原創 戴靖婉 上海市法學會 東方法學
新一代航空寬頻通訊的廣泛套用使中國民航業面臨的網路安保風險不斷增加。現有民航法律存在網路安保專門規定缺乏、概念不清且規則不全、權責分配不明和部門合作規定缺乏等問題。建議在民航法中增加機載軟體網路安全的適航管理規定。在【旅客運輸安全保衛規則】等規則中增加網路安保的註意規定。明確民航法中「航空器上裝置」包括軟體。在民航法中明確航空器所有人或承租人對機載軟體的維護義務。梳理不同機型網路安保專用條件,將共性部份納入【合格審定規定】。由民航公安機關負責民航網路安保,協同多部門協作;或在民航局下增設民航網路安保的內設機構。在民航法總則中強調國務院民航主管部門與其他部門協作的重要性。
一、問題的提出
當前世界範圍內的航空業都呈現出數位化傾向,典型的如美國「新一代航空運輸系統」(NextGen)和「單一歐洲天空」(Single European Sky)倡議下的歐洲空域一體化,以及中國的智慧民航系統。建設「數位化處理、智慧化響應、智慧化支撐」的智慧民航系統是中國民用航空局(以下簡稱「民航局」)確立的「十四五」發展主線,其計劃於2035年構建完成空天地一體化的新一代航空寬頻通訊體系,實作民航生態圈各要素終端泛在互聯、資訊互操作共享。根據【中國民航新一代航空寬頻通訊技術路線圖】(以下簡稱【技術路線圖】),「新一代航空寬頻通訊技術」主要包括5G AeroMACS 2.0、5G LDACS 2.0、5G ATG及5G公共網路等基於中國5G通訊技術的航空寬頻通訊技術,且兼顧航空衛星寬頻通訊技術等,其將為民航業高品質發展提供有力保障,因此民航局高度重視該技術在中國民航的落地生根。當前,民航各領域對於寬頻無線通訊技術需求旺盛,推動此類技術在民航領域的套用,具有促進航空器飛行資訊的傳輸與交換、提高空中交通安全水平與執行效率、助力航司順暢營運、提升旅客出行體驗等諸多益處。
新一代航空寬頻通訊的套用也將增強航空器內部、航空器與地面之間的聯通性,使其整合於互聯的數位世界之中。然而,與其他進入「數位革命」的行業一樣,民航業也將面臨網路攻擊的威脅。根據國際民用航空組織(以下簡稱「ICAO」)【網路安保行動計劃】(Cybersecurity Action Plan)第二版,網路安保指被設計用來確保系統、網路、程式、裝置、資訊、數據的機密性、完整性、可用性以及整體保護其免受攻擊、未經授權的存取、使用和/或利用的那些技術、控制、措施、流程和實踐。當前,民航網路安保問題已在ICAO受到越來越多的重視,其不僅透過大會決議強調了解決民航網路安保問題的重要性,還透過持續呼籲各國透過批準並實施制止與國際民用航空有關的非法行為的公約(以下簡稱「北京公約」)和制止非法劫持航空器公約的補充議定書、制定【航空網路安保戰略】和【網路安保行動計劃】、提供指導材料、發展國際航空信任框架以及建立網路安保小組、信任框架小組和特設網路安保協調委員會的方式促進航空網路安保。
在新一代航空寬頻通訊背景下,航空器的系統、網路、資訊等,以及維持空中交通秩序的空管系統、網路、裝置、資訊等遭受黑客攻擊的可能性增大,需要透過各種手段來確保其不被黑客侵入。科技創新固然是抵禦黑客攻擊的重要手段之一,但完善的法律在預防系統等遭受黑客攻擊方面也起著不容小覷的作用。目前,中國已批準了北京公約,這為起訴影響航空器航行的網路攻擊行為提供了法律依據。然而,民航網路安保事關重大,相比於事後的起訴,事前的預防更加重要。遺憾的是,中國現行國內民航法律體系並不能很好地預防民航業面臨的網路安保風險,主要表現為:其一,在現行民航法律並未很好地涵蓋網路安保問題的前提下,缺乏針對網路安保的專門規定。其二,現行民航法律中的一些概念定義是模糊,需要澄清以確定相關條文能否規範網路安保。其三,民航網路安保問題不僅需民航局內部的協調,更需要跨部門的協作,現行民航法缺乏部門合作的頂層設計,不利於航空器網路安保工作的展開。本文首先介紹了新一代航空寬頻通訊背景下航空器以及空中交通管理面臨的網路安保風險,其次梳理了中國現行民航法律中與安保問題有較大關系的航空器和空中交通管理的規定,接著以此為基礎從民航網路安保的視角分析了中國現行民航法律規定的不足,最後針對這些不足提出了建議,以期能為中國民航網路安保法律的完善盡綿薄之力。
二、新一代航空寬頻通訊可能引發網路安保風險
(一)
民用航空器內部面臨的網路安保風險
