□ 民航華東地區(qū)管理局 肖 通/文

數(shù)字化轉(zhuǎn)型對(duì)民航業(yè)來說是大勢(shì)所趨，也帶來了新的信息（數(shù)據(jù)）安全風(fēng)險(xiǎn)。信息安全關(guān)系民航安全，也關(guān)乎國(guó)家安全，其重要性不言而喻，而民航旅客信息是民航信息中最引人注目的部分。其安全保護(hù)具有高度的現(xiàn)實(shí)性、必要性、緊迫性。保護(hù)好民航旅客信息安全，就是維護(hù)好民航業(yè)的整體形象、發(fā)展利益，也是更好提升我國(guó)民航的國(guó)際競(jìng)爭(zhēng)力、影響力，這是對(duì)民航管理部門的重大考驗(yàn)。

民航企業(yè)的數(shù)字化轉(zhuǎn)型及信息安全問題的發(fā)生

新世紀(jì)以來，互聯(lián)網(wǎng)“數(shù)字化”趨勢(shì)明顯，數(shù)字化轉(zhuǎn)型是民航企業(yè)對(duì)自身傳統(tǒng)的一種繼承，也是對(duì)數(shù)字經(jīng)濟(jì)時(shí)代的一種適應(yīng)，其本質(zhì)是利用數(shù)字科技對(duì)企業(yè)管理服務(wù)進(jìn)行改造升級(jí)，旨在優(yōu)化運(yùn)營(yíng)環(huán)境、強(qiáng)化安全保障、提升運(yùn)行效率、降低經(jīng)營(yíng)成本、促進(jìn)企業(yè)增收、改善用戶體驗(yàn)。

民航企業(yè)在飛機(jī)運(yùn)行、機(jī)場(chǎng)管理、安全保障、客戶服務(wù)等方面吸收運(yùn)用新理念、新模式、新技術(shù)，全方位推動(dòng)了數(shù)字化轉(zhuǎn)型：一是制定戰(zhàn)略，數(shù)字化轉(zhuǎn)型不單是技術(shù)應(yīng)用，而且是企業(yè)的深刻變革，系統(tǒng)性的頂層設(shè)計(jì)必不可少；二是強(qiáng)化理念，將數(shù)字化理念滲入公司內(nèi)部運(yùn)行及外部服務(wù)諸環(huán)節(jié)，全員學(xué)習(xí)和踐行數(shù)字化轉(zhuǎn)型；三是引進(jìn)技術(shù)，將云計(jì)算、大數(shù)據(jù)等技術(shù)與各部門各業(yè)務(wù)結(jié)合，實(shí)現(xiàn)技術(shù)與業(yè)務(wù)的協(xié)同；四是建立體系，建立航空運(yùn)行控制、飛行維修管理、航空安全管理、機(jī)組管理、訂座結(jié)算等系統(tǒng)，形成便捷高效的平臺(tái)體系；五是管理數(shù)據(jù)，重視對(duì)數(shù)據(jù)的收集、儲(chǔ)存、傳輸與應(yīng)用，囊括生產(chǎn)、經(jīng)營(yíng)、財(cái)務(wù)、內(nèi)部管理等數(shù)據(jù)；六是加強(qiáng)應(yīng)用，數(shù)字化轉(zhuǎn)型成果可廣泛用于決策、規(guī)劃等領(lǐng)域，如科學(xué)編排航班、預(yù)測(cè)用戶習(xí)慣等。

數(shù)字化愈加普及，數(shù)據(jù)安全風(fēng)險(xiǎn)也如影隨形。信息安全問題是擺在大數(shù)據(jù)時(shí)代全體數(shù)據(jù)管理者面前的共同課題：一是數(shù)字化轉(zhuǎn)型搭建了大數(shù)據(jù)平臺(tái)和各種網(wǎng)絡(luò)系統(tǒng)，但從技術(shù)層面上看數(shù)據(jù)系統(tǒng)本身從設(shè)計(jì)到運(yùn)行都難以做到無懈可擊，數(shù)據(jù)信息在網(wǎng)絡(luò)中隨時(shí)可能遭受網(wǎng)絡(luò)攻擊或病毒破壞；二是數(shù)字化轉(zhuǎn)型本身是對(duì)數(shù)據(jù)的一次集中化、規(guī)?；Ⅲw系化，一次性獲取數(shù)據(jù)的豐富性和完整性得到提升，“方便之門”頓開；三是數(shù)字化轉(zhuǎn)型提高了自動(dòng)化、智能化水平，但系統(tǒng)平臺(tái)的使用由人決定、由人管理、由人操作，內(nèi)部風(fēng)險(xiǎn)時(shí)刻存在。

