原创 戴靖婉 上海市法学会 东方法学
新一代航空宽带通信的广泛应用使我国民航业面临的网络安保风险不断增加。现有民航法律存在网络安保专门规定缺乏、概念不清且规则不全、权责分配不明和部门合作规定缺乏等问题。建议在民航法中增加机载软件网络安全的适航管理规定。在【旅客运输安全保卫规则】等规则中增加网络安保的注意规定。明确民航法中「航空器上设备」包括软件。在民航法中明确航空器所有人或承租人对机载软件的维护义务。梳理不同机型网络安保专用条件,将共性部分纳入【合格审定规定】。由民航公安机关负责民航网络安保,协同多部门协作;或在民航局下增设民航网络安保的内设机构。在民航法总则中强调国务院民航主管部门与其他部门协作的重要性。
一、问题的提出
当前世界范围内的航空业都呈现出数字化倾向,典型的如美国「新一代航空运输系统」(NextGen)和「单一欧洲天空」(Single European Sky)倡议下的欧洲空域一体化,以及我国的智慧民航系统。建设「数字化处理、智能化响应、智慧化支撑」的智慧民航系统是中国民用航空局(以下简称「民航局」)确立的「十四五」发展主线,其计划于2035年构建完成空天地一体化的新一代航空宽带通信体系,实现民航生态圈各要素终端泛在互联、信息互操作共享。根据【中国民航新一代航空宽带通信技术路线图】(以下简称【技术路线图】),「新一代航空宽带通信技术」主要包括5G AeroMACS 2.0、5G LDACS 2.0、5G ATG及5G公共网络等基于我国5G通信技术的航空宽带通信技术,且兼顾航空卫星宽带通信技术等,其将为民航业高质量发展提供有力保障,因此民航局高度重视该技术在中国民航的落地生根。当前,民航各领域对于宽带无线通信技术需求旺盛,推动此类技术在民航领域的应用,具有促进航空器飞行信息的传输与交换、提高空中交通安全水平与运行效率、助力航司顺畅运营、提升旅客出行体验等诸多益处。
新一代航空宽带通信的应用也将增强航空器内部、航空器与地面之间的联通性,使其集成于互联的数字世界之中。然而,与其他进入「数字革命」的行业一样,民航业也将面临网络攻击的威胁。根据国际民用航空组织(以下简称「ICAO」)【网络安保行动计划】(Cybersecurity Action Plan)第二版,网络安保指被设计用来确保系统、网络、程式、设备、信息、数据的机密性、完整性、可用性以及整体保护其免受攻击、未经授权的访问、使用和/或利用的那些技术、控制、措施、流程和实践。当前,民航网络安保问题已在ICAO受到越来越多的重视,其不仅通过大会决议强调了解决民航网络安保问题的重要性,还通过持续呼吁各国通过批准并实施制止与国际民用航空有关的非法行为的公约(以下简称「北京公约」)和制止非法劫持航空器公约的补充议定书、制定【航空网络安保战略】和【网络安保行动计划】、提供指导材料、发展国际航空信任框架以及建立网络安保小组、信任框架小组和特设网络安保协调委员会的方式促进航空网络安保。
在新一代航空宽带通信背景下,航空器的系统、网络、信息等,以及维持空中交通秩序的空管系统、网络、设备、信息等遭受黑客攻击的可能性增大,需要通过各种手段来确保其不被黑客侵入。科技创新固然是抵御黑客攻击的重要手段之一,但完善的法律在预防系统等遭受黑客攻击方面也起着不容小觑的作用。目前,我国已批准了北京公约,这为起诉影响航空器航行的网络攻击行为提供了法律依据。然而,民航网络安保事关重大,相比于事后的起诉,事前的预防更加重要。遗憾的是,我国现行国内民航法律体系并不能很好地预防民航业面临的网络安保风险,主要表现为:其一,在现行民航法律并未很好地涵盖网络安保问题的前提下,缺乏针对网络安保的专门规定。其二,现行民航法律中的一些概念定义是模糊,需要澄清以确定相关条文能否规范网络安保。其三,民航网络安保问题不仅需民航局内部的协调,更需要跨部门的协作,现行民航法缺乏部门合作的顶层设计,不利于航空器网络安保工作的展开。本文首先介绍了新一代航空宽带通信背景下航空器以及空中交通管理面临的网络安保风险,其次梳理了我国现行民航法律中与安保问题有较大关系的航空器和空中交通管理的规定,接着以此为基础从民航网络安保的视角分析了我国现行民航法律规定的不足,最后针对这些不足提出了建议,以期能为我国民航网络安保法律的完善尽绵薄之力。
二、新一代航空宽带通信可能引发网络安保风险
(一)
民用航空器内部面临的网络安保风险
