□ 民航華東地區(qū)管理局 肖 通/文

數(shù)字化轉型對民航業(yè)來說是大勢所趨，也帶來了新的信息（數(shù)據(jù)）安全風險。信息安全關系民航安全，也關乎國家安全，其重要性不言而喻，而民航旅客信息是民航信息中最引人注目的部分。其安全保護具有高度的現(xiàn)實性、必要性、緊迫性。保護好民航旅客信息安全，就是維護好民航業(yè)的整體形象、發(fā)展利益，也是更好提升我國民航的國際競爭力、影響力，這是對民航管理部門的重大考驗。

民航企業(yè)的數(shù)字化轉型及信息安全問題的發(fā)生

新世紀以來，互聯(lián)網(wǎng)“數(shù)字化”趨勢明顯，數(shù)字化轉型是民航企業(yè)對自身傳統(tǒng)的一種繼承，也是對數(shù)字經(jīng)濟時代的一種適應，其本質是利用數(shù)字科技對企業(yè)管理服務進行改造升級，旨在優(yōu)化運營環(huán)境、強化安全保障、提升運行效率、降低經(jīng)營成本、促進企業(yè)增收、改善用戶體驗。

民航企業(yè)在飛機運行、機場管理、安全保障、客戶服務等方面吸收運用新理念、新模式、新技術，全方位推動了數(shù)字化轉型：一是制定戰(zhàn)略，數(shù)字化轉型不單是技術應用，而且是企業(yè)的深刻變革，系統(tǒng)性的頂層設計必不可少；二是強化理念，將數(shù)字化理念滲入公司內(nèi)部運行及外部服務諸環(huán)節(jié)，全員學習和踐行數(shù)字化轉型；三是引進技術，將云計算、大數(shù)據(jù)等技術與各部門各業(yè)務結合，實現(xiàn)技術與業(yè)務的協(xié)同；四是建立體系，建立航空運行控制、飛行維修管理、航空安全管理、機組管理、訂座結算等系統(tǒng)，形成便捷高效的平臺體系；五是管理數(shù)據(jù)，重視對數(shù)據(jù)的收集、儲存、傳輸與應用，囊括生產(chǎn)、經(jīng)營、財務、內(nèi)部管理等數(shù)據(jù)；六是加強應用，數(shù)字化轉型成果可廣泛用于決策、規(guī)劃等領域，如科學編排航班、預測用戶習慣等。

數(shù)字化愈加普及，數(shù)據(jù)安全風險也如影隨形。信息安全問題是擺在大數(shù)據(jù)時代全體數(shù)據(jù)管理者面前的共同課題：一是數(shù)字化轉型搭建了大數(shù)據(jù)平臺和各種網(wǎng)絡系統(tǒng)，但從技術層面上看數(shù)據(jù)系統(tǒng)本身從設計到運行都難以做到無懈可擊，數(shù)據(jù)信息在網(wǎng)絡中隨時可能遭受網(wǎng)絡攻擊或病毒破壞；二是數(shù)字化轉型本身是對數(shù)據(jù)的一次集中化、規(guī)模化、體系化，一次性獲取數(shù)據(jù)的豐富性和完整性得到提升，“方便之門”頓開；三是數(shù)字化轉型提高了自動化、智能化水平，但系統(tǒng)平臺的使用由人決定、由人管理、由人操作，內(nèi)部風險時刻存在。

保護信息安全，各數(shù)據(jù)管理者及信息基礎設施的運營者責無旁貸。對于民航旅客信息安全保護，很多研究者已從政府規(guī)制、法律等方面進行過探討。本文將從信息泄露的危害、民航旅客信息安全保護現(xiàn)狀及民航管理部門在這其中的角色和任務等開展研究。

旅客信息有關法律、案例及信息泄露的危害

對于“個人信息”、“個人數(shù)據(jù)”、“私密信息”、“隱私”等，我國《刑法》、《消費者權益保護法》、《網(wǎng)絡安全法》、《電子商務法》等已從多個層面予以規(guī)范。2020年全國人大通過且于2021年正式生效的《民法典》專設第四編第六章對隱私權和個人信息保護作出專門規(guī)定。今年4月，十三屆全國人大常委會第二十八次會議對《個人信息保護法（草案）》進行了二次審議；6月10日，《數(shù)據(jù)安全法（草案）》經(jīng)十三屆全國人大常委會第二十九次會議表決通過，這是我國第一部保障數(shù)據(jù)安全的專門法律。以上法律的制定，體現(xiàn)了國家保護信息（數(shù)據(jù)）安全的堅強意志。