保護(hù)信息安全，各數(shù)據(jù)管理者及信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者責(zé)無旁貸。對(duì)于民航旅客信息安全保護(hù)，很多研究者已從政府規(guī)制、法律等方面進(jìn)行過探討。本文將從信息泄露的危害、民航旅客信息安全保護(hù)現(xiàn)狀及民航管理部門在這其中的角色和任務(wù)等開展研究。

旅客信息有關(guān)法律、案例及信息泄露的危害

對(duì)于“個(gè)人信息”、“個(gè)人數(shù)據(jù)”、“私密信息”、“隱私”等，我國(guó)《刑法》、《消費(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》等已從多個(gè)層面予以規(guī)范。2020年全國(guó)人大通過且于2021年正式生效的《民法典》專設(shè)第四編第六章對(duì)隱私權(quán)和個(gè)人信息保護(hù)作出專門規(guī)定。今年4月，十三屆全國(guó)人大常委會(huì)第二十八次會(huì)議對(duì)《個(gè)人信息保護(hù)法（草案）》進(jìn)行了二次審議；6月10日，《數(shù)據(jù)安全法（草案）》經(jīng)十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議表決通過，這是我國(guó)第一部保障數(shù)據(jù)安全的專門法律。以上法律的制定，體現(xiàn)了國(guó)家保護(hù)信息（數(shù)據(jù)）安全的堅(jiān)強(qiáng)意志。

雖有法律條文保駕護(hù)航，但民航領(lǐng)域侵害旅客信息事件仍時(shí)有發(fā)生。在技術(shù)層面，公安機(jī)關(guān)曾多次破獲網(wǎng)絡(luò)黑客攻擊航空類公司竊取旅客信息的案件，且旅客信息被用來進(jìn)行詐騙活動(dòng)。在管理層面，也有典型案件發(fā)生，一些人利用職務(wù)便利，擅自將數(shù)十萬甚至數(shù)百萬條民航旅客個(gè)人信息資料下載儲(chǔ)存后對(duì)外出售，非法牟取利益，許多案例都構(gòu)成了刑事犯罪。

大多數(shù)侵害個(gè)人信息的事件，因公安部門難以一一介入，從而未進(jìn)入刑事案件層面，而是由受害人提出民事訴訟進(jìn)行維權(quán)，包括侵權(quán)案件和違約案件。對(duì)民航旅客信息訴訟來說，就是民航旅客與民航單位在法庭上各自舉證，往往是旅客出具購(gòu)票、付款等方面的證據(jù)，民航單位論述自己在旅客信息保護(hù)方面做出的努力，因?yàn)槿狈膊块T的取證調(diào)查，對(duì)旅客信息泄露的關(guān)鍵細(xì)節(jié)、邏輯鏈條、因果關(guān)系、違法責(zé)任時(shí)常無法深入與厘清，難以對(duì)旅客信息起到充分保護(hù)的作用。

港澳臺(tái)地區(qū)及國(guó)外航空公司發(fā)生的信息泄露事件也讓人警醒。根據(jù)媒體公開報(bào)道， 2018年國(guó)泰集團(tuán)旗下的國(guó)泰航空和港龍航空乘客資料被未獲授權(quán)取覽，影響旅客人數(shù)約940萬；同年，英國(guó)航空公司信息系統(tǒng)遭到惡意攻擊，導(dǎo)致嚴(yán)重的信息泄露，涉及40多萬名客戶，其結(jié)果給所有航司敲響了警鐘。

旅客信息泄露事件一旦發(fā)生，就可能會(huì)給旅客造成損害，而且在整體上也對(duì)我國(guó)民航業(yè)發(fā)展產(chǎn)生不利影響：一是不利于民航業(yè)的高速成長(zhǎng)，新冠肺炎疫情前我國(guó)民航發(fā)展勢(shì)頭較好，根據(jù)民航局發(fā)布數(shù)據(jù)，2015～2019年國(guó)內(nèi)航線完成旅客運(yùn)輸量同比增長(zhǎng)率分別為11.3%、11.9%、13%、10.9%、7.9%，旅客信息泄露將致使旅客對(duì)民航業(yè)失去信任，多年積累的良好發(fā)展勢(shì)頭有可能受到?jīng)_擊；二是不利于航司的生存發(fā)展，如歐洲監(jiān)管機(jī)構(gòu)用PNR Directive（旅客訂座記錄指令）對(duì)我國(guó)航司進(jìn)行處罰，罰款數(shù)額可能偏大，部分航司難以承受損失；三是不利于民航管理部門樹立管理權(quán)威，因?yàn)樵诼每涂磥?，在民航領(lǐng)域遭遇的任何問題首先是民航主管部門的責(zé)任；四是不利于我國(guó)民航業(yè)國(guó)際競(jìng)爭(zhēng)力的提升，他國(guó)政府“長(zhǎng)臂管轄”式的處罰直接傷害我國(guó)民航的國(guó)際聲譽(yù)，延緩航司“走出去”的步伐。