民航业网络安保涉及的场景包括航空器、空中交通管理以及机场。航空器作为航空运输的核心,其网络安保问题尤其值得关注。空中交通管理涉及与航空器之间的数据通信,其网络安保与航空器航行的安全有着密不可分的联系。机场虽也面临网络攻击的威胁,但相对独立于航空器和空中交通管理,且在受到网络攻击后可能产生的后果较前两者不同,详言之,航空器和空中交通管理系统在受到网络攻击后,其通讯、导航等功能将面临失效风险,这会大大削弱航空器对其周围环境的态势感知能力,航空器上所载人员也因此可能会有性命之虞,而机场在遭受网络攻击后,其产生的后果主要为航班延误或取消、机场及航司声誉受损和财务损失,并不会对地面及万里高空中人员的生命安全造成直接影响,故在本文中不做讨论。
航空器内部根据信任关系的建立可分为四个逻辑域:一是飞行控制域,支持航空器的安全运行,提供包括派遣、巡视、导航、通信在内的飞行服务;二是航空公司信息服务域,提供航司运营服务,包括电子手册、电子飞行包、性能计算等;三是旅客信息与机载娱乐域,提供客舱服务,包括语音通信、数据通信、娱乐服务、信息服务;四是旅客自带设备域,提供旅客服务,包括语音/视频通信、数据通信、娱乐服务、信息服务、个人设备互联。
更广泛的互联和更多的网络接入使民用航空器不再是「信息孤岛」,且航空器内部的集成化趋势使其内部联通性显著增强,这大大增加了航空器设备、系统、网络等被恶意攻击者侵入的可能性。比如在新一代宽带通信背景下,5GATG通过沿航空器航线设置特殊基站和波束赋形天线的方式在航空器与地面间建立地空通信链路,使乘客能在机舱内通过无线局域网接入方式访问互联网。当乘客访问网站时,那些植入在网站中的病毒和恶意软件就会给恶意侵入者提供进入机载信息系统的机会。再如,飞行控制域对航空器安全航行至关重要,为防止其被黑客攻击,传统上会用物理或逻辑隔离的方式将它与其他域隔离,如通过防火墙保护驾驶舱重要航空电子设备免受攻击。但防火墙作为软件,依然有可能被黑客侵入或规避。值得注意的是,航空器的减重能够减少燃油消耗和碳排放,为应对全球气候变暖,各种标准和指南都逐渐倾向于将航空器内部的逻辑域进行集成,这将使逻辑域间数据链共享,从而增加了航空器遭受网络攻击的风险。为便于理解,可将航空器内的系统、电子设备等比作一个个房间,将黑客比作外来者,在应用新一代航空宽带通信前,每个房间都有且只有一扇门,外来者只有打开这唯一的门才能够进入该房间,而在新一代航空宽带通信进入应用后,一个房间则有了很多扇门,且不同房间之间甚至是连通的,这便意味着外来者进入房间的概率大大增加了。
(二)
民航空中交通管理面临的网络安保风险
空中交通管理能够有效维护和促进空中交通安全。根据【技术路线图】,面向机场场面区域,我国将推进5GAeroMACS2.0在空管业务中的应用。在航路飞行区域,将开展基于LDACS的探索和研究。然而作为以互联网为基础的航空电子通信网络的一部分,二者的使用将不可避免地使空中交通管理面临网络攻击的风险。
AeroMACS是面向机场场面区域的航空宽带移动通信系统,可为机场场面提供宽带无线网络连接,与航空器进行通信。在安全性上,5G AeroMACS 2.0具有基于民航专用网络、使用航空专用频率、符合航空安全通信等级要求等重要特征,与公共网络严格隔离,不存在共用关系,在基站、终端等设备和承载业务上也相对独立。虽然如此,但网络攻击者仍可能找到那些人们难以预料的漏洞,其安全性并非绝对。LDACS作为空中交通管制的重要工具,在未来将为处于航路阶段的航空器与地面进行数据通信提供空地数据链路,使得空中交通管制和航空器之间实现直接的数据传输。5G LDACS 2.0通过使用为飞行通信预留的L波段频率部分大大提高了数据的吞吐量,然而,LDACS对通信参与者不进行认证和授权、对数据不进行加密和完整性证明、对系统也不进行完整性证明。即使是更具安全性的5G也无法确保其能完全抵御网络攻击。一旦黑客破坏了该链路,那么他就能向空中交通管制员或飞行员发出指令或要求,这就极有可能损害空中交通秩序甚至威胁乘客的生命安全。为助力智慧民航建设,我国民航局正在推进我国民航飞行全阶段数字化管制服务,其在地面数据通信链路方面选择了ACARS网络,且也在逐步规划自己的ATN网络,这也增加了空中交通管理面临的网络安保风险。
三、我国民航法律法规中涉及网络安保的规定