民航業網路安保涉及的場景包括航空器、空中交通管理以及機場。航空器作為航空運輸的核心,其網路安保問題尤其值得關註。空中交通管理涉及與航空器之間的資料通訊,其網路安保與航空器航行的安全有著密不可分的聯系。機場雖也面臨網路攻擊的威脅,但相對獨立於航空器和空中交通管理,且在受到網路攻擊後可能產生的後果較前兩者不同,詳言之,航空器和空中交通管理系統在受到網路攻擊後,其通訊、導航等功能將面臨失效風險,這會大大削弱航空器對其周圍環境的態勢感知能力,航空器上所載人員也因此可能會有性命之虞,而機場在遭受網路攻擊後,其產生的後果主要為航班延誤或取消、機場及航司聲譽受損和財務損失,並不會對地面及萬裏高空中人員的生命安全造成直接影響,故在本文中不做討論。
航空器內部根據信任關系的建立可分為四個邏輯域:一是飛行控制域,支持航空器的安全執行,提供包括派遣、巡視、導航、通訊在內的飛行服務;二是航空公司資訊服務域,提供航司營運服務,包括電子手冊、電子飛行包、效能計算等;三是旅客資訊與機載娛樂域,提供客艙服務,包括語音通訊、資料通訊、娛樂服務、資訊服務;四是旅客內建裝置域,提供旅客服務,包括語音/視訊通訊、資料通訊、娛樂服務、資訊服務、個人裝置互聯。
更廣泛的互聯和更多的網路接入使民用航空器不再是「資訊孤島」,且航空器內部的整合化趨勢使其內部聯通性顯著增強,這大大增加了航空器裝置、系統、網路等被惡意攻擊者侵入的可能性。比如在新一代寬頻通訊背景下,5GATG透過沿航空器航線設定特殊基站和波束賦形天線的方式在航空器與地面間建立地空通訊鏈路,使乘客能在機艙內透過無線區域網路接入方式存取互聯網。當乘客存取網站時,那些植入在網站中的病毒和惡意軟體就會給惡意侵入者提供進入機載資訊系統的機會。再如,飛行控制域對航空器安全航行至關重要,為防止其被黑客攻擊,傳統上會用物理或邏輯隔離的方式將它與其他域隔離,如透過防火墻保護駕駛艙重要航空電子裝置免受攻擊。但防火墻作為軟體,依然有可能被黑客侵入或規避。值得註意的是,航空器的減重能夠減少燃油消耗和碳排放,為應對全球氣候變暖,各種標準和指南都逐漸傾向於將航空器內部的邏輯域進行整合,這將使邏輯域間數據鏈共享,從而增加了航空器遭受網路攻擊的風險。為便於理解,可將航空器內的系統、電子裝置等比作一個個房間,將黑客比作外來者,在套用新一代航空寬頻通訊前,每個房間都有且只有一扇門,外來者只有開啟這唯一的門才能夠進入該房間,而在新一代航空寬頻通訊進入套用後,一個房間則有了很多扇門,且不同房間之間甚至是連通的,這便意味著外來者進入房間的機率大大增加了。
(二)
民航空中交通管理面臨的網路安保風險
空中交通管理能夠有效維護和促進空中交通安全。根據【技術路線圖】,面向機場場面區域,中國將推進5GAeroMACS2.0在空管業務中的套用。在航路飛行區域,將開展基於LDACS的探索和研究。然而作為以互聯網為基礎的航空電子通訊網路的一部份,二者的使用將不可避免地使空中交通管理面臨網路攻擊的風險。
AeroMACS是面向機場場面區域的航空寬頻行動通訊系統,可為機場場面提供寬頻無線網路連線,與航空器進行通訊。在安全性上,5G AeroMACS 2.0具有基於民航專用網路、使用航空專用頻率、符合航空安全通訊等級要求等重要特征,與公共網路嚴格隔離,不存在共用關系,在基站、終端等裝置和承載業務上也相對獨立。雖然如此,但網路攻擊者仍可能找到那些人們難以預料的漏洞,其安全性並非絕對。LDACS作為空中交通管制的重要工具,在未來將為處於航路階段的航空器與地面進行資料通訊提供空地數據鏈路,使得空中交通管制和航空器之間實作直接的數據傳輸。5G LDACS 2.0透過使用為飛行通訊預留的L波段頻率部份大大提高了數據的吞吐量,然而,LDACS對通訊參與者不進行認證和授權、對數據不進行加密和完整性證明、對系統也不進行完整性證明。即使是更具安全性的5G也無法確保其能完全抵禦網路攻擊。一旦黑客破壞了該鏈路,那麽他就能向空中交通管制員或飛行員發出指令或要求,這就極有可能損害空中交通秩序甚至威脅乘客的生命安全。為助力智慧民航建設,中國民航局正在推進中國民航飛行全階段數位化管制服務,其在地面資料通訊鏈路方面選擇了ACARS網路,且也在逐步規劃自己的ATN網路,這也增加了空中交通管理面臨的網路安保風險。
三、中國民航法律法規中涉及網路安保的規定
