成全在线观看免费完整的,成全影视大全免费追剧大全,成全视频高清免费播放电视剧好剧,成全在线观看免费完整,成全在线观看高清全集,成全动漫视频在线观看完整版动画

網絡安全和數據安全是汽車企業及其供應商發展的安身立命之本，一旦其網絡存在漏洞或遭遇計算機病毒、網絡攻擊、網絡侵入，其可能遭受難以估量的損失。某大型跨國汽車公司2021年6月12日披露，未經授權的第三方獲取了其北美地區約330萬車主及潛客的個人信息。這批泄露的數據來自2014年至2019年期間收集到的銷售及市場調查信息，包括：車主及潛客姓名、地址、電子郵箱、電話號碼。還有部分受到影響的數據包括：買賣、租賃或查詢車輛信息，如車輛識別號(VIN碼)、品牌、型號、年份、顏色和裝飾套件等。此外，超過95%遭到泄露的敏感數據均涉及駕照號碼，也有極少數涉及出生日期、社?；虮ｋU號碼、銀行賬號或貸款號碼以及稅務識別號。[1]該等網絡數據安全事件把相關企業推上了“風口浪尖”，引起了公眾的極大關注。網絡數據安全問題業已成為汽車企業關切的問題，更彰顯了一個完善的數據合規體系對車企及其供應商管控其網絡數據安全的重要性。

本文意在解析與汽車數據合規體系相關的法律法規、標準對網絡數據安全事件及其應急處置的相關規定，分析該等法律法規、標準對汽車企業應對網絡數據安全案件事件的要求，并從完善網絡數據安全及與之相關的應急預案的角度為汽車企業建立完整的數據合規體系提出建議，供業內同行參考。

(一)規定

《網絡安全法》對網絡安全事件及對應的應急預案規定在其第二十五條，要求網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

工業和信息化部發布的《公共互聯網網絡安全突發事件應急預案》1.3款對網絡安全事件進行了定義：本預案所稱網絡安全突發事件，是指突然發生的，由網絡攻擊、網絡入侵、惡意程序等導致的，造成或可能造成嚴重社會危害或影響，需要電信主管部門組織采取應急處置措施予以應對的網絡中斷(擁塞)、系統癱瘓(異常)、數據泄露(丟失)、病毒傳播等事件。該款還規定了本應急預案的適用范圍：基礎電信企業、域名注冊管理和服務機構、互聯網企業(含工業互聯網平臺企業)發生網絡安全突發事件的應對工作。[2]該預案的編制旨在建立健全公共互聯網網絡安全突發事件應急組織體系和工作機制，提高公共互聯網網絡安全突發事件綜合應對能力，確保及時有效地控制、減輕和消除公共互聯網網絡安全突發事件造成的社會危害和損失，保證公共互聯網持續穩定運行和數據安全。

(二)分析

1. 關于網絡安全事件的定義和制定應急預案的義務

《網絡安全法》沒有對網絡安全事件進行直接定義，但其第二十五條列舉了幾類典型的可造成網絡安全事件的安全風險：系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險，且該段的下一句緊接著規定在發生危害網絡安全的事件時，應立即啟動應急預案，前后兩句的描述可推斷出“網絡安全事件系由系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險造成的安全事件”[3]，與《公共互聯網網絡安全突發事件應急預案》對網絡安全事件的定義基本相同。

制定網絡安全事件預案是網絡運營者的義務。根據《網絡安全法》第二十五條的規定，網絡運營者應當制定網絡安全事件應急預案。如果網絡運營者違反上述規定，將承擔本法第五十九條項下的責任：由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。[4]

工信部于2021年6月22日發布了《關于加強車聯網(智能網聯汽車)網絡安全工作的通知(征求意見稿)》(“《網絡安全征求意見稿》”)，雖然該征求意見稿尚未正式成文發布施行，但其為行業主管部門工信部就車聯網（智能網聯汽車）發布的最新政策意向，對于研究網絡數據合規具有較高的參考價值。根據《網絡安全征求意見稿》的發送對象來看，其不僅適用于工業和信息化主管部門、通信管理局以及三大通信集團，也適用于車聯網運營企業、智能網聯汽車生產企業，即智能網聯汽車作為網絡運營者應建立網絡安全應急響應機制，制定網絡安全事件應急預案。

