前 言

近日，中国民用航空局智慧民航建设领导小组办公室发布了《民航数据管理办法（征求意见稿）》和《民航数据共享管理办法（征求意见稿）》（“《民航数据共享办法（征求意见稿）》”）（统称为“二份征求意见稿”），旨在对民航数据的采集、应用、治理、共享等关键环节进行全面规范，确保数据安全、高效地服务于智慧民航持续发展。本文从实务角度出发，对二份征求意见稿的重点条文提供分析和解读，以帮助相关企业更好地理解相关合规要求以便后续开展合规工作。

一、发布背景

（一）政策意见

二份征求意见稿的编制工作计划在有关部门发布的相关政策意见中已有所铺垫。

2020年印发的《推动新型基础设施建设促进民航高质量发展实施意见》，提出了加强数据共享、数据安全、数据权保护等规章制度研究建设的意见。后续印发的《中国民用航空局关于印发智慧民航建设路线图》（2022年）和《“十四五”民用航空发展规划》（2022年）也对民航数据治理体系的建立健全设定了明确目标。

2022年，民航局印发了《关于民航大数据建设发展的指导意见》，该意见将《民航数据管理办法》和《民航数据共享管理办法》在内的法规标准体系建设作为主要任务之一。

《智慧民航建设数据管理政策标准体系》（2023年）设计了“1+3+4+N”智慧民航数据管理政策标准总体框架，即1部指导意见、3部管理办法、4项制度、N部细则。1部指导意见为《关于民航大数据建设发展的指导意见》，3部管理办法为《民航数据管理办法》《民航数据共享管理办法》《民航数据安全管理办法》，4项制度为《民航领域数据分类分级办法》《民航数据目录管理制度》《民航数据安全信息通报办法》《民航数据全生命周期管理制度》。

（二）规定标准

与民航数据相关的法规标准数量较多且涵盖多个细分领域，其中与民航数据管理和共享监管更为相关的文件包括：

• 《民航统计数据质量责任管理办法》；
• 《民航领域数据分类分级办法（征求意见稿）》；
• 《智慧民航数据治理-框架与管理机制规范》
• 《智慧民航数据治理-数据架构规范》；
• 《智慧民航数据治理-数据质量规范》；
• 《智慧民航数据治理-数据安全规范》；
• 《智慧民航数据治理-数据服务规范》；
• 《智慧民航数据治理-数据共享》；
• 《智慧民航数据治理-数据治理技术》；
• 《民航政务数据共享与交换技术要求》。

二、《民航数据管理办法（征求意见稿）》重点条文解读

（一）适用范围及关键定义

《民航数据管理办法（征求意见稿）》第三条规定“任何单位和个人在中华人民共和国境内从事民航数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动，适用本办法”。其中，民航数据指的是“在行业发展、监管执法、政务管理、生产运行、服务保障等过程中产生的，或通过收集、监测等方式获取并用于民用航空活动的原始数据及其衍生数据”。

《民航数据管理办法（征求意见稿）》又进一步将民航数据分为三类数据，并划分四类民航数据处理主体。

要点解读：

• 《民航数据管理办法（征求意见稿）》对民航数据的处理活动的适用较为宽泛，覆盖了民航数据的收集、存储、使用、加工、传输、提供、公开等全生命周期。从民航数据的定义来看，民用航空活动所能涉及的各类数据都有可能属于民航数据，其中可能也包括民航企业的员工、应聘者、供应商以及服务商个人信息。此类数据也落入《个人信息保护法》（“《个保法》”）的监管范畴，企业合规工作需注意不要遗漏《个保法》下企业应承担的相关合规义务。
• 实践中，公共数据、企业数据以及个人信息数据之间可能并不是完全互斥的关系，例如：在处理航班延误或事故调查时，相关的报告和记录（根据定义，可能构成公共数据）可能会涉及民航企业信息（企业数据）以及旅客、机组人员或其他个人的信息（个人信息数据）。在进行数据分级分类和资源目录编制工作时应对此特别注意。我们注意到有关部门已颁布了《民航领域数据分类分级办法》（征求意见稿），民航数据资源目录的相关规范在未来也会颁布，企业到时可按照相关规范进行数据盘点。
• 上述四类数据处理主体与《个保法》所规定的个人信息处理者及个人信息受托处理者在实务操作中的界限可能模糊不清，实践中企业可能是一种“身兼数职”的状态。不同的主体所需承担的合规义务也不同，企业需注意不要遗漏《个保法》下个人信息处理者与受托者应承担的相关义务。

