角下系統(tǒng)性的規(guī)劃研究和清晰呈現(xiàn)，仍有中間環(huán)節(jié)上的漏洞，各項工作比較分散且不能聚焦問責(zé)事件問題，指標(biāo)體系建設(shè)和問責(zé)制裁方式的應(yīng)用有所欠缺，需要兼顧多方責(zé)任保障。

3 優(yōu)化網(wǎng)絡(luò)信息安全問責(zé)機制的思路與建議

3.1 繼續(xù)健全網(wǎng)絡(luò)信息安全的問責(zé)依據(jù)

健全國家治理現(xiàn)代化視域下網(wǎng)絡(luò)信息安全問責(zé)機制，就必須完善法律制度體系，克服制度缺陷，彌補制度漏洞，為實施問責(zé)夯實法律依據(jù)和程序依據(jù)。應(yīng)實現(xiàn)四個方面內(nèi)容：一是健全網(wǎng)絡(luò)信息安全問責(zé)機制的法律制度，實現(xiàn)問責(zé)合法化和剛性化，產(chǎn)生真正的法律約束力；二是整理劃分現(xiàn)有的規(guī)章制度，理順關(guān)系并消除存在沖突的條款，實現(xiàn)相關(guān)規(guī)定的內(nèi)在統(tǒng)一；三是細化、量化現(xiàn)有的網(wǎng)絡(luò)信息安全問責(zé)制度，增強可操作性和執(zhí)行力。

3.2 全面落實網(wǎng)絡(luò)信息安全的問責(zé)主體

我國應(yīng)致力于建立以人大問責(zé)為核心，政府問責(zé)為主導(dǎo)，民意和輿論監(jiān)督為基礎(chǔ)，社會多方力量有序參與、協(xié)同配合的問責(zé)主體體系。全面落實網(wǎng)絡(luò)信息安全問責(zé)主體的地位和權(quán)力，明確其問責(zé)職能權(quán)限，逐步消除網(wǎng)絡(luò)信息安全問責(zé)的無作為、不作為、亂作為現(xiàn)象；通過人大監(jiān)督和上級考核提高問責(zé)主體的問責(zé)能力；通過發(fā)揮新聞媒體和民眾的輿論監(jiān)督調(diào)動問責(zé)主體的問責(zé)積極性；通過動員多元主體等多種形式參與問責(zé)工作。

3.3 精準(zhǔn)確定網(wǎng)絡(luò)信息安全的問責(zé)客體

明確問責(zé)客體和對象，即確定和評估啟動問責(zé)的網(wǎng)絡(luò)安全事件，在此基礎(chǔ)上逐漸“問”到具體人員或單位。我國應(yīng)當(dāng)嚴格按照權(quán)責(zé)對等原則，對網(wǎng)絡(luò)信息安全的相關(guān)責(zé)任和義務(wù)作出細致清晰的規(guī)定，才能在追責(zé)問責(zé)時環(huán)環(huán)相扣找到具體的問責(zé)客體。問責(zé)客體的確定應(yīng)“精準(zhǔn)”，即客體涉及的范圍既不能無限擴大也不能有所遺漏，避免問責(zé)時無人負責(zé)或多人負責(zé)而無法追究或追究困難的現(xiàn)象。

3.4 調(diào)整充實網(wǎng)絡(luò)信息安全的問責(zé)內(nèi)容

調(diào)整充實網(wǎng)絡(luò)信息安全的問責(zé)內(nèi)容，明細界定網(wǎng)絡(luò)信息安全的問責(zé)范圍，在追究具體責(zé)任人的政治責(zé)任、倫理責(zé)任及職責(zé)責(zé)任的基礎(chǔ)上，法律責(zé)任、刑事責(zé)任也不容懈怠，同時落實連帶責(zé)任、領(lǐng)導(dǎo)責(zé)任、監(jiān)管責(zé)任等內(nèi)容。問責(zé)內(nèi)容擴展到一切有關(guān)公眾網(wǎng)絡(luò)信息安全利益的決策行為、執(zhí)行行為和監(jiān)督行為，并將事后問責(zé)擴展到事中和事前問責(zé)，貫穿于網(wǎng)絡(luò)信息安全日?；顒拥氖冀K。

3.5 嚴格規(guī)范網(wǎng)絡(luò)信息安全的問責(zé)程序

網(wǎng)絡(luò)信息安全問責(zé)機制的建設(shè)要重點完善、嚴格規(guī)范問責(zé)程序，問責(zé)程序涉及的問責(zé)的啟動、責(zé)任的認定、問責(zé)的回應(yīng)等需要進行規(guī)范化的流程管理。例如形成規(guī)范操作機制、協(xié)同共制機制；將問責(zé)時間和方式、問責(zé)步驟和順序明確化，形成全程介入機制；同時要保證問責(zé)程序如提立案、調(diào)查、決定等步驟的公正和透明；頂層設(shè)計構(gòu)建系統(tǒng)、高效、規(guī)范的問責(zé)程序，使問責(zé)事件產(chǎn)生的負面效應(yīng)最小化，問責(zé)效果最優(yōu)化。

4 結(jié)論

本文依托網(wǎng)絡(luò)安全相關(guān)法律法規(guī)，總結(jié)分析我國網(wǎng)絡(luò)信息安全問責(zé)機制的現(xiàn)行模式，呈現(xiàn)為問責(zé)系統(tǒng)各部分相互統(tǒng)一、相互關(guān)聯(lián)和作用的動態(tài)過程，針對機制運行過程中面臨的諸多挑戰(zhàn)和難題，提出推進網(wǎng)絡(luò)信息安全問責(zé)機制的現(xiàn)代化建設(shè)，應(yīng)該堅持有責(zé)必問、問責(zé)必嚴，抓好問責(zé)依據(jù)、主體、客體、內(nèi)容、范圍、程序的制度化和規(guī)范化。網(wǎng)絡(luò)信息安全問責(zé)機制的發(fā)展優(yōu)化路徑還需進一步完善。