近日，蔚来汽车创始人、董事长李斌针对部分用户数据泄露并遭不法分子勒索一事作出回应，称蔚来坚决不向数据买卖者妥协，不会支付赎金。他还表示，目前蔚来已向警方报案，将深刻追究参与买卖本次泄露数据的企业和个人，并将为此次事件给用户带来的损失承担责任。

蔚来“绝不妥协”的决定是否将用户置于被动处境？有哪些渠道可以帮助用户维权？有专家告诉南都记者，如果纵容黑客“挟用户以令企业”，每当发生数据泄露事件时，企业都通过赔钱来解决，就意味着在无形激励黑客通过这种盗窃行为获得钱财。这样做能解决一次麻烦，但长期来看会导致更多用户蒙受损失。

上周，网络上流传着数张声称成功破解了蔚来大量数据并进行出售的图片。网传图片显示，被破解的数据包括蔚来内部员工数据2.28万条、车主用户身份证数据近40万条、用户地址数据65万条、注册用户数据485万条等，每类数据的勒索要价为1比特币以下不等。图片上还写着“给了蔚来两次机会，但是蔚来宁愿花费千万请歌手，也不愿意买断这部分数据来保护各位车主和用户。”

12月20日，蔚来方面发布声明，称蔚来于今年12月11日收到勒索邮件，对方以泄露蔚来内部数据威胁其支付225万美元等额比特币，蔚来当天已展开调查并向有关监管部门报告。被窃取数据为去年8月之前的部分用户基本信息和车辆销售信息，蔚来称“坚决不会向网络犯罪行为低头”，并承诺为有关用户的损失担责。

当晚，李斌也在评论区致歉，称蔚来会为此次事件给用户带来的损失承担责任，且不会向不法行为妥协。12月25日，在蔚来NIO DAY 2022媒体会上，他针对此事再次表态，指出比特币使勒索事件的发生更加容易，蔚来会承担用户损失，即使赔破产也不会支付赎金，同时呼吁行业不要向数据买卖者妥协。

“反正损失的是客户信息，蔚来无所谓”“声明的意思是赔钱不给，用户数据泄露了也没办法”“数据一旦泄露就难再追回，赔钱也没用”……蔚来的回应显然并未完全打消网友的疑虑。有网友质疑蔚来的决定会进一步将用户置于被动处境，其数据面临更严重的泄露风险；还有网友认为蔚来应披露被窃数据的类型和数量、采取的应对措施以及用户该做出哪些防范等，当下的声明过于敷衍。

南都记者梳理发现，这并非国产智能电动汽车首次陷入隐私安全风波。5月，有博主爆料称高合汽车的行车记录仪可通过车主互联功能读取其他高合汽车行车记录仪内容。其后高合汽车回应称该功能开启时需经用户同意，无隐私安全隐患。去年9月，理想汽车在更新的智能系统软件协议中规定，在用户使用车载应用平台期间，将收集其车辆驾驶行为数据、车载导航应用数据、车载娱乐系统资料等使用信息，不同意协议则无法继续使用汽车。这一“霸王条款”也备受质疑。

在此事件中，蔚来公司应承担哪些法律责任？面对勒索要求，如何看待蔚来坚持“绝不妥协”的决定？有哪些渠道可以帮助用户进行维权？

中国政法大学法学院教授赵宏公开撰文分析，就本次个人信息安全事件而言，根据个人信息保护法（下称“个保法”）规定，履行个人信息保护职责的部门会按照规定权限和程序对蔚来公司的法定代表人和相关负责人进行约谈，并要求蔚来公司委托专业机构对其个人信息处理活动进行合规审计。

她指出，蔚来公司虽声称其遭遇黑客袭击且被人勒索，但非经调查结束，不能完全排除是否有内部人员在提供服务过程中故意盗取员工和用户信息，出售或提供给他人的。若侦查终结后发现存在这种情形，这些人要承担侵犯个人信息罪的刑事责任。

赵宏表示，除刑事责任外，如果合规审计表明，蔚来公司在个人信息保护方面的确存在重大疏漏，未充分履行信息安全保护义务，其还需承担行政责任。此外，民事损害赔偿责任该如何厘定为本案难点，本案中蔚来用户被泄露和贩卖的信息主要属于个保法规定的敏感个人信息，因此在厘定损害赔偿责任上也应予以考虑。

