航空企业数据安全法律规制研究

候柔倩

(西北政法大学 国际法学院,陕西 西安 710063)

为应对不断攀升的民用航空事故，航空业试图通过重点收集、分析和共享航空数据安全的现有研究成果，进而探寻改良现状的最佳方案。美国联邦航空管理局(Federal Aviation Administration,FAA)、国际民航组织(International Civil Aviation Organization,ICAO)、欧洲民航会议(European Civil Aviation Conference,ECAC)和联合航空当局(Joint Aviation Authority,JAA)均发起了相应的航空安全行动计划。[1]此外，国际民航组织还发布了一系列建议，旨在通过优化航空安全汇报体系和更高效地共享相关信息以更好地防范飞行事故,进而提高民航的安全性能。2015年巴黎和哥本哈根发生恐怖袭击后，许多国家相继宣布创建国家数据库，以存储飞往本国的旅客信息。同时，一些国家亦宣布计划安装国家旅行数据系统，以登记离开和抵达本国的旅客飞行记录，旅客信息收集至此成为一个大趋势。与此同时，旅客个人数据的收集也是《芝加哥公约》赋予航空承运人的一项法律义务。

随着大数据时代的到来，民航旅客数据信息迅速扩张，航空企业的数据存储也随之产生诸多问题。民航旅客信息的持有者可大致分为航空企业和第三方信息处理者两大类，其中最为重要的就是航空企业对数据的持有和处理。可见，航空企业存储的数据大部分来源于对旅客信息应用的全过程。因此，笔者以旅客数据信息保护所面临的困境为引子，通过分析实践中旅客数据被侵犯的现状，探寻航空企业数据安全的必要性。

(一)旅客数据被非法获取

对旅客数据信息的非法获取通常指非出于旅客自由意志的表达而获取或强行获取其个人信息，这种违法行为通常具有持续性，虽然较少对旅客个人权益造成即时性损害(1)通过分析旅客个人信息被非法获取的一些经典案例，如“庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案”“申瑾诉上海携程商务有限公司、支付宝(中国)网络技术有限公司侵权责任纠纷案”和“付全贵与北京三快信息科技有限公司等网络侵权责任纠纷案”等，可看出，旅客信息被泄露只是遭到损害的前期表现，后续往往结合了别的违法行为。因此，较少造成即时性损害。，但后续通常会牵扯到其他非法利用行为，如非法出售、信息诈骗、攫取财产利益等。进而形成一种民航旅客的人身权益和财产权益在表面上虽尚未产生实际损害，但却处于被侵害的威胁之中的不良状态。例如，出于私人目的而未经他人同意或授权收集个人信息的行为等。基于航空安全自身的特殊属性，民航企业多于销售过程中就对旅客个人身份信息、通信信息、家属信息等私人数据进行收集并以电子形式加以存储，而该电子信息基于页面安全欠佳、旅客自身的不当操作、航空企业及相关监管部门等多方位的访问权限等原因，使得个人信息安全处于一个高风险环境之中。况且旅客个人信息又多属于集私密性、复合性、敏感性于一体的产物，一旦遭遇泄露或非法利用都会造成很多不良影响，该特殊性也表明相较于其他数据信息，民航旅客的个人信息应制定并应用更高标准的保护机制。

(二)旅客数据被非法泄露

对旅客数据信息的非法泄露通常指信息管理运营人员未经当事人同意而使第三人不当浏览、非法公开旅客个人信息的行为，抑或是，信息管理运营人员未尽到审慎义务而导致旅客个人信息向外流露的情形，致使大量的旅客姓名、身份证、护照等隐私资料被泄露。[2]追本溯源，旅客个人信息之所以频遭泄露的原因在于承载旅客个人信息的数据流存于航空企业、机票代理平台、第三方信息处理机构、政府相关部门等多重主体之间，交叉而成一张覆盖面极广的信息网。[3]具体而言，即一方面在于目前旅客与承运人订立航空运输合同主要通过第三方代理平台来进行；
另一方面也源于航空公司通常出于自身信息处理能力的局限性而将该业务委托第三方机构负责；
同时，在旅客统一实名制的当下，相关政府部门也会获知旅客的部分数据信息。基于上述原因所形成的信息传输链条不断延长、信息经手环节增多、泄露责任难以明晰等现象，必然会增加个人信息泄漏的风险。如果对某些信息处理不当,将造成大批旅客个人敏感信息泄漏,但具体的环节与途径却很难发现，从而导致旅客个人信息保护维权困难加大。

