随着自动驾驶技术商业化，交通运输迈入“人机协同”新阶段。该技术运行高度依赖车联网架构、海量实时数据传输及算法自主决策，这些特质使其易成为网络攻击目标。《2025年Upstream全球汽车网络安全报告》显示，2024年全球自动驾驶汽车网络攻击事件同比增长39%，车载系统漏洞攻击占比达35%。此类攻击不仅造成人身与财产损害，更引发责任认定混乱、损失难以追偿等法律难题，既制约自动驾驶产业发展，也对现有法律规制体系构成严峻挑战。

当前，此类事故处理主要面临三重法律困境。

一是责任主体认定模糊。传统交通事故中，驾驶人、汽车所有人与汽车制造商责任边界清晰，但网络攻击介入后，责任主体延伸至网络攻击者、软件开发者、网络服务商等多方。理论上，网络攻击者作为直接侵权人本应承担全部责任，但网络空间匿名性、攻击技术隐蔽性及跨境管辖权冲突，导致其身份难锁定、追责难落地。同时，汽车制造商的网络安全义务缺乏法定量化标准，网络安全法、产品质量法相关规定较原则，未明确车载网络安全漏洞是否属于产品缺陷，难以判定汽车制造商是否尽到安全保障义务。加之自动驾驶软件多依赖第三方研发，整车厂商与软件开发者的责任划分缺乏明确法律依据，进一步加剧责任混乱。

二是归责原则适用冲突。我国机动车交通事故责任以过错责任为基础，产品责任适用无过错责任，这一体系因网络攻击介入被打破。对汽车制造商而言，产品网络安全缺陷致害适用无过错责任具有合理性；但若其已履行合理防护义务却遭新型攻击突破，过度适用无过错责任会抑制企业创新积极性。现有法律未明确软件开发者与网络服务商的归责原则，若对其适用过错责任，受害人因技术信息不对称难以举证；若适用无过错责任，既无法律依据，也会加重其经营成本。此外，网络攻击场景下驾乘人员难以规避风险，而对驾驶人适用传统过错责任显失公平。

三是因果关系证明困难。自动驾驶算法决策具有“黑箱”属性，网络攻击对算法的干扰极具隐蔽性，即便获取行车数据，也难还原攻击与事故的直接关联。同时，自动驾驶核心数据由汽车制造商、软件开发者与网络服务商掌控，受害人因数据垄断难以获取关键证据，无法完成因果关系举证，直接阻碍其合法权益实现。

针对上述困境，笔者认为，需结合我国法治实践与行业现状，构建精准适配的规制体系。

首先，厘清责任主体与责任顺位。将网络攻击者列为第一顺位责任主体，明确其全额赔偿责任，强化跨境司法协作与网络溯源技术应用，破解匿名追责难题。对汽车制造商与汽车所有人，结合事故成因划分责任，若因产品漏洞致害，汽车制造商承担无过错兜底责任；汽车所有人未履行基础安全义务，承担过错责任。同时增设“不可预见风险”免责条款，平衡安全保障与创新激励。此外，明确软件开发者与网络服务商的补充责任，若软件存在已知漏洞未修复，软件开发者与汽车制造商承担连带责任；网络服务商未履行安全监测义务，按过错承担补充赔偿责任。

其次，优化差异化归责原则。对网络攻击者适用严格责任以强化威慑，无论其是否具有主观故意，只要行为与事故存在因果关系，即需承担责任；对汽车制造商区分情形归责，可预见漏洞致害适用无过错责任，新型不可预见攻击致害适用过错推定责任；对汽车所有人适用过错责任，仅在其违反基础维护义务时承担责任；对软件开发者与网络服务商适用过错推定责任，由其自证已履行相应义务，减轻受害人举证负担。

最后，破解因果关系举证难题。对前述适用无过错、过错推定责任且掌握核心数据的汽车制造商、软件开发者及网络服务商，推行举证责任倒置，受害人完成初步举证后，由相关主体承担举证责任。同时强制汽车制造商安装标准化车载黑匣子，相关数据留存不少于3年，并建立第三方数据存证机构，保障受害人数据调取权，为因果关系司法认定提供坚实证据支撑。