《民航网络信息安全管理规定(暂行)》公开征求意见

来源:国务院法制办公室

 为加强民用航空网络信息安全管理,保障民用航空网络信息安全,根据《中华人民共和国安全生产法》、《中华人民共和国网络安全法》《中华人民共和国民用航空法》等法律法规,依据《民航局2015年度立法工作安排》(民航发[2015]5号)的基本要求,在广泛征求民航各单位意见和建议的基础上,制定了《民航网络信息安全管理规定(暂行)(征求意见稿)》(以下简称《规定》)。


《规定》共六章六十一条,分别就《规定》的目的和适用范围、网络信息安全职责与分工、网络运行安全与信息安全(包括一般规定,应急管理,旅客信息保护)、网络信息安全监督检查(包括监察员,网络信息安全检查,事件调查)、法律责任等方面做了系统规定。


现就《规定》的有关情况做如下说明。

一、必要性

(一)落实依法治国的基本原则,规范民航网络信息安全管理工作。

党的十八大以来,以习近平同志为总书记的党中央就网络安全工作提出了一系列新思想新观点新论断,对加强国家网络安全工作作出重要部署,指出“没有网络安全就没有国家安全,没有信息化就没有现代化”。党的十八届四中全会决定要求完善网络安全保护方面的法律法规,我国新制定的《中华人民共和国网络安全法》已由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。民航是国家重要的战略产业,民航是国家网络安全工作的重要行业,目前民航网络信息安全工作的管理尚依赖于管理文件,存在一定程度的“无法可依”的问题,并且管理文件的规定内容也不够系统全面,很难满足民航网络信息安全工作的需要。


(二)面对民航业复杂的网络安全形势,解决网络信息安全工作中存在的实际问题。

近年来,我国民航信息化已经取得了巨大发展,与此同时,民航网络信息安全也存在较大的风险,面临很大的压力。主要体现在如下几个方面:一、民航网络信息系统网络规模大、系统复杂、专业性强,民航的生产运行对信息网络依赖性强,关键信息基础设施一旦出现问题,将影响全行业正常运行;二、来自国内外的网络入侵、网络攻击等非法活动时时刻刻发生,严重威胁着民航重要网络和信息系统的运行安全。三、社会以及行业内非法获取、泄露甚至倒卖民航旅客个人信息时有发生,严重损害民航旅客合法权益。


(三)配合《监察员管理规定》的有关要求,明确网络信息安全监察员职责。

《中国民用航空监察员管理规定》已于2014年7月1日起施行,此规定设置了网络和信息安全监管专业,解决了网络信息安全监管持证执法的问题。根据监管实际需要,有必要在《规定》中对网络安全监察员的职责等内容予以进一步明确,使其更好地履行网络信息安全监察职责。

综上,面对民航业发展中的实际需求,有必要制定网络安全管理规章,解决当前工作中的突出问题,将民航网络信息安全管理工作纳入法治化的轨道上来。

 

二、指导思想和原则

《规定》的制定坚持“安全第一、预防为主、综合防范”的指导思想,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。


三、主要内容

《规定》充分学习和借鉴《安全生产法》、《网络安全法》等有关法律法规,参考其他行业(如电力、银行、证券等)的有关规定,大量走访民航相关部门,并多次征求意见的基础之上形成的。具体内容介绍如下:


(一)总则部分

总则部分为本规章的概括性条文,主要从本规定的制定目的、适用范围、制定原则、编制依据等方面进行展开。在适用范围上适当进行了扩展,将接入民航网络信息系统或者使用民航信息资源的外部机构和个人纳入其中。同时,在总则第五条中对责任追究制度进行了规定。


(二)职责与分工——明确各方主体的网络信息安全职责

在民航网络信息安全管理过程中,由于涉及的主体不同,职责分工也有所不同。《规定》第二章主要从监管主体和被监管主体两个方面来明确各方职责。从监管主体上讲,《规定》主要是从民航“两级政府”的监管实际进行规定,即民航局,民航地区管理局。从被监管主体上讲,《规定》主要是对民航各企事业单位的相应职责进行了规定。


(三)网络运行安全与信息安全——构建民航各单位的网络信息安全管理体系

《规定》第三章,主要围绕着网络运行安全与信息安全的目标,针对民航各单位在实际工作中应落实的各项制度和措施进行明确。本章共分为三小节,分别为一般规定,应急管理,旅客信息保护。