民航旅客信息安全保護(hù)的“雙重困境”

分析民航旅客信息保護(hù)的困境，首先要認(rèn)識(shí)民航旅客信息的特殊性：一是信息量大。民航業(yè)是能觸及大量個(gè)人信息的服務(wù)行業(yè)，如2019年全行業(yè)完成旅客運(yùn)輸量約6.6億人次，信息資源十分豐富；二是民航旅客特別是VIP旅客的個(gè)人信息自帶價(jià)值。如“粉絲經(jīng)濟(jì)”催生的對(duì)明星信息的需求，會(huì)讓不法者鋌而走險(xiǎn)；三是系統(tǒng)平臺(tái)對(duì)部分旅客直接標(biāo)注“VIP”符號(hào)，信息可識(shí)別性高；四是信息需要跨境傳輸，傳輸?shù)膶?duì)象和環(huán)節(jié)越多，越容易泄露，信息泄露的后果和影響還會(huì)延展到國(guó)際及我國(guó)港澳臺(tái)地區(qū)；五是信息入口眾多、管理者分散。有航司、機(jī)場(chǎng)、民航網(wǎng)絡(luò)信息基礎(chǔ)服務(wù)商，還有為數(shù)眾多的航空銷售代理人；六是民航安全對(duì)信息安全的要求極高，民航信息安全是國(guó)家安全不可忽視的信息場(chǎng)域。正因?yàn)槊窈铰每托畔O為特殊，所以其安全保護(hù)事關(guān)重大，但目前旅客信息保護(hù)正面臨著企業(yè)與政府兩方因素疊加后的“雙重困境”：

就民航企業(yè)來說，不管是因?yàn)槁每蛷恼J(rèn)知出發(fā)尋找維權(quán)對(duì)象，還是源于旅客信息泄露造成的實(shí)際壓力與利益損失，目前旅客信息安全保護(hù)的主體主要是航司。雖然航司在技術(shù)保障、人員培訓(xùn)等方面的投入得到加強(qiáng)，但依然存在投入不足、話語權(quán)不強(qiáng)、管理上精細(xì)度不夠等問題，需要上下進(jìn)一步重視起來。

從政府層面上說，也面臨著難點(diǎn)及堵點(diǎn)：一是在機(jī)構(gòu)方面，網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作；工信部門負(fù)責(zé)對(duì)互聯(lián)網(wǎng)信息服務(wù)的市場(chǎng)準(zhǔn)入、市場(chǎng)秩序、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)信息安全等實(shí)施監(jiān)督管理；公安部門負(fù)責(zé)維護(hù)互聯(lián)網(wǎng)公共秩序和公共安全，防范和懲治網(wǎng)絡(luò)違法犯罪活動(dòng)，而民航管理部門的專業(yè)屬性有待進(jìn)一步加強(qiáng)，突出“專業(yè)在位”和“專業(yè)優(yōu)勢(shì)”。二是在制度方面，已有法律條文偏于宏觀層面，法律原則明確，可操作性不足，民航信息的特殊性未得到體現(xiàn)。三是在權(quán)責(zé)方面，《民航地區(qū)管理局及其派出的安全監(jiān)督管理局行業(yè)管理職責(zé)分工表》（民航發(fā)〔2017〕155號(hào)）中雖提到民航網(wǎng)絡(luò)與信息安全工作監(jiān)督管理，但一般由民航機(jī)關(guān)內(nèi)設(shè)人事科教機(jī)構(gòu)負(fù)責(zé)，信息安全是一個(gè)高度專業(yè)且需要技術(shù)支撐的部門，民航管理機(jī)關(guān)內(nèi)部最好有一個(gè)專門的“信息部”統(tǒng)籌起履行信息保護(hù)的職責(zé)。四是在技術(shù)方面，雖然民航相關(guān)企業(yè)積極推進(jìn)數(shù)字化轉(zhuǎn)型并頗有進(jìn)展，但民航主管部門限于經(jīng)費(fèi)投入及人才儲(chǔ)備上的不足，數(shù)字化轉(zhuǎn)型水平仍有待提高。