根据影响航空安全的不同原因,航空安全(aviation safety)包括飞行安全(flight safety)和航空安保(aviation security)两方面。飞行安全指航空器在运行中避免出现任何原本可以规避的、客观存在的技术危险。航空安保主要针对的是对航空器实施非法干扰和扰乱的人为主观行为。值得注意的是,民航领域的网络安保既涉及飞行安全又涉及航空安保,且二者密切相关。因为网络攻击是攻击者利用网络、系统自身的漏洞而对航空系统、软件、数据等展开的攻击,其既涉及系统、软件本身的技术规范问题,又涉及防御攻击者的外在干扰问题。因此,与飞行安全、航空安保有关的民航法律都属于航空器网络安保法律的范围内。我国不仅存在大量不同层级的与飞行安全、航空安保有关的民航法律,还有很多与之相关的国家及行业标准,限于篇幅原因难以一一介绍。众多民航法律中,关涉航空器及其机上设备等的适航性、空勤人员以及空中交通管制的规定对民航网络安保的成功实施尤为重要,下文将对涉及这三方面的规定进行梳理与分析。
(一)
涉及航空器及其机上设备等适航性的网络安保规定
对民用航空器及其机上设备等适航性的审查主要服务于民航领域网络安保的飞行安全方面,因为其目的在于避免航空器上所载人员因航空器及其机上设备等的自身原因而陷入危险。随着新一代航空宽带通信应用的发展,系统、软件等本身客观存在的缺陷使得网络攻击是威胁航空器飞行安全的重要因素,因此对航空器及其机上软件、网络、系统、设备等的适航性审查与民航网络安保密切相关。
民用航空法(以下简称「民航法」)第34条至第38条对民用航空器及其发动机、螺旋桨和民用航空器上设备的适航管理进行了规定。第34条、第35条、第36条包含针对民用航空器及其发动机、螺旋桨和民用航空器上设备的初始适航规则:在设计方面,应向国务院民用航空主管部门申领型号合格证书。在制造方面,应向国务院民用航空主管部门申领生产许可证书;外国制造人生产的任何型号民用航空器及其发动机、螺旋桨和民用航空器上设备,首次进口中国的,或是已取得外国颁发的型号合格证书的而首次在中国境内生产的,都应向国务院民用航空主管部门申领型号认可证书。
民航法第35条、第38条属于持续适航规则:在使用方面,民用航空器的所有人或者承租人应按照适航证书规定的使用范围使用民用航空器,做好民用航空器的维修保养工作,保证其处于适航状态。在维修方面,维修民用航空器及其发动机、螺旋桨和民用航空器上设备,应向国务院民用航空主管部门申领维修许可证书。
【民用航空器适航管理条例】(以下简称【适航管理条例】)作为行政法规,更详细地规定了民用航空器、发动机、螺旋桨的适航规则,但并不涉及航空器上设备。
【民用航空产品和零部件合格审定规定】(以下简称【合格审定规定】)作为部门规章,为保障民用航空产品和零部件的适航性,对它们的型号合格审定、生产许可审定以及适航合格审定及相关证件的申请、颁发、管理进行了规定。根据【合格审定规定】第21.2B条定义,「民用航空产品」指民用航空器、航空发动机或螺旋桨;「零部件」指任何用于民用航空产品或拟在民用航空产品上使用和安装的材料、零件、部件、机载设备或软件。因此,在【合格审定规定】语境下,涉及航空网络安保的航空电子设备及相关软件应属于零部件的范畴。根据【合格审定规定】,零部件的批准包括设计批准、生产批准和适航批准。具体看,第21.371条规定了为进口的符合技术标准规定的零部件颁发设计批准认可证的条件;第21.301条至第21.320条规定了颁发零部件制造人批准书的条件;第21.351条至第21.370条规定了技术标准规定项目批准书的颁发条件。此外,【合格审定规定】第21.16条还规定了民用航空产品的专用条件,以防止目前有关的适航规章未包括适当的或足够的安全要求。
此外,我国民航局已经注意到了民航业日益数字化、网络化、智能化所产生的网络安保问题,并在近年通过制定行业标准的方式对之可能产生的隐患进行控制。「智慧民航数据治理」就是很好的例证。其通过一系列的行业标准既确保了数据安全,又通过多方主体共建、共治、共享的方式,实现了面向行业数据全生命周期的优化数据质量、改进数据服务、释放数据价值的目标。
(二)
涉及空勤人员的网络安保规定
在飞行过程中,空勤人员处于一线位置,将直面网络攻击及该攻击带来的各种影响,航空器上乘客的安危也与空勤人员在处理险情时的方式紧密相关,因此空勤人员在民航领域网络安保的航空安保方面处于关键地位。民航法第39条明确了空勤人员的构成,包括驾驶员、飞行机械人员和乘务员,他们在飞行中的航空器中负有不同程度的航空安保职责,此外,根据行政法规【民航安全保卫条例】和规章【公共航空旅客运输飞行中安全保卫工作规则】(以下简称【旅客运输安全保卫规则】),航空安全员对航空安保亦有重要责任。