(三)旅客数据被非法买卖

不论获取来源是否合法，未经许可向他人出售旅客数据信息并获取利益的行为均可被认定为对数据的非法买卖。随着民航业信息化建设的推进，旅客信息呈爆炸式增长，信息泄露现象的频繁发生给普通大众和演艺人员都带来了危害。一方面表现为，粉丝经济形成的供给和消费链条下，艺人的航班信息被大肆售卖和传播，进而造成“私生饭”骚扰的现象频发，严重影响到被侵权人的正常生活和航运的常规管理，对个人和公共利益都带来损失；
另一方面表现为，近年来普通旅客的信息也多被收集并低价售卖以非法牟利，进行商业短信骚扰或电话诈骗等。例如，据英国网络安全公司Comparitech发布消息，截至2021年8月有超1.06亿入泰旅客的姓名、性别、护照号、签证类别、入泰编号等私人信息被泄露，至今无人知晓这些信息究竟是从什么时候开始被泄露到网络上的，其中亦有人担心自己的电话会被不断发送骚扰短信。[4]为规制此类现象的愈演愈烈，我国交通运输部逐步颁发相关规定以要求航空销售网络平台等不得泄露、出售、非法使用或向他人提供旅客个人信息。

(四)旅客数据被非法诈骗

近年来，航空旅客信息诈骗案频发，中国民航第二研究所技术部总助在“CIS 2020大会·CSO首席信息安全官闭门高峰论坛”上就曾分享了一个案例(2)庞某于去哪儿网购买了一张东航的机票后，收到与所购航班相关的疑似诈骗短信，后庞某诉至法院要求去哪儿网和东航承担泄露其姓名、手机号及行程安排的连带责任。,该案由北京市第一中级人民法院做出一审判决(3)法院判决去哪儿网和东航于本判决生效后十日内在其官方网站首页以公告形式向庞某赔礼道歉，持续时间为连续三天。,后经东航申请，北京市高级人民法院进行再审并做出最终裁定，责令航空企业和第三方平台公开道歉。[5]举证责任承担作为本案的一个核心点(4)从收集证据的资金、技术等成本上看，作为普通人的庞某根本不具备对东航、去哪儿网内部数据信息管理是否存在漏洞等情况进行举证证明的能力。进一步说，法律不能也不应要求庞某证明必定是东航或去哪儿网泄露了其隐私信息。东航和去哪儿网均未证明涉案信息泄漏归因于他人，或黑客攻击，抑或是庞某本人。法院在排除其他泄露隐私信息可能性的前提下，结合本案证据认定上述两公司存在过错。,充分阐明了当下旅客信息被侵害面临举证难、维权难、索赔难的不利局面。类似旅客信息遭遇泄露后引发的短信诈骗等案例，均展现出数据泄露源头多、关系网复杂、多以牟利为目的、影响恶劣等共性。一方面，对公民正常生活形成骚扰进而产生精神损失，另一方面，对社会产生信任危机和信息恐慌进而影响到经济发展与社会进步。除短信诈骗案频发，个人信息被骗亦表现为有价资产受损，如旅客账户积分、账户余额、可透支额度等被盗刷。[6]

(五)航空企业数据安全的必要性

网络技术的发展和线上服务的增多产生海量数据资源，即便无人有意识地进行收集和分析，反复识别致使个人信息泄露的可能性也会不断攀升，大数据分析天然地从“无害的”个人数据中推断出受影响的人根本无意透露的关键隐私信息[7],进而产生旅客个人信息的非法获取、泄露、买卖及被诈骗等不良状态。航空企业原先较低的数据防控水平已不适应新形势，不法分子得以通过更高阶的手段非法入侵旅客账户并盗刷其信息和资产。鉴于此，亟须提升信息持有者的网络技术防控能力并出台相应规章制度以对数据安全隐患进行治理，基于旅客在数据应用中的弱势地位，可以更多由航空企业和相关政府部门进行相应制度的顶层设计。诸如，由交通运输部发布的《公共航空运输旅客服务管理规定》自2021年9月1日起施行，明令禁止航空数据企业泄露、出售、非法利用旅客个人信息，一旦违反则按照具体情况进行不同程度的惩处。同时，亦需对数据控制主体进行规制，作为掌握大量数据资源及智能化、多元化技术优势的主体，收集个人信息所涵盖的行为模式、心理缘由、行动轨迹，对个体实行全方位的数字刻画，继而调度甚至左右个人最终选择，潜移默化中降低个人自治的主观能动性，虽不涉及强迫使用和明显致人反感，但却以一种平缓、不易发觉并普遍存在的形态不断运转并产生影响，具有资源拥有者的操纵性和对弱势个体权利的胁制性。[8]综上，不论是对数据资源的技术治理，还是对数据持有者的安全规制，都极具时代性和必要性。

