中国民用航空局人事科教司副司长刘志宏 演讲

中国民用航空局人事科教司副司长 刘志宏(记者汪洋/摄)

刘志宏:尊敬的各位领导、各位同事、各位来宾,大家上午好!

非常高兴参加2023年智慧民航发展论坛,近年来,随着智慧民航建设的深入推进,加强数据治理的重要性更加凸显,以维护国家数据安全、保护个人信息和商业秘密为前提,作为开展数据安全工作的基础,做好数据分类分级对统筹发展和安全,贯彻总体国家安全观、强化数据安全保障体系的建设意义非常重大。

根据中央统一部署,民航局结合实际,制订了民航领域数据分类分级办法,以规范数据分类分级工作为指导,加强民航领域数据安全保护打好了基础,下面我就办法出台的有关背景及过程、主要内容及下一阶段的工作向大家做一简要的汇报介绍。

第一,背景及过程。2021年6月10日,《数据安全法》颁布,明确提出对数据实行分类分级保护,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业领域的重要数据具体目录,对列入目录的数据进行重点保护,从法律层面明确了数据分类分级保护制度。

2022年12月《数据二十条》出台,强调加强数据分类分级管理,今年2月数字中国建设整体布局规划明确提出,增强数据安全保障能力,建立数据分类分级保护制度。具体到民航领域来说,民航局出台了关于《民航大数据建设发展的指导意见》,在数据安全体系建设方面,对落实数据安全管理责任,加强数据安全保护和监督管理工作提出了明确的工作要求。

经过前期的调研,民航领域数据资源主要有6个方面的特点。

1、建设主体多,数据分散在行业各单位中。

2、存储量大,存储方式以本地为主,也有云储存的情况。

3、链条长,流程复杂,接触环节多。

4、开放性高,共享主体多,数据跨境流动比较频繁。

5、数据多源异构,采集来源广,格式多样。

6、部分系统的数据包含大量旅客个人信息,为贯彻国家数据安全相关政策及工作要求,规范民航领域数据处理活动,加强对民航领域重要数据和核心数据的识别与管理,更好的指导开展数据安全工作。

结合以上数据特点,民航数据安全工作领导小组办公室从去年2月份开始组建了专班,启动了民航领域数据分类分级办法的起草和编制工作,经过广泛的征求意见并且多次与国家有关部门汇报沟通,形成了送审稿,今年8月民航局局务会议审议通过。

第二,办法的主要内容。

该办法一共分为6章,包括总则、职责分工、数据分类、数据分级、实施流程以及附则。总则部分,首先办法的适用范围为民航领域数据处理者,开展民航领域非数据分类分级工作,涉及国家秘密、军事等数据处理活动,需要按照国家的有关规定执行,另外民航领域数据处理者在处理工业、电信、交通、金融、自然资源、卫生健康、教育、科技等其他领域的数据时,还应当按照其主管部门明确的数据分类分级要求开展相应工作。

总则部分对民航领域数据、民航领域数据处理者、核心数据、重要数据、一般数据进行了定义,核心数据包括但不限于超过一亿人的旅客数据,这些数据一旦被非法使用和共享,可能直接影响政治安全。

重要数据包括但不限于民用航空器事故相关的飞行数据记录器,驾驶舱语音记录器、航空器健康状况监测数据以及超过100万人的旅客数据,这些数据一旦被泄漏、篡改和损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

按照分类管理、分级保护的思路,统筹安全和发展,民航领域数据分类分级遵循依法依规、科学合理、就高从严、注重实效、动态调整的原则。

职责分工,民航数据安全工作领导小组贯彻落实党中央国务院关于数据分类分级工作的决策部署,统筹推进民航领域数据分类分级工作,领导小组办公室负责督促落实领导小组的决定、部署和要求,跟踪掌握民航领域数据分类分级工作的开展情况,建立民航领域重要数据目录。

民航局业务主管部门按照谁管业务,谁管业务数据,谁管数据安全的原则,指导本业务领域数据资源梳理,审核确认本业务领域重要数据目录,提出本业务领域核心数据的建议。

民航各地区管理局负责组织开展本辖区内民航领域数据处理者的数据分类分级工作,对数据的分类、定级进行初步审核。民航领域数据处理者按照业务数据谁处理,数据分类分级谁负责的原则,开展本单位民航领域数据资源梳理,并识别重要数据。

数据分类部分,按照所属业务领域和具体业务,办法将民航领域数据在一级类别分为宏观调控域、安全监管域、市场管理域、航空安全保卫域、生产运行域、航空服务域、机场工程域、空中交通管理域、其他域等9个域。

二级类别是在一级类别的基础上,依据业务特点进行的细分,当一级类别和二级类别发生变更时,办法在第12条,对相关的程序进行了明确。

数据分级部分,数据一旦遭到篡改、破坏、泄漏或非法获取、非法利用对影响对象造成的危害程度,民航领域数据从高到低分为核心数据、重要数据、一般数据,民航领域数据处理者需要结合数据的规模、精度、深度采用定性定量相结合的方式,综合判定影响对象危害程度,进而对数据进行初步定级。

为了帮助大家更好的理解如何区分核心数据、重要数据、一般数据,办法在附件2结合智慧民航数据治理规范、数据安全标准,对相关的对应关系进行了明确。

民航领域数据处理者还需要定期对数据安全级别进行评估,出现办法第15条规定的四种情况之一时,应及时对数据安全级别进行变更调整,并按程序上报审核确认。

实施流程部分,基本流程请看以下几张示意图,民航领域数据处理者梳理本单位民航领域数据资产,形成本单位的民航领域数据资产清单,并进行分类和初步定级。

除局属单位外,民航领域数据处理者将数据分类分级清单上报地区管理局进行初步审核,地区管理局汇总辖区民航领域数据处理者的数据分类分级清单,报领导小组办公室。

地区管理局和局属单位将自身民航领域数据分类分级清单报领导小组办公室,民航局机关相关部门将本部门的民航领域数据分类分级清单报领导小组办公室。

民航领域业务主管部门审核确认本业务领域数据分类分级清单,形成本业务领域重要数据目录,并提出核心数据目录的建议。领导小组办公室汇总后,并形成民航领域重要数据目录和核心数据目录的建议,领导小组办公室向国家数据安全工作协调机制报送民航领域重要数据目录,提出核心数据目录建议,协调机制,审核确定核心数据目录,民航领域数据处理者依据确定的数据安全级别开展保护工作。附则部分主要是明确了办法由领导小组办公室负责解释,自文件印发之日起施行。

第三,下一阶段的工作。

民航领域数据处理者首先要开展数据资产梳理,进行数据分类和初步定级,需要说明的是行业外的民航领域数据处理者,如在线旅游销售平台,掌握大量的民航领域数据,也要按照本办法要求开展数据分类和初步定级工作,在此基础上民航局组织开展数据目录报送工作,领导小组办公室对收集的数据目录进行汇总整理、审核确认,形成2023年度民航领域重要数据目录,并提出核心数据目录建议。

以上是我对《民航领域数据分类办法》的解读,谢谢大家! 

<