蔚来数据泄漏事件仍在持续发酵中。

自昨天蔚来发布声明宣称被黑客勒索，要求其支付225万美元等额比特币以阻止公开蔚来车主用户数据，今天蔚来汽车又在港交所发布公告承诺其对因数据泄漏事件给用户造成的损失承担责任。

此后蔚来汽车董事长、CEO李斌也公开道歉，表示会对此次事件给用户带来的损失承担责任。

智能汽车时代，数据泄露蔚来不是第一家，但这一事件的戏剧性引发了广泛关注。

一方面，数据盗窃者公然勒索，在勒索不成后，在网络平台明码标价出售，并毫无羞愧地指责蔚来宁愿花千万费用请歌手做营销活动却不愿支付赎金买断泄露的数据。

而来蔚来App社区，也渐渐形成了两派观点，大部分用户表示理解并支持蔚来不进行数据交易的做法，但也有部分用户表示希望蔚来能保护用户数据安全，支付赎金。

一个可以明确的事实在智能汽车时代，数据泄露这样的事件显然不会是孤例，这一事件产生的涟漪效应显然会为未来类似的事例提供借鉴。

这其中有两个结果是大众高度关注的，其一是这位数据盗窃者是否会被查获归案，受到何种惩罚，其二，鉴于数据已经泄露，蔚来宣称的为用户损失如何承担责任。

而要回答这些问题，显然要厘清这起极富戏剧性的勒索与反勒索的事件始末。

01.

蔚来数据泄漏始末

事件的起因始于昨天（12月20日）白天，一张关于蔚来数据的图片开始在网络流传，有人宣称破解了蔚来大量数据，并明码标价出售：

“近日，我们破解了蔚来大量数据，同时给了蔚来两次机会，但是蔚来宁愿花费千万请歌手，也不愿意买断这部分数据来保护各位车主和用户，因此我们决定有偿曝光，需要的可以邮件联系。”

曝光图片中显示破解数据包括蔚来内部员工数据22800条，车主用户身份证数据399000条，此外还包括蔚来用户注册信息4850000条，甚至包括车主亲密关系数据、车主贷款数据等，售价从0.1-0.25个比特币不等，全部数据打包价为1个比特币。

但数据的真假并没有第三方佐证。

不过从泄露者宣称“给了蔚来两次机会，但是蔚来宁愿花费千万请歌手，也不愿意买断这部分数据来保护各位车主和用户”的理由来看，其与蔚来有过沟通。

不过在12月20日当天，蔚来官方发布关于数据安全事件声明承认了网上泄露的数据是真实的。

蔚来在声明中称12月11日，蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄漏数据勒索225万美元等额比特币，约合人民币1567.8万元。

蔚来方面表示收到勒索邮件后，公司当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。蔚来官方消息表示不会对网络犯罪行为低头，将依法坚决打击相关的数据窃取、买卖行为。

这份声明既承认了网上泄露的数据为真，也说明自12月11日泄露者与蔚来沟通勒索之后，在9天的时间里，无论是监管部门还是蔚来自身没有破获这起案件，这名黑客成功的隐藏了自己，并最终通过公布数据对蔚来进行了报复。

在蔚来的声明发布后，迅速引发蔚来车主和外界的关注。

随后蔚来汽车董事长、CEO李斌也公开道歉，表示会对此次事件给用户带来的损失承担责任。并表示不会与不法行为妥协，会对窃取和买卖此次事件相关数据的违法犯罪行为追查到底。

12月21日，蔚来汽车在港交所发布公告，再次就数据泄漏事件做出回应。

蔚来在公告中表示已提供解答用户就数据泄漏事件疑问的专门热线及邮箱地址。此外，公司承诺其对因数据泄漏事件给用户造成的损失承担责任。

蔚来汽车则称，经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

蔚来汽车首席信息安全科学家卢龙表示，本次事件不涉及车辆使用中产生的数据，如行车轨迹、座舱数据，也不影响车辆的驾乘或远程控制。

而针对此次事件，蔚来汽车客服人员表示，不会做出主动赔偿，但“对因本次事件给用户造成的损失承担责任。”同时表示，如近期遇到涉及蔚来的陌生来电，需小心谨慎，勿透露个人信息。

对“给用户造成的损失承担责任”显然是一个承诺，但承担什么样的责任？蔚来没有说明。

当然在我们的法律体系中其实也缺乏明确的标准。

02.

