摘要：OTA(空中下载技术)升级是“软件定义汽车”时代的核心技术特征，使智能汽车从“交付即定型”的传统产品转变为“可被持续远程修改”的动态复合体，这一转变对以静态产品为预设的法律框架形成了深层挑战。本文以OTA升级的技术逻辑为起点，区分SOTA(应用程序升级)与FOTA(固件升级)两种类型，系统分析了现行法律在消费者知情权、选择权及产品责任认定方面的结构性失灵。本文提出以生产者全过程责任为核心的体系重构方案：建立区分SOTA与FOTA的分级规制框架;确立持续性知情同意机制，实行“逐次授权”而非“一次性授权”;将实质性FOTA升级视为“产品重新投入流通”，重置生产者责任的起算时点，形成从知情权保障到产品责任承担的全链条法律规制体系。

　　关键词：OTA升级;智能汽车;消费者知情权;产品责任

　　引言

　　2023年以来，多家智能汽车品牌通过OTA(空中下载技术)升级引发争议的事件屡见报端。某新势力车企在未经用户明确同意的情况下，通过OTA推送限制了车辆的电池充电容量;另一家车企则在系统升级后悄然修改了自动驾驶功能的激活条件，导致用户在购车时宣传的“高阶智驾”变成了需要额外付费的订阅服务。传统汽车的产品形态是静态的、固定的，车辆交付即意味着产品的“定型”。然而，智能汽车彻底颠覆了这一逻辑。OTA升级使得汽车成为“可被持续修改的产品”，生产者在车辆出厂后仍保有对车辆功能、性能乃至安全系统的远程控制能力。这种控制能力的持续存在，一方面为消费者带来了“常用常新”的体验，另一方面也引发了法律评价的根本性困惑：OTA究竟属于产品“维修”还是“再制造”?升级后的缺陷应归咎于生产者的原始设计，还是属于流通后的独立行为?消费者的知情同意能否豁免生产者的产品责任?在“软件定义汽车”的时代，OTA升级这一技术手段如何被纳入现有的法律框架进行规制?本文尝试以OTA升级的技术逻辑为起点，沿着“知情权——产品责任”的递进脉络，提出以生产者全过程责任为核心的体系重构方案。

　　一、OTA升级的技术逻辑与法律定性困境

　　(一)OTA升级的类型化分析

　　OTA升级并非单一的技术形态。从功能维度看，OTA升级可分为两类：SOTA(软件空中升级)和FOTA(固件空中升级)。前者主要针对车载信息娱乐系统的应用程序更新，如地图数据、音乐应用、用户界面优化等，不涉及车辆核心控制功能;后者则直接写入车辆的电子控制单元(ECU)，修改发动机、电池管理系统、制动系统、自动驾驶算法等核心固件，直接关系到车辆的行驶安全与性能表现。SOTA升级通常不改变车辆的基本属性与安全性能，其法律评价相对简单;而FOTA升级直接介入车辆的“核心驾驶功能”，实质上构成了对产品本身的“实质性修改”，而产品缺陷的认定通常区分设计缺陷、制造缺陷与警示缺陷，OTA升级恰恰模糊了这三者之间的边界——升级前的缺陷究竟是“设计缺陷”还是“流通后形成的缺陷”，取决于如何界定“产品投入流通”的时点。

　　(二)“实质性修改”与产品投入流通时点的重置

　　《产品质量法》第41条规定了生产者的免责抗辩事由，其中之一是“产品投入流通时，引发损害的缺陷尚不存在”。对于传统产品而言，投入流通是一个一次性事件，产品出厂即意味着“投入流通”的完成。然而，OTA升级彻底打破了这一预设——生产者通过远程推送的方式，持续地“介入”已经投入流通的产品。

