在“新四化”的浪潮中,网络和信息安全愈发重要,相关法规应时而生。本文以UNCEC R155法规和强制性国家标准GB《汽车整车信息安全技术要求》为例,探究中国与欧洲法规的差异及其成因。
在汽车“新四化” (电动化、智能化、网联化、共享化)的发展趋势下,汽车产业对大数据、人工智能等技术的探索和应用也更加深入。一方面,我们享受着智能网联汽车带来的革新,另一方面,我们也必须看到智能网联汽车正面临着不容小觑的网络及信息安全方面的挑战。据Upstream统计,在过去五年,全球汽车行业因网络攻击造成的损失超过5000亿美元;而网络攻击也呈现出攻击方式复杂化、攻击媒介多元化的趋势。这意味着网络安全不仅仅是车企需要挑起的重任,而是整个产业链、甚至包括每个消费者和交通参与者都需要关注的问题。
为了有效防范及控制相关风险,亟需强有力的法规规范和监管。在此背景下,2021年,联合国欧洲经济委员会(UNECE)颁布的R155 法规成为填补汽车行业日益增长的网络安全风险和有效规范管理之间的空白的第一部正式法规文件。然而UNECE并不是唯一意识到网络安全重要性的组织。早在 2019 年,我国就启动了网络安全相关的国家标准 GB/T《汽车整车信息安全技术要求》的编制工作,并成立了标准项目组。但在项目初期阶段,该国标文件仅具推荐性质。2021 年,随着行业管理需求和主管部门要求的增加,原本推荐性的国家标准项目被调整为强制性。这一调整发生在UNECE R155 法规发布不久之后,该调整也再次凸显了网络和信息安全在汽车行业中的重要性,以及行业对规范管理的迫切的需求。
对于车企而言,建立完善的网络安全管理体系(CSMS)的益处不言而喻。特别是对于一些对欧洲市场有着强烈兴趣的车企,根据UNECE R155法规的要求,网络安全管理体系认证(CSMS)和车辆网络安全型式认证(VTA)已成为强制性规定;这意味着,想要进入欧洲市场,必须拿到这两张通行证。如今,法规的强制要求已经进入最终的倒计时阶段:截至2024 年 7 月,所有车辆均必须符合该标准要求。
暂时没有出海计划的车企同样不可掉以轻心。根据统计结果显示,超过90%的网络攻击都是远程进行的。网络安全风险无国界,在全球范围内,网络和信息安全已成为一个共同关注的话题,中国也不例外。从法规和监管角度来看,强制性国家标准GB《汽车整车信息安全技术要求》已处于审查阶段,获批和执行近在眼前。
强制性国家标准GB《汽车整车信息安全技术要求》在其编制说明中指出,其部分内容参考了UNECE R155法规。然而,经过对比可以发现二者在结构和内容方面都存在明显的区别。
UNECE R155与GB《汽车整车信息安全技术要求》*章节结构对比
UNECE R155与GB《汽车整车信息安全技术要求》*章节结构对比
EFS搜集整理
两部法规在信息安全管理体系(CSMS)方面的要求十分相似,这意味着虽然中欧市场情况不同,但是车企可以根据新规的要求更新、改善企业现有的CSMS以达到合规标准。
但是涉及到车辆安全要求、测试和验证等方面,二者存在显著的差异:
1、UNECE R155在附录中罗列了可能的风险来源,但未提及对车辆的具体技术要求或者明确的测试方法,而是要求车企采用适当的方法来应对这些潜在风险。而另一部信息安全相关文件ISO/SAE 21434 则提供了更详细的网络威胁分析和风险评估(TARA)的方法,该ISO文件与 R155互为补充。但值得注意的是,该ISO文件也仅提供了框架方法论,缺乏具体的措施。
2、国标GB《汽车整车信息安全技术要求》则提供了更为具体的技术要求:文件第 7 章至第 10 章分别对车辆外部连接、车辆通信、车辆软件升级和车辆数据代码的技术要求做出了详细阐释。更重要的是,附录A 中提供了详细的测试验证方法,给车企以详尽的指导。
中欧这两部法规/标准的差异原因或许能够被简单归结为中欧法规和监管体系的不同;但如果进一步剖析会发现,法规差异的背后映射出中欧两种文化的差异,以及中欧市场和监管环境的差异。
文化差异:首先,不妨从文化角度来审视法规之间的差异。法规/标准可以视为行业的“教科书”或者“指南”,是官方传达知识和指导行为的资料。在中国传统的教育体系中,通常由权威主体负责传授知识,强调记忆和遵守规则的重要性,这与欧美国家的发散式教育体系明显不同。这两种不同的教育体系会对人们的思维和行动方式产生影响。因此,中国法规给出详尽的技术要求,以保证参与者清楚地了解需要采取的行动;相反,UNECE法规仅提示潜在的风险点,具体的应对方式则需要参与者研究和琢磨。两种教育体制根植于当地更为渊源的文化历史长河,并无良莠之别;而在某种程度上作为“教科书”的法规/标准同样更适用于当地文化教育背景中的参与者。然而,无论企业此前所适应得是哪种文化习惯,在进入新市场、面临新法规时,都需要从文化逻辑的基层探究在新环境中的求胜之路。
市场规模差异:中国是一个拥有众多汽车企业和品牌的庞大市场。根据国家统计局公报,2023年末全国民用汽车保有量超过3亿量**。试想在如此庞大的市场规模下,缺乏行之有效的管理方法将带来不可忽视的风险,无论是对车企、监管机构或是终端用户都有影响。首先是车企的合规成本增高,在缺少明确指示的情况下,企业将不得不投入更多的资源去研究合规性的解决方案,从而影响企业资源的利用效率,最终对车企产生一系列本可避免的影响。其次,对于监管部门而言,需要管理的目标越多,管理的难度就越大。而采用集中化、标准化的管理方法,则可以显著提升管理效率和质量。对于终端用户而言,通过精细且严格的标准化认证的产品才是安心之选。相比之下,市场规模有限的欧洲各国则允许采取较为灵活的方式来满足合规性。不同的市场规模直接导致了法规执行和监管的难度差异,更影响了所有利益相关方的投入和策略。对于网络和信息安全这样重要的话题,确保法规的成功实施至关重要。
技术和认知差距:过去数年,中国在智能网联汽车和相关技术方面有着突飞猛进的发展,但对于网络和信息安全的认知却稍显薄弱。即使在该国家标准文件编制之初,项目组也只是将其作为建议性法规。相较于早已深入人心的传统安全性法规要求,汽车行业大部分参与者对网络和信息安全的认知和探索尚处于较早期的阶段。在这种认知模糊的背景下,很难要求车企根据简单的框架摸索出卓有成效的管理方法。不可否认,先进的技术与落后的风险意识之间的差距难以通过模糊的管理要求来弥补,这是中国和欧洲均需要面临的痛点。然而不同的是:得益于较早颁布的欧洲法规,国家标准在制定过程中能够充分审视欧洲的法规条款,并结合我国的市场、文化、监管等多方面要求,提出真正适用于我国的标准化文件。学习,创新,并精益求精,不失为大智慧。
* 对国家标准GB《汽车整车信息安全技术要求》的分析基于征求意见稿,正式文件以实际发布为准
**数据来源于国家统计局2023年国民经济和社会发展统计公报,统计范围为民用汽车(包括三轮汽车和低速货车)
EFS Consulting是一家总部位于奥地利的管理咨询公司,拥有30余年全球汽车行业的咨询经验。
