對于需要外包服務或遠程技術服務的,《征求意見稿》要求與提供者簽訂安全保密協議。

在民用機場、航空器等公共場所為民航旅客提供互聯網接入服務的企業,應當采取身份認證、上網行為審計等安全技術措施保護旅客個人信息安全,同時保證公共網絡區域與民航內部網絡物理隔離。

對于網站和網上運行業務系統技術防護體系建設,《征求意見稿》要求,采取有效防護措施,提高防篡改、防病毒、防攻擊、防癱瘓、防掛馬能力。建立完善網站信息發布審核制度,加強網站內容安全監測和應急處置,定期進行安全檢查和風險評估。

旅客信息保護問題是社會熱點問題,近年來民航“退改簽詐騙”“航空詐騙”等問題經常發生。為此,《征求意見稿》從制度和技術層面對旅客信息保護加以規定,主要包括旅客信息保護制度,收集使用旅客信息的規定以及旅客信息轉移或委托的規定。

《征求意見稿》明確,民航各單位在收集、使用旅客信息時,不得收集與其提供的服務無關的旅客信息,不得違反法律、法規的規定收集、使用和向第三方提供旅客信息。

《征求意見稿》強調,將旅客信息轉移或委托給其他組織或機構使用的,應當簽訂旅客信息保護協議,明確旅客信息使用范圍和保護責任。

明確網絡信息安全監察員職責

安全檢查是保障安全生產的重要手段,其目的是查明各種危險和隱患,監督各項安全管理制度的落實,制止違法行為。根據監管實際需要,《征求意見稿》中對網絡安全監察員的職責等內容予以進一步明確。

《征求意見稿》規定,網絡信息安全監察員的主要職責包括:對轄區內民航各企事業單位網絡信息安全工作實施監督檢查,制定網絡信息安全工作計劃；按照網絡信息安全信息通報制度向上級行政管理機構報告轄區內網絡信息安全情況；參與轄區內網絡信息安全事件調查等。

民航各級行政管理機構實行網絡信息安全年度檢查和專項檢查制度,將網絡信息安全檢查工作列入年度行政檢查計劃。

對檢查中發現的重大安全隱患,應當責令有關單位立即排除；對檢查中發現的安全管理缺陷或安全隱患,應當向有關單位提出限期整改要求；對檢查中發現的違法行為,應當立即制止,依法處罰。

事件調查是安全管理工作中的重要一環。《征求意見稿》規定,如發現重大網絡安全隱患、漏洞或基礎網絡、重要系統受到外部攻擊遭到破壞,發生重大網絡信息安全事件,旅客信息或重要生產數據泄露,造成重大影響或經濟損失等,應啟動調查工作。

此外,《征求意見稿》法律責任的設置,在遵循上位法和有關立法技術規范要求的基礎之上,主要采用了“階梯式”處罰方式,實現了處罰方式的“輕重結合”。比如,未落實某項管理制度的,由民航行政管理機構責令限期改正；逾期未改正的,給予警告；造成一定后果的,對相關責任人員和單位進行罰款；造成嚴重后果的,依法責令暫停相關業務。從“警告”到“依法責令暫停相關業務”,實現了處罰方式的漸進過程。