2017年2月20日,國(guó)務(wù)院法制辦就《民航網(wǎng)絡(luò)信息安全管理規(guī)定(暫行)(征求意見稿)》公開征求意見?!墩髑笠庖姼濉芬竺窈礁鲉挝恢贫每托畔⒈Wo(hù)制度,對(duì)在提供服務(wù)過程中收集、使用的旅客信息,應(yīng)當(dāng)采取相應(yīng)措施嚴(yán)格保護(hù),不得泄露、篡改或者毀損,不得出售或者非法向他人提供。
民航網(wǎng)信安全管理“無法可依”
民航是國(guó)家重要的戰(zhàn)略產(chǎn)業(yè),是國(guó)家網(wǎng)絡(luò)安全工作的重要行業(yè)。據(jù)了解,目前民航網(wǎng)絡(luò)信息安全工作的管理尚依賴于管理文件,存在一定程度的“無法可依”的問題,并且管理文件的規(guī)定內(nèi)容也不夠系統(tǒng)全面,很難滿足民航網(wǎng)絡(luò)信息安全工作的需要。
由于民航網(wǎng)絡(luò)信息系統(tǒng)網(wǎng)絡(luò)規(guī)模大、系統(tǒng)復(fù)雜、專業(yè)性強(qiáng),民航的生產(chǎn)運(yùn)行對(duì)信息網(wǎng)絡(luò)依賴性強(qiáng),關(guān)鍵信息基礎(chǔ)設(shè)施一旦出現(xiàn)問題,將影響全行業(yè)正常運(yùn)行。來自國(guó)內(nèi)外的網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)攻擊等非法活動(dòng)時(shí)時(shí)刻刻發(fā)生,嚴(yán)重威脅著民航重要網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)行安全。
此外,社會(huì)以及行業(yè)內(nèi)非法獲取、泄露甚至倒賣民航旅客個(gè)人信息時(shí)有發(fā)生,嚴(yán)重?fù)p害民航旅客合法權(quán)益。因此,規(guī)范民航網(wǎng)絡(luò)信息安全管理非常必要。
轉(zhuǎn)移旅客信息或須簽保護(hù)協(xié)議
《征求意見稿》圍繞網(wǎng)絡(luò)運(yùn)行安全與信息安全的目標(biāo),針對(duì)民航各單位在實(shí)際工作中應(yīng)落實(shí)的各項(xiàng)制度和措施進(jìn)行明確。
《征求意見稿》規(guī)定,建立等級(jí)保護(hù)制度。新建信息系統(tǒng)或者信息系統(tǒng)發(fā)生重大變更時(shí),首先確定信息系統(tǒng)的安全保護(hù)等級(jí),并同步建設(shè)符合該安全保護(hù)等級(jí)要求的安全保護(hù)設(shè)施。
建立網(wǎng)絡(luò)信息安全信息通報(bào)制度,按照規(guī)定通報(bào)程序向民航行政管理機(jī)構(gòu)報(bào)告有關(guān)情況,不得瞞報(bào)、緩報(bào)、謊報(bào)、遲報(bào)和推諉責(zé)任。
對(duì)于需要外包服務(wù)或遠(yuǎn)程技術(shù)服務(wù)的,《征求意見稿》要求與提供者簽訂安全保密協(xié)議。
在民用機(jī)場(chǎng)、航空器等公共場(chǎng)所為民航旅客提供互聯(lián)網(wǎng)接入服務(wù)的企業(yè),應(yīng)當(dāng)采取身份認(rèn)證、上網(wǎng)行為審計(jì)等安全技術(shù)措施保護(hù)旅客個(gè)人信息安全,同時(shí)保證公共網(wǎng)絡(luò)區(qū)域與民航內(nèi)部網(wǎng)絡(luò)物理隔離。
對(duì)于網(wǎng)站和網(wǎng)上運(yùn)行業(yè)務(wù)系統(tǒng)技術(shù)防護(hù)體系建設(shè),《征求意見稿》要求,采取有效防護(hù)措施,提高防篡改、防病毒、防攻擊、防癱瘓、防掛馬能力。建立完善網(wǎng)站信息發(fā)布審核制度,加強(qiáng)網(wǎng)站內(nèi)容安全監(jiān)測(cè)和應(yīng)急處置,定期進(jìn)行安全檢查和風(fēng)險(xiǎn)評(píng)估。
