《网络数据安全管理条例》(征求意见稿)可能对航空公司、机场和制造商的经营产生的影响
国家互联网信息办公室在 2021 年 11 月 14 日发布了应《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》对国家网信部门的要求而制定的《网络数据安全管理条例》的征求意见稿。
笔者觉得该稿的大部分内容设计合理,预计将会在最终稿件中保留。因此,笔者将以该稿为基础,对《条例》可能对航空公司和机场经营产生的影响进行评估。
第一章:总则——明确了处理者作为主体的责任
在第一条中,网信办就立法依据进行了说明——核心立法依据是《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》三条法律。这三条法律从多个角度管理航空公司的各种数据处理活动:
1. 计算机系统基础架构适用《网络安全法》的管理;
2. 运行、机务等不涉及个人信息的数据适用《数据安全法》的管理;
3. 乘客、员工等的个人信息适用《个人信息保护法》的管理。
第二条对适用范围进行了评估——境内航空公司和机场当然适用,而境外的航空公司和机场在为中国境内个人处理信息,或处理在境内的重要数据时,也需要适用本法。此处需要注意的有两个: 其一是“境内个人”的定义。在民航界有三种情况——该人是否属中国国籍,该人的始发地是否为中国,该人的目的地是否为中国。GDPR 的规定是“始发地或目的地任一地位于欧盟境内,而不论国籍”,相信中国会跟随采用; 其二是“重要数据”的定义。它来自《数据安全法》第二十一条——“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”,并在《条例》第五条中重申。换言之,民航领域的重要数据,应当由交通部民航局制定(必要的时候可能需要咨商中央空中交通管制委员会)。根据我们在海外的经验,民航领域的重要数据可能包括飞机的维修保养记录、飞机的飞行航迹地理信息数据等(具体请见第四章)。
第五条重申了《数据安全法》第二十一条的精神,通过“数据分类分级保护制度”按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据。同样地,公安部、交通部(民航局)也需要按照要求对民航业界的数据进行分类分级管理。
第六条明确了数据安全管理和技术保护的主体。对于“处理”的定义可见第七十三条第二项(收集、存储、使用、加工、传输、提供、公开、删除)。
一般规定部分——三大航的额外管制要求
第八条明确了一般管理要求。
第九条明确了数据处理者通过技术手段保护信息安全的三要素(完整性(Integrity,对应篡改、毁损和丢失)、保密性(Confidentiality,对应泄漏、窃取和非法使用)、可用性(Availability,对应毁损和丢失),合称 CIA)的责任:
备份保护可用性和完整性;
加密保护完整性和保密性;
访问控制保护完整性和保密性;
在具体要求上,指明了重要数据的三级等保和强制加密要求。
第十条和第十一条对补救性措施提出了要求。其中值得注意的是“重要数据或者十万人以上个人信息”的泄露、毁损、丢失等数据安全事件有额外的规定。国内绝大多数航空公司和机场基本都存在这一风险。
第十二条约定了委托数据的处理要求。
第十三条规定了触发网络安全审查的条件。对民航业企业影响比较大的是第二条和第四条:第二项“处理一百万人以上个人信息的数据处理者赴国外上市的”对三大航等已经在国外上市的航空公司提出了额外要求;第四项“其他影响或者可能影响国家安全的数据处理活动”——处理运行控制和机务维修等涉及空防安全的数据时大概率会触发这一条款。
第十四条规定了合并重组分立时的情况。值得注意的是,“涉及重要数据和一百万人以上个人信息”的,应当向设区的市级主管部门报告——换言之民航业以后的组织架构调整需要额外报告数据处理相关事宜。
第十五条和第十六条和航空公司无关;
第十七条对俗称“爬虫”的自动化工具做出了规范。核心要求包括,“评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能”和“不能违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益”。这一条对收集对手票价等行为进行了规范。
第十八条具体要求处理者建立举报和投诉渠道。
第三章:个人信息保护部分
第十九条重申了《个人信息保护法》的精神,并具体提出了“提供服务或履行义务所必需”、“最短周期、最低频次、影响最小”两个细化要求。
第二十条对《个人信息保护法》中的告知义务应告知的内容进行了明确。
第二十一条明确了取得同意的细节。这里对航空公司影响是比较大的有四点:
第一点是按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意——换言之,不得采用“自动入会”等方式,将旅客出于购票提供的个人信息自动转为根据同意提供的个人信息。
第二点是处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意——在登记用户身份信息(证件号码和联系方式)、特殊餐食(如宗教餐、忌讳餐或营养餐)、特殊服务(例如轮椅服务或引导服务)、行踪轨迹(机票、登机牌等),全部可能需要个人单独同意。
第三点是处理不满十四周岁未成年人的个人信息,应当取得其监护人同意——购票流程中对于不满 14 周岁未成年人的购票信息,可能以后需要额外输入监护人的身份证件等以示取得监护人的同意。
第四点是不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意——在“机加酒”等综合性服务时,每个服务需要单独同意确认。
第二十二条声明了“十五个工作日内删除或匿名化的要求”。对航空公司的影响同样是比较大的:
第一个是“已实现个人信息处理目的或者实现处理目的不再必要”——在民航运输中,什么情况下构成“已实现处理目的”这件事本身就是一个问题,现在的民航实践很可能遭到司法挑战。
第二个是“达到与用户约定或者个人信息处理规则明确的存储期限”;
第三个是“终止服务或者个人注销账号”——这里的问题是用户注销常旅客帐号后,其所有行程信息是否可以一并删除?
