康达原创 | 蔚来因用户数据遭勒索：谁才是真正的受害人？

近日，根据蔚来官方公布的信息，2022年12月11日蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索225万美元等额比特币。蔚来成立专项小组进行调查与应对，并第一时间向有关监管部门报告此事件。经初步调查，被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。

该事件引发关注。

蔚来对此事表示歉意，同时还表示会对因本次事件给用户造成的损失承担责任，未来还将加强技术力量，不断提升蔚来信息系统的安全防护能力，以充分保护用户信息安全。

作为多年的互联网金融犯罪辩护与合规律师，本文尝试从互联网公司的数据义务与责任角度对这起勒索“风波”做一些分析探讨。

若假定目前情况如上述报道，本案所涉及的刑事法律问题，笔者做如下分析和说明： 

一、勒索者是否构成犯罪？

蔚来汽车被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息，在民法典、数据安全法、公民信息保护法甚至刑法中，均是受保护的对象。

以笔者对网络犯罪司法实践的观察发现，这种具有一定独立性、常业性的非法牟利型网络违法犯罪活动，在互联网大数据、产业数字化的技术趋势下，仿佛找到了“广阔的天地”。

互联网大型企业天然拥有大量宝贵的数据库，网络黑产技术只需在这些大企业的宝库中适当取样一些，就有源源不断的犯罪动机与巨额获益。

225万美元折合约1500万人民币。而这部分数据，很可能不是团队所能掌握的唯一数据。

这类犯罪的实际犯罪行为地，可以超越国界与边境，更成为他们肆无忌惮的保护墙。

这时，采用民法的保护手段已不足以。笔者认为，刑法规则是网络社会良性治理的重要后盾与保障，对遏制网络犯罪必发挥关键作用。

勒索者窃取该部分数据后，公然向数据所有人勒索，已经涉嫌多个罪名。

（一）【侵犯公民个人信息罪】

刑法第二百五十三条规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。  

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

我国在保护公民个人信息方面的刑事打击已经非常努力，相关类似侵犯公民个人信息的刑事案件在中国法院得到判决的案例也数不胜数。

简言之，勒索者公然表示窃取了蔚来的数据库，并取得关于公民个人信息的数据，即可构成该罪，依这样的数据体量，显然可以达到严重情节，可被判处三至七年有期徒刑。

我国在保护公民个人信息方面的刑事打击已经非常努力，相关类似侵犯公民个人信息的刑事案件在中国法院得到判决的案例也数不胜数。

另外，关于入侵系统并窃取数据，刑法专门有个罪名，用来规制如果窃取的不是公民个人信息的情况，量刑和侵犯公民个人信息也大体相同。如果勒索者窃取的不止公民个人信息，还可能享用以下罪名： 

（二）【非法获取计算机信息系统数据】

刑法第二百八十五条之二【非法获取计算机信息系统数据】违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

这个罪名在实践中的适用是，当获取的数据不是个人信息时，以这种手段行为入罪，适用非法获取计算机信息系统数据罪，如本案中，如果勒索者窃取的仅是成交数据，不包括客户信息，那可能不构成侵犯公民个人信息，但仍可能构成非法获取计算机信息系统数据罪。 

（三）敲诈勒索罪

勒索者窃取的信息并非销向外人，而是以此为要挟，向数据的拥有者索取财物，这就不属于数据贩卖或出售，而更倾向于涉嫌敲诈勒索罪。

“敲诈勒索”，在实践中是以非法占有为目的，对财物的所有人、保管人使用威胁或者要挟的方法，勒索财物的行为。在此的财物，是指即将索要的财物，也即是225万美元。当然，数据被认定是刑法上的虚拟资产也已经存在相当不少的判例。

简言之，就是勒索人以各种手段使被害方产生恐惧，威胁或者要挟的方法多种多样，如以将要实施暴力，暴露数据、揭发隐私、违法犯罪活动、毁坏名誉相威胁等等。在本案中，勒索者以数据为要挟向蔚来公司索要225万美元巨额资金。

第二百七十四条　【敲诈勒索罪】敲诈勒索公私财物，数额较大或者多次敲诈勒索的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金；数额巨大或者有其他严重情节的，处三年以上十年以下有期徒刑，并处罚金；数额特别巨大或者有其他特别严重情节的，处十年以上有期徒刑，并处罚金。