2.執行應急預案的義務

根據《網絡安全法》第二十五條之規定，網絡運營者不僅應制定網絡安全事件應急預案，而且在發生危害網絡安全的事件時，應立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告?！毒W絡安全征求意見稿》也做出了相似規定并細化了相應的后續措施：網絡運營者應及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險，采取相應的補救措施。在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照《公共互聯網網絡安全突發事件應急預案》向有關主管部門報告。

根據《網絡安全征求意見稿》的規定，智能網聯汽車作為網絡運營者亦不僅應建立網絡安全應急響應機制，制定網絡安全事件應急預案，而且應定期開展應急演練，及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險。

作為網絡運營者的汽車企業，即使其沒有制定網絡安全事件應急預案，在發現或者獲知其網絡、信息系統及其設備存在安全漏洞后，仍應按照《網絡產品安全漏洞管理規定》的規定立即采取措施，及時對安全漏洞進行驗證并完成修補。如汽車企業未按上述規定采取網絡產品安全漏洞修補或者防范措施的，由有關主管部門依法處理；構成《網絡安全法》第五十九條規定情形的，依照該規定予以處罰[5]。

(三)建議

1.制定或完善網絡安全事件應急預案

制定網絡安全事件應急預案是企業在《網絡安全法》項下的義務，車企應根據該法的要求制定其網絡安全事件應急預案。鑒于《網絡安全法》所規定的應急預案(包括針對網絡安全事件的補救措施)可覆蓋《網絡產品安全漏洞管理規定》所要求的補救措施，建議車企在履行《網絡產品安全漏洞管理規定》項下的義務同時，可將其應對網絡、信息系統及其設備的安全漏洞的措施作為網絡安全應急預案工作的部分內容，推動車企早日制定(如缺失預案)網絡安全事件應急預案；或按照《網絡安全法》和《網絡安全征求意見稿》的相關規定完善(如已有預案)其網絡安全事件應急預案。這樣做的好處是一方面可以滿足企業在《網絡產品安全漏洞管理規定》項下的義務，另一方面也可推動企業制定或完善其網絡安全事件應急預案，并進而推動其構建完善的數據合規體系。

由于《網絡安全法》并未對應急預案做進一步的描述，實踐中監管機構會要求企業制定包含哪些內容的應急預案存在一定的不確定性。但是，《網絡安全法》第二十一條規定了網絡運營者的安全保護義務，且內容較為清晰明確，將該等對網絡運營者規定較為清晰明確的義務內容作為網絡安全事件應急預案的主要內容應是可行的做法，基于此，我們建議車企在制定網絡安全事件應急預案時主要涵括如下內容：(1)制定內部安全管理制度和操作規程(包括建立網絡安全應急響應機制)，確定網絡安全負責人，落實網絡安全保護責任；(2)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；(3)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；(4)采取數據分類、重要數據備份和加密等措施；(5)定期開展應急演練，及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險。應急預案的格式和篇章結構可參照工業和信息化部印發的《公共互聯網網絡安全突發事件應急預案》，即網絡安全事件應急預案結構上包括編制目的、工作原則、組織體系、事件分級、監測預警、預防與應急準備、保障措施、應急處置、事后總結等。

2.應急預案的演練和啟動

企業不僅要根據《網絡安全法》的要求制定網絡安全事件應急預案，而且要根據該法以及其應急預案的要求定期開展應急演練，及時處置安全威脅、網絡攻擊、網絡侵入等網絡安全風險。在發生網絡安全事件時，企業應立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。這樣才能保證企業不僅流程到位，而且流程的執行也到位，充分履行其在《網絡安全法》項下的義務，避免企業遭受網絡安全事件造成的損害。

(一)規定

《數據安全法》并未對數據安全事件進行定義，僅有兩處提及數據安全事件，一處為第二十三條 “國家建立數據安全應急處置機制。發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息?！绷硪惶幪峒皵祿踩录臑榈诙艞l，發生數據安全事件時，(數據處理者)應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。

《工業和信息化領域數據安全管理辦法(試行)》(2023年1月1日生效)(“《數據安全管理辦法》”)并無關于數據安全事件的定義，但其第十三條規定，工業和信息化領域數據處理者應當根據應對數據安全事件的需要，制定應急預案，并開展應急演練。[6]

根據國家互聯網信息辦公室發布的《網絡數據安全管理條例(征求意見稿)》第二十八條，重要數據的處理者，應當明確數據安全負責人，成立數據安全管理機構。數據安全管理機構在數據安全負責人的領導下，制定實施數據安全保護計劃和數據安全事件應急預案。