蔚来车主怎么看？

对于目前蔚来展示出的处理态度，部分蔚来用户的反应也存在两种看法。

在蔚来APP社区内，有部分用户表示理解并支持蔚来不进行数据交易的做法，但也有部分用户表示数据泄漏已经造成，蔚来只道歉却不提怎么处理的做法不能接受。

蔚来用户iHarry称自己就是2021年8月之前的用户，作为潜在受影响用户，并没有收到蔚来的通知。

在iHarry的发声中，主要的诉求点在于：

首先，蔚来没有通知受影响的用户，这和《个人信息保护法》、《个人信息保护规范》以及蔚来自己的《隐私政策》都不相符；其次，即便是无法逐一告知，蔚来也未在公告中告知泄露的信息种类，没有告知用户可以采取什么措施来减轻危害。而且，公告中用的是“数据安全”事件这样的表述，而不是个人信息泄露/安全事件，而从流传的图片来看，此次泄漏的数据主要为个人信息。

《中华人民共和国个人信息保护法》第57条规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括下列事项：（一）发生或者可能发生个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害；（二）个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施；（三）个人信息处理者的联系方式。个人信息处理者采取措施能够有效避免信息泄露、篡改、丢失造成危害的，个人信息处理者可以不通知个人；履行个人信息保护职责的部门认为可能造成危害的，有权要求个人信息处理者通知个人。

从该声明下方用户的反应来看，大部分人的诉求都和iHarry相似，信息已经泄漏，但蔚来如果只是以公告和道歉示之，似乎有失诚意。

也有人对蔚来的数据安全能力表示担忧，“现在汽车都是电脑控制的，如果信息安全做不好，哪天黑客攻击了每台车，后果不堪设想。”

车企可以拿到用户多少信息？从传统购车环节可能涉及的身份证、行驶证等信息，以及办理贷款、上牌等手续过程中涉及到的个人信息和资料，从此次数据泄漏的图片来看，应该主要还是这部分信息。

而到了智能汽车时代，车内外大量传感器的配置，使得用户又不得不将更多的数据让渡给车企。

例如，车外摄像头、雷达等传感器可采集周边环境数据，包括你每天去什么地方，甚至做什么事，见什么人，每天的行动轨迹，驾驶习惯都包含在数据中。而车内摄像头，包括DMS驾驶员监控系统，以及用户驾驶喜好，设置习惯，和语音助手的互动等，均上传由车企存储保管。因而，车企在保护车主数据安全方面的责任变得格外重大。

以用户企业著称的蔚来，此前也多次强调自己在数据安全方面所做的努力，此次数据泄露事件可以说为同时为企业和用户敲响了警钟。

而当前用户和大众关注的问题，既然蔚来在公告中明确表示，会对因数据泄漏对用户造成的损失承担责任。

那么按现行的法律体系，蔚来需要承担哪些相应的责任？

北京大成律师事务所高级合伙人杨立娟律师向智驾网表示：

个人信息保护法规定收集个人用户信息的一方有义务对个人信息采取充分的保护措施，所以数据丢失情况下，蔚来需要承担责任，更何况蔚来自行声明会对此承担责任。

黑客攻击和数据泄露只是同一事件的两个维度，只是说数据泄露合并了黑客攻击，不代表蔚来自身切实履行了个人信息保护义务。蔚来不支付赎金，是对敲诈等犯罪行为的常规应对措施，但是这并不能免除蔚来自身本来需要承担的法律责任。蔚来是否需要承担责任，需要以其自身是否存在违反相关法律法规或合同义务的情形。

至于以何种形式，杨律师表示在可能存在侵权及违约责任竞合的情况，一般民事责任形式包括赔礼道歉、采取补救措施、赔偿损失、支付违约金，要看具体情形。

03.

黑客需面对的法律责任

而对于此次数据安全事件的另一方主角，即数据盗取者，一方面是窃取蔚来公司内部数据，包括用户基本信息和车辆销售信息，同时，还试图出售信息。另一方面则是向蔚来发邮件勒索225万美元等额比特币。

从法律角度来看，窃取用户基本信息的行为根据《刑法》第二百五十三条之一规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下或者，并处或者单处；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。其中包括违规向他人出售或者非法提供公民个人信息，在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人，以及非法获取公民个人信息等罪行。

而当事人此次实施的敲诈行为由于蔚来并未支付现金，他的敲诈可视为未遂。

在蔚来APP社区内，有用户要求蔚来支付赎金保护数据安全，也有用户表示支付赎金并不能保证黑客不会再向其他人出售数据。

付不付赎金是人类历史上的一个道德悖论，付赎金的一个恶果是会激励更多的不法分子。

而这起事件中的当事人其大胆，以及泄露数据的理由都让人惊讶。

这起事件仍在发酵，后续蔚来及相关部门将如何处理，显然对所有以打造智能汽车的主机厂都有借鉴意义。