（二）数据资源目录

《民航数据管理办法（征求意见稿）》明确民航数据实行统一目录管理，由民航局数据统筹管理部门^[1]统筹编制并发布《民航数据资源目录》。

民航企事业承担编制本单位数据资源目录的义务并应报民航局统一登记、审核、汇总。数据作为资产实施会计处理前，还应在《民航数据资源目录》中登记。

《民航数据管理办法（征求意见稿）》对数据资源目录的相关要求包括：

要点解读：

• 编制数据资源目录，会对之前从未开展过相关数据资源/资产调研或盘点的企业带来挑战。通常而言，企业所掌握的数据可能散见于各个部门，部门之间对企业全业务场景数据处理的情况了解比较有限，因此有必要成立跨部门工作小组并指定专门管理人员，由其负责推进、管理目录编制工作以及后续目录维护工作。企业可参考《民航领域数据分类分级办法》《智慧民航数据治理-数据架构规范》《智慧民航数据治理-数据安全规范》《智慧民航数据治理-数据共享》中的相关指引展开内部梳理。
• 数据资产入表登记的要求与《企业数据资源相关会计处理暂行规定》的相关规定（企业可将数据资源作为资产并在相关报表中进行体现）进行了衔接，企业还需对该规定的相关要求一并予以考虑。
• 编制民航数据资源目录相关规定的详细分析请见本文第三节。

（三）数据采集与治理

数据提供方需满足数据采集和治理的要求，具体包括：

要点解读：

• 一数一源、一次采集落实的难度比较大。现实中可能出现较多“一数多源”“多次采集”的情况，企业需要平衡好征求意见稿的要求以及实际业务安排。“单位内数据”的含义尚不明确，也会为企业的采集工作带来困难。需注意，《民航数据共享办法（征求意见稿）》已将“重复采集、多头采集数据”视为了违规行为。我们期待正式版本能对一数一源的实质要求进行明确或至少为相关企业提供判断标准。
• 数据来源信息系统。“向外提供数据时应明确数据来源信息系统”这一要求目前还不清楚对信息系统描述的颗粒度要求，由于信息系统是数据提供方的内部信息，如要求过多信息，数据提供方可能会有信息安全或保密方面的顾虑。
• 数据质量管理要求较高。民航企业通常具有数据量大且数据来源复杂的特点，确保准确性、完整性、时效性和一致性比较有挑战，企业可能需要考虑使用技术工具以辅助监测和管理。《智慧民航数据治理-数据质量规范》也含有相关指引，企业可作为参考。
• 公共数据无条件共享。如第（一）小节所述，公共数据也可能含有个人信息，而《个保法》要求向其他个人信息处理者提供个人信息时，需取得个人的单独同意且个人有权拒绝提供，在未取得单独同意或个人拒绝提供的情况下，企业需要考虑将公共数据进行匿名化处理后进行共享，但这样一来，将无法实现“确保所提供数据与所掌握数据的一致性”。而如果征求意见稿的本意是公共数据并不包括个人信息，应对此予以明确。

（四）数据共享

详见第三节《民航数据共享办法（征求意见稿）》要点解读。

（五）数据应用

《民航数据管理办法（征求意见稿）》对三类数据的应用分别作出了规定，具体如下：

要点解读：

• 如前述分析，公共数据和企业数据与个人信息可能不是完全互斥的关系（而如果征求意见稿的本意是公共数据并不包括个人信息，应对此予以明确）。企业对上述数据进行应用时，应注意对其是否包含个人信息进行识别，若涉及个人信息的处理（包括收集、使用、提供等行为），应按照《个保法》相关要求在隐私政策等文件中明确告知处理情况以及取得个人的同意，涉及对外提供的，还应取得个人的单独同意。