这些都要求民航局以最后一款“法律、行政法规另有规定的从其规定”做出补充性规定,明确民航场景下个人数据保护的具体要求。
第二十三条明确了处理者在应对个人就个人信息的合理请求时的法律义务和权利。第二十四条规定了处理者在应对个人就个人信息的转移请求时的法律义务和权利。
第二十五条禁止了在没有明确的另行规定下将生物特征作为唯一个人身份认证方式的做法,要求处理者必须考虑第二种认证方法。
第二十六条规定了“一百万人”的门槛。按照此条,各航空公司和机场基本都符合“重要数据的处理者”的条件,而需要遵守第四章的规定。
第四章:重要数据安全
第七十三条第三项对“重要数据”进行了定义——“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”。我们认为重要数据在民航业大概率会包括以下数据:
1. 第三点“国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等”;
2. 第四点“工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据”;
3. 第五点“达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据”;
4. 第六点“国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据”;
5. 第七点“其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据”。
第二十七条明确了交通部、民航局、以及各省(区、市)及以下各级人民政府“按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”的义务。
第二十八条要求航空公司和机场等“重要数据的处理者”明确数据安全负责人并成立数据安全管理机构。因此,各大航空公司和机场很可能需要成立一个法务和信息的交叉部门。同时,对数据安全负责人,也做出了“应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况”的要求。
第二十九条规定了备案制,要求各重要数据的处理者在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。例如国航和首都、大兴机场要向北京市、东航和虹桥、浦东机场要向上海市,南航、白云机场要向广州市的网信部门备案。在这一条款中,同样赋予了民航局和各省“国家网信部门和主管、监管部门规定的其他备案内容”和“依据部门职责分工,网信部门与有关部门共享备案信息”的权利。
第三十二条对各航空公司和机场(尤其是三大航)提出了“应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年 1 月 31 日前将上一年度数据安全评估报告报设区的市级网信部门”的要求。同样地,民航局和各省也可以就“国家网信部门和主管、监管部门明确的其他数据安全情况”和“依据部门职责分工,网信部门与有关部门共享报告信息”两点行使监管权力。
同时,就传输数据提出了“合法正当必要”三要求,并在评估时要求考虑“对国家安全、经济发展、公共利益带来的风险”和“数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况”。在“可能危害国家安全、经济发展和公共利益”时,数据处理者不得共享、交易、委托处理、向境外提供数据。
此处受到影响比较大的是各境外飞机、引擎和航电制造商为其产品的遥测功能
第三十三条规定了重要数据转移的审批者。“数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。”换言之,委托第三方公司处理本公司运控、机务等数据时,可能需要额外的流程。
第三十四条明确了中航信这一“关键信息基础设施运营者”在采购云计算时需要采购“通过了国家网信部门会同国务院有关部门组织的安全评估”的云计算服务。
第五章:跨境数据
第三十五条规定了三大条件。考虑到民航业几乎全部是“一百万人以上”,因此根据第三十七条第二项必须通过国家网信部门组织的数据出境安全评估(法律法规和网信规定可以不进行的例外)。但是,这里有一个例外——“数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外”。这一个例外是否适用于国际航班的情况这一点,需要业内进一步讨论,但我觉得考虑到第三十七条,它大概率是不适用的。
第三十八条指出了另一个例外——“缔结或者参加的国际条约、协定”,因此在遵守中国缔结或参加的 ICAO、WCO 等世界政府间组织制定的民航业国际条约和协定的情况下,航空公司和机场可以按照条约和协定的规定向境外提供个人信息。但是,API 受到下一条的规管。
第三十九条对数据出境相关的监管提出了要求。这里需要注意第二款——“非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”。换言之,根据
第四十条要求航空公司编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况。
第四十一条明确了管制境内外网络传输的许可。
第六章:对平台的规定
航空公司和机场可能存在“平台化”的情况“互联网平台运营者”的要件,适用第六章。
第四十三条规定了平台制定数据相关的平台规则、隐私政策和算法策略披露制度时,“及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正”的义务。
第四十四条规定了“兜底义务”——第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
第四十六条规定了互联网平台运营者“一视同仁”的义务——无论是对用户(第一、三项)或者对平台入驻商家(第二、四项)都是如此。
第五十条提出了建设“网络身份认证公共服务基础设施”的要求,并要求互联网平台运营者应当“支持并优先使用”国家网络身份认证公共服务基础设施提供的个人身份认证服务。换言之,以后购买机票时,可能不能再要求身份证号码等个人信息,而是适用国家提供的公共服务基础设施进行身份认证。
第五十三条要求大型互联网平台运营者对平台运行情况进行第三方年度审计。
第七章 监督管理
第五十五条明确了交通部(民航局)作为“行业主管部门”,承担本行业、本领域数据安全监管职责的义务。对于航空公司和机场而言,可能受到国家网信部门、公安机关、国家安全机关和行业主管部门的监管。具体而言,交通部(民航局)等“行业主管部门”需要:
1. 明确本行业、本领域数据安全保护工作机构和人员;
2. 编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
3. 定期组织开展本行业、本领域的数据安全风险评估;
4. 对数据处理者履行数据安全保护义务情况进行监督检查;
5. 指导督促数据处理者及时对存在的风险隐患进行整改。
第五十七条规定了各有关主管、监管部门就数据安全进行监督检查的权力和义务。第五十八条规定了审计制度。
第五十九条规定了国家对相关行业组织(机场协会和中国航协)按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展的支持。(中国民航网 智库专家 李瀚明)