尽管蔚来就数据泄露一事及时作出了回应，但根据声明，显然其了解被窃取数据的具体内容等更多详情，但并未单独通知受影响的客户，只是在事件被爆出后发表公告。这也是众多网友质疑蔚来的原因之一。

个保法规定，发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人。通知应当包括个人信息泄露、篡改、丢失的信息种类、原因和可能造成的危害，个人信息处理者采取的补救措施和个人可以采取的减轻危害的措施等。

驾驶智能电动汽车免不了使用相关汽车品牌的App，南都记者查看了“蔚来”App的《蔚来汽车隐私政策》，在“安全事件响应”一章中，蔚来承诺“在不幸发生个人信息安全事件后”，其将按照法律法规的要求及时向用户告知“安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您可自主防范和降低风险的建议、对您的补救措施等。我们将及时将事件相关情况以邮件、信函、电话、推送通知等方式告知您，难以逐一告知时，我们会采取合理、有效的方式发布公告。”

“发布事件公告未必能保证所有受到数据泄露影响的用户都得到充分了解，单点通信才是妥当的告知方式。”浙江垦丁律师事务所创始合伙人麻策说道。另有信息安全领域资深从业者推测，蔚来没有及时定向通知受影响的用户，除了“事件原因及范围尚在排查中”这一原因外，还可能是担心定向通知后会引发更多的质询与客诉。

事实上，不法分子凭借出售窃取来的内部数据勒索企业，要求其支付高额赎金的事件在国内外早已屡见不鲜。

据南都此前报道，9月，澳大利亚第二大电信公司Optus接近1000万用户（近澳大利亚人口的40%）的敏感数据被黑客获取，黑客向Optus勒索100万美元，对个人的要价为15万到30万美元。此事直接推动了澳大利亚全面修订隐私法的进程。上半年，美国信贷巨头TransUnion被窃取了5400万条消费者的个人信息，被要求支付约2.23亿南非兰特（南非货币）或价值约1500万美元的比特币。

尽管被曝光的多数企业都拒绝了黑客的勒索请求，但有观点认为，以支付赎金掩盖数据泄露事件的企业并非少数。他们面临着一个共同问题——一边是用户数据泄露隐患和企业声誉，一边是高额赎金和对黑客的纵容。那么，该如何看待蔚来的决定？

麻策直言，面对这类情况，企业确实会陷入“两难”的境地。站在用户角度，企业不付赎金可能导致用户的个人数据进一步泄露，企业会受到用户的苛责；站在企业或社会公平性的角度，如果所有进行勒索的黑客都能得到满足，未来必然有更多企业被黑客勒索，从而用户面临的数据泄露风险也会更高。

麻策表示，他十分不赞成企业通过交付赎金来买断数据的做法。“黑客的做法是‘挟用户以令企业’，如果一旦发生数据泄露，企业就通过赔钱来息事宁人、破财消灾，这样看起来能解决一次麻烦，但也在无形地激励黑客通过这种盗窃行为获得钱财。长期来看，会导致更多用户蒙受损失。”

谈及用户如何维权的问题，麻策坦言，由于数据泄露与用户损失之间的关联度很可能并不清晰，即使蔚来承诺会为此次事件给用户带来的损失承担责任，用户要为自己的损失举证并且进行维权等十分困难。

上述从业者也有类似观点。他表示，用户可以提出追责，但因各种原因，如信息不对称、难以举证自己的数据遭泄露、当前国内数据保护相关法律体系不够健全、司法救济机制薄弱等，用户很难获得实质性赔偿。

麻策进一步分析，在蔚来用户难以通过诉讼等方式维护自身权益的情况下，启动公益诉讼不失为一种较好的解决办法。“可以寻求公益机构来参与诉讼，如果企业需要进行赔偿，再将赔偿支付给参与公益诉讼的这些用户。”他建议，针对蔚来事件，由消费者权益保护委员会来启动相应的公益诉讼程序会更合适。

采写：南都记者樊文扬 孙朝 方诗琪