(一)数据治理体系化有待构建

随着《通用数据保护条例》(General Data Protection Regulation，GDPR)的实施，对旅客个人数据保护的要求也随之提高。纵观近年来，全球航空业信息安全风险不断攀升，数据泄露案件频发(5)如2015年中国民航机票信息泄露案、2017年美国纽约斯图尔特国际机场750G备份数据被盗、2018年国泰航空数百万旅客信息泄漏案等。,民航领域的网信安全引发大众质疑，一套完善的数据安全治理体系有待形成。时下，我国民航数据安全治理面临的主要问题：一是航空业疲于应对数字化转型所产生的功能需求，信息系统安全漏洞较大，缺乏配套的顶层架构设计和安全治理标准；
二是民航空管网络全国共用一张网，业务繁多且重要，从而产生较大的网络压力，数据监测预警和应急处理机动力较弱；
三是民航其他信息管理系统，如民航业务物联网、办公终端、机场系统等，一旦遭遇黑客攻击导致瘫痪，轻则可能造成内部混乱、航班延误，重则可能带来飞行安全隐患；
四是缺乏配套的民航数据安全治理规则，对盗取数据、泄露数据、违法使用数据等行为给予严肃处理，从制度上保障数据的形成安全、存储安全和使用安全[9],同时亦需着重强调对航空业自我监管的战略布局，结合上述问题对症下药，以促进数据管理体系症结的合理解决。

(二)航空企业数据治理质量不高

航空企业数据因自身来源复杂、隐私性较高、流通性较差、准确性较低等特征，在日益增多的需求下，普遍呈现出数据治理质量不高，缺乏系统性、一致性、准确性、关联性管理，难以最大限度的利用数据价值的现状。虽然航空企业在数据应用分析、数据整体架构方面已具备一定规模，但仍存有较多不足。具体表现如下：第一，航空企业数据的体系性和完整性欠缺、数据流向缺乏汇总、管理职责不清晰等方面均导致数据质量不高；
第二，航空企业建立端到端数字生态的技术还有待提升；
第三，GDPR下的数据合规及安全问题尚缺完善的配套措施；
第四，缺乏数据产出、运用和治理的统一化标准，各部门收集的数据局限于各自所用，缺乏沟通与整合，形成“数据孤岛”，亟缺信息共享和流通；
第五，航空企业数据录入缺乏智能化，原先主要依靠人工来录入系统造成数据准确性及完整性欠缺，同时大量的纸质文件和电子文件交合导致效率进一步降低；
第六，欠缺独立的数据治理机构从全局把握数据治理体系，存在部分航空数据管理标准及制度无法得到落实甚至缺失的现象，进一步导致研发进度延缓、产出数据质量缺陷、难以满足时下需求、留有重大安全隐患。[10]故而，提高数据质量，提升数据规范性、统一性、完整性和关联性，保障数据资产，促进各部门间的数据互通、共享和整合就显得迫在眉睫。

(三)数据治理合规性关注度不够

《数据安全法》于2021年9月1日正式开始施行，该法的颁布为航空企业数据治理延展了新方向，其监管范围几乎囊括所有数据处理活动，同时也为数据治理的合规性展开了新思路。该法进一步强调，在数据领域我们更加注重的是维护动态的安全，是一种贯穿数据收集、使用、传送、供给、公开、完结等各流程的全生命周期的保护。首先，《数据安全法》从国家层面对重要数据目录做出协调统筹，后由各相关部门在此基础上制定重要数据的具体目录。其次，对“重要数据”的保护问题做出着重强调，《数据安全法》第二十一条将“重要数据”定义为一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成重大危害的数据。再次，《数据安全法》要求重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务，即二级以上信息系统的处理者应依据有关规定和国家标准到当地公安部门备案。从次，《数据安全法》要求法定数据处理服务提供者应当依规取得行政许可，这无疑对旅客数据第三方处理平台提出了一个重要的准入门槛。最后，《数据安全法》规定由国家对数据处理活动进行相应安全审查，对影响或者可能影响国家安全的处理行为做出最终裁定。伴随《数据安全法》的正式生效，相关执法活动也逐步施行，航空业作为极具发展前景的当红行业，涉及多种数据安全处理，或将成为执法机构重点关注的领域。

