國務(wù)院法制辦今日就《民航網(wǎng)絡(luò)信息安全管理規(guī)定(暫行)(征求意見稿)》公開征求意見。《征求意見稿》要求民航各單位制定旅客信息保護(hù)制度,對在提供服務(wù)過程中收集、使用的旅客信息,應(yīng)當(dāng)采取相應(yīng)措施嚴(yán)格保護(hù),不得泄露、篡改或者毀損,不得出售或者非法向他人提供。

　　民航網(wǎng)信安全管理“無法可依”

民航是國家重要的戰(zhàn)略產(chǎn)業(yè),是國家網(wǎng)絡(luò)安全工作的重要行業(yè)。據(jù)了解,目前民航網(wǎng)絡(luò)信息安全工作的管理尚依賴于管理文件,存在一定程度的“無法可依”的問題,并且管理文件的規(guī)定內(nèi)容也不夠系統(tǒng)全面,很難滿足民航網(wǎng)絡(luò)信息安全工作的需要。

由于民航網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò)規(guī)模大、系統(tǒng)復(fù)雜、專業(yè)性強,民航的生產(chǎn)運行對信息網(wǎng)絡(luò)依賴性強,關(guān)鍵信息基礎(chǔ)設(shè)施一旦出現(xiàn)問題,將影響全行業(yè)正常運行。來自國內(nèi)外的網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等非法活動時時刻刻發(fā)生,嚴(yán)重威脅著民航重要網(wǎng)絡(luò)和信息系統(tǒng)的運行安全。

此外,社會以及行業(yè)內(nèi)非法獲取、泄露甚至倒賣民航旅客個人信息時有發(fā)生,嚴(yán)重?fù)p害民航旅客合法權(quán)益。因此,規(guī)范民航網(wǎng)絡(luò)信息安全管理非常必要。

轉(zhuǎn)移旅客信息或須簽保護(hù)協(xié)議

《征求意見稿》圍繞網(wǎng)絡(luò)運行安全與信息安全的目標(biāo),針對民航各單位在實際工作中應(yīng)落實的各項制度和措施進(jìn)行明確。

《征求意見稿》規(guī)定,建立等級保護(hù)制度。新建信息系統(tǒng)或者信息系統(tǒng)發(fā)生重大變更時,首先確定信息系統(tǒng)的安全保護(hù)等級,并同步建設(shè)符合該安全保護(hù)等級要求的安全保護(hù)設(shè)施。

建立網(wǎng)絡(luò)信息安全信息通報制度,按照規(guī)定通報程序向民航行政管理機構(gòu)報告有關(guān)情況,不得瞞報、緩報、謊報、遲報和推諉責(zé)任。

對于需要外包服務(wù)或遠(yuǎn)程技術(shù)服務(wù)的,《征求意見稿》要求與提供者簽訂安全保密協(xié)議。

在民用機場、航空器等公共場所為民航旅客提供互聯(lián)網(wǎng)接入服務(wù)的企業(yè),應(yīng)當(dāng)采取身份認(rèn)證、上網(wǎng)行為審計等安全技術(shù)措施保護(hù)旅客個人信息安全,同時保證公共網(wǎng)絡(luò)區(qū)域與民航內(nèi)部網(wǎng)絡(luò)物理隔離。

對于網(wǎng)站和網(wǎng)上運行業(yè)務(wù)系統(tǒng)技術(shù)防護(hù)體系建設(shè),《征求意見稿》要求,采取有效防護(hù)措施,提高防篡改、防病毒、防攻擊、防癱瘓、防掛馬能力。建立完善網(wǎng)站信息發(fā)布審核制度,加強網(wǎng)站內(nèi)容安全監(jiān)測和應(yīng)急處置,定期進(jìn)行安全檢查和風(fēng)險評估。