根據影響航空安全的不同原因,航空安全(aviation safety)包括飛行安全(flight safety)和航空安保(aviation security)兩方面。飛行安全指航空器在執行中避免出現任何原本可以規避的、客觀存在的技術危險。航空安保主要針對的是對航空器實施非法幹擾和擾亂的人為主觀行為。值得註意的是,民航領域的網路安保既涉及飛行安全又涉及航空安保,且二者密切相關。因為網路攻擊是攻擊者利用網路、系統自身的漏洞而對航空系統、軟體、數據等展開的攻擊,其既涉及系統、軟體本身的技術規範問題,又涉及防禦攻擊者的外在幹擾問題。因此,與飛行安全、航空安保有關的民航法律都屬於航空器網路安保法律的範圍內。中國不僅存在大量不同層級的與飛行安全、航空安保有關的民航法律,還有很多與之相關的國家及行業標準,限於篇幅原因難以一一介紹。眾多民航法律中,關涉航空器及其機上裝置等的適航性、空勤人員以及空中交通管制的規定對民航網路安保的成功實施尤為重要,下文將對涉及這三方面的規定進行梳理與分析。
(一)
涉及航空器及其機上裝置等適航性的網路安保規定
對民用航空器及其機上裝置等適航性的審查主要服務於民航領域網路安保的飛行安全方面,因為其目的在於避免航空器上所載人員因航空器及其機上裝置等的自身原因而陷入危險。隨著新一代航空寬頻通訊套用的發展,系統、軟體等本身客觀存在的缺陷使得網路攻擊是威脅航空器飛行安全的重要因素,因此對航空器及其機上軟體、網路、系統、裝置等的適航性審查與民航網路安保密切相關。
民用航空法(以下簡稱「民航法」)第34條至第38條對民用航空器及其發動機、螺旋槳和民用航空器上裝置的適航管理進行了規定。第34條、第35條、第36條包含針對民用航空器及其發動機、螺旋槳和民用航空器上裝置的初始適航規則:在設計方面,應向國務院民用航空主管部門申領型號合格證書。在制造方面,應向國務院民用航空主管部門申領生產授權證書;外國制造人生產的任何型號民用航空器及其發動機、螺旋槳和民用航空器上裝置,首次進口中國的,或是已取得外國頒發的型號合格證書的而首次在中國境內生產的,都應向國務院民用航空主管部門申領型號認可證書。
民航法第35條、第38條屬於持續適航規則:在使用方面,民用航空器的所有人或者承租人應按照適航證書規定的使用範圍使用民用航空器,做好民用航空器的維修保養工作,保證其處於適航狀態。在維修方面,維修民用航空器及其發動機、螺旋槳和民用航空器上裝置,應向國務院民用航空主管部門申領維修授權證書。
【民用航空器適航管理條例】(以下簡稱【適航管理條例】)作為行政法規,更詳細地規定了民用航空器、發動機、螺旋槳的適航規則,但並不涉及航空器上裝置。
【民用航空產品和零部件合格審定規定】(以下簡稱【合格審定規定】)作為部門規章,為保障民用航空產品和零部件的適航性,對它們的型號合格審定、生產授權審定以及適航合格審定及相關證件的申請、頒發、管理進行了規定。根據【合格審定規定】第21.2B條定義,「民用航空產品」指民用航空器、航空發動機或螺旋槳;「零部件」指任何用於民用航空產品或擬在民用航空產品上使用和安裝的材料、零件、部件、機載裝置或軟體。因此,在【合格審定規定】語境下,涉及航空網路安保的航空電子裝置及相關軟體應屬於零部件的範疇。根據【合格審定規定】,零部件的批準包括設計批準、生產批準和適航批準。具體看,第21.371條規定了為進口的符合技術標準規定的零部件頒發設計批準認可證的條件;第21.301條至第21.320條規定了頒發零部件制造人批準書的條件;第21.351條至第21.370條規定了技術標準規定計畫批準書的頒發條件。此外,【合格審定規定】第21.16條還規定了民用航空產品的專用條件,以防止目前有關的適航規章未包括適當的或足夠的安全要求。
此外,中國民航局已經註意到了民航業日益數位化、網路化、智慧化所產生的網路安保問題,並在近年透過制定行業標準的方式對之可能產生的隱患進行控制。「智慧民航數據治理」就是很好的例證。其透過一系列的行業標準既確保了數據安全,又透過多方主體共建、共治、共享的方式,實作了面向行業數據全生命周期的最佳化數據品質、改進數據服務、釋放數據價值的目標。
(二)
涉及空勤人員的網路安保規定
在飛行過程中,空勤人員處於一線位置,將直面網路攻擊及該攻擊帶來的各種影響,航空器上乘客的安危也與空勤人員在處理險情時的方式緊密相關,因此空勤人員在民航領域網路安保的航空安保方面處於關鍵地位。民航法第39條明確了空勤人員的構成,包括駕駛員、飛行機械人員和乘務員,他們在飛行中的航空器中負有不同程度的航空安保職責,此外,根據行政法規【民航安全保衛條例】和規章【公共航空旅客運輸飛行中安全保衛工作規則】(以下簡稱【旅客運輸安全保衛規則】),航空安全員對航空安保亦有重要責任。