旅客信息保護(hù)問題是社會(huì)熱點(diǎn)問題,近年來民航“退改簽詐騙”“航空詐騙”等問題經(jīng)常發(fā)生。為此,《征求意見稿》從制度和技術(shù)層面對(duì)旅客信息保護(hù)加以規(guī)定,主要包括旅客信息保護(hù)制度,收集使用旅客信息的規(guī)定以及旅客信息轉(zhuǎn)移或委托的規(guī)定。
《征求意見稿》明確,民航各單位在收集、使用旅客信息時(shí),不得收集與其提供的服務(wù)無關(guān)的旅客信息,不得違反法律、法規(guī)的規(guī)定收集、使用和向第三方提供旅客信息。
《征求意見稿》強(qiáng)調(diào),將旅客信息轉(zhuǎn)移或委托給其他組織或機(jī)構(gòu)使用的,應(yīng)當(dāng)簽訂旅客信息保護(hù)協(xié)議,明確旅客信息使用范圍和保護(hù)責(zé)任。
明確網(wǎng)絡(luò)信息安全監(jiān)察員職責(zé)
安全檢查是保障安全生產(chǎn)的重要手段,其目的是查明各種危險(xiǎn)和隱患,監(jiān)督各項(xiàng)安全管理制度的落實(shí),制止違法行為。根據(jù)監(jiān)管實(shí)際需要,《征求意見稿》中對(duì)網(wǎng)絡(luò)安全監(jiān)察員的職責(zé)等內(nèi)容予以進(jìn)一步明確。
《征求意見稿》規(guī)定,網(wǎng)絡(luò)信息安全監(jiān)察員的主要職責(zé)包括:對(duì)轄區(qū)內(nèi)民航各企事業(yè)單位網(wǎng)絡(luò)信息安全工作實(shí)施監(jiān)督檢查,制定網(wǎng)絡(luò)信息安全工作計(jì)劃;按照網(wǎng)絡(luò)信息安全信息通報(bào)制度向上級(jí)行政管理機(jī)構(gòu)報(bào)告轄區(qū)內(nèi)網(wǎng)絡(luò)信息安全情況;參與轄區(qū)內(nèi)網(wǎng)絡(luò)信息安全事件調(diào)查等。
民航各級(jí)行政管理機(jī)構(gòu)實(shí)行網(wǎng)絡(luò)信息安全年度檢查和專項(xiàng)檢查制度,將網(wǎng)絡(luò)信息安全檢查工作列入年度行政檢查計(jì)劃。
對(duì)檢查中發(fā)現(xiàn)的重大安全隱患,應(yīng)當(dāng)責(zé)令有關(guān)單位立即排除;對(duì)檢查中發(fā)現(xiàn)的安全管理缺陷或安全隱患,應(yīng)當(dāng)向有關(guān)單位提出限期整改要求;對(duì)檢查中發(fā)現(xiàn)的違法行為,應(yīng)當(dāng)立即制止,依法處罰。
事件調(diào)查是安全管理工作中的重要一環(huán)?!墩髑笠庖姼濉芬?guī)定,如發(fā)現(xiàn)重大網(wǎng)絡(luò)安全隱患、漏洞或基礎(chǔ)網(wǎng)絡(luò)、重要系統(tǒng)受到外部攻擊遭到破壞,發(fā)生重大網(wǎng)絡(luò)信息安全事件,旅客信息或重要生產(chǎn)數(shù)據(jù)泄露,造成重大影響或經(jīng)濟(jì)損失等,應(yīng)啟動(dòng)調(diào)查工作。
此外,《征求意見稿》法律責(zé)任的設(shè)置,在遵循上位法和有關(guān)立法技術(shù)規(guī)范要求的基礎(chǔ)之上,主要采用了“階梯式”處罰方式,實(shí)現(xiàn)了處罰方式的“輕重結(jié)合”。比如,未落實(shí)某項(xiàng)管理制度的,由民航行政管理機(jī)構(gòu)責(zé)令限期改正;逾期未改正的,給予警告;造成一定后果的,對(duì)相關(guān)責(zé)任人員和單位進(jìn)行罰款;造成嚴(yán)重后果的,依法責(zé)令暫停相關(guān)業(yè)務(wù)。從“警告”到“依法責(zé)令暫停相關(guān)業(yè)務(wù)”,實(shí)現(xiàn)了處罰方式的漸進(jìn)過程。(來源:法制網(wǎng) 梁士斌)