　　欧盟《产品责任指令》第(29)条对此作出了回应：“如果产品经过实质性地修改，然后投放市场或投入使用，则视其为新产品。”第(29b)条进一步明确：“如果实质性修改是通过软件更新或升级进行的，或者是由于人工智能系统的不断学习而进行的，实质性修改产品应在实际开展修改的时点视为已经投放市场或投入使用。”这一规定的法理逻辑在于：生产者通过实质性修改重新获得了对产品的“控制力”，并应为此承担相应的“产品责任”。按照这一思路，FOTA升级应当被认定为对智能汽车的“实质性修改”。每一次涉及核心驾驶功能(尤其是自动驾驶系统、制动系统、电池管理系统)的FOTA推送，都应当被视为产品“重新投入流通”的时点。这意味着，生产者不能以“缺陷在原始出厂时不存在”为由主张风险抗辩，而必须以升级时的科学技术水平为基准承担产品责任。

　　(三)OTA升级引发的责任“时间盲区”

　　如果将每一次实质性OTA升级都视为“重新投入流通”，则面临一个实践难题：在两次升级之间发生的缺陷，责任归属如何认定?例如，某车企在T1时点通过OTA推送了新的自动驾驶算法，该算法本身没有缺陷，但经过三个月的运行和深度学习后，在T2时点出现了算法偏差并引发事故。此时，缺陷形成于升级之后、下次升级之前，生产者是否应当承担责任?目前核心观点认为，严格责任会促使生产者不断改进自动化技术，及时对操作系统进行线上更新。由于OTA升级的存在，生产者对已投入流通的产品仍然保有“持续的控制力”，因此其注意义务不应止于投入流通之时，而应当延展至产品的全生命周期。换言之，OTA升级技术的采用，本身就是生产者承担“持续跟踪观察义务”的证据——既然生产者选择通过OTA持续介入产品，就必须为这种介入所可能引发的缺陷承担责任。

　　二、OTA升级中的消费者知情权困境

　　(一)升级告知的“形式化”与“技术黑箱”

　　OTA升级对消费者知情权的冲击，集中体现为告知的形式化和技术的不可理解性。

　　首先，对于告知的形式化。《消费者权益保护法》第8条规定，消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利。然而，在OTA升级的场景中，生产者的告知往往以“用户协议更新”“系统日志说明”等形式出现，内容充斥着专业术语和模糊表述。据北京互联网法院的调研，部分车企在实施OTA升级时，新增的数据采集功能仅通过系统更新通知形式告知消费者，未履行专项告知义务。这种“升级即同意”的默示授权模式，实际上架空了消费者知情同意的实质要求。

　　其次，对于技术黑箱问题。OTA升级涉及的多为算法参数的微调、传感器阈值的修改、自动驾驶决策逻辑的变更，这些信息即使是具备专业知识的消费者也难以理解，更何况是普通车主，智能汽车消费者面临的特殊困境在于：消费者关注的焦点不再局限于传统汽车的机械性能，而更多遭遇诸如算法、数据交互和软件功能之类的问题，特别是存在“技术黑箱化”现象。当消费者无法理解升级究竟改变了什么，知情权也就失去了实质意义。

　　(二)知情权的“时间维度”：升级前与升级后的断裂

　　传统消费者的知情权是“一次性”的——消费者在购买时了解产品信息，作出购买决策。OTA升级的出现，使知情权具有了“持续性”特征：消费者不仅需要知晓购买时的产品状态，还需要持续知晓产品被“修改”的过程和结果。

　　然而，现行法律并未建立这种持续性知情权的保障机制。《消费者权益保护法》第8条规定的是购买和使用时的一般知情权，并未专门针对“产品被远程修改”的情形设置特别的告知义务。实践中，车企往往以“系统优化”“功能提升”等模糊表述概括升级内容，回避对功能削减、性能限制、数据采集范围扩大等可能对消费者不利的信息披露。

