□ 民航华东地区管理局 肖 通/文

数字化转型对民航业来说是大势所趋，也带来了新的信息（数据）安全风险。信息安全关系民航安全，也关乎国家安全，其重要性不言而喻，而民航旅客信息是民航信息中最引人注目的部分。其安全保护具有高度的现实性、必要性、紧迫性。保护好民航旅客信息安全，就是维护好民航业的整体形象、发展利益，也是更好提升我国民航的国际竞争力、影响力，这是对民航管理部门的重大考验。

民航企业的数字化转型及信息安全问题的发生

新世纪以来，互联网“数字化”趋势明显，数字化转型是民航企业对自身传统的一种继承，也是对数字经济时代的一种适应，其本质是利用数字科技对企业管理服务进行改造升级，旨在优化运营环境、强化安全保障、提升运行效率、降低经营成本、促进企业增收、改善用户体验。

民航企业在飞机运行、机场管理、安全保障、客户服务等方面吸收运用新理念、新模式、新技术，全方位推动了数字化转型：一是制定战略，数字化转型不单是技术应用，而且是企业的深刻变革，系统性的顶层设计必不可少；二是强化理念，将数字化理念渗入公司内部运行及外部服务诸环节，全员学习和践行数字化转型；三是引进技术，将云计算、大数据等技术与各部门各业务结合，实现技术与业务的协同；四是建立体系，建立航空运行控制、飞行维修管理、航空安全管理、机组管理、订座结算等系统，形成便捷高效的平台体系；五是管理数据，重视对数据的收集、储存、传输与应用，囊括生产、经营、财务、内部管理等数据；六是加强应用，数字化转型成果可广泛用于决策、规划等领域，如科学编排航班、预测用户习惯等。

数字化愈加普及，数据安全风险也如影随形。信息安全问题是摆在大数据时代全体数据管理者面前的共同课题：一是数字化转型搭建了大数据平台和各种网络系统，但从技术层面上看数据系统本身从设计到运行都难以做到无懈可击，数据信息在网络中随时可能遭受网络攻击或病毒破坏；二是数字化转型本身是对数据的一次集中化、规模化、体系化，一次性获取数据的丰富性和完整性得到提升，“方便之门”顿开；三是数字化转型提高了自动化、智能化水平，但系统平台的使用由人决定、由人管理、由人操作，内部风险时刻存在。

保护信息安全，各数据管理者及信息基础设施的运营者责无旁贷。对于民航旅客信息安全保护，很多研究者已从政府规制、法律等方面进行过探讨。本文将从信息泄露的危害、民航旅客信息安全保护现状及民航管理部门在这其中的角色和任务等开展研究。

旅客信息有关法律、案例及信息泄露的危害

对于“个人信息”、“个人数据”、“私密信息”、“隐私”等，我国《刑法》、《消费者权益保护法》、《网络安全法》、《电子商务法》等已从多个层面予以规范。2020年全国人大通过且于2021年正式生效的《民法典》专设第四编第六章对隐私权和个人信息保护作出专门规定。今年4月，十三届全国人大常委会第二十八次会议对《个人信息保护法（草案）》进行了二次审议；6月10日，《数据安全法（草案）》经十三届全国人大常委会第二十九次会议表决通过，这是我国第一部保障数据安全的专门法律。以上法律的制定，体现了国家保护信息（数据）安全的坚强意志。

虽有法律条文保驾护航，但民航领域侵害旅客信息事件仍时有发生。在技术层面，公安机关曾多次破获网络黑客攻击航空类公司窃取旅客信息的案件，且旅客信息被用来进行诈骗活动。在管理层面，也有典型案件发生，一些人利用职务便利，擅自将数十万甚至数百万条民航旅客个人信息资料下载储存后对外出售，非法牟取利益，许多案例都构成了刑事犯罪。

大多数侵害个人信息的事件，因公安部门难以一一介入，从而未进入刑事案件层面，而是由受害人提出民事诉讼进行维权，包括侵权案件和违约案件。对民航旅客信息诉讼来说，就是民航旅客与民航单位在法庭上各自举证，往往是旅客出具购票、付款等方面的证据，民航单位论述自己在旅客信息保护方面做出的努力，因为缺乏公安部门的取证调查，对旅客信息泄露的关键细节、逻辑链条、因果关系、违法责任时常无法深入与厘清，难以对旅客信息起到充分保护的作用。

