网络安全和数据安全是汽车企业及其供应商发展的安身立命之本，一旦其网络存在漏洞或遭遇计算机病毒、网络攻击、网络侵入，其可能遭受难以估量的损失。某大型跨国汽车公司2021年6月12日披露，未经授权的第三方获取了其北美地区约330万车主及潜客的个人信息。这批泄露的数据来自2014年至2019年期间收集到的销售及市场调查信息，包括：车主及潜客姓名、地址、电子邮箱、电话号码。还有部分受到影响的数据包括：买卖、租赁或查询车辆信息，如车辆识别号(VIN码)、品牌、型号、年份、颜色和装饰套件等。此外，超过95%遭到泄露的敏感数据均涉及驾照号码，也有极少数涉及出生日期、社保或保险号码、银行账号或贷款号码以及税务识别号。[1]该等网络数据安全事件把相关企业推上了“风口浪尖”，引起了公众的极大关注。网络数据安全问题业已成为汽车企业关切的问题，更彰显了一个完善的数据合规体系对车企及其供应商管控其网络数据安全的重要性。

本文意在解析与汽车数据合规体系相关的法律法规、标准对网络数据安全事件及其应急处置的相关规定，分析该等法律法规、标准对汽车企业应对网络数据安全案件事件的要求，并从完善网络数据安全及与之相关的应急预案的角度为汽车企业建立完整的数据合规体系提出建议，供业内同行参考。

(一)规定

《网络安全法》对网络安全事件及对应的应急预案规定在其第二十五条，要求网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

工业和信息化部发布的《公共互联网网络安全突发事件应急预案》1.3款对网络安全事件进行了定义：本预案所称网络安全突发事件，是指突然发生的，由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成严重社会危害或影响，需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。该款还规定了本应急预案的适用范围：基础电信企业、域名注册管理和服务机构、互联网企业(含工业互联网平台企业)发生网络安全突发事件的应对工作。[2]该预案的编制旨在建立健全公共互联网网络安全突发事件应急组织体系和工作机制，提高公共互联网网络安全突发事件综合应对能力，确保及时有效地控制、减轻和消除公共互联网网络安全突发事件造成的社会危害和损失，保证公共互联网持续稳定运行和数据安全。

(二)分析

1. 关于网络安全事件的定义和制定应急预案的义务

《网络安全法》没有对网络安全事件进行直接定义，但其第二十五条列举了几类典型的可造成网络安全事件的安全风险：系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，且该段的下一句紧接着规定在发生危害网络安全的事件时，应立即启动应急预案，前后两句的描述可推断出“网络安全事件系由系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险造成的安全事件”[3]，与《公共互联网网络安全突发事件应急预案》对网络安全事件的定义基本相同。

制定网络安全事件预案是网络运营者的义务。根据《网络安全法》第二十五条的规定，网络运营者应当制定网络安全事件应急预案。如果网络运营者违反上述规定，将承担本法第五十九条项下的责任：由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。[4]

工信部于2021年6月22日发布了《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》(“《网络安全征求意见稿》”)，虽然该征求意见稿尚未正式成文发布施行，但其为行业主管部门工信部就车联网（智能网联汽车）发布的最新政策意向，对于研究网络数据合规具有较高的参考价值。根据《网络安全征求意见稿》的发送对象来看，其不仅适用于工业和信息化主管部门、通信管理局以及三大通信集团，也适用于车联网运营企业、智能网联汽车生产企业，即智能网联汽车作为网络运营者应建立网络安全应急响应机制，制定网络安全事件应急预案。

2.执行应急预案的义务

根据《网络安全法》第二十五条之规定，网络运营者不仅应制定网络安全事件应急预案，而且在发生危害网络安全的事件时，应立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。《网络安全征求意见稿》也做出了相似规定并细化了相应的后续措施：网络运营者应及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，采取相应的补救措施。在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照《公共互联网网络安全突发事件应急预案》向有关主管部门报告。