機長由具有獨立駕駛特定型號民用航空器技術和經驗的駕駛員擔任,對飛行中的民用航空器及其所載人員享有最高權力且負最終責任,是飛行中航空器上網路安保的「總指揮」。根據民航法第44條,機長負責民用航空器的操作,並保護民用航空器及其所載人員和財產的安全,對於機長在職權範圍內釋出的命令,民用航空器上的所有其他人都應執行;第46條規定,機長有權在保證安全的前提下,對於破壞民用航空器、危害民用航空器所載人員或財產安全以及其他危及飛行安全的行為采取必要的適當措施,且在遇到特殊情況時,為保證民用航空器及其所載人員安全,機長有權對民用航空器作出處置;第48條規定,在民用航空器遇險時,機長有權采取一切必要措施,並指揮機組人員和航空器上其他人員采取搶救措施;第49條規定,民用航空器發生事故,機長應直接或透過空中交通管制單位,如實將事故情況及時報告國務院民用航空主管部門。【民航安全保衛條例】第22條明確了由機長統一負責航空器飛行中的安全保衛工作;第23條第3款賦予機長對在航空器飛行中劫持、破壞航空器或其他危及安全的行為,采取必要措施的權力;【旅客運輸安全保衛規則】細化了機長在飛行中的安全保衛職責與權力:其第10條羅列了機長在處置航空器上的非法幹擾行為或擾亂行為時,所具有的各項權力;第17條要求機長召集機組全體成員參加航前協同會,明確飛行中安全保衛應急處置預案。
飛行機械員是指在航空器型號合格審定或者執行規章確定需要飛行機械員的航空器上操縱和監視航空動力裝置和各個系統在飛行中工作狀態的人員,是民用航空器網路安保中航空安保的重要力量。民航規章【民用航空器飛行機械員合格審定規則】(以下簡稱【飛行機械員合格審定規則】)第63.35條規定了飛行機械員應具備的航空知識,其中與網路安保密切相關的包括:(b)款規定「航空器一般知識」中各系統、裝置等的工作原理,(c)款規定「飛行效能、計劃和裝載」中效能數據(包括巡航控制程式)的使用和實際套用,(d)款規定「人為因素」中的危險和差錯管理原理,(e)款規定「運行程式」中的適航性維修程式、故障報告、機上安裝的裝置及客艙系統、非正常和應急程式。該規則第63.39條對飛行機械員的飛行技能提出了要求,其中「緊急情況的辨識」與網路安保關聯密切。
航空安全員是公共航空運輸企業設立的崗位,受機長領導,承擔飛行中安全保衛的具體工作。根據【旅客運輸安全保衛規則】第9條和第16條的規定,公共航空運輸企業應為航空安全員配備裝備,並將其座位安排於緊鄰過道側,以便航空安全員執勤。目前,航空安全員的航空安保工作主要偏向於防範出現於航空器內部的擾亂行為與非法幹擾行為。
乘務員在民用航空器的網路安保工作中起輔助作用。根據【旅客運輸安全保衛規則】第11條的規定,機組其他成員應協助機長、航空安全員共同做好飛行中安全保衛工作。
(三)
涉及空中交通管理網路安保的規定
民航法第7章從空域管理、飛行管理、飛行保障、飛行必備檔四個方面對空中航行進行了規定,其中第82條至第89條的飛行保障部份與空中交通管理安保有最密切的聯系。根據第82條,空中交通管制單位應為飛行中的民用航空器提供防止民用航空器之間、民用航空器同障礙物體相撞的空中交通管理服務,提供利於安全有效實施飛行的飛行情報服務,以及提供通知並協助有關部門對航空器進行搜尋援救的警告服務。第88條對民用航空無線電專用頻率的正常使用進行了保護。第89條賦予了民用航空電信傳遞在郵電通訊企業服務提供中的優先地位。
【民用航空空中交通管理規則】(以下簡稱【空中交通管理規則】)作為部門規章,對空中交通管理網路安保問題進行了更詳細的規定。從預防層面看,該規則第42條規定管制單位應制定安全保衛制度,包括防止或預防對空中交通服務設施的損害以及規劃對空中交通服務設施損害的應對措施;對於空中交通管制使用的地空通訊設施,第571條規定須為獨立的無線電台;第575條規定以數據鏈為地空通訊手段的,應按該規則第23條的規定申請執行變更。從事中層面看,第464條規定在航空器報告處於緊急情況時,管制單位可采取核實緊急情況型別、決定協助航空器緊急情況的方式、向其他單位尋求協助等措施;第468條還規定了航空器失去陸空通訊聯絡時管制員應當采取包括利用其他通訊方式在內的措施;第503條對空中交通管制使用的地面無線電裝置完全失效時管制單位和管制員應當采取的措施進行了規定;為減小地面無線電裝置完全失效時對空中交通安全的影響,該規定第504條還要求管制單位結合實際情況建立相應應急工作程式;此外,第506條還就管制單位在空中交通管制頻率上出現不真實和欺騙性指令和授權時應當采取的措施進行了規定。