(四)隐私权和数据保护权存有冲突

数据保护最开始主要侧重于对隐私信息维度的衡量，伴随个人数据运用的日渐增加与数据智能技术的发展，人们逐渐将其细化为具体规定与隐私重叠。隐私权和数据保护权作为最基本的权利[11],必然引起全行业对旅客信息安全的高度重视。诸如在机场安装人体扫描仪、收集和传输旅客数据到有关部门、第三方信息数据处理者的介入等安全措施，虽旨在保持高水平的数据治理以维护旅客安全，但这些措施与隐私权和数据保护权之间难免产生冲突。当下我们在调节数据治理与信息保护力度时，面临的问题可总结如下：第一，是否能在数据收集需求和隐私保护之间寻找适当的平衡；
第二，是否能避免或减少旅客生命权和安全旅行权与其隐私权和数据保护权相冲突的情况；
第三，由航空企业收集旅客数据的最初目的是记录商业航空运输，故所有的航空安全措施均应遵循合理和必要的比例原则。除法律规范外，有关主体还应制定具体措施、精细做法以确保比例原则得到有效适用。因此，如何把握数据保护和隐私权之间的平衡，将成为航空企业规制数据安全时亟待解决的一道难题。

(一)美国经验：细化数据保护的范围和路径

当全球航空业认识到未来商用飞机事故的与日俱增将会给各国带来恶劣影响时，国际民用航空组织、美国国家民航审查委员会和国际航空业的其他利益相关者率先发起行动，试图通过构建非惩罚性航空安全信息共享系统和完善相应立法以收集和共享航空企业存储的安全信息，作为减少航空事故率多发的关键策略。[12]当前大多数航空安全信息共享系统均收集的是自愿提交的数据和信息(6)20世纪70年代，美国开始建立自愿报告系统，后发展为全球最早实行的航空安全报告系统ASRS(Aviation Safety Reporting System)，并取得巨大成功。鉴于ASRS的成功，英国、加拿大、澳大利亚、新西兰等国先后开发了适合其国情的保密性的自愿报告系统，自1999年后我国台湾地区与韩国、日本也建立了保密自愿报告系统。20世纪80年代初，国际航空安全保密系统组织ICASS ( International Confidential Aviation Safety System)正式成立，为世界各国和地区的航空安全保密系统的构建添砖加瓦。摘自航空安全自愿报告系统官网，https://scass.airsafety.cn/pcToHome.do，最后访问日期：2022年6月29日。,因此，这些系统运营者也承诺其来源不被泄露并避免个人来源遭受惩罚性行动，除非它涉及药物滥用、违反监管和破坏等故意行为。[13]28-30美国联邦航空管理局采用暂停或撤销资格证书、降低评级、征收罚款等措施对个人或实体做出制裁。抑或是，“警告通知”或“纠正信”等一系列行政行为(7)执法司启动执法行动，以解决受监管实体和个人的违规行为，包括证书诉讼、民事处罚诉讼以及非正式程序和和解。FAA执法行动的政策、程序和指南包含在FAA合规和执行计划2150.3C号命令中。摘自美国联邦航空管理局官网，https://www.faa.gov/about/office_org/headquarters_offices/agc/practice_areas/enforcement/enforcement_actions，最后访问日期：2022年6月29日。。归纳美国航空数据管理者的经验，我们不难得出：首先，要对航空安全数据报告者提供进一步的保护，增加保护类型一致性；
其次，拓展可被援引来提供保护的路径，例如增加相应的法律法规、典型案例、行政指令等，凸显保护措施的明确性；
再次，减少因涉入民事诉讼程序而引发私密数据被公开的可能性。[14]2020年11月3日美国《加州隐私权利法案》的通过进一步赋予加州居民一些新的权利，其中就包括敏感个人信息类别的创设，它涵盖了消费者的地理定位信息、通信信息和健康信息等。消费者可基此法案进一步限制必要服务和必需产品以外，对敏感个人信息的商业使用行为。[15]