根据《网络安全征求意见稿》的规定，智能网联汽车作为网络运营者亦不仅应建立网络安全应急响应机制，制定网络安全事件应急预案，而且应定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。

作为网络运营者的汽车企业，即使其没有制定网络安全事件应急预案，在发现或者获知其网络、信息系统及其设备存在安全漏洞后，仍应按照《网络产品安全漏洞管理规定》的规定立即采取措施，及时对安全漏洞进行验证并完成修补。如汽车企业未按上述规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理；构成《网络安全法》第五十九条规定情形的，依照该规定予以处罚[5]。

(三)建议

1.制定或完善网络安全事件应急预案

制定网络安全事件应急预案是企业在《网络安全法》项下的义务，车企应根据该法的要求制定其网络安全事件应急预案。鉴于《网络安全法》所规定的应急预案(包括针对网络安全事件的补救措施)可覆盖《网络产品安全漏洞管理规定》所要求的补救措施，建议车企在履行《网络产品安全漏洞管理规定》项下的义务同时，可将其应对网络、信息系统及其设备的安全漏洞的措施作为网络安全应急预案工作的部分内容，推动车企早日制定(如缺失预案)网络安全事件应急预案；或按照《网络安全法》和《网络安全征求意见稿》的相关规定完善(如已有预案)其网络安全事件应急预案。这样做的好处是一方面可以满足企业在《网络产品安全漏洞管理规定》项下的义务，另一方面也可推动企业制定或完善其网络安全事件应急预案，并进而推动其构建完善的数据合规体系。

由于《网络安全法》并未对应急预案做进一步的描述，实践中监管机构会要求企业制定包含哪些内容的应急预案存在一定的不确定性。但是，《网络安全法》第二十一条规定了网络运营者的安全保护义务，且内容较为清晰明确，将该等对网络运营者规定较为清晰明确的义务内容作为网络安全事件应急预案的主要内容应是可行的做法，基于此，我们建议车企在制定网络安全事件应急预案时主要涵括如下内容：(1)制定内部安全管理制度和操作规程(包括建立网络安全应急响应机制)，确定网络安全负责人，落实网络安全保护责任；(2)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；(3)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；(4)采取数据分类、重要数据备份和加密等措施；(5)定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。应急预案的格式和篇章结构可参照工业和信息化部印发的《公共互联网网络安全突发事件应急预案》，即网络安全事件应急预案结构上包括编制目的、工作原则、组织体系、事件分级、监测预警、预防与应急准备、保障措施、应急处置、事后总结等。

2.应急预案的演练和启动

企业不仅要根据《网络安全法》的要求制定网络安全事件应急预案，而且要根据该法以及其应急预案的要求定期开展应急演练，及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生网络安全事件时，企业应立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。这样才能保证企业不仅流程到位，而且流程的执行也到位，充分履行其在《网络安全法》项下的义务，避免企业遭受网络安全事件造成的损害。

(一)规定

《数据安全法》并未对数据安全事件进行定义，仅有两处提及数据安全事件，一处为第二十三条 “国家建立数据安全应急处置机制。发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。”另一处提及数据安全事件的为第二十九条，发生数据安全事件时，(数据处理者)应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

《工业和信息化领域数据安全管理办法(试行)》(2023年1月1日生效)(“《数据安全管理办法》”)并无关于数据安全事件的定义，但其第十三条规定，工业和信息化领域数据处理者应当根据应对数据安全事件的需要，制定应急预案，并开展应急演练。[6]

根据国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》第二十八条，重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下，制定实施数据安全保护计划和数据安全事件应急预案。