作為地面人員的民用航空空中交通管制員是空中交通管理的直接實施者,處於地空通訊的第一線,在民航網路安保中亦十分關鍵。民航規章【民用航空空中交通管制員執照管理規則】第32條要求在申請管制員執照時,應具備與其工作職責相適應的知識,其中與網路安保相關的包括:工作中所用裝置的一般原理、使用與限制,航空器、動力裝置與系統的操作原理與功能,與空中交通管制執行相關的航空器效能,與空中交通管制有關的人的因素,與飛行有關的安全措施。第33條至第35條對不同類別的管制員執照在申請時所需具備的技能進行了更細致描述,其中「正確實施緊急處置程式」和「提供安全、有序和高效的管制服務所需的技能、判斷力與表現」這兩項要求與網路安保最為相關。
四、中國現行民航法律中網路安保規定的不足
(一)
缺乏對網路安保的專門規定
結合當前中國新一代航空寬頻通訊背景分析中國目前的航空法律可知,當前與民航網路安保有關的航空法律尚未跟上技術發展的步伐,不足以確保航空安全。對於與航空器及其機上裝置等適航性相關的網路安保風險,中國民航法在第4章的適航管理部份將「民用航空器上裝置」與航空器、發動機、螺旋槳並列,透過對「民用航空器上裝置」在設計、生產、使用和維修四個環節的控制來確保裝置適航。問題在於,其一,「民用航空器上裝置」用語模糊,難以確定其含義是否包括系統、網路、軟體等非實體。其二,即使包括,航空器的軟體、系統等是否適於透過設計、生產、使用和維修這種四分法的方式對其進行適航管理?比如,軟體的設計和生產環節就不像傳統的實體裝置那樣界限清晰,再如因為病毒等網路攻擊手段升級速度快頻率高,所以對軟體維修授權證的申請是否僅透過適用現行民航法【適航管理條例】便已足夠也是有疑問的。
對於空中交通管理方面的網路安保風險,中國民航法與【空中交通管理規則】都有規定。但問題在於,這些規定主要關註點在於避免及應對對航空無線電頻率造成幹擾的情況。在航空數位化趨勢下,無線電頻率之於網路,就像河道之於河流;軟體、系統、數據等之於網路,就像河水之於河流。誠然,無線電頻率為資訊在網路的傳遞提供了通道,因此我們要對之加以保護,防止「河道」被「改道」或「阻塞」,但對於軟體、系統、數據等匯成的河水,我們也要防止其被惡意軟體、遭受惡意破壞的數據等汙染。遺憾的是,目前民航法和【空中交通管理規則】對後者的保護是缺乏的。
不僅如此,無論是航空器還是空中交通管理的網路安保,除關註以軟體、系統、數據本身抵禦網路攻擊的能力為重點的飛行安全外,空勤人員和空中交通管制員在航空安保方面的作用也不容小覷。網路攻擊有時具有隱蔽性,未經培訓、沒有網路攻擊防範意識的航空人員可能會誤將網路攻擊辨識為「技術故障」,從而采取不甚妥當的應對方法,且錯誤的辨識也不利於航空領域網路安保措施的完善。當前,中國民航法律尚未重視對航空人員中具有網路安保責任人員的能力建設。從邏輯上看,網路攻擊作為一種威脅航空器及其所載人員的新攻擊方式,其理應包含在航空安保範圍內。在此意義上,機長因中國民航法第44條和第46條、【民航安全保衛條例】第22條、【旅客運輸安全保衛規則】第11條和第17條而具有應對網路攻擊的職責,飛行機械員因【飛行機械員合格審定規則】第63.35條和第63.39條而應掌握關涉網路安保的知識,航空安全員與乘務員也因【旅客運輸安全保衛規則】而具有網路安保責任,空中交通管制員因【民用航空空中交通管制員執照管理規則】第32條至第35條而應對網路安保知識有所認識。問題在於,這些條文不足以支撐民航網路安保的實踐需要。結合其他條文可以發現,當前國內民航法律對航空人員航空安保能力培養的關註點依舊是如何應對「在航空器上」的「可見」行為,缺乏對「從航空器外」開展的「網路攻擊」行為的規制。比如【旅客運輸安全保衛規則】第10條詳細羅列了機長在處置「航空器上」非法幹擾或擾亂行為時所具有的權力,而該規則第9條、第16條明顯是將預防、制止出現於航空器內的破壞秩序、制造恐慌的行為作為航空安全員的定位。
(二)
相關概念不清晰及規則不全面
當前,中國民航法律規定中多處存在概念不清晰的問題。比如,民航法第34條至第37條都出現了「航空器上裝置」這一概念,但其具體含義為何卻是模糊的,其是否包括航空電子裝置也不明確。如果包括,那麽是否包括其中的軟體,也值得討論。再如【合格審定規定】第21.2B條第3款中規定「零部件」包括材料、零件、部件、機載裝置或軟體,但並未明確它們各自的含義和區別。