当然，美国的数据保护举措也存在诸多问题，需要引起我们的关注，作为反面加以改进。第一，美国不受任何国际数据保护工具的法律约束，其隐私权归于普通法机制的保护。1974年的隐私法案只有在由联邦政府处理时才会保护个人信息，并无保护商业数据隐私的一般法律，美国政府机构可在航空公司不知情或不同意的情况下查看数据。第二，美国目前对于商业机构获取和运用个人信息主要采取分散式立法，即依信息的特殊性设立专项立法进行保护，导致部分数据无法获得法律的有效管治。第三，美国联邦贸易委员会执法资源有限且尚缺配套民事罚则，罚款权限较小，亦无法抚平分散式立法的不足之处。[16]第四，许多决定和规则都基于政治方法，偏向于政治解决方案而非法律文书，也成为其可诟病之处。

(二)欧盟经验：法治和自律并重的治理方式

为应对信息全球化和网络技术迅猛发展所带来的挑战，欧盟重新审视了1995年《数据保护指令》所创设的框架体系，制定出更具包容性、法律效力、时效性的GDPR，该通例于2018年5月25日开始实施。自GDPR开始到相应律法的完善至欧盟数据战略的提出，共同构成欧盟基于数据治理的全套法律体系。从根本上推动个人数据保护与流动，同时促进数据赋能，构建数据保护—数据赋能配套法律治理体系。[17]欧盟GDPR立法演进过程完备，构架顶层制度以解决消费者和数据服务提供者之间的关系，提供优质服务的同时完善数据主体权利，规制数据处理者的不当措施，推进数字产业蓬勃发展。GDPR对数据安全、信息获取合法性、信息使用合理性和数据主体对信息的主导权进行重点关注，对数据保护理念和系统构架优化进行有效融合。[18]

我国在数据保护体系的构建上可参照GDPR实行信息保护双轨制：首先，从法律层面对信息主体的人格权和财产权实行双重保护；
其次，从社会治理层面对个人信息权利进行制度设计及市场调节；
最后，从信息产业层面对信息持有者在法律框架下达成自律协议进行鼓励和引导，着重促成法治和自制相结合的治理方式。[19]通过欧盟的数据保护经验，我们亦可总结出以下几项原则，以期为我国航空数据保护提供思路：第一，收集限制原则：个人资料必须公平合法地进行收集和处理，保存的时间不得超出收集或进一步处理资料所必需的时间；
第二，提高数据质量：必须保持关联性、符合目的、数据准确、保持最新；
第三，规范数据使用目的：必须为指定的、明确的和合法的目的而收集，不得以与这些目的不相兼容的方式进一步处理；
第四，使用限制原则：除非经数据主体或法律当局同意，否则不得披露、提供或用于其他非目的规范原则规定的用途；
第五，安全和保密原则：收集到的数据应确保其免受任何潜在的滥用；
第六，透明度和数据主体的参与：数据主体应被告知所处理的数据内容、处理行为的目的以及数据收集主体的身份，并允许他们有权对数据进行访问，对任何不准确的数据加以更正；
第七，实行问责制：数据主体应具备一种可行的方法，要求数据收集者严格遵循和落实上述原则。

(一)航空企业数据治理体系化

机密性、完整性和身份验证作为航空数据体系化治理的三个基本安全要求：数据的机密性确保了最终用户的隐私及免受欺骗；
数据的完整性可以确保最终用户发送的数据不被网络中的任何恶意元素所修改；
身份验证作为网络安全的最重要因素之一，控制着用户对网络资源的访问，可确保只有有效的用户才能访问网络资源。[20]数据作为体系化建设的核心要素，民航业应在确保数据安全的前提下，最大限度地实现数据价值，将数据流转于各主体之间，优化数据质量，释放数据价值，改进数据服务，面向行业数据全生命周期。[21]为明确数据战略、配套组织架构、全面展开体系化建设，可参照：在战略层面，将航企整体战略与数字化转型目标相结合，构架一体化数据治理战略；
在机制层面，明晰数据管理组织责任制、制定相关实操制度、细化数据治理流程、启动相关人才培养计划、成立数据管理委员会，治理和监察双管齐下；
在专题层面，划分数据治理专题模块，深入展开各项专题活动；
在实操层面，搭建数据流转中台，规定数据标准，实现数据跨领域信息互通，实时共享数据，按部分析数据，推进数据良性资产可视化，便利数据应用全流程。[22]