(二)分析

1.数据安全事件的定义

虽然《数据安全法》《数据安全管理办法》和《网络数据安全管理条例(征求意见稿)》均未对数据安全事件做出明确定义，但根据《网络数据安全管理条例(征求意见稿)》第九条的规定：“数据处理者应当采取备份、加密、访问控制等必要措施，保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用，应对数据安全事件，防范针对和利用数据的违法犯罪活动，维护数据的完整性、保密性、可用性”，可以将数据安全事件的定义归纳为：“数据安全事件”指数据控制方已经遭受的或可能遭受的与数据泄露、窃取、篡改、毁损(包括数据安全缺陷、漏洞)、丢失、非法使用的事件。

2.制定和启动数据安全事件应急预案

《数据安全法》并未规定数据处理者应制定数据安全事件应急预案，其第二十三条关于建立应急处置机制和启动应急预案的义务主体为国家有关部门，并未直接指向数据处理者。但是，根据对第二十七条规定的分析，数据处理者“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度”中的全流程数据安全管理制度应包括数据安全事件的应急预案(即应急预案为全流程数据安全管理制度的组成部分)。因此，数据处理者有义务根据《数据安全法》的规定制定关于数据安全事件的应急预案。如果未按本法第二十七条的规定制定数据安全事件应急预案，数据处理者可能承担第四十五条规定的责任：主管部门责令改正，给予警告，可以并处五万元以上五十万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；拒不改正或者造成大量数据泄露等严重后果的，处五十万元以上二百万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。

《数据安全管理办法》第十三条(四)规定，车企作为数据处理者应当对数据处理活动负安全主体责任，根据应对数据安全事件的需要，制定应急预案，并开展应急演练。违反上述规定，行业监管部门按照相关法律法规，根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。[7]

《网络数据安全管理条例(征求意见稿)》规定，智能网联汽车生产企业应建立健全数据安全管理制度，建立完善权限管理、监测预警、应急响应、投诉受理等保障措施[8]，不难看出，该处的规定已涵盖了对智能网联汽车生产企业应建立健全应急响应保障措施的要求。

汽车企业作为数据处理者，不仅有义务制定数据安全事件应急预案，而且应根据应急预案的流程要求开展应急演练，包括但不限于加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

应当注意的是，根据《数据安全法》第二十三条规定，发生数据安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息。《数据安全管理办法》第二十八条规定了制定和启动应急预案的主管机关：工业和信息化部制定工业和信息化领域数据安全事件应急预案，组织协调重要数据和核心数据安全事件应急处置工作。地方行业监管部门分别组织开展本地区数据安全事件应急处置工作。涉及重要数据和核心数据的安全事件，应当立即上报工业和信息化部，并及时报告事件发展和处置情况。

另外，根据《数据安全管理办法》第二十八条的规定，在数据安全事件发生后，车企应当按照应急预案(此处的应急预案应是工业和信息化部门制定的应急预案)，及时开展应急处置，涉及重要数据和核心数据的安全事件，第一时间向本地区行业监管部门报告，事件处置完成后在规定期限内形成总结报告，每年向本地区行业监管部门报告数据安全事件处置情况。且其对发生的可能损害用户合法权益的数据安全事件，应当及时告知用户，并提供减轻危害措施。

(三)建议

1.制定或完善数据安全事件应急预案

车企应根据《数据安全法》的规定制定数据安全事件应急预案，其可以是单独的流程，亦可作为全流程数据安全管理制度的单独篇章。应急预案的格式和篇章结构可参照工业和信息化部印发的《公共互联网网络安全突发事件应急预案》，即数据安全事件应急预案结构上包括编制目的、工作原则、组织体系、事件分级、监测预警、预防与应急准备、保障措施、应急处置、事后总结等。

2. 及时启动应急响应机制

根据《网络数据安全管理条例(征求意见稿)》第十一条之规定，数据处理者应当在发生数据安全事件时及时启动应急响应机制，采取措施防止危害扩大。安全事件对个人、组织造成危害的，数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人，无法通知的可采取公告方式告知，法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的，数据处理者应当按规定向公安机关报案。

发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时，数据处理者还应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等；在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。

