2016年7月国际民航组织发布了《附件19安全管理》第二版，其适用日期为2019年11月，本文分析了国际民航组织针对航空安全信息保护的主要做法，包括（A）基本准则；（B）保护范围和程度；（C）保护准则；（D）例外准则；（E）公开披露；（F）记录数据的保护；以及（G）安全信息的共享和交换等，以期对我国相关规章制定起借鉴作用。

　　　一、基本准则 

　　安全数据是指从各种航空有关来源收集到的、用于维护或促进安全的一整套事实或安全数值，从与安全有关的主动或被动的活动中收集，包括但不限于：a）事故或事故征候调查；b）安全报告；c）持续适航报告；d）运行绩效监控；e）检查、审计、调查；或f）安全研究和审查。安全信息是指在特定范畴内处理、组织或分析的安全数据，使其可用于安全管理目的。安全数据和安全信息来源于安全报告系统，也可能来源于安全报告系统得出的结论。

　　保护安全数据、安全信息和相关来源内容的目的是为了持续获取这些数据和信息，以便利用它们来维持或者提高航空安全，同时鼓励个人和机构报告安全数据和安全信息。航空安全不只是国家或服务提供者的责任，也是一种共同责任，所有利益攸关方都应为此做出努力。除其他手段外，就是通过安全报告来提供相关数据和信息。在这个背景下，实施保护的重要性怎么强调也不为过。

　　有效的安全报告制度有助于确保人们能够而且仍然愿意报告自己的错误和经验，以便各方获得解决现有、潜在安全缺陷和危害所必需的数据和信息。信任就是通过创造这样的环境来保证的，在这种环境下，人们确信除非例外准则之一适用，否则安全数据和安全信息将完全用于维持和提高航空安全。个人和机构将受到以下保护：a）确保不因其报告而受到惩罚；b）安全数据和安全信息的使用限制在维持或提高安全的目的上，而不用于a）针对员工、操作人员或机构的纪律处分、民事、行政和刑事诉讼；b）公开披露；或c）维持或提高航空安全以外的任何目的。除非适用于例外准则之一，这些保护都将适用。

　　保护的目的不是为了减轻安全责任和干预正常司法。基于报告的安全数据和安全信息，国家或服务提供者必须采取预防性、纠正性或补救性措施，以维持或提高航空安全。也就是说，应采取适当步骤，a）防止由于风险而导致的直接损失或受伤的可能性，直到该风险被识别和缓解为止；b）确保采取适当措施，减少将来再次发生这种风险的可能性；c）防止处于不能缓解的风险之中；或d）确保报告系统本身和作为更大系统一部分的完整性。

　　这些预防性、纠正性或补救性措施可能带来约束、限制或阻止（包括暂停、废止执照的使用）某些权利（指由国家航空管理当局颁发的许可证或者执照）的使用、服务的执行或飞机的运行，直至已查明的安全风险得到有效解决为止。根据既定协议，为这些目的采取的保护或预防措施不应视为惩罚性或惩戒性措施，这些措施的目的是为了防止或尽量减少处于未缓解的安全风险之中。

　　保护的同时，还应确保提供一个公平的竞争环境，以便各方之间按照要求交换安全数据和安全信息。

　　　　二、保护范围 

　　国际民用航空公约附件6、附件13和附件19针对这类保护制定了以下国际标准和建议措施：

　　附件19《安全管理》第5。3条和附录3要求为安全管理目的、来自安全数据收集和处理系统的安全数据和安全信息及其相关来源内容提供保护。保护适用于安全自愿报告系统及其相关来源所收集的安全数据及其产生的安全信息，来源包括个人或机构，也可以扩展至安全强制报告系统及其相关来源所收集的安全数据及其产生的安全信息。

　　附件6《航空器的运行第I部分国际商业航空运输-飞机》第3。3。3条至第3。3。5条规定了飞机正常运行期间，对飞行数据分析方案和飞行记录器及系统的记录保护。根据规定，飞行数据分析方案必须包含数据来源的妥当防护措施。驾驶舱话音记录器（CVR）及其记录系统、A类机载图像记录器（AIR）及其记录系统的录音或转录文本使用，仅限于安全相关目的、检查飞行记录器及系统，或相关的录音或转录文字用于刑事诉讼时，应进行适当保护。同样，飞行数据记录器（FDR）及其记录系统、B类AIR和C类AIR及其记录系统的使用，也应限于适航或维修目的。