以上罪名，视情况既可以单罚，也可以数罪并罚。

二、蔚来公司是纯粹的受害人？还是过错者？

这里有个容易忽略的问题，蔚来公司是纯粹的受害人吗？

举个例子，作为普通公民，如果银行卡的密码因个人过错而泄露，需要自行承担盗刷的风险。

而作为互联网企业，产生数据泄露的后果，它仍是纯粹的受害人吗？还是相关责任的过错者？

蔚来公司已经体会到此种可能的责任。从目前其声明来看，公司已经明确：如果因此产生对客户的损害，其承担相应的赔偿责任。

但这是私法角度。

笔者以多年从事刑事司法的嗅觉，强烈感受到从公法角度也可作深入探讨。

在本案中，蔚来公司究竟是否需要对数据泄漏承担刑事责任。

因为目前我们可知的事实片面性，不妨将这个问题转换一下：蔚来公司有无承担数据保护的刑事义务。

2015 年通过的《刑法修正案（九）》增设了三种妨害信息网络安全管理秩序犯罪，2019 年 6 月“两高”通过了《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《解释》），解决了三罪立法适用中的部分问题。其中，以下这个新设罪名可能与本案有关。

第二百八十六条之一　【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：

（一）致使违法信息大量传播的；

（二）致使用户信息泄露，造成严重后果的；

（三）致使刑事案件证据灭失，情节严重的；

（四）有其他严重情节的。 

数据拥有的企业构成犯罪与否，涉及的几个焦点问题：1、是否属于网络服务提供者？

《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（以下简称《解释》）第一条对如何认定网络服务提供者作了明确规定，规定提供下列服务的单位和个人，应当认定为“网络服务提供者”：（1）网络接入、域名注册解析等信息网络接入、计算、存储、传输服务；（2）信息发布、搜索引擎、即时通讯、网络支付、网络预约、网络购物、网络游戏、网络直播、网站建设、安全防护、广告推广、应用商店等信息网络应用服务；（3）利用信息网络提供的电子政务、通信、能源、交通、水利、金融、教育、医疗等公共服务。

在本案中，由蔚来公司具体如何开展数据业务而定性。 

2、网络服务提供者不履行网络安全管理义务，是指哪种义务？——不履行法律和行政法规规定的义务。

司法实践中，这部分需要结合相关法律、行政法规关于安全管理义务的具体规定和要求认定。这方面的法律、行政法规主要有网络安全法以及《全国人民代表大会常务委员会关于加强网络信息保护的决定》《互联网信息服务管理办法》《计算机信息网络国际联网安全保护管理办法》《电信条例》等。

3、是否经监管部门责令采取改正措施而拒不改正？

4、致使用户信息泄露，是否造成严重后果的？

在此简单列两个严重后果的指标：（1）致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的；（2）致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的；

依据目前大型互联网企业所掌握的数据体量，别说500条，就是500万条也是小菜一碟。

三、对掌握数据的企业之启发——合规责任从个人过渡到企业

虽然很多历史学家不断告诫人类，不要踏入相同的错误二次。但是，基于教训总是伴随着时间的流逝而被遗忘，尤其是别人的教训。

可能蔚来公司经此一役会加强自身数据安全合规体系的建设。

然而，其他的数据企业是否能吸收这个宝贵的教训？毕竟这可能引发上文所称的监管义务与特定的刑事责任。

2022年 7 月 28 日中共中央政治局召开会议指出，“要推动平台经济规范健康持续发展，完成平台经济专项整改，对平台经济实施常态化监管”，据有关监管部门发表的讲话体现：“常态化监管最起码要实现两个转变，一是监管理念的转变，二是监管方式的转变，而平台企业的合规成为我们平台经济常态化监管的一个有效途径。”

一方面，随着新型网络犯罪的挑战愈发严峻，为全面落实互联网平台在网络犯罪治理

中的主体责任，我国相关立法开始出现类型化和专门化的犯罪控制义务。

另一方面，为鼓励数据企业开展合规，激励机制为数据合规提供内在动力真正实现数据合规要求，在刑事激励机制中，将有效的合规作为法定的量刑情节、无罪辩护的事由、适用强制措施的考虑因素等等都是激励的具体方式。

随着社会发展，刑事处置过程，已经适应时代变化和治理需求，开始实现刑事诉讼从以人为中心到个人与企业并行的转变，这也是近两年来企业合规火热的重要原由之一。刑事法律责任的主体将越发从个人过渡到个人与企业。

类似于蔚来公司的企业或者说掌握大量用户数据的企业，笔者希望以后这样紧迫的、现实的数据安全合规的提醒是来自于企业内部或外部的合规团队，而非来自一封封写着天价金额的“外部邮件”。因为，他们所掌握的数据，除了影响公司，还直接影响诸多信任公司的用户们，究竟谁才是数据被泄露的真正受害者？在现在“牛吃草、猪买单”高度商业复杂的社会，只怕受害者既是数量多，更是因连锁反应不知躲在哪个角落。

笔者无意对蔚来公司是否构成刑法犯罪而进行对号入座，仅是基于肉眼可见地数据企业与网络犯罪将飞速相伴相生、共同起舞的趋势，引发以上的思考，作为掌握数据的企业，法律也日益给予责任与界限。数据企业除了把握时代与科技给予自身的红利，更重要的是不能遗忘的责任。