雖有法律條文保駕護航，但民航領域侵害旅客信息事件仍時有發(fā)生。在技術層面，公安機關曾多次破獲網(wǎng)絡黑客攻擊航空類公司竊取旅客信息的案件，且旅客信息被用來進行詐騙活動。在管理層面，也有典型案件發(fā)生，一些人利用職務便利，擅自將數(shù)十萬甚至數(shù)百萬條民航旅客個人信息資料下載儲存后對外出售，非法牟取利益，許多案例都構成了刑事犯罪。

大多數(shù)侵害個人信息的事件，因公安部門難以一一介入，從而未進入刑事案件層面，而是由受害人提出民事訴訟進行維權，包括侵權案件和違約案件。對民航旅客信息訴訟來說，就是民航旅客與民航單位在法庭上各自舉證，往往是旅客出具購票、付款等方面的證據(jù)，民航單位論述自己在旅客信息保護方面做出的努力，因為缺乏公安部門的取證調(diào)查，對旅客信息泄露的關鍵細節(jié)、邏輯鏈條、因果關系、違法責任時常無法深入與厘清，難以對旅客信息起到充分保護的作用。

港澳臺地區(qū)及國外航空公司發(fā)生的信息泄露事件也讓人警醒。根據(jù)媒體公開報道， 2018年國泰集團旗下的國泰航空和港龍航空乘客資料被未獲授權取覽，影響旅客人數(shù)約940萬；同年，英國航空公司信息系統(tǒng)遭到惡意攻擊，導致嚴重的信息泄露，涉及40多萬名客戶，其結果給所有航司敲響了警鐘。

旅客信息泄露事件一旦發(fā)生，就可能會給旅客造成損害，而且在整體上也對我國民航業(yè)發(fā)展產(chǎn)生不利影響：一是不利于民航業(yè)的高速成長，新冠肺炎疫情前我國民航發(fā)展勢頭較好，根據(jù)民航局發(fā)布數(shù)據(jù)，2015～2019年國內(nèi)航線完成旅客運輸量同比增長率分別為11.3%、11.9%、13%、10.9%、7.9%，旅客信息泄露將致使旅客對民航業(yè)失去信任，多年積累的良好發(fā)展勢頭有可能受到?jīng)_擊；二是不利于航司的生存發(fā)展，如歐洲監(jiān)管機構用PNR Directive（旅客訂座記錄指令）對我國航司進行處罰，罰款數(shù)額可能偏大，部分航司難以承受損失；三是不利于民航管理部門樹立管理權威，因為在旅客看來，在民航領域遭遇的任何問題首先是民航主管部門的責任；四是不利于我國民航業(yè)國際競爭力的提升，他國政府“長臂管轄”式的處罰直接傷害我國民航的國際聲譽，延緩航司“走出去”的步伐。

民航旅客信息安全保護的“雙重困境”

分析民航旅客信息保護的困境，首先要認識民航旅客信息的特殊性：一是信息量大。民航業(yè)是能觸及大量個人信息的服務行業(yè)，如2019年全行業(yè)完成旅客運輸量約6.6億人次，信息資源十分豐富；二是民航旅客特別是VIP旅客的個人信息自帶價值。如“粉絲經(jīng)濟”催生的對明星信息的需求，會讓不法者鋌而走險；三是系統(tǒng)平臺對部分旅客直接標注“VIP”符號，信息可識別性高；四是信息需要跨境傳輸，傳輸?shù)膶ο蠛铜h(huán)節(jié)越多，越容易泄露，信息泄露的后果和影響還會延展到國際及我國港澳臺地區(qū)；五是信息入口眾多、管理者分散。有航司、機場、民航網(wǎng)絡信息基礎服務商，還有為數(shù)眾多的航空銷售代理人；六是民航安全對信息安全的要求極高，民航信息安全是國家安全不可忽視的信息場域。正因為民航旅客信息極為特殊，所以其安全保護事關重大，但目前旅客信息保護正面臨著企業(yè)與政府兩方因素疊加后的“雙重困境”：