　　按照附件13《航空器事故和事故征候调查》启动的事故及事故征候调查，其调查记录受到第5。12条和附录2的保护，自事故或事故征候发生之时起，即使在最终调查报告发布之后仍适用。这些条款规定了事故调查部门不得公布其监管或控制下的记录，包括驾驶舱话音记录的音频内容和机载图像记录的音频及视频内容，除非该国指定的主管部门断定公布或使用这些记录的意义超过这样做可能对该次或将来的调查产生可能的国内及国际不良影响。

　　　　三、保护程度 

　　确定安全数据或安全信息是否符合附件19保护条件时，需考虑a）是否处于附件19保护范围内；b）是否有附件6或附件13的保护优先于附件19的情况；c）例外原则是否适用。

　　保护程度应考虑维持或提高航空安全所必需采取的措施。附件19提到，确保国家和服务提供者不被阻止地使用安全数据或安全信息，以便采取任何必要的预防性、纠正性或补救性措施。这里的预防性措施是指防止事件或者安全隐患的发生或再次发生而采取的措施；纠正性措施指为解决特定的、与安全相关的缺陷或缺点而采取的措施，例如，不能证明符合适用的安全或能力标准的授权持有者；补救性措施指为解决与安全相关的缺陷或缺点而采取的措施，例如培训，限制、限定、暂停或撤销授权、证书或许可持有者的特权，而这些人没有继续履行行使这些特权所必需的资格。无论采取何种措施，都应与维持或提高安全（也就是防止航空安全水平短期或长期呈现恶化趋势）之间有着明确和能证明的联系，应具有明显地预防、纠正或补救效果，明确表达采取措施背后的理由，以证明其安全目的，尽量减少对报告系统的未来产生任何不利影响；另一方面，也应禁止利用安全数据和安全信息，采取带有纯粹惩罚性或纪律性的措施，除非例外原则适用。

　　附件19还规定了保护安全自愿/强制报告系统收集的安全数据、安全信息和相关来源内容的不同要求。对安全自愿报告系统收集安全数据和安全信息的保护是一项国际标准，以确保其在各国之间的持续可用性和更多的一致性，而对于安全强制报告系统的保护是一项建议措施。有些国家针对安全强制/自愿报告系统所收集的安全数据和安全信息采取不同程度的保护，与安全强制报告系统的数据和信息相比，更多地保护安全自愿报告系统的数据和信息，其理由是，在安全强制报告系统下，不需要鼓励自愿提供安全数据或安全信息。而有些国家在安全强制/自愿报告系统中为安全数据和安全信息提供同样的保护，原因在于法律要求提供的报告本身，可能不足以提供全部的安全数据和安全信息，将保护扩大到安全强制报告系统，也可以鼓励报告人提供更多补充细节，否则这些内容可能无法获得。

　　安全数据或安全信息可能在公共领域散播，有时这类安全数据或安全信息不敏感，公开不会带来不利影响，例如与天气有关的安全数据和安全信息；保护原则下的安全数据和安全信息也可能经媒体泄漏进入公共领域，这时不应继续进行披露。

　　四、保护的原则 

　　1.保护原则的应用

　　国家应制定法律和正式程序为安全数据、安全信息及其相关来源提供保护，一是保护针对报告特定安全数据或安全信息的个人或机构，防止这些数据和信息被错误地使用；二是保护安全数据或安全信息不被利用或者公布于非安全相关领域，例如与机场运营和减少噪音问题有关的土地使用争议上。国家行为是制定保护条款的核心。在要求提供证据的正式诉讼中，只有国家颁布的立法或条例，才能禁止或严格限制受保护信息的可用性。

　　在针对服务提供者的民事诉讼中，至少应要求不得使用受保护信息的可反驳推定（可反驳推定是一种假设，除非被证据反驳，否则认为是真实的）。在针对航空公司的因事件而遭受损害的诉讼中，原告可能要求全面查阅运营人的安全管理系统文件，以发现可能与事件没有直接关系的一般性信息，但这些信息可能会对运营人产生不利影响。根据这类问题的既定正式程序要求，主管当局（在本案中最有可能是法院）适用例外原则，要求原告准确地表明希望找到哪些信息以及该信息与诉讼的相关性，并证明没有其他可替代来源来收集相同或类似信息。主管当局还可要求原告说明，由于无法获得该信息而受到了何种侵害。当决定允许使用这些安全数据或安全信息时，主管当局应根据适用的程序，确定正式的保障措施，例如，保护令通常会禁止公布并限制其进入诉讼的相关部分。