机长由具有独立驾驶特定型号民用航空器技术和经验的驾驶员担任,对飞行中的民用航空器及其所载人员享有最高权力且负最终责任,是飞行中航空器上网络安保的「总指挥」。根据民航法第44条,机长负责民用航空器的操作,并保护民用航空器及其所载人员和财产的安全,对于机长在职权范围内发布的命令,民用航空器上的所有其他人都应执行;第46条规定,机长有权在保证安全的前提下,对于破坏民用航空器、危害民用航空器所载人员或财产安全以及其他危及飞行安全的行为采取必要的适当措施,且在遇到特殊情况时,为保证民用航空器及其所载人员安全,机长有权对民用航空器作出处置;第48条规定,在民用航空器遇险时,机长有权采取一切必要措施,并指挥机组人员和航空器上其他人员采取抢救措施;第49条规定,民用航空器发生事故,机长应直接或通过空中交通管制单位,如实将事故情况及时报告国务院民用航空主管部门。【民航安全保卫条例】第22条明确了由机长统一负责航空器飞行中的安全保卫工作;第23条第3款赋予机长对在航空器飞行中劫持、破坏航空器或其他危及安全的行为,采取必要措施的权力;【旅客运输安全保卫规则】细化了机长在飞行中的安全保卫职责与权力:其第10条罗列了机长在处置航空器上的非法干扰行为或扰乱行为时,所具有的各项权力;第17条要求机长召集机组全体成员参加航前协同会,明确飞行中安全保卫应急处置预案。
飞行机械员是指在航空器型号合格审定或者运行规章确定需要飞行机械员的航空器上操纵和监视航空动力装置和各个系统在飞行中工作状态的人员,是民用航空器网络安保中航空安保的重要力量。民航规章【民用航空器飞行机械员合格审定规则】(以下简称【飞行机械员合格审定规则】)第63.35条规定了飞行机械员应具备的航空知识,其中与网络安保密切相关的包括:(b)款规定「航空器一般知识」中各系统、设备等的工作原理,(c)款规定「飞行性能、计划和装载」中性能数据(包括巡航控制程序)的使用和实际应用,(d)款规定「人为因素」中的危险和差错管理原理,(e)款规定「运行程序」中的适航性维修程序、故障报告、机上安装的设备及客舱系统、非正常和应急程序。该规则第63.39条对飞行机械员的飞行技能提出了要求,其中「紧急情况的识别」与网络安保关联密切。
航空安全员是公共航空运输企业设立的岗位,受机长领导,承担飞行中安全保卫的具体工作。根据【旅客运输安全保卫规则】第9条和第16条的规定,公共航空运输企业应为航空安全员配备装备,并将其座位安排于紧邻过道侧,以便航空安全员执勤。目前,航空安全员的航空安保工作主要偏向于防范出现于航空器内部的扰乱行为与非法干扰行为。
乘务员在民用航空器的网络安保工作中起辅助作用。根据【旅客运输安全保卫规则】第11条的规定,机组其他成员应协助机长、航空安全员共同做好飞行中安全保卫工作。
(三)
涉及空中交通管理网络安保的规定
民航法第7章从空域管理、飞行管理、飞行保障、飞行必备文件四个方面对空中航行进行了规定,其中第82条至第89条的飞行保障部分与空中交通管理安保有最密切的联系。根据第82条,空中交通管制单位应为飞行中的民用航空器提供防止民用航空器之间、民用航空器同障碍物体相撞的空中交通管理服务,提供利于安全有效实施飞行的飞行情报服务,以及提供通知并协助有关部门对航空器进行搜寻援救的警告服务。第88条对民用航空无线电专用频率的正常使用进行了保护。第89条赋予了民用航空电信传递在邮电通信企业服务提供中的优先地位。
【民用航空空中交通管理规则】(以下简称【空中交通管理规则】)作为部门规章,对空中交通管理网络安保问题进行了更详细的规定。从预防层面看,该规则第42条规定管制单位应制定安全保卫制度,包括防止或预防对空中交通服务设施的损害以及规划对空中交通服务设施损害的应对措施;对于空中交通管制使用的地空通信设施,第571条规定须为独立的无线电台;第575条规定以数据链为地空通信手段的,应按该规则第23条的规定申请运行变更。从事中层面看,第464条规定在航空器报告处于紧急情况时,管制单位可采取核实紧急情况类型、决定协助航空器紧急情况的方式、向其他单位寻求协助等措施;第468条还规定了航空器失去陆空通信联络时管制员应当采取包括利用其他通信方式在内的措施;第503条对空中交通管制使用的地面无线电设备完全失效时管制单位和管制员应当采取的措施进行了规定;为减小地面无线电设备完全失效时对空中交通安全的影响,该规定第504条还要求管制单位结合实际情况建立相应应急工作程序;此外,第506条还就管制单位在空中交通管制频率上出现不真实和欺骗性指令和许可时应当采取的措施进行了规定。