旅客信息保護(hù)問題是社會熱點問題,近年來民航“退改簽詐騙”“航空詐騙”等問題經(jīng)常發(fā)生。為此,《征求意見稿》從制度和技術(shù)層面對旅客信息保護(hù)加以規(guī)定,主要包括旅客信息保護(hù)制度,收集使用旅客信息的規(guī)定以及旅客信息轉(zhuǎn)移或委托的規(guī)定。

《征求意見稿》明確,民航各單位在收集、使用旅客信息時,不得收集與其提供的服務(wù)無關(guān)的旅客信息,不得違反法律、法規(guī)的規(guī)定收集、使用和向第三方提供旅客信息。

《征求意見稿》強調(diào),將旅客信息轉(zhuǎn)移或委托給其他組織或機構(gòu)使用的,應(yīng)當(dāng)簽訂旅客信息保護(hù)協(xié)議,明確旅客信息使用范圍和保護(hù)責(zé)任。

明確網(wǎng)絡(luò)信息安全監(jiān)察員職責(zé)

安全檢查是保障安全生產(chǎn)的重要手段,其目的是查明各種危險和隱患,監(jiān)督各項安全管理制度的落實,制止違法行為。根據(jù)監(jiān)管實際需要,《征求意見稿》中對網(wǎng)絡(luò)安全監(jiān)察員的職責(zé)等內(nèi)容予以進(jìn)一步明確。

《征求意見稿》規(guī)定,網(wǎng)絡(luò)信息安全監(jiān)察員的主要職責(zé)包括:對轄區(qū)內(nèi)民航各企事業(yè)單位網(wǎng)絡(luò)信息安全工作實施監(jiān)督檢查,制定網(wǎng)絡(luò)信息安全工作計劃；按照網(wǎng)絡(luò)信息安全信息通報制度向上級行政管理機構(gòu)報告轄區(qū)內(nèi)網(wǎng)絡(luò)信息安全情況；參與轄區(qū)內(nèi)網(wǎng)絡(luò)信息安全事件調(diào)查等。

民航各級行政管理機構(gòu)實行網(wǎng)絡(luò)信息安全年度檢查和專項檢查制度,將網(wǎng)絡(luò)信息安全檢查工作列入年度行政檢查計劃。

對檢查中發(fā)現(xiàn)的重大安全隱患,應(yīng)當(dāng)責(zé)令有關(guān)單位立即排除；對檢查中發(fā)現(xiàn)的安全管理缺陷或安全隱患,應(yīng)當(dāng)向有關(guān)單位提出限期整改要求；對檢查中發(fā)現(xiàn)的違法行為,應(yīng)當(dāng)立即制止,依法處罰。

事件調(diào)查是安全管理工作中的重要一環(huán)?！墩髑笠庖姼濉芬?guī)定,如發(fā)現(xiàn)重大網(wǎng)絡(luò)安全隱患、漏洞或基礎(chǔ)網(wǎng)絡(luò)、重要系統(tǒng)受到外部攻擊遭到破壞,發(fā)生重大網(wǎng)絡(luò)信息安全事件,旅客信息或重要生產(chǎn)數(shù)據(jù)泄露,造成重大影響或經(jīng)濟損失等,應(yīng)啟動調(diào)查工作。

此外,《征求意見稿》法律責(zé)任的設(shè)置,在遵循上位法和有關(guān)立法技術(shù)規(guī)范要求的基礎(chǔ)之上,主要采用了“階梯式”處罰方式,實現(xiàn)了處罰方式的“輕重結(jié)合”。比如,未落實某項管理制度的,由民航行政管理機構(gòu)責(zé)令限期改正；逾期未改正的,給予警告；造成一定后果的,對相關(guān)責(zé)任人員和單位進(jìn)行罰款；造成嚴(yán)重后果的,依法責(zé)令暫停相關(guān)業(yè)務(wù)。從“警告”到“依法責(zé)令暫停相關(guān)業(yè)務(wù)”,實現(xiàn)了處罰方式的漸進(jìn)過程。