國務院法制辦日前就《民航網(wǎng)絡信息安全管理規(guī)定(暫行)(征求意見稿)》公開征求意見。《征求意見稿》要求民航各單位制定旅客信息保護制度,對在提供服務過程中收集、使用的旅客信息,應當采取相應措施嚴格保護,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
民航網(wǎng)信安全管理“無法可依”
民航是國家重要的戰(zhàn)略產(chǎn)業(yè),是國家網(wǎng)絡安全工作的重要行業(yè)。據(jù)了解,目前民航網(wǎng)絡信息安全工作的管理尚依賴于管理文件,存在一定程度的“無法可依”的問題,并且管理文件的規(guī)定內(nèi)容也不夠系統(tǒng)全面,很難滿足民航網(wǎng)絡信息安全工作的需要。
由于民航網(wǎng)絡信息系統(tǒng)網(wǎng)絡規(guī)模大、系統(tǒng)復雜、專業(yè)性強,民航的生產(chǎn)運行對信息網(wǎng)絡依賴性強,關(guān)鍵信息基礎設施一旦出現(xiàn)問題,將影響全行業(yè)正常運行。來自國內(nèi)外的網(wǎng)絡入侵、網(wǎng)絡攻擊等非法活動時時刻刻發(fā)生,嚴重威脅著民航重要網(wǎng)絡和信息系統(tǒng)的運行安全。
此外,社會以及行業(yè)內(nèi)非法獲取、泄露甚至倒賣民航旅客個人信息時有發(fā)生,嚴重損害民航旅客合法權(quán)益。因此,規(guī)范民航網(wǎng)絡信息安全管理非常必要。
轉(zhuǎn)移旅客信息或須簽保護協(xié)議
《征求意見稿》圍繞網(wǎng)絡運行安全與信息安全的目標,針對民航各單位在實際工作中應落實的各項制度和措施進行明確。
《征求意見稿》規(guī)定,建立等級保護制度。新建信息系統(tǒng)或者信息系統(tǒng)發(fā)生重大變更時,首先確定信息系統(tǒng)的安全保護等級,并同步建設符合該安全保護等級要求的安全保護設施。
建立網(wǎng)絡信息安全信息通報制度,按照規(guī)定通報程序向民航行政管理機構(gòu)報告有關(guān)情況,不得瞞報、緩報、謊報、遲報和推諉責任。
對于需要外包服務或遠程技術(shù)服務的,《征求意見稿》要求與提供者簽訂安全保密協(xié)議。
在民用機場、航空器等公共場所為民航旅客提供互聯(lián)網(wǎng)接入服務的企業(yè),應當采取身份認證、上網(wǎng)行為審計等安全技術(shù)措施保護旅客個人信息安全,同時保證公共網(wǎng)絡區(qū)域與民航內(nèi)部網(wǎng)絡物理隔離。
對于網(wǎng)站和網(wǎng)上運行業(yè)務系統(tǒng)技術(shù)防護體系建設,《征求意見稿》要求,采取有效防護措施,提高防篡改、防病毒、防攻擊、防癱瘓、防掛馬能力。建立完善網(wǎng)站信息發(fā)布審核制度,加強網(wǎng)站內(nèi)容安全監(jiān)測和應急處置,定期進行安全檢查和風險評估。
旅客信息保護問題是社會熱點問題,近年來民航“退改簽詐騙”“航空詐騙”等問題經(jīng)常發(fā)生。為此,《征求意見稿》從制度和技術(shù)層面對旅客信息保護加以規(guī)定,主要包括旅客信息保護制度,收集使用旅客信息的規(guī)定以及旅客信息轉(zhuǎn)移或委托的規(guī)定。
《征求意見稿》明確,民航各單位在收集、使用旅客信息時,不得收集與其提供的服務無關(guān)的旅客信息,不得違反法律、法規(guī)的規(guī)定收集、使用和向第三方提供旅客信息。
《征求意見稿》強調(diào),將旅客信息轉(zhuǎn)移或委托給其他組織或機構(gòu)使用的,應當簽訂旅客信息保護協(xié)議,明確旅客信息使用范圍和保護責任。
明確網(wǎng)絡信息安全監(jiān)察員職責
安全檢查是保障安全生產(chǎn)的重要手段,其目的是查明各種危險和隱患,監(jiān)督各項安全管理制度的落實,制止違法行為。根據(jù)監(jiān)管實際需要,《征求意見稿》中對網(wǎng)絡安全監(jiān)察員的職責等內(nèi)容予以進一步明確。