作为地面人员的民用航空空中交通管制员是空中交通管理的直接实施者,处于地空通讯的第一线,在民航网络安保中亦十分关键。民航规章【民用航空空中交通管制员执照管理规则】第32条要求在申请管制员执照时,应具备与其工作职责相适应的知识,其中与网络安保相关的包括:工作中所用设备的一般原理、使用与限制,航空器、动力装置与系统的操作原理与功能,与空中交通管制运行相关的航空器性能,与空中交通管制有关的人的因素,与飞行有关的安全措施。第33条至第35条对不同类别的管制员执照在申请时所需具备的技能进行了更细致描述,其中「正确实施紧急处置程序」和「提供安全、有序和高效的管制服务所需的技能、判断力与表现」这两项要求与网络安保最为相关。
四、我国现行民航法律中网络安保规定的不足
(一)
缺乏对网络安保的专门规定
结合当前我国新一代航空宽带通信背景分析我国目前的航空法律可知,当前与民航网络安保有关的航空法律尚未跟上技术发展的步伐,不足以确保航空安全。对于与航空器及其机上设备等适航性相关的网络安保风险,我国民航法在第4章的适航管理部分将「民用航空器上设备」与航空器、发动机、螺旋桨并列,通过对「民用航空器上设备」在设计、生产、使用和维修四个环节的控制来确保设备适航。问题在于,其一,「民用航空器上设备」用语模糊,难以确定其含义是否包括系统、网络、软件等非实体。其二,即使包括,航空器的软件、系统等是否适于通过设计、生产、使用和维修这种四分法的方式对其进行适航管理?比如,软件的设计和生产环节就不像传统的实体设备那样界限清晰,再如因为病毒等网络攻击手段升级速度快频率高,所以对软件维修许可证的申请是否仅通过适用现行民航法【适航管理条例】便已足够也是有疑问的。
对于空中交通管理方面的网络安保风险,我国民航法与【空中交通管理规则】都有规定。但问题在于,这些规定主要关注点在于避免及应对对航空无线电频率造成干扰的情况。在航空数字化趋势下,无线电频率之于网络,就像河道之于河流;软件、系统、数据等之于网络,就像河水之于河流。诚然,无线电频率为信息在网络的传递提供了通道,因此我们要对之加以保护,防止「河道」被「改道」或「阻塞」,但对于软件、系统、数据等汇成的河水,我们也要防止其被恶意软件、遭受恶意破坏的数据等污染。遗憾的是,目前民航法和【空中交通管理规则】对后者的保护是缺乏的。
不仅如此,无论是航空器还是空中交通管理的网络安保,除关注以软件、系统、数据本身抵御网络攻击的能力为重点的飞行安全外,空勤人员和空中交通管制员在航空安保方面的作用也不容小觑。网络攻击有时具有隐蔽性,未经培训、没有网络攻击防范意识的航空人员可能会误将网络攻击识别为「技术故障」,从而采取不甚妥当的应对方法,且错误的识别也不利于航空领域网络安保措施的完善。当前,我国民航法律尚未重视对航空人员中具有网络安保责任人员的能力建设。从逻辑上看,网络攻击作为一种威胁航空器及其所载人员的新攻击方式,其理应包含在航空安保范围内。在此意义上,机长因我国民航法第44条和第46条、【民航安全保卫条例】第22条、【旅客运输安全保卫规则】第11条和第17条而具有应对网络攻击的职责,飞行机械员因【飞行机械员合格审定规则】第63.35条和第63.39条而应掌握关涉网络安保的知识,航空安全员与乘务员也因【旅客运输安全保卫规则】而具有网络安保责任,空中交通管制员因【民用航空空中交通管制员执照管理规则】第32条至第35条而应对网络安保知识有所认识。问题在于,这些条文不足以支撑民航网络安保的实践需要。结合其他条文可以发现,当前国内民航法律对航空人员航空安保能力培养的关注点依旧是如何应对「在航空器上」的「可见」行为,缺乏对「从航空器外」开展的「网络攻击」行为的规制。比如【旅客运输安全保卫规则】第10条详细罗列了机长在处置「航空器上」非法干扰或扰乱行为时所具有的权力,而该规则第9条、第16条明显是将预防、制止出现于航空器内的破坏秩序、制造恐慌的行为作为航空安全员的定位。
(二)
相关概念不清晰及规则不全面
当前,我国民航法律规定中多处存在概念不清晰的问题。比如,民航法第34条至第37条都出现了「航空器上设备」这一概念,但其具体含义为何却是模糊的,其是否包括航空电子设备也不明确。如果包括,那么是否包括其中的软件,也值得讨论。再如【合格审定规定】第21.2B条第3款中规定「零部件」包括材料、零件、部件、机载设备或软件,但并未明确它们各自的含义和区别。