(二)分析

1.數據安全事件的定義

雖然《數據安全法》《數據安全管理辦法》和《網絡數據安全管理條例(征求意見稿)》均未對數據安全事件做出明確定義，但根據《網絡數據安全管理條例(征求意見稿)》第九條的規定：“數據處理者應當采取備份、加密、訪問控制等必要措施，保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用，應對數據安全事件，防范針對和利用數據的違法犯罪活動，維護數據的完整性、保密性、可用性”，可以將數據安全事件的定義歸納為：“數據安全事件”指數據控制方已經遭受的或可能遭受的與數據泄露、竊取、篡改、毀損(包括數據安全缺陷、漏洞)、丟失、非法使用的事件。

2.制定和啟動數據安全事件應急預案

《數據安全法》并未規定數據處理者應制定數據安全事件應急預案，其第二十三條關于建立應急處置機制和啟動應急預案的義務主體為國家有關部門，并未直接指向數據處理者。但是，根據對第二十七條規定的分析，數據處理者“開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度”中的全流程數據安全管理制度應包括數據安全事件的應急預案(即應急預案為全流程數據安全管理制度的組成部分)。因此，數據處理者有義務根據《數據安全法》的規定制定關于數據安全事件的應急預案。如果未按本法第二十七條的規定制定數據安全事件應急預案，數據處理者可能承擔第四十五條規定的責任：主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；拒不改正或者造成大量數據泄露等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

《數據安全管理辦法》第十三條(四)規定，車企作為數據處理者應當對數據處理活動負安全主體責任，根據應對數據安全事件的需要，制定應急預案，并開展應急演練。違反上述規定，行業監管部門按照相關法律法規，根據情節嚴重程度給予沒收違法所得、罰款、暫停業務、停業整頓、吊銷業務許可證等行政處罰；構成犯罪的，依法追究刑事責任。[7]

《網絡數據安全管理條例(征求意見稿)》規定，智能網聯汽車生產企業應建立健全數據安全管理制度，建立完善權限管理、監測預警、應急響應、投訴受理等保障措施[8]，不難看出，該處的規定已涵蓋了對智能網聯汽車生產企業應建立健全應急響應保障措施的要求。

汽車企業作為數據處理者，不僅有義務制定數據安全事件應急預案，而且應根據應急預案的流程要求開展應急演練，包括但不限于加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即采取補救措施；發生數據安全事件時，應當立即采取處置措施，按照規定及時告知用戶并向有關主管部門報告。

應當注意的是，根據《數據安全法》第二十三條規定，發生數據安全事件，有關主管部門應當依法啟動應急預案，采取相應的應急處置措施，防止危害擴大，消除安全隱患，并及時向社會發布與公眾有關的警示信息?！稊祿踩芾磙k法》第二十八條規定了制定和啟動應急預案的主管機關：工業和信息化部制定工業和信息化領域數據安全事件應急預案，組織協調重要數據和核心數據安全事件應急處置工作。地方行業監管部門分別組織開展本地區數據安全事件應急處置工作。涉及重要數據和核心數據的安全事件，應當立即上報工業和信息化部，并及時報告事件發展和處置情況。

另外，根據《數據安全管理辦法》第二十八條的規定，在數據安全事件發生后，車企應當按照應急預案(此處的應急預案應是工業和信息化部門制定的應急預案)，及時開展應急處置，涉及重要數據和核心數據的安全事件，第一時間向本地區行業監管部門報告，事件處置完成后在規定期限內形成總結報告，每年向本地區行業監管部門報告數據安全事件處置情況。且其對發生的可能損害用戶合法權益的數據安全事件，應當及時告知用戶，并提供減輕危害措施。

(三)建議

1.制定或完善數據安全事件應急預案

車企應根據《數據安全法》的規定制定數據安全事件應急預案，其可以是單獨的流程，亦可作為全流程數據安全管理制度的單獨篇章。應急預案的格式和篇章結構可參照工業和信息化部印發的《公共互聯網網絡安全突發事件應急預案》，即數據安全事件應急預案結構上包括編制目的、工作原則、組織體系、事件分級、監測預警、預防與應急準備、保障措施、應急處置、事后總結等。

2. 及時啟動應急響應機制

根據《網絡數據安全管理條例(征求意見稿)》第十一條之規定，數據處理者應當在發生數據安全事件時及時啟動應急響應機制，采取措施防止危害擴大。安全事件對個人、組織造成危害的，數據處理者應當在三個工作日內將安全事件和風險情況、危害后果、已經采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人，無法通知的可采取公告方式告知，法律、行政法規規定可以不通知的從其規定。安全事件涉嫌犯罪的，數據處理者應當按規定向公安機關報案。

