12月20日晚间，蔚来汽车在官方社区发布公告称，确认2021年8月之前的部分用户基本信息和车辆销售信息被窃取，并被黑客发送邮件勒索225万美元。蔚来创始人李斌就数据泄露致歉，称将追查到底。

纵观此次蔚来汽车用户及车辆销售信息泄露，以及企业对此采取的应对办法，我以为还存在几个待商榷之处。根据声明，2022年12月11日，蔚来汽车即收到勒索邮件，当天即成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。但蔚来应同步发布针对用户的信息告知，让用户一方面知晓个人信息安全存在风险，尽快对信息进行处理，尽可能去掉不必要的敏感信息，如此能起到一定补救举措，防止更多用户信息被窃取。

其次，蔚来在声明中承诺，对因本次事件给用户造成的损失承担责任。那么，用户个人信息被泄露，蔚来将采取的补偿举措是什么，也应有具体内容，不能含糊其词。

当然，对于蔚来汽车以及其他新能源车企的用户而言，最大的问题在于，新能源车企如何提供更完善的用户信息保障体系，防止此类事件发生。事实上，部分新能源车企确实存在对用户信息保护不力的现象。今年5月，江苏省消费者权益保护委员会通过调查14家新能源汽车企业的47份协议，发现多家车企的用户协议与隐私政策均存在侵害用户权益的问题。包括：协议交易对象不明、车企单方修改权无限制、车企免责条款过宽、收集个人信息不规范、个人信息使用不当等。

由此可以看出，当下部分新能源车企对用户个人信息存在收集内容过多、将用户信息用于商业化用途，明显侵犯了用户隐私。还有新能源车企将黑客攻击、电信升级等一系列事由构成了自己的免责事由。此类条款一方面属于霸王条款，让消费者应享的救济权受损，另一方面造成了车企躺在免责条款下、对安全管理重视程度不够、投入缺乏等问题，风险隐患进一步增加。

相比于传统燃油车，新能源车搭载大量的传感器、摄像头和强大的处理器，随着自动驾驶技术的发展，未来将会有更多用户信息与车辆信息上传至新能源车企管理后端，包括用户日常行为轨迹、消费“路线图”等。这些信息的商业价值很高，也就使得黑客等不法团体为了获取新能源车企的用户数据和车辆数据，不惜采取各种窃密手段，如果新能源车的数据安全保障依旧滞后，必然会引发更严重的后果。

针对新能源车数据安全管理，国家出台了《汽车数据安全管理若干规定（试行）》，《信息安全技术网联汽车采集数据的安全要求》等法规，但法规主要集中于新能源车企对于用户和车辆安全的日常维护，对黑客入侵等突发事件中，新能源车企应承担的网络安全管理责任，以及用户信息泄露、新能源车企应负的具体责任界定，如经济赔偿等，尚无相关规定，亟待加以完善，进一步消除新能源车企与用户权责不对等现象。

此外，针对未来更多形式的黑客窃密、网络BUG等问题，除了新能源车企在自我防护体系上增加投入外，不妨由政府引导、联合企业和行业，共同建设针对技术、安全管理等多层次问题的深度研究机构，为后续包括法规建设、行业信息安全保障水平不断提高，提供更有力的支持，让新能源车企的数据安全“软肋”转化为不法分子难以攻破的防火墙。

财经评论人 毕舸

编辑 徐超 校对 卢茜