就民航企業(yè)來說，不管是因為旅客從認知出發(fā)尋找維權對象，還是源于旅客信息泄露造成的實際壓力與利益損失，目前旅客信息安全保護的主體主要是航司。雖然航司在技術保障、人員培訓等方面的投入得到加強，但依然存在投入不足、話語權不強、管理上精細度不夠等問題，需要上下進一步重視起來。

從政府層面上說，也面臨著難點及堵點：一是在機構方面，網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全工作和相關監(jiān)督管理工作；工信部門負責對互聯(lián)網(wǎng)信息服務的市場準入、市場秩序、網(wǎng)絡資源、網(wǎng)絡信息安全等實施監(jiān)督管理；公安部門負責維護互聯(lián)網(wǎng)公共秩序和公共安全，防范和懲治網(wǎng)絡違法犯罪活動，而民航管理部門的專業(yè)屬性有待進一步加強，突出“專業(yè)在位”和“專業(yè)優(yōu)勢”。二是在制度方面，已有法律條文偏于宏觀層面，法律原則明確，可操作性不足，民航信息的特殊性未得到體現(xiàn)。三是在權責方面，《民航地區(qū)管理局及其派出的安全監(jiān)督管理局行業(yè)管理職責分工表》（民航發(fā)〔2017〕155號）中雖提到民航網(wǎng)絡與信息安全工作監(jiān)督管理，但一般由民航機關內(nèi)設人事科教機構負責，信息安全是一個高度專業(yè)且需要技術支撐的部門，民航管理機關內(nèi)部最好有一個專門的“信息部”統(tǒng)籌起履行信息保護的職責。四是在技術方面，雖然民航相關企業(yè)積極推進數(shù)字化轉型并頗有進展，但民航主管部門限于經(jīng)費投入及人才儲備上的不足，數(shù)字化轉型水平仍有待提高。

民航管理部門在旅客信息保護中的角色和任務

習近平總書記強調(diào)：“堅持管行業(yè)必須管安全、管業(yè)務必須管安全”，這句話是針對安全生產(chǎn)工作提出的，對信息安全工作同樣具有指導意義。從“行業(yè)”和“業(yè)務”上說，民航管理部門是指民航局、民航各地區(qū)管理局及監(jiān)管局。面對民航旅客信息保護的“雙重困境”，民航管理部門的角色與任務至關重要，建議從以下幾方面推進相關工作：

一是回歸民航專業(yè)，管理部門主動履責。讓“專業(yè)部門開展專門管理”，民航管理部門應高度重視民航旅客信息安全，主動承擔起民航旅客信息安全的重要監(jiān)管責任。民航管理部門對民航信息安全監(jiān)管更多的是事前監(jiān)管和日常監(jiān)管，能更好促進“防患于未然”。民航管理部門應嚴格落實《民航局權責清單編制工作方案》，梳理編制好民航信息相關權責，處理好信息領域民航與其他部門及地方事權交叉的問題，解決好民航機關內(nèi)設職能部門優(yōu)化的問題；應強化民航行政服務中心建設，可研究賦予信息安全事項服務功能；同時可探索成立專業(yè)內(nèi)設機構，統(tǒng)籌民航信息安全工作，提升民航信息管理工作的專業(yè)性和針對性，方便與網(wǎng)信、工信等部門開展合作，也方便民航各相關企業(yè)與之對接。

二是完善法規(guī)政策，營造良好制度環(huán)境。數(shù)字化轉型必然催生數(shù)據(jù)安全保護的轉型。應以《網(wǎng)絡安全法》等法律為基礎，研究制定民航信息安全方面的專門規(guī)章及政策，加速推進對民航信息類“實施細則”、“行業(yè)標準”、“操作指南”的研究與制定，建立健全民航信息方面的失信懲戒和守信激勵機制，以民航法治建設的“專業(yè)性”滿足民航信息采集、上報管理、傳輸、使用上的“特殊性”。如《網(wǎng)絡安全法》第37條提到的數(shù)據(jù)安全評估要求，目前民航業(yè)仍缺乏具體依據(jù)，需加快制定“民航信息跨境傳輸評估辦法”，并建立“民航信息清單”制度，對于不同信息分別明確“免除評估”或“必須評估”。