發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時，數據處理者還應當在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息，包括涉及的數據數量、類型、可能的影響、已經或擬采取的處置措施等；在事件處置完畢后五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調查評估報告。

雖然《網絡數據安全管理條例(征求意見稿)》尚未發布生效，但其相關規定代表了監管部門的監管導向，車企可參照該征求意見稿的相關規定設定其數據安全事件應急預案響應機制及后續處理措施，包括但不限于及時向監管部門報告和通知利害關系人，為更嚴格的監管做好準備。

(一)規定

《個人信息保護法》第五十一條規定，個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，制定并組織實施個人信息安全事件應急預案。

《兒童個人信息網絡保護規定》第二十一條規定，網絡運營者發現兒童個人信息發生或者可能發生泄露、毀損、丟失的，應當立即啟動應急預案，采取補救措施；造成或者可能造成嚴重后果的，應當立即向有關主管部門報告，并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人，難以逐一告知的，應當采取合理、有效的方式發布相關警示信息。

《信息安全技術個人信息安全規范》(“《安全規范》”)第10.1條規定，對個人信息控制者的要求包括：a)應制定個人信息安全事件應急預案；b)應定期(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程。

(二)分析

1.關于個人信息安全事件的定義

《個人信息保護法》無關于個人信息安全事件的定義，但可從其第五十一條的規定推斷出個人信息安全事件的定義，即個人信息安全事件指未經授權的訪問以及個人信息泄露、篡改、丟失等安全事件。[9]《兒童個人信息網絡保護規定》亦無關于兒童個人信息安全事件的直接規定，但從第二十一條描述的安全事件的列舉可以推斷，兒童個人信息安全事件應為兒童個人信息發生或者可能發生泄露、毀損、丟失等安全事件。[10]

2.制定和啟動個人信息安全事件應急預案

《個人信息保護法》無個人信息安全應急事件預案的具體內容，從第五十一條僅可推導出個人信息安全事件應急預案的用途：個人信息處理者應當采取包括制定并組織實施個人信息安全事件應急預案等措施，以確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失。

《兒童個人信息網絡保護規定》的第二十一條規定，發生或可能發生兒童個人信息安全事件時應啟動應急預案，采取補救措施；造成或者可能造成嚴重后果的，應當立即向有關主管部門報告，并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人，難以逐一告知的，應當采取合理、有效的方式發布相關警示信息。上述內容應為應急預案的核心內容。

《安全規范》對應急預案的規定全面完整，雖然其為推薦性國家標準，但鑒于國家標準具有較高的公信力，企業可參照其內容制定企業自己的個人信息安全事件應急預案。

(三)建議

1.企業參照《安全規范》制定企業自己的個人信息安全事件應急預案，包括但不限于如下內容：

(1)個人信息安全事件應急預案

a)應制定個人信息安全事件應急預案

b)應定期(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程。

c)發生個人信息安全事件后，個人信息控制者應根據應急響應預案進行以下處置：

1)記錄事件內容，包括但不限于：發現事件的人員、時間、地點，涉及的個人信息以及人數，發生事件的系統名稱，對其他互聯系統的影響，是否已聯系執法機關或有關部門；

2)評估事件可能造成的影響，并采取必要措施控制事態，消除隱患；

3)按照《國家網絡安全事件應急預案》等有關規定及時上報，報告內容包括但不限于：涉及個人信息主體的類型、數量、內容、性質等總體情況，事件可能造成的影響，已采取或將要采取的處置措施，事件處置相關人員的聯系方式；

4)個人信息泄露事件可能會給個人信息主體的合法權益造成嚴重危害的，如個人敏感信息的泄露，按照(2)的要求實施安全事件的告知。

d)根據相關法律法規變化情況，以及事件處置情況，及時更新應急預案。

(2)安全事件告知

對個人信息控制者的要求包括：應及時將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知個人信息主體時，應采取合理、有效的方式發布與公眾有關的警示信息。

2.鑒于兒童個人信息的特殊性，企業可以參考《兒童個人信息網絡保護規定》的第二十一條的規定制定自己的兒童個人信息安全事件應急預案或將該條規定的相關內容作為整合后的網絡數據安全事件應急預案的特別規定。