就規則不全面問題而言,民航法第34條至第37條將「航空器上裝置」與「發動機」「螺旋槳」和「民用航空器」並列,要求對其設計、生產、維修以及進出口環節進行審查。對於使用環節,民航法僅在第38條要求民用航空器的所有人或承租人保證民用航空器的持續適航,而不涉及對航空器上裝置持續適航的規定。無論「航空器上裝置」含義具體為何,可以肯定機載軟體不屬於「民用航空器」範疇。這是因為,根據【合格審定規定】第21.2B條,「民用航空器」屬「民用航空產品」範疇,而「機載裝置或軟體」屬於「零部件」範疇。【合格審定規定】中明確將「零部件」與「民用航空產品」放在了並列的位置對二者的適航性事項分別進行了規定。這至少說明在適航性問題上,「機載軟體」由於自身的獨特性質,是獨立於「民用航空器」的,加之從經驗角度看,將「機載軟體」歸於「航空器上裝置」更符合常識,若將之歸為「民用航空器」範疇則未免牽強。機載軟體在使用狀態下極易受到網路攻擊,而現行民航法對保證機載軟體在使用階段安全性的主體以及措施的規定卻是缺失的。
此外,為應對適航規章沒有包括適當的或足夠的安全要求的情況,【合格審定規定】在第21.16條規定了「專用條件」。中國C919型飛機因為機型的新型網路結構允許接受源自航空器外部和營運人資訊網路的存取,且裝載到航空器控制域和營運資訊服務域的外場可載入軟體和數據將透過電子手段傳遞,機載有線和無線裝置也會存取航空器控制域和營運資訊服務域,所以其在網路安保方面面臨威脅。對此,適航審定司透過了針對C919型飛機的編號為SC-25-031的專用條件。其實,不僅是中國的C919飛機,美國的波音787飛機和歐洲的空客A350飛機都有著可能影響航空網路安保的新型網路結構,隨著此類聯網型航空器的增多,直接增加新的法律規定而非頒發專用條件,或許是更有效率的做法。
(三)
網路安保權責分配不清和部門合作規定缺失
在新一代航空寬頻通訊背景下,中國民航管理機構現有的分工和合作模式並不能很好地應對民航業的網路安保風險。在分工方面,民航局內部存在網路安保權責分配不清的問題。根據民航法第3條的規定,民航局對全國民用航空活動實施統一監督管理;根據【民航安全保衛條例】第3條,民用航空公安機關負責對民用航空安全保衛實施統一管理、檢查和監督。問題在於,如前文所述,民航領域的網路安保包括飛行安全與航空安保兩部份,該條例的第3條僅解決了航空安保部份由何機關主管的問題,並未明確飛行安全部份應由何機關主管。網路安保滲透到了民用航空活動的各個環節。中國民航局雖未專設以網路安保為職責的機構,但根據對現有16個內設機構的職責規定可推知,多個機構都對網路安保負有責任:政策法規司負責民航網路安保立法相關工作;航空安全辦公室負責起草民航網路安全管理和包含網路因素的民用航空器事故及事故征候調查的法規、規章、政策、標準及安全規劃;發展計劃司負責起草民航行業網路化數位化規劃的相關法規、規章、政策、標準,並組織實施;飛行標準司負責制定新一代航空寬頻通訊這一航行新技術的執行標準及其推廣套用;適航審定司負責起草並監督執行軟體適航審定管理的相關法規、規章、政策、標準,還負責零部件、機載裝置的型號的生產合格審定、適航審定;空管行業管理辦公室負責起草並監督執行數位化背景下民航空管法規、規章、政策、標準和技術規範,以及民航空管單位的網路安全審計工作,指導民航空管系統的網路安全管理體系建設;公安局負責起草民航安全保衛的相關法規、規章、政策、標準,編制民航安全保衛規劃,並監督執行,以及指導處置利用網路非法幹擾民航安全事件等。可以發現,民航局內設機構對網路安保的職責有重合之處,這不但增加了民航網路安保管理難度,也增加了部門間的協調成本。
在對外合作方面,民航網路安保工作存在部門之間合作規定缺乏的問題。民航業互聯互通程度的加強使其與網路安全行業的聯系愈發緊密。要在未來盡可能避免因網路攻擊導致的民航事故或事故征候,就需要十分重視與網路安全部門的合作,以便科學地制定網路安保方面法規、規章、政策或標準。然而,中國民航法目前的關註點僅局限於航空業本身,而並未從文本上體現出對部門合作的重視。
五、中國民航安保法律的完善建議
(一)
增加民航法和民航規章中針對網路安保的規定
防止對航空器的物理攻擊是之前航空安保法律和政策的主要關註點。隨著航空業數位化,對民航網路進行攻擊其可能產生的後果並不亞於物理攻擊,因此有必要在民航法中規定專門的網路安保條款。具體建議如下:第一,充分考慮機載軟體在其生命全周期中可能遇到的威脅情形以及病毒、惡意軟體等升級叠代的快速性,在民航法第4章的適航管理部份增加針對機載軟體網路安全的適航管理規定,確保機載軟體初始適航和持續適航安全,並在【合格審定規定】中進行細化。第二,在民航法第7章第3節的飛行保障部份增加對空中交通管制服務所涉及的軟體、資訊系統和數據等進行保護的條款,並在【空中交通管理規則】中細化。
