近日，哪吒U海外版首次运抵土耳其，进一步丰富了其在海外市场的产品矩阵；小鹏汽车方面则透露，计划2024年底前在欧洲推出自动导航辅助驾驶（NGP）……种种迹象表明，海外市场对中国汽车的需求不断增长，根据中国汽车工业协会发布的最新数据，2023年1～9月，汽车整车出口量同比增长64.1％；整车出口金额同比增长83.7％。

然而，机遇往往与挑战并存，随着汽车智能化、网联化的发展以及我国汽车出口规模的增长，车辆网络安全是否在海外市场合规问题成为一项新考验。

要满足当地相关准入条件

当包括汽车在内的人类经济社会生活变得越来越智能化、网联化，随之而来的风险也与日俱增，汽车网络安全事件开始更为频繁地见诸报端。

今年5月，日本丰田汽车官网刊载了一份致歉通知，公布了该公司一起长达10年的数据泄露事件，涉及约215万名本土用户，内容包括车辆识别号、底盘号、车辆位置信息及车载摄像头拍摄的视频片段，且丰田无法确定所泄露的数据是否有被滥用的行为。

而更被国内消费者所熟知的是，去年12月20日，蔚来汽车发布声明称，当月收到外部邮件，声称拥有该公司内部数据信息，并以泄露数据相威胁勒索225万美元等额比特币（约合1570.5万元人民币）。据了解，经初步调查，被窃取数据被第三方违法出售。

区别于从前的传统燃油车，智能网联汽车采用大量的传感器、微处理器、智能导航系统、语音交互系统，存在被黑客攻击或用户数据被泄露的风险。为保护网络安全和个人隐私，世界多个国家和地区的监管机构纷纷出台相关法规和标准。

2020年6月，联合国世界车辆法规协调论坛正式颁布《车辆网络安全与网络安全管理体系》（UN-R155）。这是全球第一个汽车信息安全强制法规，要求汽车制造商在产品全生命周期的各个阶段具备有效发现和控制网络安全风险的能力，并明确提出建立网络安全管理体系（CSMS）认证优先于产品型式认证（VTA）的前提条件。

有行业专家指出，汽车产业的全球化程度非常高，各个国家和地区之间的数据来往不可避免，网络安全的合规显得格外重要。当中国汽车越来越多地走出国门，如何更好地满足目标出口市场对汽车网络安全的准入要求，成为摆在中国车企面前的新课题。

人才、技术和体系的挑战

为了满足海外市场的相关标准，中国“出海”车企正积极开展行动，其中部分车企已率先获得UN-R155和《车辆软件升级管理体系》（UN-R156）认证证书。

比如，2022年10月，长城汽车成功获得德国联邦机动车交通管理局（KBA）颁发的UN-R155 CSMS认证证书。同期，小鹏汽车获得爱尔兰交通部（NSAI）颁发UN-R155 CSMS认证证书。

今年上半年，比亚迪通过审核，获得由卢森堡交通部（SNCH）颁发的UN-R155 CSMS认证证书、UN-R156车辆软件升级管理体系（SUMS）认证证书，以及UN-R155车辆网络安全VTA证书和UN-R156车辆软件升级VTA证书。9月，上汽乘用车获得荷兰交通部（RDW）颁发的UN-R156 SUMS认证证书。

TüV莱茵大中华区交通服务总经理李志涛向记者介绍说，2021年8月31日，汽车网络信息安全领域首个国际标准《道路汽车-网络安全工程》（ISO/SAE 21434）正式发布。此外，欧洲也出台了一系列网络安全相关法规，比如《通用数据保护条例》（GDPR）。

李志涛认为，在“软件定义汽车”时代，传统汽车技术与信息、软件技术深度融合，这无疑给车企带来巨大的挑战，主要在于人才、技术和体系三个层面。首先，汽车网络安全涉及跨专业融合，需要既懂汽车、又精通互联网、还熟知软件的人才，对从业者复合能力的要求很高。他直言，尽管第三方机构提供相关培训课程和人员资质认证，各大院校也在抓紧建立汽车网络安全相关专业，但人才培养需要时间，眼下这类人才还相当短缺。

其次，企业要有自己的一整套安全开发流程，据此进行网络安全产品的研发。在李志涛看来，技术层面的挑战十分艰巨，国内企业只有尽早在包括芯片、模块和加密算法等在内的网络安全核心技术领域获得突破，才能掌握更多主动权。

再次，企业需要在产品开发、生产、运维和报废等全生命周期进行网络安全管控，尤其是运维阶段的持续监控、监测和记录网络安全攻击、漏洞管理，以防止个人隐私数据泄露。

有备而来以免“水土不服”

联合汽车电子有限公司产品信息安全能力中心主任罗勇向记者表示，随着我国汽车出口到海外市场的规模不断扩大，企业要努力提早识别合规性要求，并尽早做好准备。

罗勇强调，在项目启动前，车企就应尽可能地了解目标出口国或地区的法律法规和标准，将其作为产品开发需求的重要内容；随后，将这些需求分解到零部件配套层面，再由供应商做分析和设计，甚至车企应与供应商共同参与一些标准与法规的调研与制定。例如，ISO/SAE21434早在2017年就开始起草，国内企业即便没有直接参与其中，也可通过一些渠道尽早了解其动向，以提前做出应对。据他介绍，联合汽车电子作为中德合资公司，上汽与博世是两大主要投资方，因此能拿到更多欧洲市场的一手资料，可提醒国内车企注意网络安全合规。

罗勇还提出，车企在产品研发过程中要提前进行能力建设和储备，比如选择何种芯片和网络安全方案。如果在项目进行中遇到目标出口国或地区法规标准的变化，应及时作出响应和调整，评估是否会产生风险与不利，制定新的计划，补齐欠缺之处。

此外，当产品销往海外后，车企应与客户保持密切的交流与沟通，了解车辆在海外市场的运行情况，及时解决突发问题。罗勇直言，很多车企的产品“出海”后，想要收集车辆运行相关数据有难度，比如GDPR法规涉及数据出境的强监管，这给产品优化带来挑战。

不做“孤勇者”应加强交流

据了解，我国汽车网络安全相关法规标准建设正逐步完善，其中《汽车整车信息安全技术要求》即将出台。“关键在于满足合规要求与开发成本之间的平衡。换言之，如果标准要求过于严格，企业开发成本就会很高；如果标准过低，又达不到监管的效果。另外，汽车产业链相当长，涉及的有关监管部门众多，在网络安全领域也存在‘多头管理’的隐忧。”罗勇说道，“车企和供应商都要做好自己的能力建设，只有层层达标才能保证整车的网络安全，特别是在当下汽车市场高度‘内卷’的竞争环境下，车企更应该坚守底线。”

李志涛建议，除了整个社会提高个人隐私保护意识，共同防范网络安全风险之外，车企还应加大网络安全投入力度。他对记者说：“网络安全相当于一道围墙，对汽车功能本身的提升帮助也许不大，但重在抵御风险的发生。这些额外的措施需要不菲的投入，考验着车企的实力和担当。”

李志涛表示，对汽车行业而言，网络信息安全已不再是一个可选项，而是必要的责任，持续性监测正在成为汽车制造商和车辆运营企业网络安全实践中的关键“锚点”。行业和企业要共同搭建云端监控平台，及时识别和应对潜在威胁，以满足国际国内法规标准的严格要求。

“更重要的是，我国亟需加快完善汽车网络安全标准体系建设，推进实践，进一步加强国际交流，以更好地拥抱汽车智能化和网联化的创新机遇。”李志涛最后说。