（六）数据安全

《民航数据管理办法（征求意见稿）》提出了建立安全制度、试行分类分级保护、建立全生命周期保护机制、定期进行数据安全评估等要求，具体规定如下：

要点解读：

• 民航局数据安全工作领导小组（民航局人事科教司）曾于2022年公布了《民航领域数据分类分级办法（征求意见稿）》，但目前该办法正式版似乎尚未公布。
• 重要数据。《民航数据管理办法（征求意见稿）》与《数据安全法》（“《数安法》”）建立的重要数据目录制度进行了衔接（国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护），涉及重要数据处理的企业还需注意遵守《数安法》对重要数据的一般合规要求，包括明确数据安全负责人和管理机构、开展数据安全风险评估等。
• 民航数据中的个人信息跨境需遵守的主要规定包括《个保法》《数据出境安全评估办法》（“《安全评估办法》”）《个人信息出境标准合同办法》。民航企业若出境重要数据，也会落入《安全评估办法》的管辖范围，此种情况下，企业可能需开展的数据合规工作包括：《数安法》下的重要数据安全风险评估、《民航数据管理办法（征求意见稿）》下的民航数据安全评估以及《安全评估办法》下的数据出境风险自评估等。这些工作较为费时费力，企业应尽早了解相关细节要求，以便尽早进行准备。

（七）监督与保障

总体而言，《民航数据管理办法（征求意见稿）》所规定的惩罚措施较为宽松，包括限期整改或由民航局予以通报批评。此外，在满足相关规定的前提下，民航企事业单位在探索数据共享和开发时出现的失误和偏差还有可能获得减责甚至免责的宽宥，这为相关企业在民航数据领域的创新与发展提供了一定的空间。

然而，以下合规义务仍值得企业注意：

要点解读：

• 每年自查，次年2月上报。考虑到满足相关要求所需开展的工作（盘点数据资产、制定和更新规章制度的工作等）均需要耗费相当长的时间，因此企业应尽早启动必要的准备工作，以确保按时完成自查和上报任务，避免因时间紧迫而导致的工作延误。
• 信息化项目数据要求与《银行保险机构信息科技外包风险监管办法》的相关要求类似，均强调了对此类项目中数据管理工作的重视；《民航数据管理办法（征求意见稿）》对数据权属要求进行明确的规定与《企业数据资源相关会计处理暂行规定》要求企业披露数据权属信息的要求也较为类似。至此，《民航数据管理办法（征求意见稿）》已规定了两类数据资源目录登记前置义务，分别是数据资产入表登记前置以及信息化项目验收前登记前置。

三、《民航数据共享办法（征求意见稿）》重点条文解读

《民航数据管理办法（征求意见稿）》将数据共享主要分为两种模式，分别是基于平台的行业级数据共享（“行业数据共享”）模式，以及基于双方协议的点对点数据共享模式。二份征求意见稿主要规范行业数据共享模式。

《民航数据管理办法（征求意见稿）》第五章规定了数据共享模式、共享类型、数据共享过程中相关方的职责与分工等，《民航数据共享办法（征求意见稿）》则在此基础上提出了更为详细的要求。

（一）共享类型

《民航数据共享办法（征求意见稿）》将共享分为无条件共享、有条件共享、不予共享三种类型，同样的分类方式亦可见于《智慧民航数据治理-数据共享》；

相应地，共享数据分为无条件共享数据、有条件共享数据、不予共享数据三种类型。

要点解读：

• 三类共享数据的具体内容有待进一步明确，尤其是，从无条件共享数据定义来看，其可能无法包含个人信息（共享行为要取得个人单独同意）。对于不予共享数据涉及个人信息的，企业若以未取得单独同意为理由不予共享，是否会被视为违反相关规定而遭致处罚还不明确。
• 在无条件共享类数据以及有条件共享类数据外，还有一类数据企业应予注意，即列入民航公共数据资源目录的数据，作为数据提供方的企业应按照相关要求，无条件提供数据并向行业数据共享与服务平台归集，由此来看，民航公共数据资源目录中的数据应属于无条件共享数据。民航公共数据资源目录数据似也无法含有个人信息，理由同前。