除却上述在战略、机制、专题、实操层面的整体规划，理论和技术上治理方式、治理手段和治理标准的完善亦至关重要。首先，统一数据管理政策、优化数据管理流程、明确数据治理规范要求，结合数据治理目标，对治理体系的框架、实施、组织结构及制度建设进行指导和量化；
其次，在数据设计、生产、集合、运用等各个阶段对数据质量施行管控体系和同步评价，从准确性、完整性、一致性、有效性、及时性及可访问性等多维度对数据质量进行评估，及时分析和修正管理流程、指标指令、监测访问等具体措施，落实职责具体指向，避免问题数据产生不利影响，致使数据问题扩大化；
最后，改良以业务需求产生数据系统的原有模式，整合内部资源，实现系统间无障碍交流，规划共用的数据资源池，实现行业数据高效共享的良性互动。[23]

(二)航空企业数据治理智能化

数字技术的不断进步和大量数据源源不断地产生，均对航空公司自动和手动处理数据造成冲击，充分利用数据挖掘技术及相关应用软件等智能化手段来提高航空企业数据治理质量就显得迫在眉睫。同时，基于旅客数据存储和分析的智能安全工具也日渐成为航空安全系统真实、持久和不可或缺的重要组成部分，确保旅客个人数据处理系统中的流程符合个人数据保护法这一新兴且迅速发展的法律分支提出的要求。[24]为攻克这一难题，一方面，民航企业亟须凭借云计算技术的不断更新、大数据运算程式的逐步演进、技术与业务终端的深层咬合等智能化手段优化数据资源以解决诸多问题，构建自主可控的技术产业链，配套工程实现的理论全过程。[25]另一方面，民航管理部门作为航空数据安全监管者，须在专业能力上打好基础，推进相关人才战略的实施，以确保航空企业数据安全监管的准确性、针对性、科学性；
紧抓信息科学技术领域的新技术、新成果、新动态，钻研信息科技与航空业的转化和融合；
推动民航业现阶段的数字化转型，提升民航数据安全监管与服务水准。同时，民航局务须做好数据治理整体逻辑的顶层构架，杜绝不良边界化，完善整体治理，贯彻落实“共商共建共治共享”，发展数据资源运用系统，推动全行业的智慧治理发展。

通过深层次的数据挖掘及大数据整合，在提高效率和经济效益的同时，最大限度地满足客户需求，同时不断改进维护程序，以确保遵循最佳实践，维护旅客的最大安全。2021年7月13日中国互联网协会发布了《中国互联网发展报告(2021)》，物联网市场规模达1.7万亿元，人工智能市场规模达3031亿元。[26]互联网技术的高速发展，无疑为航空业的进步提供了新思路，诸如将数据治理系统与前端物联网技术、分析技术、传感器应用相连接等均不失为可行之策。随着航空数据安全与网络安全的关系日益密切，对航空业和互联网业的相关合作也提出崭新要求，在第三方网络平台处理数据信息时，必须对链接系统的适用安全进行监督与售后，以最新的技术更好地服务于旅客飞行体验。

(三)航空企业数据治理合规化

《数据安全法》作为我国用以保障数据安全的首部专门立法，规定了一系列制度性安排和管理性义务。其中，该法就可能涉及重要数据的电信、卫生健康、交通等关键行业的企业，要求其紧密关注数据分类制度及对重要数据的特殊保护，[27]根据《数据安全法》第27条的规定，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。显而易见，航空企业作为涉及交通的特殊企业，务须增加对企业合规性的关注度并配套实行相关有效措施。

首先，针对重要数据的具体目录问题，航空企业可在具体目录公布前对内部数据进行归纳梳理并对数据的分类分级规划保持敏感度。其次，鉴于重要数据的非比寻常，而航空业作为一个特殊领域，从始至终都可能涉及重要数据运用，因此企业在处理有关数据时务须遵守《数据安全法》对相关问题的规制，对一般数据、重要数据及核心数据依重要程度进行严格把控。再次，对于重要数据处理者所需履行的特殊保护义务，综合航空业所涉及的大量数据网络安全保护等级都可能在二级及以上，故需完善相应备案流程及业务划分，创设数据合规制度，改进信息合规体系。同时《网络数据安全管理条例(征求意见稿)》第29条也明确了数据处理者向设区的市级网信部门进行备案的义务及备案的具体内容，需要关注的是，当备案的有关信息产生重大变化时，数据处理者需要重新履行备案。[28]从次，航空企业作为法定数据处理服务提供者，应按照《数据安全法》的要求依法取得相应的行政许可。最后，航空企业应谨慎评估数据处理的安全度，尤其是其中的涉密敏感信息。归纳而言，航空业亟须建立健全相关的数据安全和合规体系以契合《数据安全法》的新规定，并密切关注后续可能出台的实施细则和配套制度，如重要数据目录、重要数据出境管理规定、风险评估报告送审流程、数据安全审查办法、数据服务提供者行政许可等，及时修正和调治内部数据处理办法。[29]