虽然《网络数据安全管理条例(征求意见稿)》尚未发布生效，但其相关规定代表了监管部门的监管导向，车企可参照该征求意见稿的相关规定设定其数据安全事件应急预案响应机制及后续处理措施，包括但不限于及时向监管部门报告和通知利害关系人，为更严格的监管做好准备。

(一)规定

《个人信息保护法》第五十一条规定，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，制定并组织实施个人信息安全事件应急预案。

《儿童个人信息网络保护规定》第二十一条规定，网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。

《信息安全技术个人信息安全规范》(“《安全规范》”)第10.1条规定，对个人信息控制者的要求包括：a)应制定个人信息安全事件应急预案；b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程。

(二)分析

1.关于个人信息安全事件的定义

《个人信息保护法》无关于个人信息安全事件的定义，但可从其第五十一条的规定推断出个人信息安全事件的定义，即个人信息安全事件指未经授权的访问以及个人信息泄露、篡改、丢失等安全事件。[9]《儿童个人信息网络保护规定》亦无关于儿童个人信息安全事件的直接规定，但从第二十一条描述的安全事件的列举可以推断，儿童个人信息安全事件应为儿童个人信息发生或者可能发生泄露、毁损、丢失等安全事件。[10]

2.制定和启动个人信息安全事件应急预案

《个人信息保护法》无个人信息安全应急事件预案的具体内容，从第五十一条仅可推导出个人信息安全事件应急预案的用途：个人信息处理者应当采取包括制定并组织实施个人信息安全事件应急预案等措施，以确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

《儿童个人信息网络保护规定》的第二十一条规定，发生或可能发生儿童个人信息安全事件时应启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。上述内容应为应急预案的核心内容。

《安全规范》对应急预案的规定全面完整，虽然其为推荐性国家标准，但鉴于国家标准具有较高的公信力，企业可参照其内容制定企业自己的个人信息安全事件应急预案。

(三)建议

1.企业参照《安全规范》制定企业自己的个人信息安全事件应急预案，包括但不限于如下内容：

(1)个人信息安全事件应急预案

a)应制定个人信息安全事件应急预案

b)应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程。

c)发生个人信息安全事件后，个人信息控制者应根据应急响应预案进行以下处置：

1)记录事件内容，包括但不限于：发现事件的人员、时间、地点，涉及的个人信息以及人数，发生事件的系统名称，对其他互联系统的影响，是否已联系执法机关或有关部门；

2)评估事件可能造成的影响，并采取必要措施控制事态，消除隐患；

3)按照《国家网络安全事件应急预案》等有关规定及时上报，报告内容包括但不限于：涉及个人信息主体的类型、数量、内容、性质等总体情况，事件可能造成的影响，已采取或将要采取的处置措施，事件处置相关人员的联系方式；

4)个人信息泄露事件可能会给个人信息主体的合法权益造成严重危害的，如个人敏感信息的泄露，按照(2)的要求实施安全事件的告知。

d)根据相关法律法规变化情况，以及事件处置情况，及时更新应急预案。

(2)安全事件告知

对个人信息控制者的要求包括：应及时将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知个人信息主体时，应采取合理、有效的方式发布与公众有关的警示信息。

2.鉴于儿童个人信息的特殊性，企业可以参考《儿童个人信息网络保护规定》的第二十一条的规定制定自己的儿童个人信息安全事件应急预案或将该条规定的相关内容作为整合后的网络数据安全事件应急预案的特别规定。

(一)规定

《汽车数据安全管理若干规定（试行）》（“若干规定”）对汽车数据安全事件及应急预案未做规定。

(二)分析

若干规定未对汽车数据安全事件及应急预案做出规定并不代表车企没有义务制定与汽车数据安全事件相关的应急预案。根据若干规定第一条，若干规定根据《网络安全法》、《数据安全法》等法律、行政法规制定，即《网络安全法》和《数据安全法》为若干规定的上位法，《网络安全法》和《数据安全法》关于网络、数据安全事件预案的规定适用于作为网络运营者和数据处理者的车企。

