國務院法制辦日前就《民航網絡信息安全管理規定(暫行)(征求意見稿)》公開征求意見?！墩髑笠庖姼濉芬竺窈礁鲉挝恢贫每托畔⒈Ｗo制度,對在提供服務過程中收集、使用的旅客信息,應當采取相應措施嚴格保護,不得泄露、篡改或者毀損,不得出售或者非法向他人提供。

　　民航網信安全管理“無法可依”

　　民航是國家重要的戰略產業,是國家網絡安全工作的重要行業。據了解,目前民航網絡信息安全工作的管理尚依賴于管理文件,存在一定程度的“無法可依”的問題,并且管理文件的規定內容也不夠系統全面,很難滿足民航網絡信息安全工作的需要。

　　由于民航網絡信息系統網絡規模大、系統復雜、專業性強,民航的生產運行對信息網絡依賴性強,關鍵信息基礎設施一旦出現問題,將影響全行業正常運行。來自國內外的網絡入侵、網絡攻擊等非法活動時時刻刻發生,嚴重威脅著民航重要網絡和信息系統的運行安全。

　　此外,社會以及行業內非法獲取、泄露甚至倒賣民航旅客個人信息時有發生,嚴重損害民航旅客合法權益。因此,規范民航網絡信息安全管理非常必要。

　　轉移旅客信息或須簽保護協議

　　《征求意見稿》圍繞網絡運行安全與信息安全的目標,針對民航各單位在實際工作中應落實的各項制度和措施進行明確。

　　《征求意見稿》規定,建立等級保護制度。新建信息系統或者信息系統發生重大變更時,首先確定信息系統的安全保護等級,并同步建設符合該安全保護等級要求的安全保護設施。

　　建立網絡信息安全信息通報制度,按照規定通報程序向民航行政管理機構報告有關情況,不得瞞報、緩報、謊報、遲報和推諉責任。

　　對于需要外包服務或遠程技術服務的,《征求意見稿》要求與提供者簽訂安全保密協議。

　　在民用機場、航空器等公共場所為民航旅客提供互聯網接入服務的企業,應當采取身份認證、上網行為審計等安全技術措施保護旅客個人信息安全,同時保證公共網絡區域與民航內部網絡物理隔離。

　　對于網站和網上運行業務系統技術防護體系建設,《征求意見稿》要求,采取有效防護措施,提高防篡改、防病毒、防攻擊、防癱瘓、防掛馬能力。建立完善網站信息發布審核制度,加強網站內容安全監測和應急處置,定期進行安全檢查和風險評估。

　　旅客信息保護問題是社會熱點問題,近年來民航“退改簽詐騙”“航空詐騙”等問題經常發生。為此,《征求意見稿》從制度和技術層面對旅客信息保護加以規定,主要包括旅客信息保護制度,收集使用旅客信息的規定以及旅客信息轉移或委托的規定。

　　《征求意見稿》明確,民航各單位在收集、使用旅客信息時,不得收集與其提供的服務無關的旅客信息,不得違反法律、法規的規定收集、使用和向第三方提供旅客信息。

　　《征求意見稿》強調,將旅客信息轉移或委托給其他組織或機構使用的,應當簽訂旅客信息保護協議,明確旅客信息使用范圍和保護責任。

　　明確網絡信息安全監察員職責

　　安全檢查是保障安全生產的重要手段,其目的是查明各種危險和隱患,監督各項安全管理制度的落實,制止違法行為。根據監管實際需要,《征求意見稿》中對網絡安全監察員的職責等內容予以進一步明確。

　　《征求意見稿》規定,網絡信息安全監察員的主要職責包括:對轄區內民航各企事業單位網絡信息安全工作實施監督檢查,制定網絡信息安全工作計劃；按照網絡信息安全信息通報制度向上級行政管理機構報告轄區內網絡信息安全情況；參與轄區內網絡信息安全事件調查等。

　　民航各級行政管理機構實行網絡信息安全年度檢查和專項檢查制度,將網絡信息安全檢查工作列入年度行政檢查計劃。

　　對檢查中發現的重大安全隱患,應當責令有關單位立即排除；對檢查中發現的安全管理缺陷或安全隱患,應當向有關單位提出限期整改要求；對檢查中發現的違法行為,應當立即制止,依法處罰。

　　事件調查是安全管理工作中的重要一環?！墩髑笠庖姼濉芬幎?如發現重大網絡安全隱患、漏洞或基礎網絡、重要系統受到外部攻擊遭到破壞,發生重大網絡信息安全事件,旅客信息或重要生產數據泄露,造成重大影響或經濟損失等,應啟動調查工作。

　　此外,《征求意見稿》法律責任的設置,在遵循上位法和有關立法技術規范要求的基礎之上,主要采用了“階梯式”處罰方式,實現了處罰方式的“輕重結合”。比如,未落實某項管理制度的,由民航行政管理機構責令限期改正；逾期未改正的,給予警告；造成一定后果的,對相關責任人員和單位進行罰款；造成嚴重后果的,依法責令暫停相關業務。從“警告”到“依法責令暫停相關業務”,實現了處罰方式的漸進過程。

　　《征求意見稿》強調,將旅客信息轉移或委托給其他組織或機構使用的,應當簽訂旅客信息保護協議,明確旅客信息使用范圍和保護責任。

　　明確網絡信息安全監察員職責

　　安全檢查是保障安全生產的重要手段,其目的是查明各種危險和隱患,監督各項安全管理制度的落實,制止違法行為。根據監管實際需要,《征求意見稿》中對網絡安全監察員的職責等內容予以進一步明確。

　　《征求意見稿》規定,網絡信息安全監察員的主要職責包括:對轄區內民航各企事業單位網絡信息安全工作實施監督檢查,制定網絡信息安全工作計劃；按照網絡信息安全信息通報制度向上級行政管理機構報告轄區內網絡信息安全情況；參與轄區內網絡信息安全事件調查等。

　　民航各級行政管理機構實行網絡信息安全年度檢查和專項檢查制度,將網絡信息安全檢查工作列入年度行政檢查計劃。

　　對檢查中發現的重大安全隱患,應當責令有關單位立即排除；對檢查中發現的安全管理缺陷或安全隱患,應當向有關單位提出限期整改要求；對檢查中發現的違法行為,應當立即制止,依法處罰。

　　事件調查是安全管理工作中的重要一環?！墩髑笠庖姼濉芬幎?如發現重大網絡安全隱患、漏洞或基礎網絡、重要系統受到外部攻擊遭到破壞,發生重大網絡信息安全事件,旅客信息或重要生產數據泄露,造成重大影響或經濟損失等,應啟動調查工作。

　　此外,《征求意見稿》法律責任的設置,在遵循上位法和有關立法技術規范要求的基礎之上,主要采用了“階梯式”處罰方式,實現了處罰方式的“輕重結合”。