5月15日,由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定的《互联网政务应用安全管理规定》(以下简称《规定》)正式发布,自2024年7月1日起施行。
《规定》共8章44条,包括总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置、监督管理及附则。它的出台为机关事业单位建设运行门户网站、移动应用程序、公众号、电子邮件系统提供依据,契合数字法治政府建设的时代要求。
明确互联网政务应用建设运行的基本原则
《法治政府建设实施纲要(2021—2025年)》将“智能高效”设定为新发展阶段法治政府建设的目标之一,明确提出“全面建设数字法治政府”,致力于提升法治政府建设的数字化水平。互联网政务应用建设作为数字法治政府建设的重要内容之一,需要通过明确基本原则来实现引导。《规定》第三条明确互联网政务应用建设运行的基本原则,要求依照有关法律、行政法规的规定及国家标准的强制性要求,落实网络安全与互联网政务应用原则,采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。换句话说,机关事业单位要依据涉及网络安全、数据安全、个人信息保护、密码应用管理等相关法律,以及国家标准开展互联网政务应用建设运行工作,进而确保互联网政务应用安全稳定运行及相关数据安全。
为避免实践中出现部门分割、公共行政任务碎片化等问题,《规定》特别强调,机关事业单位在互联网政务应用建设运行中,要坚持“同步规划、同步建设、同步使用”原则。因此,机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统时,应进行整体规划、集中建设,及时清理当前多网站、无标识、多域名、多层级、设门槛等行为,为用户提供最大化便利。
细化互联网政务应用运行的管理义务
近年来,随着数字技术迅速发展,公共行政的数字化转型成为法治政府建设的重要内容。为有效应对因管理不善、技术漏洞、操作失误等内外部的威胁,在具体内容方面,《规定》第三章至第六章分别细化了机关事业单位在信息安全、网络和数据安全、电子邮件安全,以及预警和应急方面的管理义务,进一步提升了对互联网政务应用的安全保障力度。
一是规范信息发布审核机制。在数字化转型中,政务应用在对接社会需求进行信息传递上发挥了巨大作用。而信息发布的权威性、真实性、准确性、及时性和严肃性是法治政府建设的重要衡量指标之一。因此,《规定》第十三条要求健全信息发布审核制度,明确审核程序,指定机构和在编人员负责审核工作,建立审核记录档案。机关事业单位在落实该规定时,应结合《网络信息内容生态治理规定》的相关要求,确保信息来源渠道合法合规。若需要通过互联网政务应用进行转载或链接非互联网政务应用时,机关事业单位应对信息内容进行校对和审核,严格把控信息的收集、整理、编辑、发布等环节。
二是强调数据分级分类治理和信息安全。大数据时代下,公共数据资源是全社会数据资源的主要来源之一,依托公共数据供给,机关事业单位拥有更丰富的数据资源库,但这些数据在运用过程中必须重视公共数据安全和隐私保护问题。如何确保公共数据安全和个人隐私信息得到保护?《规定》明确,对互联网政务应用的网站、公众号、小程序、视频号的有关数据进行分类分级管理,对自行收集的个人信息、商业秘密和未公开资料,未经提供方同意不得向第三方提供或公开;对于委托外包单位开展互联网应用开发和运维时,要强化日常监督管理与考核问责,严格落实“涉密信息不上网,上网信息不涉密”要求。
三是确立互联网政务应用等级保护与安全检测评估。实践中,微博、公众号、视频号、直播号等多种互联网政务应用类型对安全监管规定的要求愈发细致。除遵循网络安全、数据安全、个人信息保护等相关法律制度中的定级备案、等级测评、网络安全评估和数据安全评估等义务外,《规定》还要求机关事业单位应当采取安全保密防控措施,对涉及国家秘密、工作秘密等予以保护。对于承载重要业务应用的政务网站、电子邮件等首次规定,要符合网络安全等级保护第三级安全保护要求;还要求除在开办互联网政务应用时需加强身份核验义务外,机关事业单位在运营过程中还应委托第三方网络安全服务机构进行安全检测评估。
四是要求提升监测和安全事件应急处置能力。为有效应对网络安全事件,消除安全隐患,防止危害扩大,《规定》根据网络安全事件的影响程度规定相应责任单位,要求对互联网政务应用涉及的网站、公众号、小程序、视频号等部署安全监测工具,进行有效检测、预警和处置,以确保日常安全。同时,《规定》要求机关事业单位制定安全事件的应急机制,对于发生或可能发生网络安全事件时,应启动应急预案,及时处置、消除隐患并向有关部门报告。对仿冒、假冒互联网政务应用的监测工作,《规定》确立监管机制,要求机构编制管理部门会同网信部门开展针对假冒仿冒互联网政务应用的扫描监测,受理相关投诉举报。网信部门会同电信主管部门,及时对监测发现或网民举报的假冒仿冒互联网政务应用采取停止域名解析、阻断互联网连接和下线处理等措施。公安部门负责打击假冒仿冒互联网政务应用相关违法犯罪活动。
落实互联网政务应用的监管责任
《规定》第七章明确了互联网政务应用的监督管理职责,即中央网络安全和信息化委员会办公室负责统筹协调管理,中央机构编制管理部门负责身份核验、名称管理和标识管理,国务院电信主管部门负责域名监督管理和互联网信息服务备案,国务院公安部门负责等级保护和相关安全管理工作。要求各地区、各部门承担本地区、本行业机关事业单位互联网政务应用安全管理责任,指定一名负责人分管相关工作,加强对互联网政务应用安全工作的组织领导。
《规定》第四十一条明确责任追究制度,即“对违反或者未能正确履行本规定相关要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任”。即,各级党政机关和事业单位,若违反或者未能正确履行《规定》第八条至第十一条相关规定则要追责。对于发生危害网络安全行为的,各级党委(党组)应当逐级倒查,追究当事人、网络安全负责人、主要负责人责任。协调监管不力的,还应当追究综合协调或监管部门负责人责任。笔者认为,为严格落实互联网政务应用的监督管理责任,实务中各级党委(党组)应建立互联网政务应用安全责任制检查考核制度,完善相应考核机制,进一步明确考核内容、方法、程序,将考核结果作为对相关领导干部的综合考核评价内容。