中国车企迎来大航海时代，海外安全合规如何护航？

今年初，乘用车市场信息联席会秘书长崔东树发文表示：“至2023年，中国已成全球第一大汽车出口国。出海将成为未来10年汽车产业的下一个爆发点。”

根据海关总署1月份的全年汽车出口数据，2023年，中国汽车出口522.1万辆，同比增长57.4%，出口总额1016亿美元，同比增长69%，一举超越日本，成为全球最大的乘用车出口国。中国车企加速海外建厂，实现本土化生产、打造知名品牌，开辟“新大陆”成为新的竞争范式，随着10余家中国整车及零部件企业宣布将在泰国、巴西等地建厂，国内汽车产业正式开启“外卷”模式，迎来波澜壮阔的“大航海时代”。

图来源于网络

然而，中国企业的海外布局和技术输出的推进中，正面临海外对技术要求、认证标准、知识产权保护等方面的挑战，区域性的法规及认证的复杂性与差异性，正让中国企业出海面临严峻的考验。尤其对网络安全、数据安全及个人隐私保护要求极其严格的国家或地区，会对中国车企提出更高的要求。

以欧洲为例，包括《通用数据保护条例》（GDPR）、《数据治理法案》、《数字市场法案》、《数字服务法案》等，都对数据安全提出了明确要求。而这仅仅只是开始，不同国家或区域还将继续制定更加详细的政策、标准，进一步规范汽车数据采集、让渡、使用、确权等要求。网络安全、数据安全的差异化要求或将成为中国车企的出海之路的屏障和壁垒。

中国汽车出海，数据合规三大风险不容忽视

在中国汽车出海规模快速发展的背景下，其面临的各类合规风险也在不断积累，从产品到数据再到企业经营乃至供应链，都会涉及方方面面的认证问题。然而在众多认证需求中，智能汽车数据和网络安全显然是最受产业界关注的，其涉及的安全控制难度也更高。

奇安信集团车联网安全业务负责人付海涛认为，当前智能网联汽车平均安装多达150个ECU，并运行着约1亿行软件代码，若存在安全缺陷漏洞或被黑客利用攻击，将可能给驾乘人员、周边人员带来严重的安全威胁。其中，数据和网络安全认证主要关注几个方面：

首先是来自个人信息泄露的安全合规风险。

由燃油车向智能网联汽车/自动驾驶汽车的转变过程中，汽车的本质已经发生改变，当前汽车在技术上已经基本完成电动化与网联化，正在加速推进实现智能化。汽车已成为继手机之后的最大移动智能终端，车辆运行过程中的行驶轨迹、采集的车周环境数据、车内司机人员及车外人员的信息等，都对更高层面的公共安全甚至国防安全带来一定的隐患。因此，在对个人隐私保护要求极其严格的国家，会对中国车企提出越来越高的要求。

其次是智能化网联化带来的网络安全技术风险。

发展和安全往往是对立统一的矛盾，智能网联汽车/自动驾驶汽车等新技术和新业务的持续应用，可能会不断地导致新安全漏洞的产生，车辆互联使得车辆能够实现与外部通信，比如远程诊断和升级功能使得车辆生产商可以在线更新软件和固件，但这也会让黑客入侵系统和破坏车辆变得更为容易。根据研究机构Upstream发布的《2023年全球汽车行业网络安全报告》显示，全球汽车行业在过去5年中因网络攻击而遭受的损失超过了5000亿美元，而近70%的汽车安全威胁都是由远程网络攻击行为引发的，仅仅是2021年到2023年全球公开发布的汽车网络安全事件就超过了1300多起。

预计未来，监管机构持续制定政策法规，以确保车辆安全、自动驾驶安全和隐私安全的全生命周期的保护，这势必会对企业提出更高的安全和合规要求。

第三是汽车配套的海外APP数据合规挑战。

除车机端的合规之外，出海车企配套汽车产品推出的海外App也需要在上市前完成相应的数据合规审查与合规措施整改。由于车主可通过App远程控制车辆的状态，因此需确保相关数据或指令传输的安全。

