文 | 常州大學史良法學院 馬琳昆

5月15日，由中央網絡安全和信息化委員會辦公室、中央機構編制委員會辦公室、工業和信息化部、公安部制定的《互聯網政務應用安全管理規定》（以下簡稱《規定》）正式發布，自2024年7月1日起施行。

《規定》共8章44條，包括總則、開辦和建設、信息安全、網絡和數據安全、電子郵件安全、監測預警和應急處置、監督管理及附則。它的出臺為機關事業單位建設運行門戶網站、移動應用程序、公眾號、電子郵件系統提供依據，契合數字法治政府建設的時代要求。

明確互聯網政務應用建設運行的基本原則

《法治政府建設實施綱要（2021—2025年）》將“智能高效”設定為新發展階段法治政府建設的目標之一，明確提出“全面建設數字法治政府”，致力于提升法治政府建設的數字化水平。互聯網政務應用建設作為數字法治政府建設的重要內容之一，需要通過明確基本原則來實現引導。《規定》第三條明確互聯網政務應用建設運行的基本原則，要求依照有關法律、行政法規的規定及國家標準的強制性要求，落實網絡安全與互聯網政務應用原則，采取技術措施和其他必要措施，防范內容篡改、攻擊致癱、數據竊取等風險，保障互聯網政務應用安全穩定運行和數據安全。換句話說，機關事業單位要依據涉及網絡安全、數據安全、個人信息保護、密碼應用管理等相關法律，以及國家標準開展互聯網政務應用建設運行工作，進而確保互聯網政務應用安全穩定運行及相關數據安全。

為避免實踐中出現部門分割、公共行政任務碎片化等問題，《規定》特別強調，機關事業單位在互聯網政務應用建設運行中，要堅持“同步規劃、同步建設、同步使用”原則。因此，機關事業單位在互聯網上設立的門戶網站，通過互聯網提供公共服務的移動應用程序（含小程序）、公眾賬號等，以及互聯網電子郵件系統時，應進行整體規劃、集中建設，及時清理當前多網站、無標識、多域名、多層級、設門檻等行為，為用戶提供最大化便利。

細化互聯網政務應用運行的管理義務

近年來，隨著數字技術迅速發展，公共行政的數字化轉型成為法治政府建設的重要內容。為有效應對因管理不善、技術漏洞、操作失誤等內外部的威脅，在具體內容方面，《規定》第三章至第六章分別細化了機關事業單位在信息安全、網絡和數據安全、電子郵件安全，以及預警和應急方面的管理義務，進一步提升了對互聯網政務應用的安全保障力度。

一是規范信息發布審核機制。在數字化轉型中，政務應用在對接社會需求進行信息傳遞上發揮了巨大作用。而信息發布的權威性、真實性、準確性、及時性和嚴肅性是法治政府建設的重要衡量指標之一。因此，《規定》第十三條要求健全信息發布審核制度，明確審核程序，指定機構和在編人員負責審核工作，建立審核記錄檔案。機關事業單位在落實該規定時，應結合《網絡信息內容生態治理規定》的相關要求，確保信息來源渠道合法合規。若需要通過互聯網政務應用進行轉載或鏈接非互聯網政務應用時，機關事業單位應對信息內容進行校對和審核，嚴格把控信息的收集、整理、編輯、發布等環節。

二是強調數據分級分類治理和信息安全。大數據時代下，公共數據資源是全社會數據資源的主要來源之一，依托公共數據供給，機關事業單位擁有更豐富的數據資源庫，但這些數據在運用過程中必須重視公共數據安全和隱私保護問題。如何確保公共數據安全和個人隱私信息得到保護？《規定》明確，對互聯網政務應用的網站、公眾號、小程序、視頻號的有關數據進行分類分級管理，對自行收集的個人信息、商業秘密和未公開資料，未經提供方同意不得向第三方提供或公開；對于委托外包單位開展互聯網應用開發和運維時，要強化日常監督管理與考核問責，嚴格落實“涉密信息不上網，上網信息不涉密”要求。

三是確立互聯網政務應用等級保護與安全檢測評估。實踐中，微博、公眾號、視頻號、直播號等多種互聯網政務應用類型對安全監管規定的要求愈發細致。除遵循網絡安全、數據安全、個人信息保護等相關法律制度中的定級備案、等級測評、網絡安全評估和數據安全評估等義務外，《規定》還要求機關事業單位應當采取安全保密防控措施，對涉及國家秘密、工作秘密等予以保護。對于承載重要業務應用的政務網站、電子郵件等首次規定，要符合網絡安全等級保護第三級安全保護要求；還要求除在開辦互聯網政務應用時需加強身份核驗義務外，機關事業單位在運營過程中還應委托第三方網絡安全服務機構進行安全檢測評估。

四是要求提升監測和安全事件應急處置能力。為有效應對網絡安全事件，消除安全隱患，防止危害擴大，《規定》根據網絡安全事件的影響程度規定相應責任單位，要求對互聯網政務應用涉及的網站、公眾號、小程序、視頻號等部署安全監測工具，進行有效檢測、預警和處置，以確保日常安全。同時，《規定》要求機關事業單位制定安全事件的應急機制，對于發生或可能發生網絡安全事件時，應啟動應急預案，及時處置、消除隱患并向有關部門報告。對仿冒、假冒互聯網政務應用的監測工作，《規定》確立監管機制，要求機構編制管理部門會同網信部門開展針對假冒仿冒互聯網政務應用的掃描監測，受理相關投訴舉報。網信部門會同電信主管部門，及時對監測發現或網民舉報的假冒仿冒互聯網政務應用采取停止域名解析、阻斷互聯網連接和下線處理等措施。公安部門負責打擊假冒仿冒互聯網政務應用相關違法犯罪活動。

落實互聯網政務應用的監管責任

《規定》第七章明確了互聯網政務應用的監督管理職責，即中央網絡安全和信息化委員會辦公室負責統籌協調管理，中央機構編制管理部門負責身份核驗、名稱管理和標識管理，國務院電信主管部門負責域名監督管理和互聯網信息服務備案，國務院公安部門負責等級保護和相關安全管理工作。要求各地區、各部門承擔本地區、本行業機關事業單位互聯網政務應用安全管理責任，指定一名負責人分管相關工作，加強對互聯網政務應用安全工作的組織領導。

《規定》第四十一條明確責任追究制度，即“對違反或者未能正確履行本規定相關要求的，按照《黨委（黨組）網絡安全工作責任制實施辦法》等文件，依規依紀追究當事人和有關領導的責任”。即，各級黨政機關和事業單位，若違反或者未能正確履行《規定》第八條至第十一條相關規定則要追責。對于發生危害網絡安全行為的，各級黨委（黨組）應當逐級倒查，追究當事人、網絡安全負責人、主要負責人責任。協調監管不力的，還應當追究綜合協調或監管部門負責人責任。筆者認為，為嚴格落實互聯網政務應用的監督管理責任，實務中各級黨委（黨組）應建立互聯網政務應用安全責任制檢查考核制度，完善相應考核機制，進一步明確考核內容、方法、程序，將考核結果作為對相關領導干部的綜合考核評價內容。

（來源：民主與法制時報）