　　更值得关注的是“暗降级”现象——通过OTA悄然降低车辆性能以规避保修义务或掩盖设计缺陷。某品牌曾通过OTA将电池充电上限从100%降至80%，理由是“保护电池健康”，但事后被证实是为了掩盖早期电池设计缺陷导致的安全风险。在这种情形下，消费者不仅未能获得充分告知，甚至被剥夺了对产品“降级”的知情权。

　　三、OTA升级引发的产品责任认定难题

　　(一)缺陷认定：升级后的“不合理危险”

　　产品责任的前提是产品存在缺陷，《产品质量法》第46条将缺陷定义为“产品存在危及人身、他人财产安全的不合理的危险”。OTA升级场景下，“不合理危险”的判断面临两个特殊问题：其一，升级前没有缺陷、升级后出现缺陷，该缺陷应归因于谁?其二，升级本身是生产者的主动行为，这一行为是否改变了“不合理危险”的评价基准?

　　对于第一个问题，如前所述，实质性FOTA升级应当被视为“产品重新投入流通”。因此，升级后形成的缺陷，应按照升级时的科学技术水平进行判断，生产者不能以“出厂时无缺陷”为由免责。

　　对于第二个问题，需要区分“改进型升级”与“修复型升级”。前者旨在增加新功能或提升性能，后者旨在修复已知缺陷。从风险分配的角度看，改进型升级引入的新功能如果带来新的风险，生产者应当承担更高的注意义务，因为这属于“自愿承担的风险增加”。而修复型升级如果因修复不彻底或引入新缺陷而导致事故，生产者同样不能免责，因为这属于“未善尽注意义务”。

　　(二)因果关系：OTA数据作为证据的证明力

　　OTA升级引发的产品责任纠纷，核心证据往往是升级前后的系统日志、算法参数和车辆数据。传统民事诉讼遵循“谁主张，谁举证”原则，要求消费者证明产品缺陷与损害之间的因果关系。但在OTA场景下，消费者往往因无法获取完整系统日志而陷入举证困境。实证数据显示，在64件国内民事判决样本中，因证据不足被驳回的案件占89.66%，其中绝大部分涉及消费者主张“OTA升级导致功能异常”却无法提供有效证据的情形。

　　为破解这一困境，可以考虑在OTA升级相关纠纷中实行“初步证据+举证责任转换”的规则：消费者只需证明“车辆在OTA升级后一定期间内发生事故”以及“事故与升级功能具有关联性”，即可初步完成举证责任;此后，举证责任转移至生产者，由生产者证明事故与OTA升级无关或升级不存在缺陷。这种举证责任的“缓和”，并非对“谁主张谁举证”原则的颠覆，而是基于技术信息不对称所作的必要矫正。

　　(三)生产者责任的时间边界：持续性义务的确立

　　OTA升级技术的采用，实质上是生产者主动选择了一种“持续性介入”的产品交付模式。按照风险控制理论与报偿正义原则，谁对风险拥有控制力，谁就应承担相应责任。既然生产者通过OTA持续控制着已售出产品的功能和性能，其责任边界就不应止于出厂之时，而应延展至产品的合理使用寿命周期。具体而言，生产者的持续性义务至少包括以下内容：一是持续监测义务，即对已投入流通的产品的运行数据(特别是涉及安全的关键数据)进行持续收集和分析;二是缺陷响应义务，即发现潜在缺陷后及时通过OTA修复，并对修复不力的后果承担责任;三是信息披露义务，即对每次升级的内容、目的、风险进行充分告知。

　　四、体系重构：从知情权到产品责任的全过程规制

　　(一)建立持续性知情同意机制

　　针对“一揽子授权”的弊端，应建立OTA升级的持续性知情同意机制。这一机制的核心是“逐次同意”而非“一次性授权”。具体制度设计可包括：一是“升级分类告知”，将升级分为安全必需型、功能优化型、功能削减型等类别，对不同类别设置差异化的告知标准和同意要求;二是“拒绝升级的保护”，消费者有权拒绝非安全必需的升级，拒绝不应导致车辆基本功能受限;三是“升级记录的可追溯”，生产者应保存历次升级的详细记录，并以可读形式提供给消费者查询。