车辆配套App的数据合规不仅要关注一般的GDPR合规要求，还需重点关注App的身份验证机制以及实现有效的账户隔离等方面的要求。因此，车企应在App上线前，根据App的每项业务功能梳理相关的合规义务，并进行整改，以达到合规的目的。

2023年11月7日，Top10VPN公布了针对中国电动汽车出口的数据隐私调查报告，报告主要对多个中国汽车品牌的隐私政策质量、数据收集、数据使用、数据隐私标签、企业与政府关系等方面进行调研。此次调查体现欧盟地区在数据流出方面重点关注数据是否完全脱离欧盟数据保护法律框架，若车企数据处理活动存在脱离欧盟数据保护法律框架的风险，将招致欧盟相关数据保护措施。

护航中国车企出海合规，奇安信已树立多个标杆

“在中国车企纷纷‘走出去’的出海潮流下，网络与数据安全认证已成为车企经营和国际化的生命线”。奇安信车联网安全业务负责人付海涛认为，随着各种围绕网络安全、数据相关的新的立法和司法实践不断涌现，安全合规成为了车企出海的“必考题”。一旦不合乎规定，轻则面临巨额罚款，重则失去出海的机会，这对于任何车企而言，都是难以承受之重。

为了应对车企出海面临的机遇和挑战，奇安信依托自身在车联网安全领域的技术积累，已构建了完备的车联网安全产品和解决方案，并成功应用于多家整车制造企业、车联网平台企业，全力助力中国车企出海。

其集团IT与网络数据安全总部部长雷相其表示，汽车出海是赛力斯业务发展重要一环，国内自主品牌车企在海外发展壮大，向全球展示中国汽车的领先技术，有助于提升中国汽车品牌形象，但想要真正实现高质量出海，企业首先要遵守当地的法律法规，譬如欧盟地区的R155法规，这需要汽车企业建立和完善车辆的网络安全管理体系和技术体系。

为了解决这些挑战，奇安信协助赛力斯建设了涵盖整车及零部件深度威胁检测能力，基于B/S架构实现集中管理，对车辆安全形成检测、防护、响应、管理、分析、策略运营的闭环安全管理流程体系，给赛力斯提供了以下三大价值：

首先是符合了R155的法规要求，让汽车出海有了“准入证”。

目前搭建的安全运营平台可以覆盖约20万辆汽车，可以给20万辆车颁发“网络安全合格证”，从而为汽车出海铺平道路。

其次是能够做到监控、分析及应对汽车网络安全风险。

对于赛力斯而言，合规只是网络安全走出的第一步，在当前攻击手段越来越复杂的情况下，网络安全已经成为汽车安全的重要部分。该平台利用机器学习、模型匹配的方式实现异常数据检测，进行未知威胁能力持续分析，并通过算法和模型更新，确保系统能力可以不断升级，满足不断增长的安全威胁需要。

最后是提供了直观的安全运营工具，显著提升效率。

平台对采集的各类安全数据、态势要素进行综合分析评判，通过多维度和指标化的形式来呈现整体安全运行态势和资产、漏洞、攻击、管理等专题态势，并进行可视化展示，提升了安全管理和决策效率。

此外，不久前奇安信还项目内容包括TSP(Telematics Service Provider)和App渗透测试服务等。奇安信帮助该车企的海外车联网 APP 和车联网安全运营提供渗透测试服务，在海外车联网或 App上线前和上线后消除安全隐患。

该项目是奇安信承接该头部车企的首个海外车联网安全项目，不仅为车企出海树立了行业标杆，同时也为奇安信持续拓展国际市场，探索海外网络安全合规业务奠定了基础。

据悉，截至目前，奇安信拥有成熟的合规检测与安全测试服务、技术过硬的专家团队及丰富的车企渗透项目经验、拥有多项安全服务资质等服务优势，并且已构建了完备的车联网安全产品和解决方案，打造了多个助力车企出海的标杆。

结束语

“车企的网络安全能力将会直接影响企业的商誉和品牌影响力”，正如赛力斯集团IT与网络数据安全总部部长雷相其所说的，车辆的网络安全、数据安全已成为了汽车企业安全运营的关键一环，车辆的网络威胁从技术问题转变为商业挑战，网络安全已经成为汽车企业战略业务目标的重要部分。