(四)航空企业数据治理和保护平衡化

由于法律、政治和历史的不同以及由此产生的道德、社会和经济价值的差异，会产生隐私权保护的哲学冲突[30],然而，这不足以成为阻碍治理政策发展的理由，因为克服这种复杂性正是国际法律意识的任务。虽然隐私和数据保护是彼此独立自主的权利，但本质上还是相联系的。[31]数据保护一向允许数据持有者对隐私信息的合法合理使用，只要这种使用的目标或结果符合安全利益，身份性的自主构建就可对他人权益进行合法的限制。[32]隐私权并非绝对的特权，当一个隐私规范被强制执行时，它就会与社会的反补贴利益相平衡。因此，在政府追求合法利益时，我们应检查限制性行动的目的及限制的负面后果是否会大于积极的影响，而不仅仅是对隐私的附带影响。只要有充分的理由，就应当对隐私进行合法合理的监管。治理的保护性、必要性作为现代社会基层构架的一部分，决定政策发展的首要问题就是安全。数据存在于当代社会的家谱中，如果它被用于合法的目的，我们不应该仅仅因为它涉及隐私而排除真正有效的政策的制定。这通常被认为是平衡权利的正确方式，即和解与妥协：既不能完全满足，也不能完全牺牲。数据保护环境是一种容易迅速产生重大变化的新生法律形态，该行业收集的数据类别可能会不断发展及修改适用协议。寻求数据治理和保护之间的平衡有一个可推断的好处就是，它是重叠利益的实际妥协。这种价值的调整是协调政策发展的基本步骤，也是任何关于旅客数据的全球政策制定倡议中所规制的必要标准。

在寻求数据保护和隐私权之间的平衡时，我们可以将关注点放在改进一般的技术中立法规上，清楚明确地规定技术的标准，如必要性、目的、限制和其他要求等。首先，建议有关监管机构确定最佳实践，包括禁止实践、必要实践和建议实践；
其次，对这些最佳实践采用创新的监管框架，促进新技术和工程实践相结合，通过利益相关者代表的面对面谈判和基于共识的决策，共同商定监管协议及灵活的激励驱动机制。除法律外，具体规则还可采取其他形式，如自我监管机制、行业整体行为守则、最低技术规则等。同时，注目于推进量子计算机的实际使用、将计算机技术与社会科学相结合、发明新的理论隐私框架[33]、结合更新的技术中立法规以及在行业制定的行为规范中规定隐私和数据保护规范，不失为当下最具实践性的解决方案。隐私和数据保护目前最常见的法律原则，如透明度、比例原则和目的限制，要求在面临新技术和挑战时更动态地保护基本权利。因此，如何将这些原则应用于航空数据领域出现的新技术，可参照个案的具体情况灵活运用，而不必等待关于一项具体技术的详细立法。现有的原则可以被新的原则所补充，如设计问责和隐私原则等。[34]399-405唯有基本原则和具体规则达到有机结合，方能达到利益最大化。

在航空信息技术迅猛进步和旅客数量爆发式增长的交叉作用下，民航旅客信息安全保护迎来了新挑战、新机遇、新发展。民航企业、第三方代理平台及相关管理部门作为核心主力，务必促进自身数据安全保护进一步具备专业性、准确性、智能性。数据安全频遭侵犯无疑对航企数据治理提出新的要求，配套体系化建设和完善势在必行。数据保护领域的立法亦逐步呈现精细化与业务化结合的趋势。当前，航空数据资源的有效整合和应用可提升航空企业对数据的管控能力，使得数据资产发挥其最大价值，推动我国航空业高质量发展。航空数据持有者务须立足新发展实践，奉行新发展理念，坚定问题导向、目标导向和结果导向，以我国《数据安全法》的施行和欧盟《通用数据保护条例》的应用为契机，完善相关制度体系，提升数据处理水平，强化专业管理，为航空数据安全保驾护航，持续推进我国多领域航空体系建设行稳致远。