合规建议

作为关键信息基础设施运营者和重要信息处理者，航空公司应设置专门安全管理部门，并明确该部门以及负责人的职责。采购网络产品和服务时，应选择安全可靠的供应商，与其签订安全保密协议，并对供应商的履行情况进行监督。

航空公司应使用密码对重要数据和核心数据进行保护，制定并定期组织数据安全培训。共享、交易、外判至第三方处理重要数据的，应当征得主管部门同意。

案例

近年来国际上一些公司发生的大规模个人信息泄露，引发了严重的法律后果。2018年英国航空旅客个人信息泄露事件影响了超过40万旅客，英国个人信息保护监管机构开出了2000万英镑的天价罚单。此外，英国航空还将

面对规模庞大的集体索赔诉讼，事件对于航空公司的影响和后果不言而喻。

其实早在2021年《个保法》出台前，我国就有公民因个人信息泄露而被诈骗而起诉航空公司。从案例可以看到，2017年3月，某中国中级人民法院就公民林某诉国内某航空公司和某在线票务代理商泄露其个人信息案，推翻了一审判决，最终裁定航空公司未尽到保障个人信息安全义务而被判承担责任。2019年某公民与某科技网络公司和国内某大型航空公司泄露其个人信息案，该航空公司能够对其已经制定和执行旅客个人信息和数据安全方面的安全管理等义务进行充分举证，法院判定该航空公司不存在泄露个人信息的情况从而无须承担违约赔偿责任。

虽然上述案例均发生在我国《个保法》出台之前，但可以预见的是，此类公民个人维权案件未来将会增多，这也在某种程度上对公司提出了更高的合规要求。

此外，自2021年起，中国工信部也通报了存在信息处理问题的应用软件公司名单。其中包括两家涉及“超范围收集个人信息、强制用户使用定向推送功能”等问题的航空公司。

结语

中国已加快了在数据保护和信息安全方面的立法和执法速度。民航业作为影响国计民生的行业，航空公司有关信息保护的义务履行，必然会引起公众广泛关注。航空企业也应该从更高的合规标准和更严格的合规义务履行出发，强化合规意识、完善管理制度、落实信息安全体系、提升服务水平等多维度出发，体现我国作为民航大国的应有之义。

作者们能与全球网络中的航空与数据保护专家一起，为境内、外航空公司提供全方位、多维度、一站式的数据合规服务。

13 | 普华永道航空简讯（第八期），2022年1月