三是重視數(shù)字技術，提升應用研究水平。民航運輸企業(yè)在航權、航班時刻等方面均需服從民航管理部門的要求，多項數(shù)據(jù)需要相互傳輸，民航管理部門的數(shù)字化水平一定程度上制約著信息安全監(jiān)管能力，因此要加大自身數(shù)字化建設的經(jīng)費投入與人才培養(yǎng)，加強數(shù)字化應用，在專業(yè)能力上打好基礎，以保障民航信息安全監(jiān)管的科學性、針對性、精準性；緊盯信息科技發(fā)展方面的新成果、新技術、新現(xiàn)象，研究其與民航業(yè)的深度融合及創(chuàng)新轉化；持續(xù)貫徹“放管服”改革精神，以自身數(shù)字化建設保障民航企業(yè)的數(shù)字化轉型，增強民航信息安全管理與服務能力。

四是強化信息管理，有效管控安全風險。民航管理部門應引導行業(yè)自律，督促民航旅客信息各相關方切實采取嚴密措施，提高信息安全保護標準，增強保護能力，充分履行旅客信息保護主體責任；協(xié)調(diào)機場、民航網(wǎng)絡信息基礎服務商與航司開展合作，保證民航信息相關方全員參與；將管理的觸角延伸到銷售代理人等易被忽略的“角落”，設立民航銷售代理與信息管理準入門檻，真正做到監(jiān)管無死角；對民航相關企業(yè)開展定期檢查與不定期抽查，促使各方推行分級分類授權制度，杜絕企業(yè)員工接觸與其職責無關的旅客信息；鼓勵和支持民航企業(yè)提升技術水平，完善信息安全保護體系，加強對瀏覽下載民航旅客信息行為的實時監(jiān)控，做到全程留痕，與民航相關企業(yè)一起，建立預測預報預警機制；暢通電話信箱網(wǎng)絡等多元舉報投訴渠道，并及時反應、及時跟進、及時處理；與網(wǎng)信、公安等部門開展專項整治行動，形成高壓態(tài)勢。隨著法規(guī)政策體系逐步完善，民航管理部門在行政監(jiān)管中除對行政相對人采取行政處罰等剛性措施外，還可采用通報、約談等柔性手段，做到剛柔并濟、多措并舉。

五是開展全球合作，爭取國際話語權。民航管理部門還要加大對外合作，加強國際民航組織（ICAO）和國際航空運輸協(xié)會（IATA）框架下的全球民航信息保護合作，堅守民航信息安全原則底線，積極維護我國民航的整體利益，發(fā)出強有力的“中國民航聲音”，推動中國民航信息安全標準國際化；與其他國家攜手制定更加可靠、合理、高效、可操作的民航信息傳輸規(guī)則，為國內(nèi)外民航企業(yè)的信息跨境傳輸營造公平公正公開的國際環(huán)境，推動民航信息全球范圍內(nèi)安全有序流動；就民航信息安全保護技術開展學習交流，充分吸收國外同行的先進經(jīng)驗和典型做法，共同維護全球民航旅客的個人信息安全和全行業(yè)的整體信息安全，保障我國民航業(yè)良性發(fā)展，同時為全球民航業(yè)的共同繁榮做出積極貢獻。

數(shù)字化轉型給民航旅客信息安全保護帶來了新風險、新機遇、新挑戰(zhàn)，民航管理部門必承擔關鍵角色，使民航信息各相關方在信息安全保護上更具有專業(yè)性、規(guī)范性、精準性。民航管理部門應立足新發(fā)展階段，踐行新發(fā)展理念，堅持問題導向、目標導向，以編制民航權責清單為契機，完善相關制度體系，提升自身技術水平，強化專業(yè)管理，為民航旅客信息安全保駕護航，持續(xù)保障我國多領域民航強國建設行穩(wěn)致遠。