(一)規定

《汽車數據安全管理若干規定（試行）》（“若干規定”）對汽車數據安全事件及應急預案未做規定。

(二)分析

若干規定未對汽車數據安全事件及應急預案做出規定并不代表車企沒有義務制定與汽車數據安全事件相關的應急預案。根據若干規定第一條，若干規定根據《網絡安全法》、《數據安全法》等法律、行政法規制定，即《網絡安全法》和《數據安全法》為若干規定的上位法，《網絡安全法》和《數據安全法》關于網絡、數據安全事件預案的規定適用于作為網絡運營者和數據處理者的車企。

(三)建議

車企應根據《網絡安全法》《數據安全法》《個人信息保護法》等法律法規的規定制定/完善其網絡數據安全事件應急預案。

(一)規定

GDPR對個人數據事件安全預案未作直接規定，而將個人數據泄露作為一個重要的安全事項專門予以規定，并在其第33條和第34條分別規定了數據控制者的兩項重要義務：向監管機構報告個人數據泄露、向數據主體告知個人數據泄露。

(二)分析

GDPR規定，在發生個人數據泄露時，除非個人數據的泄露不會產生危及自然人權利和自由的風險，否則數據控制者應在72小時內將該等個人數據泄露報告給監管機構(第33條)。車企還應謹慎記錄所有個人數據泄露事件，包括與個人數據披露相關的事實、影響和采取的補救措施。另外，除非有正當理由，當個人數據泄露可能對自然人的權利和自由造成高風險時，控制者應立即將個人數據泄露告知數據主體(第34條)。

數據控制者應注意如發生個人數據泄露等安全事件，需履行的報告和告知義務。

(三)建議

近些年來，越來越多的中國車企，特別是智能網聯汽車企業，開始尋求將其業務拓展到歐洲。在業務高歌猛進的同時，數據合規問題同樣不容忽視。根據GDPR的規定，無論中國車企是否設立于歐盟境內，只要為歐盟內的數據主體提供商品或服務，或服務發生在歐洲的數據主體活動監控范圍內，GDPR均適用于該等企業。如果國內車企在歐盟的業務涉及到個人數據泄漏事件的，應按第33條和第34條的規定履行報告和告知義務。

(一)制定安全事件應急預案是數據合規監管的要求

《網絡完全法》、《數據安全法》、《個人信息保護法》、《兒童個人信息網絡保護規定》及其他與網絡安全、數據安全和個人信息保護相關的法律法規都直接或間接地要求網絡運營者、數據處理者應制定網絡/數據安全事件應急預案，并在發生網絡/數據安全事件時及時啟動應急預案。車企制定或完善網絡數據安全事件應急預案既可滿足上述法律法規的要求，也可滿足主管部門對車企的監管要求。

一套完整的預案不僅可以幫助企業完善其數據合規體系，在發生網絡數據安全事件時有章可循，而且在監管部門追究企業在網絡數據安全事件中的責任時可作為有利的抗辯理由之一。企業如果證明其制定了完善的網絡數據安全事件應急預案，且提供證據證明已按預案的規定盡到合理義務，監管部門有可能減輕甚至豁免對企業的處罰。

(二)制定安全事件應急預案是智能網聯汽車發展的現實需要

隨著中國提出以“電動化、智能化、網聯化、共享化”為核心的汽車“新四化”理念，車輛通信技術加速普及迭代，目前全球市場搭載智能網聯功能的新車滲透率約為45%，預計2025年接近60%。而我國智能網聯汽車滲透率保持在15%左右，預測2025年將超過75%。[11]網絡空間安全已上升為國家安全戰略。汽車從機械交通工具向移動數字終端定位的轉變，促使網絡安全與數據安全成為繼功能安全、預期功能安全之后的又一重要領域，三者共同組成智能網聯汽車安全技術范疇體系。[12]制定完整的網絡數據安全應急預案，在出現網絡數據安全事件時及時啟動預案，可以為智能網聯汽車的發展提供安全保障。

(三)制定一體化的網絡數據安全事件應急預案

鑒于《數據安全法》、《個人信息保護法》、《兒童個人信息網絡保護規定》項下的數據、信息收集主要通過網絡進行，相應的數據/個人信息安全事件主要由網絡安全事件(如網絡故障、網絡攻擊、網絡侵入)引起，從這個角度而言，數據安全與網絡安全密不可分。因此，有必要將《網絡完全法》、《數據安全法》、《個人信息保護法》、《兒童個人信息網絡保護規定》要求的安全事件應急預案整合在一起，制定統一適用于網絡安全、數據安全和個人信息安全的《網絡數據安全事件應急預案》，結構格式可參照《公共互聯網網絡安全突發事件應急預案》，包括編制目的、工作原則、組織體系、事件分級、監測預警、預防與應急準備、保障措施、應急處置、事后總結等。