　　在技术实现上，可借鉴“分层同意”的界面设计：第一层为简明告知(一句话说明升级主要内容)，第二层为详细说明(具体功能变更、数据采集范围、潜在风险)，第三层为技术参数(供专业人士查阅)。消费者只需对第一层和第二层内容作出同意即可，第三层可作为商业秘密保护。这种设计既保障了消费者的知情权，也兼顾了生产者的商业秘密保护需求。

　　(二)重构产品责任：从“出厂时点”到“全生命周期”

　　OTA升级对产品责任制度的根本挑战，在于它揭示了“产品”概念从“静态物”向“动态服务”的转变。应对这一挑战，需要重构产品责任的理论基础——从“出厂时点的严格责任”转向“全生命周期的持续性责任”。

　　具体而言，可考虑在《产品质量法》修订中增设专门条款，明确以下规则：第一，生产者通过OTA方式对已投入流通的产品进行实质性修改的，应当以修改完成之时作为产品责任的新起算时点。第二，生产者的跟踪观察义务应当延伸至产品的合理使用寿命周期，包括对OTA升级后形成的“后发缺陷”承担责任。第三，因OTA升级导致产品性能下降或功能丧失的，消费者有权主张产品不符合质量要求，要求生产者承担相应责任。

　　结语

　　OTA升级是“软件定义汽车”时代的核心技术特征，消费者的知情权和选择权在“一揽子授权”和“强制升级”中被架空，产品责任的“投入流通时点”在“持续性修改”中变得模糊，生产者与消费者之间的风险分配在“技术黑箱”中失衡。应对这些挑战，需要在区分SOTA与FOTA的基础上，建立分级规制框架。SOTA侧重知情权保障，FOTA则应适用“实质性修改重置流通时点”的规则，使生产者对升级后的缺陷承担产品责任。同时，通过建立持续性知情同意机制、重构产品责任的时间边界，形成从知情权到产品责任的完整规制链条。

　　参考文献

　　1、石冠彬.自动驾驶汽车侵权责任的承担：实践困境及其破解[J].广东社会科学,2026(01)

　　2、刘轶.人机共驾事故侵权责任与保险制度的法经济分析[J].商业经济与管理,2022(02)

　　3、北京互联网法院课题组.智能网联汽车行业数字版权保护问题研究——以智能网联汽车头部企业涉诉纠纷为视角[J].数字法治,2025(06).

　　4、张睿颖.智能汽车消费者权利保护法律机制研究[D].山东政法学院,2025.

　　5、王亚宁.自动驾驶汽车交通事故纠纷法律解决机制研究[J].中国人民警察大学学报.

　　6、周佳瑜.自动驾驶汽车法律责任问题实证研究[D].华东交通大学,2025.

　　7、高完成,曹孟博.人机共驾交通事故侵权责任的动态分配与保险构造[J].郑州大学学报,2026(01)

　　作者简介：

　　王晓芳，高级合伙人

　　王晓芳律师，高级合伙人，执业多年来专注于公司法律事务、资本市场与证券领域，擅长投融资、IPO、并购重组及金融诉讼业务，曾担任多家知名证券公司内核委员及交易商协会专家，深耕企业上市、发债、并购全流程法律服务。

　　手机：13910283125

　　邮箱：wangxiaofang@deheheng.com

　　肖赛，执业律师

　　肖赛律师，执业律师、高级企业合规师，长期深耕汽车后市场全链条争议解决领域。曾于国家市场监督管理总局网监司工作并参与部门规章制定，深谙行业监管逻辑，从业以来代理了近百件汽车买卖、产品责任及修理合同纠纷案件，在汽车行业诉讼纠纷处置方面具备丰富的实战经验。

　　手机：18201673512

　　邮箱：xiaosai@deheheng.com