　　在针对质疑个人或机构的特定运行或技术资格、素质和能力的行政诉讼中，安全数据或安全信息使用也应处于控制和限制之下。如果安全数据或安全信息为此类诉讼的判定提供了依据，则应特别注意防止因使用所述数据和信息而对信息来源产生的不利或有害的后果。一般来说，处于保护报告框架下的个人和机构应认识到，为了安全起见，必须全部或部分地根据受保护的报告而采取措施，这些措施应符合基本的公平性。例如，一名空中交通管制员提交报告，说工作期间短暂失去了意识，但飞机没有失去间隔，事件发生的唯一证据是管制员自己的报告。为了与安全相关的目的，对该报告的分析需要进行深入调查，而这又要求其个人身份能够经过某种程序而识别出来。立即采取的纠正措施可能会解除管制员的现役职务（没有经济或声誉损失），同时进行全面体检和评估，结果可能涉及到体检、治疗或医疗退休（同样也没有经济或声誉损失）。如果只是简单地解除了管制员的职务，今后其他人也不太可能提出类似的报告了。

　　虽然国家行为能提供必要和适当的保护，但在实际工作中，需要保护的大部分安全数据和安全信息处于服务提供商的运行环境中，涉及到雇主和雇员的关系，这类保护并不总能以立法或国家强制执行的法规形式来提供。即使在这种情况下，国家也可以通过认证、批准和持续监管程序来要求给予有效保护。附件19要求服务提供商实施有效的安全管理系统（SMS），有效的安全管理是以数据采集、分析和保护为基础的，没有数据就没有系统的有效性。作为SMS内容之一，国家安全方案（SSP）也要求国家制定一套机构对其雇员提供保护的政策。

　　自动获取的安全数据和安全信息，例如FDR、话音或图像记录器、空中交通环境记录器等，也应成为保护政策或条例的一部分，使用这些设备作为安全管理系统数据采集的一部分，也应与安全自愿报告系统一样得到充分保护。

　　2.诉讼程序中的保护

　　附件19明确要求在针对雇员、运行人员或机构的纪律处分、民事诉讼、行政诉讼和刑事诉讼中，不得使用安全数据和安全信息，除非适用例外原则。这里，

　　刑事和民事的诉讼或诉讼程序，通常涉及司法机关。这些诉讼程序包括诉讼初期、被告出庭、所有附属或临时步骤、申诉、审判发现程序和其他正式调查。这种诉讼或诉讼程序的结果是涉案人员可能会受到经济损失、罚款或某些情况下的监禁。

　　行政的诉讼或诉讼程序，涉及在监管机构或仲裁庭进行的质询、调查或听证，与变更、暂停、吊销或取消授权有关的诉讼（有时出于安全相关目的，有时则是为了惩罚）。

　　纪律处分或诉讼程序，指雇主针对雇员实际或明显违反或破坏规则和程序的行为做出反应的过程。这种诉讼或诉讼程序的结果，可能免除雇员被指控的不当行为，或在指控得到证实的情况下，对雇员进行纪律处分或解除其职务。

　　保护原则不适用于为了维持或提高航空安全所必需采取的预防性、纠正性或补救性措施，以及与这些措施相关的任何诉讼程序、诉讼或措施。例如，在个人或机构质疑上述措施而提起的诉讼中，允许使用安全数据或安全信息作为采取预防性、纠正性或补救性措施的理由。

　　虽然第三方对报告来源提起诉讼时可能使用安全数据或安全信息，但鼓励采取一切必要措施，确保安全数据和安全信息不用于维持或提高航空安全以外的目的（除非适用例外原则）。

　　3.保护的保障措施

　　保障措施之一是，进一步限制安全数据和安全信息的披露或使用，以减轻由此带来的负面影响。在考虑适用的例外原则基础上，国家可以在其立法或条例中，列入主管当局在作出允许查阅的决定后，对安全数据或安全信息提出保密要求的权力。

　　另一项保障措施是，主管当局批准为维持或提高航空安全以外的目的使用安全数据和安全信息时，发布前去除其来源的身份识别。如果安全数据或安全信息用在与个人或机构无关的范围内，则主管当局认为去身份识别已提供了充分地保护；如果主要涉及技术性信息，则安全数据和安全信息中可能没有过多的识别信息需要删除或修改；如果披露或使用可能对公司或机构产生不利影响，则主管当局应决定去除识别信息是否会提供与不允许披露或使用该数据或信息时，公司或运营人获得类似合理的保护。

　　如果主管当局认为去除标识的安全数据和安全信息不利于使用，可以选择实施其他保障措施（或多种保障措施结合使用），例如保护令、非公开程序、秘密审查和摘要等，也可以采取确保收集、储存、处理和传输安全数据和安全信息的环境足够安全等做法。（未完待续）