(三)建议

车企应根据《网络安全法》《数据安全法》《个人信息保护法》等法律法规的规定制定/完善其网络数据安全事件应急预案。

(一)规定

GDPR对个人数据事件安全预案未作直接规定，而将个人数据泄露作为一个重要的安全事项专门予以规定，并在其第33条和第34条分别规定了数据控制者的两项重要义务：向监管机构报告个人数据泄露、向数据主体告知个人数据泄露。

(二)分析

GDPR规定，在发生个人数据泄露时，除非个人数据的泄露不会产生危及自然人权利和自由的风险，否则数据控制者应在72小时内将该等个人数据泄露报告给监管机构(第33条)。车企还应谨慎记录所有个人数据泄露事件，包括与个人数据披露相关的事实、影响和采取的补救措施。另外，除非有正当理由，当个人数据泄露可能对自然人的权利和自由造成高风险时，控制者应立即将个人数据泄露告知数据主体(第34条)。

数据控制者应注意如发生个人数据泄露等安全事件，需履行的报告和告知义务。

(三)建议

近些年来，越来越多的中国车企，特别是智能网联汽车企业，开始寻求将其业务拓展到欧洲。在业务高歌猛进的同时，数据合规问题同样不容忽视。根据GDPR的规定，无论中国车企是否设立于欧盟境内，只要为欧盟内的数据主体提供商品或服务，或服务发生在欧洲的数据主体活动监控范围内，GDPR均适用于该等企业。如果国内车企在欧盟的业务涉及到个人数据泄漏事件的，应按第33条和第34条的规定履行报告和告知义务。

(一)制定安全事件应急预案是数据合规监管的要求

《网络完全法》、《数据安全法》、《个人信息保护法》、《儿童个人信息网络保护规定》及其他与网络安全、数据安全和个人信息保护相关的法律法规都直接或间接地要求网络运营者、数据处理者应制定网络/数据安全事件应急预案，并在发生网络/数据安全事件时及时启动应急预案。车企制定或完善网络数据安全事件应急预案既可满足上述法律法规的要求，也可满足主管部门对车企的监管要求。

一套完整的预案不仅可以帮助企业完善其数据合规体系，在发生网络数据安全事件时有章可循，而且在监管部门追究企业在网络数据安全事件中的责任时可作为有利的抗辩理由之一。企业如果证明其制定了完善的网络数据安全事件应急预案，且提供证据证明已按预案的规定尽到合理义务，监管部门有可能减轻甚至豁免对企业的处罚。

(二)制定安全事件应急预案是智能网联汽车发展的现实需要

随着中国提出以“电动化、智能化、网联化、共享化”为核心的汽车“新四化”理念，车辆通信技术加速普及迭代，目前全球市场搭载智能网联功能的新车渗透率约为45%，预计2025年接近60%。而我国智能网联汽车渗透率保持在15%左右，预测2025年将超过75%。[11]网络空间安全已上升为国家安全战略。汽车从机械交通工具向移动数字终端定位的转变，促使网络安全与数据安全成为继功能安全、预期功能安全之后的又一重要领域，三者共同组成智能网联汽车安全技术范畴体系。[12]制定完整的网络数据安全应急预案，在出现网络数据安全事件时及时启动预案，可以为智能网联汽车的发展提供安全保障。

(三)制定一体化的网络数据安全事件应急预案

鉴于《数据安全法》、《个人信息保护法》、《儿童个人信息网络保护规定》项下的数据、信息收集主要通过网络进行，相应的数据/个人信息安全事件主要由网络安全事件(如网络故障、网络攻击、网络侵入)引起，从这个角度而言，数据安全与网络安全密不可分。因此，有必要将《网络完全法》、《数据安全法》、《个人信息保护法》、《儿童个人信息网络保护规定》要求的安全事件应急预案整合在一起，制定统一适用于网络安全、数据安全和个人信息安全的《网络数据安全事件应急预案》，结构格式可参照《公共互联网网络安全突发事件应急预案》，包括编制目的、工作原则、组织体系、事件分级、监测预警、预防与应急准备、保障措施、应急处置、事后总结等。