民航管理部門在旅客信息保護(hù)中的角色和任務(wù)

習(xí)近平總書記強(qiáng)調(diào)：“堅(jiān)持管行業(yè)必須管安全、管業(yè)務(wù)必須管安全”，這句話是針對(duì)安全生產(chǎn)工作提出的，對(duì)信息安全工作同樣具有指導(dǎo)意義。從“行業(yè)”和“業(yè)務(wù)”上說，民航管理部門是指民航局、民航各地區(qū)管理局及監(jiān)管局。面對(duì)民航旅客信息保護(hù)的“雙重困境”，民航管理部門的角色與任務(wù)至關(guān)重要，建議從以下幾方面推進(jìn)相關(guān)工作：

一是回歸民航專業(yè)，管理部門主動(dòng)履責(zé)。讓“專業(yè)部門開展專門管理”，民航管理部門應(yīng)高度重視民航旅客信息安全，主動(dòng)承擔(dān)起民航旅客信息安全的重要監(jiān)管責(zé)任。民航管理部門對(duì)民航信息安全監(jiān)管更多的是事前監(jiān)管和日常監(jiān)管，能更好促進(jìn)“防患于未然”。民航管理部門應(yīng)嚴(yán)格落實(shí)《民航局權(quán)責(zé)清單編制工作方案》，梳理編制好民航信息相關(guān)權(quán)責(zé)，處理好信息領(lǐng)域民航與其他部門及地方事權(quán)交叉的問題，解決好民航機(jī)關(guān)內(nèi)設(shè)職能部門優(yōu)化的問題；應(yīng)強(qiáng)化民航行政服務(wù)中心建設(shè)，可研究賦予信息安全事項(xiàng)服務(wù)功能；同時(shí)可探索成立專業(yè)內(nèi)設(shè)機(jī)構(gòu)，統(tǒng)籌民航信息安全工作，提升民航信息管理工作的專業(yè)性和針對(duì)性，方便與網(wǎng)信、工信等部門開展合作，也方便民航各相關(guān)企業(yè)與之對(duì)接。

二是完善法規(guī)政策，營(yíng)造良好制度環(huán)境。數(shù)字化轉(zhuǎn)型必然催生數(shù)據(jù)安全保護(hù)的轉(zhuǎn)型。應(yīng)以《網(wǎng)絡(luò)安全法》等法律為基礎(chǔ)，研究制定民航信息安全方面的專門規(guī)章及政策，加速推進(jìn)對(duì)民航信息類“實(shí)施細(xì)則”、“行業(yè)標(biāo)準(zhǔn)”、“操作指南”的研究與制定，建立健全民航信息方面的失信懲戒和守信激勵(lì)機(jī)制，以民航法治建設(shè)的“專業(yè)性”滿足民航信息采集、上報(bào)管理、傳輸、使用上的“特殊性”。如《網(wǎng)絡(luò)安全法》第37條提到的數(shù)據(jù)安全評(píng)估要求，目前民航業(yè)仍缺乏具體依據(jù)，需加快制定“民航信息跨境傳輸評(píng)估辦法”，并建立“民航信息清單”制度，對(duì)于不同信息分別明確“免除評(píng)估”或“必須評(píng)估”。

三是重視數(shù)字技術(shù)，提升應(yīng)用研究水平。民航運(yùn)輸企業(yè)在航權(quán)、航班時(shí)刻等方面均需服從民航管理部門的要求，多項(xiàng)數(shù)據(jù)需要相互傳輸，民航管理部門的數(shù)字化水平一定程度上制約著信息安全監(jiān)管能力，因此要加大自身數(shù)字化建設(shè)的經(jīng)費(fèi)投入與人才培養(yǎng)，加強(qiáng)數(shù)字化應(yīng)用，在專業(yè)能力上打好基礎(chǔ)，以保障民航信息安全監(jiān)管的科學(xué)性、針對(duì)性、精準(zhǔn)性；緊盯信息科技發(fā)展方面的新成果、新技術(shù)、新現(xiàn)象，研究其與民航業(yè)的深度融合及創(chuàng)新轉(zhuǎn)化；持續(xù)貫徹“放管服”改革精神，以自身數(shù)字化建設(shè)保障民航企業(yè)的數(shù)字化轉(zhuǎn)型，增強(qiáng)民航信息安全管理與服務(wù)能力。