需要特別指出的是,在制定針對適航性及空中交通管理的網路安保民航規定時,應註重防範針對軟體供應鏈的攻擊。隨著人們防範網路攻擊意識的增強,軟體商與安全廠商等主體已在網路安全保障方面投入了大量資金,因此航空領域內的軟體、系統等往往擁有完善的安全運維體系,常規的攻擊方法一般很難找到目標軟體、系統等的突破口,對此,網路攻擊者已轉變思路,將目光集中於較為脆弱的軟體供應鏈環節:首先是軟體開發階段,涉及軟硬體開發環境部署、開發工具、第三方庫等的采購及原料供應、軟體開發測試等環節,各環節都可能受到惡意攻擊;其次是軟體交付階段,主要體現為在購買或共享儲存介質,以及在網路下載環節對軟體、系統展開攻擊;最後是軟體套用階段,攻擊者可能在安裝、升級與解除安裝軟體的過程中進行網路攻擊。中國重視軟體供應鏈安全,目前已出台了網路安全法、【網路安全審查辦法】以及【資訊保安技術資訊科技產品供應方行為安全準則】等一系列針對軟體供應鏈的法律和標準。民航場景下的供應鏈網路安保有其個性,但亦與其他場景下的網路安保有共同之處,對於共性部份,建議做好民航領域與網路安全領域法律與標準的銜接工作,如透過準用性規範將兩個領域連線起來。
對於機長、飛行機械員、航空安全員和空中交通管制員等對網路安保負有責任的人員,需重點培養其辨識、應對網路攻擊的能力。一方面,術業有專攻,要求上述人員全面掌握網路安保技能實在強人所難;另一方面,上述人員在處於應對航空網路攻擊的前線,為最大限度限制網路攻擊給機上人員帶來的風險,有必要使其具有一定程度的網路安保意識,尤其應透過模擬機上可能出現的網路攻擊事件對上述人員進行教育培訓,使其具備辨識和應對網路攻擊的能力,助力這些人員在新一代航空寬頻通訊背景下更好地履行其安全保衛工作。目前,民航法、【旅客運輸安全保衛規則】【飛行機械員合格審定規則】及【民用航空空中交通管制員執照管理規則】中的規定在邏輯上已包括機長、飛行機械員、航空安全員、空中交通管制員等的網路安保職責,但該職責在實踐中的受重視程度仍有待提高。考慮到民航法位階高修改難度大,因此建議在【旅客運輸安全保衛規則】【飛行機械員合格審定規則】及【民用航空空中交通管制員執照管理規則】中增加針對網路安保職責的註意規定,以促進民航管理機構、公共航空運輸企業對上述人員辨識、應對網路攻擊能力的培養。
(二)
明確界定相關概念並完善相關規則
明晰民航法律中用語的含義是充分落實民航法律規定的重要前提,在民航網路安保方面也是如此。如前文所述,民航法第34至37條中「航空器上裝置」含義不明,【合格審定規定】第21.2B條第3款也未指出不同種類「零部件」的含義和區別,這種用語的模糊性將直接影響對中國民航法律是否已將網路安保納入考量的判斷。根據【民航領域國家標準、行業標準及計量技術規範目錄】,中國的民航業標準已將網路安保納入考量。據此可推斷,中國民航領域存在將網路安保納入規範的傾向。對此,應如何修改中國現有規定中的條款以順應該趨勢,1971年關於制止危害民用航空安全非法行為的公約(以下簡稱「蒙特婁公約」)與2010年北京公約或許具有一定啟發作用。蒙特婁公約第1條第1款第4項規定,任何人非法和故意毀壞或損壞空中航行設施,或妨礙其工作,如此種行為可能危及飛行中航空器的安全,即構成犯罪。隨著技術進步,犯罪分子開始利用網路對航空器內的數據、資訊或系統進行攻擊,對此北京公約並未透過修改條款來應對網路攻擊,而是在第2條第3款中增加了對「空中航行設施」的定義,即明確空中航行設施包括航空器航行所必須的訊號、數據、資訊或系統,如此,蒙特婁公約第1條第1款第4項便將網路攻擊這一新情況納入了規制範圍。因此,可透過明確定義的方式,將網路安保納入中國現有規定的規制範圍。詳言之,建議透過行政法規、規章等方式明確民航法中「航空器上裝置」包括航空電子裝置中的系統、網路和軟體等,並在【合格審定規定】第21.2B條第3款下增加一項以闡明上一項中各「零部件」的含義,以適應新形勢下航空器的網路安保需求。
完善的法律規則是保障民航網路在面對網路攻擊時能夠有效抵禦並迅速恢復正常的重要手段。如前所述,中國民航法未規定機載軟體在使用階段的安全性由哪個主體采取何種措施來進行保護,這將十分不利於航空器網路安保的順利實施。因此建議如下:第一,在將機載軟體認定為屬於「航空器上裝置」情況下,考慮到航空器上裝置與民用航空器在物理上聯系的緊密性,以及制造商對民用航空器及其機上裝置所具有的專業知識,建議在民航法第38條中明確民用航空器所有人或承租人應做好民用航空器上裝置的保養及更新工作,使其處於持續適航狀態,制造商在此過程中應盡可能對民用航空器所有人或承租人提供幫助。第二,考慮到未來不同型號的民用航空器的內部互聯性越來越強的趨勢,建議梳理、整合不同機型與網路安保有關專用條件,將它們具有共性的部份轉化為新的規則,並規定於【合格審定規定】中。