（二）共享数据资源目录与共享采集任务清单

《民航数据共享办法（征求意见稿）》要求民航企事业单位编制单位数据共享资源目录^[2]，以及提供可共享数据资源目录（用于有关部门编制共享数据资源目录）^[3]。

根据二份征求意见稿相关规定，民航企事业单位编制数据共享资源目录需以数据共享采集任务清单为依据，而编制数据共享采集任务清单又应以共享数据资源目录/各专业领域共享数据资源目录为依据。值得注意的是，从二份征求意见稿相关条文来看，相关清单和目录似乎均不止包括一种类别。

其中，数据共享采集任务清单包括以下几种：

共享数据资源目录包括以下几种：

要点解读：

• 虽然二份征求意见稿均强调了目录和数据共享采集任务清单统一管理的原则，但其落实到具体规则设计上似乎又与该原则不太一致。这种分领域、分地域制定各自数据目录的做法，可能会导致不同业务部门和地区的资源目录中对于同一数据的分类、分级、管理要求等不一致，从而导致规则之间的冲突，并可能使跨地区、跨领域的企业需面对多方不同的要求、难以有效开展数据治理工作。值得探讨的是，是否可以由民航局制定一份全国统一适用的目录，且对任务清单进行合理定位，明确企业统一仅按照目录进行数据采集、归集/共享，各业务部门、各地区管理局仅负责根据本领域和本辖区的情况提出意见和建议。《民航数据目录管理制度》应对各目录和清单进行统一或至少明确层级关系，否则企业难以有序地开展相关数据采集、归集以及共享工作。
• 共享数据资源目录是企业数据资源目录的特殊子目录，数据资源目录相关规定企业亦应一并遵守，详情请见第二节（二）数据资源目录中的分析。

（三）数据归集

民航企业不仅需要依据数据共享采集任务清单编制数据共享资源目录，根据《民航数据共享办法（征求意见稿）》第十六条，还应依据数据共享采集任务清单开展数据归集工作，并通过所属分领域数据中心汇集数据（如已存在相应分领域数据中心）。需要注意的是，对于此处所提及的“共享采集任务清单”与行业数据共享采集任务清单、辖区数据共享采集任务清单之间的层级关系，征求意见稿并未进行明确。

根据《民航数据管理办法（征求意见稿）》第二十六条，对于落入行业数据共享采集任务清单中的数据提供方的企业，需根据《民航共享数据资源目录》的具体要求及平台的技术规范，将其需共享（无条件共享类、有条件共享类）的数据通过物理汇集或API 接口方式汇集至民航行业或分领域数据共享与服务平台。

《民航数据共享办法（征求意见稿）》规定民航共享数据归集方式包括物理汇聚和API接口逻辑接入，作为数据提供方的企业对其所提供数据具有解释权，应按照“谁提供，谁负责”的原则开展数据治理，保证所归集数据的完整性、准确性、时效性和可用性，接收数据质量评价考核。

要点解读：

• 企业开展数据归集工作的依据是数据共享采集任务清单，如前一节所介绍，不同业务部门以及地区管理局均可自行制定数据共享采集任务清单，由此可能会导致清单的统一性无法得到有效保证。此外，提供方企业还被要求对其归集行为负责，但若无法保证清单是统一且互不冲突的，能否达到归集数据的完整性、准确性、时效性的政策目标也将存疑。
• 《民航数据管理办法（征求意见稿）》还规定了民航公共数据资源目录的数据，数据提供方企业应按要求无条件提供数据并向行业数据共享与服务平台归集；企业应注意，同样需在行业数据共享与服务平台登记、审核、汇总的，还有企业数据资源目录。