就规则不全面问题而言,民航法第34条至第37条将「航空器上设备」与「发动机」「螺旋桨」和「民用航空器」并列,要求对其设计、生产、维修以及进出口环节进行审查。对于使用环节,民航法仅在第38条要求民用航空器的所有人或承租人保证民用航空器的持续适航,而不涉及对航空器上设备持续适航的规定。无论「航空器上设备」含义具体为何,可以肯定机载软件不属于「民用航空器」范畴。这是因为,根据【合格审定规定】第21.2B条,「民用航空器」属「民用航空产品」范畴,而「机载设备或软件」属于「零部件」范畴。【合格审定规定】中明确将「零部件」与「民用航空产品」放在了并列的位置对二者的适航性事项分别进行了规定。这至少说明在适航性问题上,「机载软件」由于自身的独特性质,是独立于「民用航空器」的,加之从经验角度看,将「机载软件」归于「航空器上设备」更符合常识,若将之归为「民用航空器」范畴则未免牵强。机载软件在使用状态下极易受到网络攻击,而现行民航法对保证机载软件在使用阶段安全性的主体以及措施的规定却是缺失的。
此外,为应对适航规章没有包括适当的或足够的安全要求的情况,【合格审定规定】在第21.16条规定了「专用条件」。我国C919型飞机因为机型的新型网络结构允许接受源自航空器外部和营运人信息网络的访问,且装载到航空器控制域和运营信息服务域的外场可加载软件和数据将通过电子手段传递,机载有线和无线设备也会访问航空器控制域和运营信息服务域,所以其在网络安保方面面临威胁。对此,适航审定司通过了针对C919型飞机的编号为SC-25-031的专用条件。其实,不仅是我国的C919飞机,美国的波音787飞机和欧洲的空客A350飞机都有着可能影响航空网络安保的新型网络结构,随着此类联网型航空器的增多,直接增加新的法律规定而非颁发专用条件,或许是更有效率的做法。
(三)
网络安保权责分配不清和部门合作规定缺失
在新一代航空宽带通信背景下,我国民航管理机构现有的分工和合作模式并不能很好地应对民航业的网络安保风险。在分工方面,民航局内部存在网络安保权责分配不清的问题。根据民航法第3条的规定,民航局对全国民用航空活动实施统一监督管理;根据【民航安全保卫条例】第3条,民用航空公安机关负责对民用航空安全保卫实施统一管理、检查和监督。问题在于,如前文所述,民航领域的网络安保包括飞行安全与航空安保两部分,该条例的第3条仅解决了航空安保部分由何机关主管的问题,并未明确飞行安全部分应由何机关主管。网络安保渗透到了民用航空活动的各个环节。我国民航局虽未专设以网络安保为职责的机构,但根据对现有16个内设机构的职责规定可推知,多个机构都对网络安保负有责任:政策法规司负责民航网络安保立法相关工作;航空安全办公室负责起草民航网络安全管理和包含网络因素的民用航空器事故及事故征候调查的法规、规章、政策、标准及安全规划;发展计划司负责起草民航行业网络化数字化规划的相关法规、规章、政策、标准,并组织实施;飞行标准司负责制定新一代航空宽带通信这一航行新技术的运行标准及其推广应用;适航审定司负责起草并监督执行软件适航审定管理的相关法规、规章、政策、标准,还负责零部件、机载设备的型号的生产合格审定、适航审定;空管行业管理办公室负责起草并监督执行数字化背景下民航空管法规、规章、政策、标准和技术规范,以及民航空管单位的网络安全审计工作,指导民航空管系统的网络安全管理体系建设;公安局负责起草民航安全保卫的相关法规、规章、政策、标准,编制民航安全保卫规划,并监督执行,以及指导处置利用网络非法干扰民航安全事件等。可以发现,民航局内设机构对网络安保的职责有重合之处,这不但增加了民航网络安保管理难度,也增加了部门间的协调成本。
在对外合作方面,民航网络安保工作存在部门之间合作规定缺乏的问题。民航业互联互通程度的加强使其与网络安全行业的联系愈发紧密。要在未来尽可能避免因网络攻击导致的民航事故或事故征候,就需要十分重视与网络安全部门的合作,以便科学地制定网络安保方面法规、规章、政策或标准。然而,我国民航法目前的关注点仅局限于航空业本身,而并未从文本上体现出对部门合作的重视。
五、我国民航安保法律的完善建议
(一)
增加民航法和民航规章中针对网络安保的规定
防止对航空器的物理攻击是之前航空安保法律和政策的主要关注点。随着航空业数字化,对民航网络进行攻击其可能产生的后果并不亚于物理攻击,因此有必要在民航法中规定专门的网络安保条款。具体建议如下:第一,充分考虑机载软件在其生命全周期中可能遇到的威胁情形以及病毒、恶意软件等升级迭代的快速性,在民航法第4章的适航管理部分增加针对机载软件网络安全的适航管理规定,确保机载软件初始适航和持续适航安全,并在【合格审定规定】中进行细化。第二,在民航法第7章第3节的飞行保障部分增加对空中交通管制服务所涉及的软件、信息系统和数据等进行保护的条款,并在【空中交通管理规则】中细化。