四是強(qiáng)化信息管理，有效管控安全風(fēng)險(xiǎn)。民航管理部門應(yīng)引導(dǎo)行業(yè)自律，督促民航旅客信息各相關(guān)方切實(shí)采取嚴(yán)密措施，提高信息安全保護(hù)標(biāo)準(zhǔn)，增強(qiáng)保護(hù)能力，充分履行旅客信息保護(hù)主體責(zé)任；協(xié)調(diào)機(jī)場(chǎng)、民航網(wǎng)絡(luò)信息基礎(chǔ)服務(wù)商與航司開展合作，保證民航信息相關(guān)方全員參與；將管理的觸角延伸到銷售代理人等易被忽略的“角落”，設(shè)立民航銷售代理與信息管理準(zhǔn)入門檻，真正做到監(jiān)管無死角；對(duì)民航相關(guān)企業(yè)開展定期檢查與不定期抽查，促使各方推行分級(jí)分類授權(quán)制度，杜絕企業(yè)員工接觸與其職責(zé)無關(guān)的旅客信息；鼓勵(lì)和支持民航企業(yè)提升技術(shù)水平，完善信息安全保護(hù)體系，加強(qiáng)對(duì)瀏覽下載民航旅客信息行為的實(shí)時(shí)監(jiān)控，做到全程留痕，與民航相關(guān)企業(yè)一起，建立預(yù)測(cè)預(yù)報(bào)預(yù)警機(jī)制；暢通電話信箱網(wǎng)絡(luò)等多元舉報(bào)投訴渠道，并及時(shí)反應(yīng)、及時(shí)跟進(jìn)、及時(shí)處理；與網(wǎng)信、公安等部門開展專項(xiàng)整治行動(dòng)，形成高壓態(tài)勢(shì)。隨著法規(guī)政策體系逐步完善，民航管理部門在行政監(jiān)管中除對(duì)行政相對(duì)人采取行政處罰等剛性措施外，還可采用通報(bào)、約談等柔性手段，做到剛?cè)岵?jì)、多措并舉。

五是開展全球合作，爭(zhēng)取國(guó)際話語權(quán)。民航管理部門還要加大對(duì)外合作，加強(qiáng)國(guó)際民航組織（ICAO）和國(guó)際航空運(yùn)輸協(xié)會(huì)（IATA）框架下的全球民航信息保護(hù)合作，堅(jiān)守民航信息安全原則底線，積極維護(hù)我國(guó)民航的整體利益，發(fā)出強(qiáng)有力的“中國(guó)民航聲音”，推動(dòng)中國(guó)民航信息安全標(biāo)準(zhǔn)國(guó)際化；與其他國(guó)家攜手制定更加可靠、合理、高效、可操作的民航信息傳輸規(guī)則，為國(guó)內(nèi)外民航企業(yè)的信息跨境傳輸營(yíng)造公平公正公開的國(guó)際環(huán)境，推動(dòng)民航信息全球范圍內(nèi)安全有序流動(dòng)；就民航信息安全保護(hù)技術(shù)開展學(xué)習(xí)交流，充分吸收國(guó)外同行的先進(jìn)經(jīng)驗(yàn)和典型做法，共同維護(hù)全球民航旅客的個(gè)人信息安全和全行業(yè)的整體信息安全，保障我國(guó)民航業(yè)良性發(fā)展，同時(shí)為全球民航業(yè)的共同繁榮做出積極貢獻(xiàn)。

數(shù)字化轉(zhuǎn)型給民航旅客信息安全保護(hù)帶來了新風(fēng)險(xiǎn)、新機(jī)遇、新挑戰(zhàn)，民航管理部門必承擔(dān)關(guān)鍵角色，使民航信息各相關(guān)方在信息安全保護(hù)上更具有專業(yè)性、規(guī)范性、精準(zhǔn)性。民航管理部門應(yīng)立足新發(fā)展階段，踐行新發(fā)展理念，堅(jiān)持問題導(dǎo)向、目標(biāo)導(dǎo)向，以編制民航權(quán)責(zé)清單為契機(jī)，完善相關(guān)制度體系，提升自身技術(shù)水平，強(qiáng)化專業(yè)管理，為民航旅客信息安全保駕護(hù)航，持續(xù)保障我國(guó)多領(lǐng)域民航強(qiáng)國(guó)建設(shè)行穩(wěn)致遠(yuǎn)。