（四）数据获取与使用

《民航数据共享办法（征求意见稿）》关于数据获取与使用的重点要求包括：

要点解读：

• 履职或提供公共服务需要获取数据的行为应明确上位法依据、授权来源并应严格限定获取内容以及设立公开、透明、合理的获取程序机制，否则该项举措可能会降低相关企业对平台的信任度，从而打击企业落实数据共享的积极性。
• 对于有条件共享类数据，即使满足相关条件，企业需注意仍应履行备案义务。履行备案义务的具体要求及实施流程未进行明确，未来需待有关部门颁布相应实施细则。
• 如前一节所述，企业需按照任务清单将数据归集至相应数据中心，但《民航数据共享办法（征求意见稿）》第二十四条是针对纳入《民航共享数据资源目录》的数据做出的共享终止限制。那么对于企业按清单归集数据的行为，是否也应受到同样约束？这也是由于目录与清单之间的层级关系不明确、归集数据的依据不统一所导致的问题之一。

（五）保障监督

二份征求意见稿类似，规定的惩罚措施均比较宽松。《民航数据共享办法（征求意见稿）》规定违规行为及其相应后果如下：

“有下列情形之一的，由民航局数据统筹管理部门责令改正，予以通报批评：

（一）未按规定编制、更新、维护数据目录；

（二）无法定事由拒不提供数据资源目录，拒不按规定将数据归集到民航数据共享体系；

（三）重复采集、多头采集数据；

（四）逾期未处理数据共享申请；

（五）未按法律、法规和协议约定的应用场景使用数据，擅自扩大使用范围、改变使用用途、变更使用方式；

（六）未依法履行数据安全管理相关职责；

（七）违反本办法规定的其他行为。”

第二十六条还对企业提出了自查要求，“参与民航数据共享的民航各级行政部门、民航企事业单位应按照数据共享应用考核评价办法，建立数据共享工作自查机制，原则上每半年自查一次并将自查结果报所在辖区民航地区管理局”。

要点解读：

• 与《民航数据管理办法（征求意见稿）》提出的每年自查数据管理情况的要求相比，《民航数据共享办法（征求意见稿）》第二十六条要求的频率更高一些。另一方面，数据管理情况自查可能本就包含数据共享工作自查，如此高频率且有可能涉及重复工作的自查要求在实践中会给企业带来不必要的合规负担，从而影响企业落实相关实质工作。

四、总结

总体而言，二份征求意见稿在监管框架上比较完整，但在具体规则的落实中，企业可能仍会面临一些实际挑战，包括但不限于因适用范围宽泛、数据共享/提供未与《个保法》进行衔接、数据资源目录缺乏统一管理、数据提供方责任过于严格而导致的一系列合规难题。而这些问题能否得到切实解决则直接关系到数据共享能否真正实现，我们期待有关部门在正式版本中对这些问题进行澄清以及颁布更加明确和协调统一的配套规定。

注释：

[1] 数据统筹管理部门由智慧民航建设领导小组办公室（智慧办）、民航数据安全工作领导小组办公室（简称数安办）组成。

[2] 《民航数据共享办法（征求意见稿）》第四条：“从事民用航空活动的各运行主体、教育和科研机构、社会团体、企业等法人单位（以下统称“民航企事业单位”）作为民航数据共享责任主体，应当确定本单位数据共享工作具体责任部门并明确其职责，开展本单位数据资源目录的编制、更新、维护工作，按照数据共享采集任务清单编制本单位共享数据资源目录，履行数据共享全过程的安全职责”。

[3] 《民航数据共享办法（征求意见稿）》第三条第（一）款：“民航各级行政部门、民航企事业单位整理提出数据需求和可共享数据资源目录，说明数据需求应用场景并初步判断数据来源，经所在地民航地区管理局数据统筹管理部门统筹汇总后报民航局”；和

《民航数据管理办法（征求意见稿）》第十八条：“民航共享数据资源目录由民航局数据统筹管理部门会同民航局各业务主管部门和地区管理局，按照《民航数据共享管理办法》中的流程，在征集民航各级行政部门、民航企事业单位数据需求与可共享数据资源目录的基础上编制”。

[4] 《民航数据共享办法（征求意见稿）》第十一条。

[5] 《民航数据共享办法（征求意见稿）》第十三条。

[6] 《民航数据共享办法（征求意见稿）》第四条。

[7] 《民航数据管理办法（征求意见稿）》第二十六条。

[8] 《民航数据共享办法（征求意见稿）》第四条。

[9] 同前注。

[10] 《民航数据共享办法（征求意见稿）》第十三条。