国务院法制办2月20日就《民航网络信息安全管理规定(暂行)(征求意见稿)》(以下简称《征求意见稿》)公开征求意见。在《征求意见稿》中,要求民航各单位制定旅客信息保护制度,对在提供服务过程中收集、使用的旅客信息,应当采取相应措施严格保护,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。
规范民航网络信息安全管理势在必行
民航是国家重要的战略产业,是国家网络安全工作的重要行业。据了解,目前民航网络信息安全工作的管理尚依赖于管理文件,存在一定程度的“无法可依”的问题,并且管理文件的规定内容也不够系统全面,很难满足民航网络信息安全工作的需要。
由于民航网络信息系统网络规模大、系统复杂、专业性强,民航的生产运行对信息网络依赖性强,关键信息基础设施一旦出现问题,将影响全行业正常运行。来自国内外的网络入侵、网络攻击等非法活动时时刻刻发生,严重威胁着民航重要网络和信息系统的运行安全。
此外,社会以及行业内非法获取、泄露甚至倒卖民航旅客个人信息时有发生,严重损害民航旅客合法权益。因此,规范民航网络信息安全管理非常必要。
注重保护旅客信息
《征求意见稿》围绕网络运行安全与信息安全的目标,针对民航各单位在实际工作中应落实的各项制度和措施进行明确。
《征求意见稿》规定,建立等级保护制度。新建信息系统或者信息系统发生重大变更时,首先确定信息系统的安全保护等级,并同步建设符合该安全保护等级要求的安全保护设施。
建立网络信息安全信息通报制度,按照规定通报程序向民航行政管理机构报告有关情况,不得瞒报、缓报、谎报、迟报和推诿责任。
对于需要外包服务或远程技术服务的,《征求意见稿》要求与提供者签订安全保密协议。
在民用机场、航空器等公共场所为民航旅客提供互联网接入服务的企业,应当采取身份认证、上网行为审计等安全技术措施保护旅客个人信息安全,同时保证公共网络区域与民航内部网络物理隔离。
对于网站和网上运行业务系统技术防护体系建设,《征求意见稿》要求,采取有效防护措施,提高防篡改、防病毒、防攻击、防瘫痪、防挂马能力。建立完善网站信息发布审核制度,加强网站内容安全监测和应急处置,定期进行安全检查和风险评估。
旅客信息保护问题是社会热点问题,近年来民航“退改签诈骗”“航空诈骗”等问题经常发生。为此,《征求意见稿》从制度和技术层面对旅客信息保护加以规定,主要包括旅客信息保护制度,收集使用旅客信息的规定以及旅客信息转移或委托的规定。
《征求意见稿》明确,民航各单位在收集、使用旅客信息时,不得收集与其提供的服务无关的旅客信息,不得违反法律、法规的规定收集、使用和向第三方提供旅客信息。
将旅客信息转移或委托给其他组织或机构使用的,应当签订旅客信息保护协议,明确旅客信息使用范围和保护责任。
明确网络信息安全监察员职责
安全检查是保障安全生产的重要手段,其目的是查明各种危险和隐患,监督各项安全管理制度的落实,制止违法行为。根据监管实际需要,《征求意见稿》中对网络安全监察员的职责等内容予以进一步明确。
《征求意见稿》规定,网络信息安全监察员的主要职责包括:对辖区内民航各企事业单位网络信息安全工作实施监督检查,制定网络信息安全工作计划;按照网络信息安全信息通报制度向上级行政管理机构报告辖区内网络信息安全情况;参与辖区内网络信息安全事件调查等。
民航各级行政管理机构实行网络信息安全年度检查和专项检查制度,将网络信息安全检查工作列入年度行政检查计划。
对检查中发现的重大安全隐患,应当责令有关单位立即排除;对检查中发现的安全管理缺陷或安全隐患,应当向有关单位提出限期整改要求;对检查中发现的违法行为,应当立即制止,依法处罚。
事件调查是安全管理工作中的重要一环。《征求意见稿》规定,如发现重大网络安全隐患、漏洞或基础网络、重要系统受到外部攻击遭到破坏,发生重大网络信息安全事件,旅客信息或重要生产数据泄露,造成重大影响或经济损失等,应启动调查工作。
此外,《征求意见稿》法律责任的设置,在遵循上位法和有关立法技术规范要求的基础之上,主要采用了“阶梯式”处罚方式,实现了处罚方式的“轻重结合”。比如,未落实某项管理制度的,由民航行政管理机构责令限期改正;逾期未改正的,给予警告;造成一定后果的,对相关责任人员和单位进行罚款;造成严重后果的,依法责令暂停相关业务。从“警告”到“依法责令暂停相关业务”,实现了处罚方式的渐进过程。
《征求意见稿》还规定了民事责任和刑事责任的设置,约谈制度的引入,多种处罚方式的配合设置以更好地发挥法律责任的作用。