;(以下简称"征求意见稿")发表了公众意见。在征求意见稿草案中,要求民航单位建立乘客信息保护系统,在提供服务期间收集和使用乘客信息,应采取相关措施进行严格保护,不得泄露、篡改或损坏,不得向他人出售或非法提供。
规范民航网络信息安全管理势在必行
民航是一个重要的战略产业,也是国家网络安全的重要产业。据了解,目前民航网络信息安全管理仍依赖于管理文件,存在一定程度的“无法律可依”问题,管理文件的规定不够系统和全面,难以满足民航网络信息安全工作的需要。
由于民航网络信息系统规模大、系统复杂、专业性强,民航生产经营对信息网络的依赖性很强。一旦关键信息基础设施出现问题,就会影响整个行业的正常运行。国内外的网络入侵和网络攻击等非法活动时有发生,严重威胁着重要的民航网络和信息系统的安全运行。
此外,民航旅客个人信息的非法获取、泄露甚至转卖也时有发生,严重损害了民航旅客的合法权益。因此,规范民航网络的信息安全管理是十分必要的。
重视旅客信息的保护
征求意见稿侧重于网络运营安全和信息安全的目标,明确了民航单位在实际工作中应实施的制度和措施。
意见草案>规定建立等级保护制度。新的信息系统或信息系统发生变化时,应首先确定信息系统的安全保护水平,同时建设符合安全防护水平要求的安全保护设施。
建立网络信息安全信息通报系统,按照规定的通知程序向民航管理部门报告相关信息,不得截留、延误、谎报、报告迟交、前处理责任。
对于那些需要外包或远程技术服务的人,“征求意见稿”要求与提供者签订安全保密协议。
在民用机场、飞机等公共场所为民航旅客提供互联网接入服务时,企业应采取身份认证、互联网行为审计等安全技术措施,保护旅客的个人信息安全,同时确保公共网络区域与民航内部网络的物理隔离。
对于网站技术保护体系和在线运行服务体系的建设,征求意见稿>要求,采取有效的保护措施,提高网站的抗篡改、抗病毒、防攻击、抗瘫痪和抗挂能力。建立和完善网站信息发布和审计体系,加强网站内容安全监测和应急处置,定期进行安全检查和风险评估。
乘客信息保护问题是一个热点问题。近年来,民航"票据诈骗退款及变更"和"航空欺诈"经常发生。为此,征求意见稿规定了从机构和技术层面对乘客信息的保护,包括乘客信息保护系统、关于乘客信息的收集和使用的规定以及关于乘客信息的转让或委托的规定。
从征求意见稿中可以明确,民航单位在收集和使用旅客信息时,不得收集与其提供服务无关的旅客信息,不得违反法律法规的规定收集、使用和向第三方提供旅客信息。
将旅客信息转让或者委托其他组织、机构使用的,应当签订旅客信息保护协议,明确旅客信息保护的使用范围和责任。
澄清网络信息安全监察员的责任
安全检查是保障安全生产的重要手段,其目的是查明各种危险和隐患,监督各种安全管理制度的实施,制止违法行为。,在征求意见稿中进一步明确了网络安全检查员的责任。
根据征求意见稿的规定,网络信息安全监察员的主要职责包括:监督检查本辖区民航各企事业单位的网络信息安全工作,制定网络信息安全工作计划,按照网络信息安全信息通报系统向上级行政主管部门报告网络信息安全情况,参与对辖区内网络信息安全事件的调查。
各级民航行政机构实施网络信息安全年检专项检查制度,并将网络信息安全检查工作纳入年度行政检查计划。
对检查中发现的重大安全隐患,责令有关单位立即消除; 对检查中发现的安全管理缺陷或安全隐患,限期向有关单位提出整改要求; 对检查中发现的违法行为,立即制止并依法处罚..
事件调查是安全管理的重要组成部分。征求意见草案规定,如果发现重大的网络安全隐患、漏洞或基本网络,就会受到外部攻击的破坏,发生重大的网络信息安全事件,泄露旅客信息或重要的生产数据,造成重大影响或经济损失。
此外,在遵循“最高法律”和相关立法技术规范要求的基础上,确立征求意见稿的法律责任,主要采用“阶梯”处罚模式,实现了处罚方式的严重性与严重性的结合。例如,不实行管理制度的,由民用航空行政机关责令限期改正;逾期不改正的,给予警告;造成后果的,对有关负责人和单位处以罚款;造成严重后果的,责令依法停业。从警告到依法责令停业,实现了处罚的渐进过程。
征求意见稿还规定了民事责任和刑事责任的确立,引入访谈制度,协调和设置各种处罚方法,以充分发挥法律责任的作用。