需要特别指出的是,在制定针对适航性及空中交通管理的网络安保民航规定时,应注重防范针对软件供应链的攻击。随着人们防范网络攻击意识的增强,软件商与安全厂商等主体已在网络安全保障方面投入了大量资金,因此航空领域内的软件、系统等往往拥有完善的安全运维体系,常规的攻击方法一般很难找到目标软件、系统等的突破口,对此,网络攻击者已转变思路,将目光集中于较为脆弱的软件供应链环节:首先是软件开发阶段,涉及软硬件开发环境部署、开发工具、第三方库等的采购及原料供应、软件开发测试等环节,各环节都可能受到恶意攻击;其次是软件交付阶段,主要体现为在购买或共享存储介质,以及在网络下载环节对软件、系统展开攻击;最后是软件应用阶段,攻击者可能在安装、升级与卸载软件的过程中进行网络攻击。我国重视软件供应链安全,目前已出台了网络安全法、【网络安全审查办法】以及【信息安全技术信息技术产品供应方行为安全准则】等一系列针对软件供应链的法律和标准。民航场景下的供应链网络安保有其个性,但亦与其他场景下的网络安保有共同之处,对于共性部分,建议做好民航领域与网络安全领域法律与标准的衔接工作,如通过准用性规范将两个领域连接起来。
对于机长、飞行机械员、航空安全员和空中交通管制员等对网络安保负有责任的人员,需重点培养其识别、应对网络攻击的能力。一方面,术业有专攻,要求上述人员全面掌握网络安保技能实在强人所难;另一方面,上述人员在处于应对航空网络攻击的前线,为最大限度限制网络攻击给机上人员带来的风险,有必要使其具有一定程度的网络安保意识,尤其应通过模拟机上可能出现的网络攻击事件对上述人员进行教育培训,使其具备识别和应对网络攻击的能力,助力这些人员在新一代航空宽带通信背景下更好地履行其安全保卫工作。目前,民航法、【旅客运输安全保卫规则】【飞行机械员合格审定规则】及【民用航空空中交通管制员执照管理规则】中的规定在逻辑上已包括机长、飞行机械员、航空安全员、空中交通管制员等的网络安保职责,但该职责在实践中的受重视程度仍有待提高。考虑到民航法位阶高修改难度大,因此建议在【旅客运输安全保卫规则】【飞行机械员合格审定规则】及【民用航空空中交通管制员执照管理规则】中增加针对网络安保职责的注意规定,以促进民航管理机构、公共航空运输企业对上述人员识别、应对网络攻击能力的培养。
(二)
明确界定相关概念并完善相关规则
明晰民航法律中用语的含义是充分落实民航法律规定的重要前提,在民航网络安保方面也是如此。如前文所述,民航法第34至37条中「航空器上设备」含义不明,【合格审定规定】第21.2B条第3款也未指出不同种类「零部件」的含义和区别,这种用语的模糊性将直接影响对我国民航法律是否已将网络安保纳入考量的判断。根据【民航领域国家标准、行业标准及计量技术规范目录】,我国的民航业标准已将网络安保纳入考量。据此可推断,我国民航领域存在将网络安保纳入规范的倾向。对此,应如何修改我国现有规定中的条款以顺应该趋势,1971年关于制止危害民用航空安全非法行为的公约(以下简称「蒙特利尔公约」)与2010年北京公约或许具有一定启发作用。蒙特利尔公约第1条第1款第4项规定,任何人非法和故意毁坏或损坏空中航行设施,或妨碍其工作,如此种行为可能危及飞行中航空器的安全,即构成犯罪。随着技术进步,犯罪分子开始利用网络对航空器内的数据、信息或系统进行攻击,对此北京公约并未通过修改条款来应对网络攻击,而是在第2条第3款中增加了对「空中航行设施」的定义,即明确空中航行设施包括航空器航行所必须的信号、数据、信息或系统,如此,蒙特利尔公约第1条第1款第4项便将网络攻击这一新情况纳入了规制范围。因此,可通过明确定义的方式,将网络安保纳入我国现有规定的规制范围。详言之,建议通过行政法规、规章等方式明确民航法中「航空器上设备」包括航空电子设备中的系统、网络和软件等,并在【合格审定规定】第21.2B条第3款下增加一项以阐明上一项中各「零部件」的含义,以适应新形势下航空器的网络安保需求。
完善的法律规则是保障民航网络在面对网络攻击时能够有效抵御并迅速恢复正常的重要手段。如前所述,我国民航法未规定机载软件在使用阶段的安全性由哪个主体采取何种措施来进行保护,这将十分不利于航空器网络安保的顺利实施。因此建议如下:第一,在将机载软件认定为属于「航空器上设备」情况下,考虑到航空器上设备与民用航空器在物理上联系的紧密性,以及制造商对民用航空器及其机上设备所具有的专业知识,建议在民航法第38条中明确民用航空器所有人或承租人应做好民用航空器上设备的保养及更新工作,使其处于持续适航状态,制造商在此过程中应尽可能对民用航空器所有人或承租人提供帮助。第二,考虑到未来不同型号的民用航空器的内部互联性越来越强的趋势,建议梳理、整合不同机型与网络安保有关专用条件,将它们具有共性的部分转化为新的规则,并规定于【合格审定规定】中。