一般规定主要规定了民航各单位在网络信息安全管理过程中应建立的基本制度以及技术管理手段,从技术层面和制度层面进行了规范。本节内容主要包括安全教育培训,等级保护,信息通报,资产管理,采购管理,外包管理,经费保障,物理环境安全,网络边界安全防护,系统接入管理,公共场所互联网服务管理,系统安全管理,系统变更管理,网站安全管理,终端计算机管理,移动存储介质管理,信息和数据的安全管理等内容。


应急管理主要规定了应急管理制度和工作机构的设置,应急预案的制定与培训演练,应急协调机制,应急处置等内容。


旅客信息保护问题是社会热点问题,关于民航“退改签诈骗”“航空诈骗”等问题也经常发生。基于此,本规定将旅客信息保护单成一节进行规定,从制度和技术层面对旅客信息保护加以规定,主要包括旅客信息保护制度,收集使用旅客信息的规定以及旅客信息转移或委托的规定。


(四)网络信息安全监督检查——增强民航各行政管理机构的监管力度

《规定》第四章,主要围绕着监管主体的角度展开,分别就网络信息安全监察员,网络信息安全检查以及网络信息安全事件调查进行了规定。


《中国民用航空监察员管理规定》设置了网络和信息安全监管专业,本章第一节主要就监察员的主要职责,监察员培训要求,监察员考核等进行了规定。


安全检查是保障安全生产的重要手段,其目的是查明各种危险和隐患,监督各项安全管理制度的落实,制止违法行为。本章第二节主要围绕安全检查制度,检查工作组织,现场检查要求,检查结果处理,自查与复检等进行了规定。


事件调查的目的在于总结经验教训,防止类似事件的再次发生,这也是安全管理工作中的重要一环。本章第三节主要围绕事件调查工作的启动,事件调查组织,事件调查实施,事件调查结果等进行了规定。


(五)明确各方法律责任

《规定》规定了两方面的法律责任,一方面是民航各单位可能因未落实有关制度或职责,依不同情节需要承担不同形式的法律责任;另一方面是民航行政管理机构工作人员未依法履行监管职责而承担的法律责任。


《规定》法律责任的设置,在遵循上位法和有关立法技术规范要求的基础之上,主要采用了“阶梯式”处罚方式,实现了处罚方式的“轻重结合”。比如,未落实某项管理制度的,由民航行政管理机构责令限期改正;逾期未改正的,给予警告;造成一定后果的,对相关责任人员和单位进行罚款;造成严重后果的,依法责令暂停相关业务。从“警告”到“依法责令暂停相关业务”,实现了处罚方式的渐进过程。此外,还有民事责任和刑事责任的设置,约谈制度的引入,多种处罚方式的配合设置以更好地发挥法律责任的作用。


四、可行性及预期效果

《规定》具有较强的实践性,《规定》的起草过程充分考虑到我国民航网络信息安全工作的实际,参考了国家有关法律法规和其他行业的相关规定,大量走访了民航相关部门,并广泛征求各方意见。因此,《规定》的形成有充分的理论和实践基础。《规定》明确了相关主体的职责,从构建民航各单位的网络信息安全管理体系和增强民航各行政管理机构的监管力度进行了规定,明确了相关方因违反《规定》需要承担的法律后果。因此,《规定》具有较强的实践性。


《规定》的实施,将在一定程度上解决民航网络信息安全工作面临的实际问题,首先解决了网络安全监管工作“无法可依”的现状,有利于相关监管工作的展开,其次有利于督促民航各单位按照《规定》的各项基本要求开展相关工作,减少民航网络安全事件的发生,切实保障民航网络信息安全。


五、对不同意见的处理情况

《规定》在起草过程中,先后通过走访调研、会议、电子邮件等形式征求了各地区管理局、监管局和民航相关企事业单位的意见和建议。各单位结合本单位工作实际,对《规定》框架、原则以及有关技术要求和制度的设置、相关主体的职责以及法律责任等提出了很多意见和建议,我们在综合平衡各方意见的基础上,在《规定》中予以吸收和体现。   

 

中国网络空间安全协会 © 版权所有

地址:北京市西城区车公庄大街9号院五栋大楼A2座三层

技术协办:中云技术股份有限公司

津ICP备19007168号

津公网安备 12011102000196号