(四)關注GDPR的要求

應關注GDPR在車企拓展歐盟業務的影響。根據GDPR的規定，無論中國車企是否設立于歐盟境內，只要為歐盟內的數據主體提供商品或服務，或服務發生在歐洲的數據主體活動監控范圍內，GDPR均適用于該等企業。如果國內車企在歐盟已有業務或者有意向將其業務拓展到歐盟的，建議在其網絡數據安全應急預案中增加與GDPR相關的內容，從而建立起一套包括應對GDPR在內的完整的網絡數據安全應急預案機制。

[1] “Audi, Volkswagen data breach affects 3.3 million customers”, by Lawrence Abrams, published on https://www.bleepingcomputer.com/news/security/audi-volkswagen-data-breach-affects-33-million-customers/.

[2]《公共互聯網網絡安全突發事件應急預案》1.3適用范圍

本預案所稱網絡安全突發事件，是指突然發生的，由網絡攻擊、網絡入侵、惡意程序等導致的，造成或可能造成嚴重社會危害或影響，需要電信主管部門組織采取應急處置措施予以應對的網絡中斷(擁塞)、系統癱瘓(異常)、數據泄露(丟失)、病毒傳播等事件。

[3] 《網絡安全法》第二十五條 網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

[4] 《網絡安全法》第五十九條 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

[5] 《網絡產品安全漏洞管理規定》

第八條   網絡運營者發現或者獲知其網絡、信息系統及其設備存在安全漏洞后，應當立即采取措施，及時對安全漏洞進行驗證并完成修補。

第十三條   網絡運營者未按本規定采取網絡產品安全漏洞修補或者防范措施的，由有關主管部門依法處理；構成《中華人民共和國網絡安全法》第五十九條規定情形的，依照該規定予以處罰。

[6] 《工業和信息化領域數據安全管理辦法(試行)》(2023年1月1日生效)

第十三條 工業和信息化領域數據處理者應當對數據處理活動負安全主體責任，對各類數據實行分級防護，不同級別數據同時被處理且難以分別采取保護措施的，應當按照其中級別最高的要求實施保護，確保數據持續處于有效保護和合法利用的狀態。

…………

(四)根據應對數據安全事件的需要，制定應急預案，并開展應急演練；

…………

[7] 《工業和信息化領域數據安全管理辦法(試行)》(2023年1月1日生效)

第三十六條 有違反本辦法規定行為的，由行業監管部門按照相關法律法規，根據情節嚴重程度給予沒收違法所得、罰款、暫停業務、停業整頓、吊銷業務許可證等行政處罰；構成犯罪的，依法追究刑事責任。

[8] 《關于加強車聯網(智能網聯汽車)網絡安全工作的通知(征求意見稿)》

三、保障數據安全

(一)加強數據安全管理。建立健全數據安全管理制度，建立完善權限管理、監測預警、應急響應、投訴受理等保障措施，明確責任部門和責任人，加強人員教育培訓。建立數據資產管理臺賬，實施數據分類分級管理，加強個人信息與重要數據保護。定期開展數據安全風險評估，強化隱患排查整改。

[9] 《中華人民共和國個人信息保護法》

第五十一條 個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失。

[10] 《兒童個人信息網絡保護規定》

第二十一條 網絡運營者發現兒童個人信息發生或者可能發生泄露、毀損、丟失的，應當立即啟動應急預案，采取補救措施；造成或者可能造成嚴重后果的，應當立即向有關主管部門報告，并將事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的兒童及其監護人，難以逐一告知的，應當采取合理、有效的方式發布相關警示信息。

[11] 皮書說《報告推薦｜智能網聯汽車藍皮書：智能網聯汽車網絡安全與數據安全發展報告(2022)》，發布時間：2022-12-21，載于https://www.pishu.cn/zxzx/xwdt/588412.shtml。

[12] 皮書說《報告推薦｜智能網聯汽車藍皮書：智能網聯汽車網絡安全與數據安全發展報告(2022)》，發布時間：2022-12-21，載于https://www.pishu.cn/zxzx/xwdt/588412.shtml。