(三)
明晰民航局内部网络安保权责分配并促进合作
如前文所述,目前民航局内部多个内设机构都对民航网络安保负有责任,且它们在民航网络安保方面的分工有重合之处。为更好地实施民航网络安保,建议可考虑以下两条路径:第一条路径是,考虑到民航领域内的网络安全分为航空安保和飞行安全两部分,故可依此确定两个机构分别负责航空安保管理和飞行安全管理。根据【民航安全保卫条例】第3条的规定,民用航空公安机关负责航空安保的统一管理、检查和监督工作,民航网络安全中的航空安保当然是航空安保的一部分,因此理应属该机关负责;飞行安全更多关涉技术性知识,根据上文民航局各内设机构的职责规定可知,飞行标准司、适航审定司、空管行业办公室的工作都涉及标准与技术规范的制定,因此可考虑由这三个内设机构共同负责民航领域网络安全中飞行安全的管理、检查和监督工作。第二条路径是,考虑到航空数字化时代民航网络安保兼具航空安保与飞行安全两部分,且二者关联紧密,建议在民航局下增设专门管理民航网络安保的内设机构,负责民航网络安保有关的法规、规章、政策、标准的起草、监督和推进实施,以减少协调成本,提高民航网络安保工作的效率。
民航网络安保不仅涉及民航业,更与网络安全业息息相关,相应地,保护民航网络免受恶意软件、病毒的攻击以及未经授权的访问不仅是民航局的责任,也与负责网络安全的部门有密切联系。根据网络安全法第31条,民航业网络应属于受重点保护的关键信息基础设施。根据该法第8条,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。该法的第39条则列出了国家网信部门应统筹协调有关部门对关键信息基础设施的安全保护采取的四项措施。因此,民航局应加强与国家网信部门的合作,建议将「为保障民用航空安全,国务院民用航空主管部门将积极与其他部门进行协调与合作」加入民航法第1章总则部分,以便为部门间的合作提供法律基础,促进更加科学、全面的民航网络安保立法,同时也显示了我国在民航网络安保方面的主动性,这也利于提升社会公众对民航业的信任,利于我国民航业的健康持久发展。
结语
随着智慧民航建设进程的推进,新一代航空宽带通信将逐步取代旧有的通信方式,系统、网络的互联性也将进一步加强,民航业遭受网络攻击的风险大大增加,因而采取举措以从各方面增强民航网络安保势在必行。当前,我国民航法律缺乏针对民航网络安保的专门规定,关涉网络安保事项的法律概念含义不清晰且法律规则不全面,此外,对内民航局缺乏专门管理网络安保的机构,对外也未和国家网信部门等与网络安保紧密联系的部门进行合作。民航强国的建设需要技术、法律、政策三方面的共同努力,为从法律层面为民航行业高质量发展提供有力保障,我国应尽快更新民航法及相关行政法规和规章,具体来说:第一,建议在民航法第4章增加针对机载软件网络安全的适航管理规定,在第7章第3节中增加保护空中交通管制服务所涉软件、信息系统和数据的条款,并通过规章细化,并在此过程中特别关注对软件供应链攻击的防范,通过准用性规范等方式做好与网络安全领域法律和标准的衔接工作。第二,建议在【旅客运输安全保卫规则】【飞行机械员合格审定规则】及【民用航空空中交通管制员执照管理规则】中增加针对网络安保的注意规定,以确保机长、飞行机械员、航空安全员、空中交通管制员等能够适应新一代航空宽带通信背景下对其航空安保职责的新要求。第三,建议明确民航法中「航空器上设备」包括软件,并在【合格审定规定】第21.2B条第(三)款中阐明该项中各「零部件」含义。第四,建议在民航法第38条中明确航空器所有人或承租人对使用中机载软件的维护义务主体地位,使其持续适航。第五,建议梳理、整合不同机型网络安保专用条件,将共性部分转化为新规则写入【合格审定规定】。第六,建议由民用航空公安机关负责民航网络安保中航空安保部分的工作,由飞行标准司、适航审定司以及空管行业办公室共同负责飞行安全部分的工作;或者是在民航局下增设专管民航网络安保的内设机构,统一组织、起草与民航网络安保有关文件。第七,建议将「国务院民用航空主管部门将积极与其他部门进行协调与合作以保障民航安全」加入民航法总则部分。同时要注意,由于民航网络安保涉及多学科知识,因此在未来制定其法律法规时,应对航空领域和网络安保领域的专家意见给予足够的重视。
原标题:【戴靖婉|论我国民航网络安保法律的完善——以新一代航空宽带通信为背景】
来源:上海市法学会
