从当初的单一民航客票系统发展成为集中式民航商务信息系统,中国航信实现中国民航市场100%的电子客票使用率,使中国成为世界民航电子客票普及率最高的国家。
然而在旅客实现足不出户就能提前计划行程、轻松购买机票、座位自主选择的同时,社会对旅客机票信息泄露问题的关注度持续上升,机票诈骗案件时有发生。骗子发短信给旅客,称其航班取消,因诈骗短信中有旅客姓名真实姓名,乘坐航班号等信息,有旅客信以为真,拨打短信中提供的电话,骗子以改签或退票为由,要求旅客提供银行卡及支付密码等信息,进而转走卡中余额,完成诈骗,被骗旅客损失巨大,少则几千元,多达上百万元。
这种诈骗手法,是犯罪份子利用乘客购买完机票到登机前这段时间空隙,编造航班取消的虚假情况,诱使不熟悉客票规则的人群回拨诈骗电话,一步一步落入转账骗局中。
就相关问题,中国民航信息集团公司近日接受了记者专访,揭开了旅客信息安全的面纱。
以严格的商业约束为机制之本
作为全球第三大航空旅游分销服务提供商和以信息服务为主业的中央企业,中国航信如何把信息安全放在首位,履行确保民航旅客隐私保护的应尽义务呢?
“在市场机制和法治社会,立足法律法规的商业约束,是确保民航旅客隐私的法定义务和安全基石。”据中国航信安全生产专项新闻发言人王卫东介绍,首先机票代理人作为航空公司机票销售的经销商,其资质由中国航空运输协会进行管理,包括审批、注销、监督检查和违规处罚。依据规定,网络机票交易及有关服务经营者应取得并使用中国航信或其他经过民航局批准的航班数据服务提供商的数据接口。在机票分销服务中,中国航信依据中国民航代理资质及相关规定,向相关代理人发放与资质相匹配的系统配置和权限,以保证其可通过中国航信的系统平台销售、查询其代理的航空公司机票。
根据规定,中国航信在向代理人发放系统配置和权限之前,便与其签订有明确的使用协议,规定代理人不得擅自使用未认证的设备或产品接入中国航信系统,不得向自己工作人员之外的人员提供中国航信的系统配置和权限并获取系统中的数据。
据介绍,为维护正常的机票销售秩序和广大旅客的合法权益,消除外挂平台给系统带来的安全隐患,中国航信早在2010年就针对代理人利用外挂平台的行为进行了坚决清理,违规行为得到有效控制。
构筑互联网安全的技术堡垒
目前,中国航信依规发放给机票代理人的系统配置和权限,仅能查询自身销售的客票信息和其他人授权的客票信息,即使通过某种软件所分出的账号也只能查询自身客票信息。用户使用便利性和系统的信息安全性间实现了平衡。
据悉,随着互联网经济的发展,为了促进网络机票交易及有关服务规范和持续健康发展,中航协在2015年明确了第三方交易平台的合规性。网络机票交易及有关服务经营者应有健全的网络机票交易安全保障措施,使旅客个人信息安全得到了有效保护;销售代理企业自行创办的网站不得以任何理由、任何方式泄露旅客个人信息;第三方机票交易平台经营者不得以任何形式泄露旅客个人信息。当然,更不能利用旅客个人信息非法牟利,从事诈骗等非法活动。
王卫东说,中国航信数据接口就是中国航信依据中航协审批的代理资质发放给代理人的系统配置、权限和客户端程序,而代理人可以使用客户端程序,利用第三方交易平台、自行创办的网站等前端系统,将中国航信系统配置和权限进行共享,通过互联网对外提供机票销售和服务。
虽然中国航信从自身出发,管理好了旅客信息,但是信息不一定因此就不会泄露了,因为为了使广大旅客方便出行,享受信息化提供的服务便利,中国民航建立了复杂的信息系统,同时也带来了一些问题。
从信息涉及面来看,民航体系中可以接触到用户信息的范围与其它行业可能不太一样,一条民航旅客信息广泛存在于多个环节之中,从订票到登机,旅客信息经过了航信、航空公司、机场、地服、安检、边防等诸多单位,如果是旅客通过代理人、OTA、旅行社、网络订的机票,又或是购买了航空保险,则可触碰到旅客信息的单位将会更多。
从系统体系来看,民航的电子化、实名制信息化服务程度相对较高,航信提供实名制旅客信息服务也已有30年的历史,但航信系统提供的是民航旅客出行服务链条中最基础的客票数据存储和交易服务,在其之上,航空公司建立有个性化的机票直销网站,携程、艺龙、去哪儿等代理人建立有机票代理销售网站,像淘宝等平台商则提供了更为错综复杂的机票销售中介平台,像这样各种类型的系统还有很多,由于民航业务拓展和市场竞争的需要,各行业单位合纵连横,在上面这些系统基础上再衍生出新的直接面向最终旅客的外围系统则更是五花八门。
时刻面对公众的安全关切
今年“十一”黄金周前夕,中国航信为提高公众防诈骗能力,除了在官方微信公众号、网站发布防骗信息外,还向各主流媒体推送一些“防骗”技巧——积极配合公安机关,利用技术手段,成功开展“打击防范非法侵入民航信息系统犯罪专项行动”,协助相关案件调查。这是中航信保护旅客利益的生动体现。
在管理好旅客信息同时,中国航信还着力推动上下游企业加强系统安全管理和技术保障手段,保障企业自身的信息安全,防范各类网络攻击。如积极帮助其它拥有旅客信息的单位,推广强化旅客信息保护的各种技术手段,如“账号双因素认证”、“账号行为管理”等。中国航信还建立了违规使用配置或权限的监控手段,对监控发现的系统配置或权限的违规使用行为予以坚决打击。
王卫东说,面对公众的广泛关注,中国航信为加强信息安全工作,将承担起央企应尽的责任,进一步采取措施保证民航旅客信息安全。包括向行业单位推广强化旅客信息保护的各种技术手段。进一步加强违规使用配置和权限的监控手段,会同航空公司用户,继续打击违规行为,清理违规配置等。
据介绍,为解决信息不对称的问题,中国航信将服务前移,加大向广大最终旅客宣传已提供的多渠道信息服务,如互联网上的信天游电子客票验真网站,移动设备上的航旅纵横信息服务产品,提供旅客防欺诈功能等等,以更好帮助民航旅客获取第一手信息,防范信息诈骗。