港澳台地区及国外航空公司发生的信息泄露事件也让人警醒。根据媒体公开报道， 2018年国泰集团旗下的国泰航空和港龙航空乘客资料被未获授权取览，影响旅客人数约940万；同年，英国航空公司信息系统遭到恶意攻击，导致严重的信息泄露，涉及40多万名客户，其结果给所有航司敲响了警钟。

旅客信息泄露事件一旦发生，就可能会给旅客造成损害，而且在整体上也对我国民航业发展产生不利影响：一是不利于民航业的高速成长，新冠肺炎疫情前我国民航发展势头较好，根据民航局发布数据，2015～2019年国内航线完成旅客运输量同比增长率分别为11.3%、11.9%、13%、10.9%、7.9%，旅客信息泄露将致使旅客对民航业失去信任，多年积累的良好发展势头有可能受到冲击；二是不利于航司的生存发展，如欧洲监管机构用PNR Directive（旅客订座记录指令）对我国航司进行处罚，罚款数额可能偏大，部分航司难以承受损失；三是不利于民航管理部门树立管理权威，因为在旅客看来，在民航领域遭遇的任何问题首先是民航主管部门的责任；四是不利于我国民航业国际竞争力的提升，他国政府“长臂管辖”式的处罚直接伤害我国民航的国际声誉，延缓航司“走出去”的步伐。

民航旅客信息安全保护的“双重困境”

分析民航旅客信息保护的困境，首先要认识民航旅客信息的特殊性：一是信息量大。民航业是能触及大量个人信息的服务行业，如2019年全行业完成旅客运输量约6.6亿人次，信息资源十分丰富；二是民航旅客特别是VIP旅客的个人信息自带价值。如“粉丝经济”催生的对明星信息的需求，会让不法者铤而走险；三是系统平台对部分旅客直接标注“VIP”符号，信息可识别性高；四是信息需要跨境传输，传输的对象和环节越多，越容易泄露，信息泄露的后果和影响还会延展到国际及我国港澳台地区；五是信息入口众多、管理者分散。有航司、机场、民航网络信息基础服务商，还有为数众多的航空销售代理人；六是民航安全对信息安全的要求极高，民航信息安全是国家安全不可忽视的信息场域。正因为民航旅客信息极为特殊，所以其安全保护事关重大，但目前旅客信息保护正面临着企业与政府两方因素叠加后的“双重困境”：

就民航企业来说，不管是因为旅客从认知出发寻找维权对象，还是源于旅客信息泄露造成的实际压力与利益损失，目前旅客信息安全保护的主体主要是航司。虽然航司在技术保障、人员培训等方面的投入得到加强，但依然存在投入不足、话语权不强、管理上精细度不够等问题，需要上下进一步重视起来。

从政府层面上说，也面临着难点及堵点：一是在机构方面，网信部门负责统筹协调网络安全工作和相关监督管理工作；工信部门负责对互联网信息服务的市场准入、市场秩序、网络资源、网络信息安全等实施监督管理；公安部门负责维护互联网公共秩序和公共安全，防范和惩治网络违法犯罪活动，而民航管理部门的专业属性有待进一步加强，突出“专业在位”和“专业优势”。二是在制度方面，已有法律条文偏于宏观层面，法律原则明确，可操作性不足，民航信息的特殊性未得到体现。三是在权责方面，《民航地区管理局及其派出的安全监督管理局行业管理职责分工表》（民航发〔2017〕155号）中虽提到民航网络与信息安全工作监督管理，但一般由民航机关内设人事科教机构负责，信息安全是一个高度专业且需要技术支撑的部门，民航管理机关内部最好有一个专门的“信息部”统筹起履行信息保护的职责。四是在技术方面，虽然民航相关企业积极推进数字化转型并颇有进展，但民航主管部门限于经费投入及人才储备上的不足，数字化转型水平仍有待提高。

民航管理部门在旅客信息保护中的角色和任务

习近平总书记强调：“坚持管行业必须管安全、管业务必须管安全”，这句话是针对安全生产工作提出的，对信息安全工作同样具有指导意义。从“行业”和“业务”上说，民航管理部门是指民航局、民航各地区管理局及监管局。面对民航旅客信息保护的“双重困境”，民航管理部门的角色与任务至关重要，建议从以下几方面推进相关工作：