《征求意見稿》規(guī)定,網(wǎng)絡信息安全監(jiān)察員的主要職責包括:對轄區(qū)內(nèi)民航各企事業(yè)單位網(wǎng)絡信息安全工作實施監(jiān)督檢查,制定網(wǎng)絡信息安全工作計劃;按照網(wǎng)絡信息安全信息通報制度向上級行政管理機構(gòu)報告轄區(qū)內(nèi)網(wǎng)絡信息安全情況;參與轄區(qū)內(nèi)網(wǎng)絡信息安全事件調(diào)查等。
民航各級行政管理機構(gòu)實行網(wǎng)絡信息安全年度檢查和專項檢查制度,將網(wǎng)絡信息安全檢查工作列入年度行政檢查計劃。
對檢查中發(fā)現(xiàn)的重大安全隱患,應當責令有關(guān)單位立即排除;對檢查中發(fā)現(xiàn)的安全管理缺陷或安全隱患,應當向有關(guān)單位提出限期整改要求;對檢查中發(fā)現(xiàn)的違法行為,應當立即制止,依法處罰。
事件調(diào)查是安全管理工作中的重要一環(huán)。《征求意見稿》規(guī)定,如發(fā)現(xiàn)重大網(wǎng)絡安全隱患、漏洞或基礎網(wǎng)絡、重要系統(tǒng)受到外部攻擊遭到破壞,發(fā)生重大網(wǎng)絡信息安全事件,旅客信息或重要生產(chǎn)數(shù)據(jù)泄露,造成重大影響或經(jīng)濟損失等,應啟動調(diào)查工作。
此外,《征求意見稿》法律責任的設置,在遵循上位法和有關(guān)立法技術(shù)規(guī)范要求的基礎之上,主要采用了“階梯式”處罰方式,實現(xiàn)了處罰方式的“輕重結(jié)合”。比如,未落實某項管理制度的,由民航行政管理機構(gòu)責令限期改正;逾期未改正的,給予警告;造成一定后果的,對相關(guān)責任人員和單位進行罰款;造成嚴重后果的,依法責令暫停相關(guān)業(yè)務。從“警告”到“依法責令暫停相關(guān)業(yè)務”,實現(xiàn)了處罰方式的漸進過程。
《征求意見稿》強調(diào),將旅客信息轉(zhuǎn)移或委托給其他組織或機構(gòu)使用的,應當簽訂旅客信息保護協(xié)議,明確旅客信息使用范圍和保護責任。
明確網(wǎng)絡信息安全監(jiān)察員職責
安全檢查是保障安全生產(chǎn)的重要手段,其目的是查明各種危險和隱患,監(jiān)督各項安全管理制度的落實,制止違法行為。根據(jù)監(jiān)管實際需要,《征求意見稿》中對網(wǎng)絡安全監(jiān)察員的職責等內(nèi)容予以進一步明確。
《征求意見稿》規(guī)定,網(wǎng)絡信息安全監(jiān)察員的主要職責包括:對轄區(qū)內(nèi)民航各企事業(yè)單位網(wǎng)絡信息安全工作實施監(jiān)督檢查,制定網(wǎng)絡信息安全工作計劃;按照網(wǎng)絡信息安全信息通報制度向上級行政管理機構(gòu)報告轄區(qū)內(nèi)網(wǎng)絡信息安全情況;參與轄區(qū)內(nèi)網(wǎng)絡信息安全事件調(diào)查等。
民航各級行政管理機構(gòu)實行網(wǎng)絡信息安全年度檢查和專項檢查制度,將網(wǎng)絡信息安全檢查工作列入年度行政檢查計劃。
對檢查中發(fā)現(xiàn)的重大安全隱患,應當責令有關(guān)單位立即排除;對檢查中發(fā)現(xiàn)的安全管理缺陷或安全隱患,應當向有關(guān)單位提出限期整改要求;對檢查中發(fā)現(xiàn)的違法行為,應當立即制止,依法處罰。
事件調(diào)查是安全管理工作中的重要一環(huán)。《征求意見稿》規(guī)定,如發(fā)現(xiàn)重大網(wǎng)絡安全隱患、漏洞或基礎網(wǎng)絡、重要系統(tǒng)受到外部攻擊遭到破壞,發(fā)生重大網(wǎng)絡信息安全事件,旅客信息或重要生產(chǎn)數(shù)據(jù)泄露,造成重大影響或經(jīng)濟損失等,應啟動調(diào)查工作。
此外,《征求意見稿》法律責任的設置,在遵循上位法和有關(guān)立法技術(shù)規(guī)范要求的基礎之上,主要采用了“階梯式”處罰方式,實現(xiàn)了處罰方式的“輕重結(jié)合”。