(四)关注GDPR的要求

应关注GDPR在车企拓展欧盟业务的影响。根据GDPR的规定，无论中国车企是否设立于欧盟境内，只要为欧盟内的数据主体提供商品或服务，或服务发生在欧洲的数据主体活动监控范围内，GDPR均适用于该等企业。如果国内车企在欧盟已有业务或者有意向将其业务拓展到欧盟的，建议在其网络数据安全应急预案中增加与GDPR相关的内容，从而建立起一套包括应对GDPR在内的完整的网络数据安全应急预案机制。

[1] “Audi, Volkswagen data breach affects 3.3 million customers”, by Lawrence Abrams, published on https://www.bleepingcomputer.com/news/security/audi-volkswagen-data-breach-affects-33-million-customers/.

[2]《公共互联网网络安全突发事件应急预案》1.3适用范围

本预案所称网络安全突发事件，是指突然发生的，由网络攻击、网络入侵、恶意程序等导致的，造成或可能造成严重社会危害或影响，需要电信主管部门组织采取应急处置措施予以应对的网络中断(拥塞)、系统瘫痪(异常)、数据泄露(丢失)、病毒传播等事件。

[3] 《网络安全法》第二十五条 网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。

[4] 《网络安全法》第五十九条 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

[5] 《网络产品安全漏洞管理规定》

第八条   网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后，应当立即采取措施，及时对安全漏洞进行验证并完成修补。

第十三条   网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的，由有关主管部门依法处理；构成《中华人民共和国网络安全法》第五十九条规定情形的，依照该规定予以处罚。

[6] 《工业和信息化领域数据安全管理办法(试行)》(2023年1月1日生效)

第十三条 工业和信息化领域数据处理者应当对数据处理活动负安全主体责任，对各类数据实行分级防护，不同级别数据同时被处理且难以分别采取保护措施的，应当按照其中级别最高的要求实施保护，确保数据持续处于有效保护和合法利用的状态。

…………

(四)根据应对数据安全事件的需要，制定应急预案，并开展应急演练；

…………

[7] 《工业和信息化领域数据安全管理办法(试行)》(2023年1月1日生效)

第三十六条 有违反本办法规定行为的，由行业监管部门按照相关法律法规，根据情节严重程度给予没收违法所得、罚款、暂停业务、停业整顿、吊销业务许可证等行政处罚；构成犯罪的，依法追究刑事责任。

[8] 《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》

三、保障数据安全

(一)加强数据安全管理。建立健全数据安全管理制度，建立完善权限管理、监测预警、应急响应、投诉受理等保障措施，明确责任部门和责任人，加强人员教育培训。建立数据资产管理台账，实施数据分类分级管理，加强个人信息与重要数据保护。定期开展数据安全风险评估，强化隐患排查整改。

[9] 《中华人民共和国个人信息保护法》

第五十一条 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失。

[10] 《儿童个人信息网络保护规定》

第二十一条 网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人，难以逐一告知的，应当采取合理、有效的方式发布相关警示信息。

[11] 皮书说《报告推荐｜智能网联汽车蓝皮书：智能网联汽车网络安全与数据安全发展报告(2022)》，发布时间：2022-12-21，载于https://www.pishu.cn/zxzx/xwdt/588412.shtml。

[12] 皮书说《报告推荐｜智能网联汽车蓝皮书：智能网联汽车网络安全与数据安全发展报告(2022)》，发布时间：2022-12-21，载于https://www.pishu.cn/zxzx/xwdt/588412.shtml。