一是回归民航专业，管理部门主动履责。让“专业部门开展专门管理”，民航管理部门应高度重视民航旅客信息安全，主动承担起民航旅客信息安全的重要监管责任。民航管理部门对民航信息安全监管更多的是事前监管和日常监管，能更好促进“防患于未然”。民航管理部门应严格落实《民航局权责清单编制工作方案》，梳理编制好民航信息相关权责，处理好信息领域民航与其他部门及地方事权交叉的问题，解决好民航机关内设职能部门优化的问题；应强化民航行政服务中心建设，可研究赋予信息安全事项服务功能；同时可探索成立专业内设机构，统筹民航信息安全工作，提升民航信息管理工作的专业性和针对性，方便与网信、工信等部门开展合作，也方便民航各相关企业与之对接。

二是完善法规政策，营造良好制度环境。数字化转型必然催生数据安全保护的转型。应以《网络安全法》等法律为基础，研究制定民航信息安全方面的专门规章及政策，加速推进对民航信息类“实施细则”、“行业标准”、“操作指南”的研究与制定，建立健全民航信息方面的失信惩戒和守信激励机制，以民航法治建设的“专业性”满足民航信息采集、上报管理、传输、使用上的“特殊性”。如《网络安全法》第37条提到的数据安全评估要求，目前民航业仍缺乏具体依据，需加快制定“民航信息跨境传输评估办法”，并建立“民航信息清单”制度，对于不同信息分别明确“免除评估”或“必须评估”。

三是重视数字技术，提升应用研究水平。民航运输企业在航权、航班时刻等方面均需服从民航管理部门的要求，多项数据需要相互传输，民航管理部门的数字化水平一定程度上制约着信息安全监管能力，因此要加大自身数字化建设的经费投入与人才培养，加强数字化应用，在专业能力上打好基础，以保障民航信息安全监管的科学性、针对性、精准性；紧盯信息科技发展方面的新成果、新技术、新现象，研究其与民航业的深度融合及创新转化；持续贯彻“放管服”改革精神，以自身数字化建设保障民航企业的数字化转型，增强民航信息安全管理与服务能力。

四是强化信息管理，有效管控安全风险。民航管理部门应引导行业自律，督促民航旅客信息各相关方切实采取严密措施，提高信息安全保护标准，增强保护能力，充分履行旅客信息保护主体责任；协调机场、民航网络信息基础服务商与航司开展合作，保证民航信息相关方全员参与；将管理的触角延伸到销售代理人等易被忽略的“角落”，设立民航销售代理与信息管理准入门槛，真正做到监管无死角；对民航相关企业开展定期检查与不定期抽查，促使各方推行分级分类授权制度，杜绝企业员工接触与其职责无关的旅客信息；鼓励和支持民航企业提升技术水平，完善信息安全保护体系，加强对浏览下载民航旅客信息行为的实时监控，做到全程留痕，与民航相关企业一起，建立预测预报预警机制；畅通电话信箱网络等多元举报投诉渠道，并及时反应、及时跟进、及时处理；与网信、公安等部门开展专项整治行动，形成高压态势。随着法规政策体系逐步完善，民航管理部门在行政监管中除对行政相对人采取行政处罚等刚性措施外，还可采用通报、约谈等柔性手段，做到刚柔并济、多措并举。

五是开展全球合作，争取国际话语权。民航管理部门还要加大对外合作，加强国际民航组织（ICAO）和国际航空运输协会（IATA）框架下的全球民航信息保护合作，坚守民航信息安全原则底线，积极维护我国民航的整体利益，发出强有力的“中国民航声音”，推动中国民航信息安全标准国际化；与其他国家携手制定更加可靠、合理、高效、可操作的民航信息传输规则，为国内外民航企业的信息跨境传输营造公平公正公开的国际环境，推动民航信息全球范围内安全有序流动；就民航信息安全保护技术开展学习交流，充分吸收国外同行的先进经验和典型做法，共同维护全球民航旅客的个人信息安全和全行业的整体信息安全，保障我国民航业良性发展，同时为全球民航业的共同繁荣做出积极贡献。

数字化转型给民航旅客信息安全保护带来了新风险、新机遇、新挑战，民航管理部门必承担关键角色，使民航信息各相关方在信息安全保护上更具有专业性、规范性、精准性。民航管理部门应立足新发展阶段，践行新发展理念，坚持问题导向、目标导向，以编制民航权责清单为契机，完善相关制度体系，提升自身技术水平，强化专业管理，为民航旅客信息安全保驾护航，持续保障我国多领域民航强国建设行稳致远。