近日,中国民用航空局发布《民航领域数据分类分级要求》(MH/T 3039 - 2025)与《民用航空数据安全监测预警技术要求》(MH/T 3038 - 2025)两项行业标准,并将于2025年8月1日起正式实施。这两份标准紧密围绕民航领域数据安全,从数据分类分级的基础规范到数据安全监测预警的技术操作,构建起较为完善的防护体系,为行业数据处理者提供了全面、细致且具有实操性的指导,对于推动民航行业数字化转型、保障数据安全、维护行业稳定发展具有重要意义。
在国家大力推进数据安全治理的宏观背景下,民航数据安全的重要性愈发凸显。近年来,随着数字化浪潮席卷民航业,从旅客订票、安检、值机到空中交通管理、安全监管等各个环节,产生和处理的数据量呈爆炸式增长。这些数据不仅关乎民航企业的运营效率和服务质量,更与国家安全、经济运行、社会秩序以及公众利益紧密相连。
就在最近,多起民航业网络攻击事件敲响了数据安全的警钟。2025年7月28日,俄罗斯国家航空公司Aeroflot因信息系统故障取消50余班航班,黑客组织Silent Crow声称已破坏7000台服务器并控制多名高管电脑,威胁将公开“所有曾搭乘过俄航航班的俄罗斯乘客的个人数据”,以及俄航员工的电话录音和电子邮件内容。2024年,澳航手机应用程序出现故障导致部分乘客姓名和行程信息泄露,而在2025年7月初,澳航再度受创,存有约600万客户隐私信息的数据系统被入侵致大面积数据泄露。
在国内,也曾出现类似事件,如2023年6月,辽宁沈阳李女士在某航司官方小程序购票后,接到自称航空公司客服的诈骗电话,最终被骗44万余元。这些事件表明,民航数据一旦泄露,小则侵犯乘客隐私,造成经济损失和精神困扰,大则可能引发公众对民航业的信任危机,影响整个行业的健康发展。
国家数据安全治理机制不断完善,陆续出台一系列法律法规和政策文件,为各行业数据安全提供顶层设计。2025年《数据安全法》颁布,从法律层面明确了数据分类分级保护制度;2022年“数据二十条”出台,规范了数据安全治理制度以促进数据合规高效流通使用;2023年《数字中国建设整体布局规划》明确提出,增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。在此基础上,民航局积极响应,发布行业标准,进一步细化行业数据安全规范,将国家数据安全要求精准落地到民航领域。
标准内容分析,夯实数据安全管理基础数据分类分级要求
数据分类维度多元:《民航领域数据分类分级要求》详细规定了数据分类分级的基本原则、规则及实施流程。在数据分类上,提供了业务应用、数据管理、数据对象等多维度分类方法。从业务应用维度来看,将民航领域数据划分为宏观调控数据、安全监管数据、市场管理数据等九个一级类别,在宏观调控域下,进一步细分出行业发展、经济运行等二级类别;同时,充分考虑到个人信息的特殊性,将其单独识别归类,便于进行针对性的精准管理。
数据分级依据清晰:在数据分级方面,明确影响数据分级的要素,包括群体、区域、重要性、精度、规模等。通过对数据一旦泄露、篡改等可能对国家安全、经济运行、社会秩序等影响对象造成的危害程度进行分析,将数据级别从高到低分为核心数据、重要数据、一般数据三个级别。像民用航空器事故相关的飞行数据记录器数据、超过100万人的旅客个人信息等,一旦被泄露或篡改、损毁,可能直接危害国家安全等,故而被确定为重要数据;而超过1亿人的旅客个人信息等,一旦被非法使用或共享,可能直接影响政治安全,则属于核心数据。
数据级别确定规则表
数据安全监测预警技术要求
监测覆盖全流程:《民用航空数据安全监测预警技术要求》确立了数据安全监测预警的基本原则,如安全合规、及时准确、全面覆盖、持续优化、最小影响等。在数据安全监测方面,对数据收集、存储、使用和加工、传输、提供、删除等各个环节提出详细监测要求。在数据收集环节,要对收集工具状态、核心数据收集情况、数据源可靠性等进行监测;数据存储环节,需监测备份执行结果、访问行为、存储加密状态等。
预警分级及流程规范:在数据安全预警方面,根据数据级别和数据量级,将预警级别从高到低分为红色预警(Ⅰ级预警)、橙色预警(Ⅱ级预警)、黄色预警(Ⅲ级预警)和蓝色预警(Ⅳ级预警)。当涉及核心数据的数据安全事件即将发生或正在发生时,发布红色预警;涉及重要数据等情况时,发布橙色预警等。并且对预警发布、响应、升降级或解除等流程进行规范,确保在数据安全事件发生时,能够迅速、有效地应对,最大程度降低损失。
民航典型业务场景下的数据安全监测示例
对于民航领域数据处理者而言,这两份标准提供了清晰的合规路径。在数据分类分级实施流程上,首先要建立组织保障,设置数据分类分级合规管理人员、工作执行人员以及效果监督人员,明确各人员职责。接着进行数据梳理,遵循完整性、安全性、合规性、一致性原则,对民航领域数据进行全面梳理,形成数据资源清单。然后按照标准的分类分级方法进行数据分类和分级,最后进行审核上报,并根据合规要求及数据变化进行动态更新管理。
在数据安全监测预警能力建设方面,数据处理者应依据标准要求,搭建数据安全监测系统,对数据处理全流程进行实时、持续监测。制定预警发布和响应机制,确保在发现数据安全风险或事件时,能够按照预警级别及时发布预警信息,启动相应应急预案,积极响应并向行业数据安全监管部门报告处置情况,切实保障民航数据安全。
民航局发布的这两份标准,紧密贴合民航行业数据安全需求,从政策层面呼应国家数据安全治理战略,从操作层面为数据处理者提供详实指导。随着标准的实施,民航行业数据安全管理将步入规范化、标准化轨道,为行业高质量发展提供坚实的数据安全保障,推动民航业在数字化时代稳健前行。