(三)
明晰民航局企業網路絡安保權責分配並促進合作
如前文所述,目前民航局內部多個內設機構都對民航網路安保負有責任,且它們在民航網路安保方面的分工有重合之處。為更好地實施民航網路安保,建議可考慮以下兩條路徑:第一條路徑是,考慮到民航領域內的網路安全分為航空安保和飛行安全兩部份,故可依此確定兩個機構分別負責航空安保管理和飛行安全管理。根據【民航安全保衛條例】第3條的規定,民用航空公安機關負責航空安保的統一管理、檢查和監督工作,民航網路安全中的航空安保當然是航空安保的一部份,因此理應屬該機關負責;飛行安全更多關涉技術性知識,根據上文民航局各內設機構的職責規定可知,飛行標準司、適航審定司、空管行業辦公室的工作都涉及標準與技術規範的制定,因此可考慮由這三個內設機構共同負責民航領域網路安全中飛行安全的管理、檢查和監督工作。第二條路徑是,考慮到航空數位化時代民航網路安保兼具航空安保與飛行安全兩部份,且二者關聯緊密,建議在民航局下增設專門管理民航網路安保的內設機構,負責民航網路安保有關的法規、規章、政策、標準的起草、監督和推進實施,以減少協調成本,提高民航網路安保工作的效率。
民航網路安保不僅涉及民航業,更與網路安全業息息相關,相應地,保護民航網路免受惡意軟體、病毒的攻擊以及未經授權的存取不僅是民航局的責任,也與負責網路安全的部門有密切聯系。根據網路安全法第31條,民航業網路應屬於受重點保護的關鍵資訊基礎設施。根據該法第8條,國家網信部門負責統籌協調網路安全工作和相關監督管理工作。該法的第39條則列出了國家網信部門應統籌協調有關部門對關鍵資訊基礎設施的安全保護采取的四項措施。因此,民航局應加強與國家網信部門的合作,建議將「為保障民用航空安全,國務院民用航空主管部門將積極與其他部門進行協調與合作」加入民航法第1章總則部份,以便為部門間的合作提供法律基礎,促進更加科學、全面的民航網路安保立法,同時也顯示了中國在民航網路安保方面的主動性,這也利於提升社會公眾對民航業的信任,利於中國民航業的健康持久發展。
結語
隨著智慧民航建設行程的推進,新一代航空寬頻通訊將逐步取代舊有的通訊方式,系統、網路的互聯性也將進一步加強,民航業遭受網路攻擊的風險大大增加,因而采取舉措以從各方面增強民航網路安保勢在必行。當前,中國民航法律缺乏針對民航網路安保的專門規定,關涉網路安保事項的法律概念含義不清晰且法律規則不全面,此外,對內民航局缺乏專門管理網路安保的機構,對外也未和國家網信部門等與網路安保緊密聯系的部門進行合作。民航強國的建設需要技術、法律、政策三方面的共同努力,為從法律層面為民航行業高品質發展提供有力保障,中國應盡快更新民航法及相關行政法規和規章,具體來說:第一,建議在民航法第4章增加針對機載軟體網路安全的適航管理規定,在第7章第3節中增加保護空中交通管制服務所涉軟體、資訊系統和數據的條款,並透過規章細化,並在此過程中特別關註對軟體供應鏈攻擊的防範,透過準用性規範等方式做好與網路安全領域法律和標準的銜接工作。第二,建議在【旅客運輸安全保衛規則】【飛行機械員合格審定規則】及【民用航空空中交通管制員執照管理規則】中增加針對網路安保的註意規定,以確保機長、飛行機械員、航空安全員、空中交通管制員等能夠適應新一代航空寬頻通訊背景下對其航空安保職責的新要求。第三,建議明確民航法中「航空器上裝置」包括軟體,並在【合格審定規定】第21.2B條第(三)款中闡明該項中各「零部件」含義。第四,建議在民航法第38條中明確航空器所有人或承租人對使用中機載軟體的維護義務主體地位,使其持續適航。第五,建議梳理、整合不同機型網路安保專用條件,將共性部份轉化為新規則寫入【合格審定規定】。第六,建議由民用航空公安機關負責民航網路安保中航空安保部份的工作,由飛行標準司、適航審定司以及空管行業辦公室共同負責飛行安全部份的工作;或者是在民航局下增設專管民航網路安保的內設機構,統一組織、起草與民航網路安保有關檔。第七,建議將「國務院民用航空主管部門將積極與其他部門進行協調與合作以保障民航安全」加入民航法總則部份。同時要註意,由於民航網路安保涉及多學科知識,因此在未來制定其法律法規時,應對航空領域和網路安保領域的專家意見給予足夠的重視。
原標題:【戴靖婉|論中國民航網路安保法律的完善——以新一代航空寬頻通訊為背景】
來源:上海市法學會
