美國及歐盟針對智慧聯網車之通訊安全管制措施

知識文章

美國及歐盟針對智慧聯網車之通訊安全管制措施

2025 / 10 / 22

產業發展處林芷柔

在全球積極發展智慧聯網車之時代，其中中國大陸在生產及銷售方面表現亮眼，帶起一股趨勢。同時也讓各國重新調整本土車輛產業發展，尤其資訊安全議題更加關注。因此，本文將以美國及歐盟為例，探討其聯網車之通訊安全管制措施，可供未來發展之參考。

美國針對聯網車管制措施推動歷程

美國商務部工業安全局（BIS）於2024年9月26日公告《擬議規則》（NPRM），計劃禁止銷售及進口「有疑慮國家」（如中國大陸、俄羅斯、北韓等）相關之聯網車車輛、技術及零組件。隔年1月14日工業安全局公告《最終規則》（Final Rule）明確禁止銷售及進口與中國大陸及俄羅斯有足夠關聯之聯網車，包含資通訊軟硬體。2025年6月美國聯邦通訊委員會（FCC）提議擴大管控中國大陸聯網車之技術並列入管控清單，配合工業安全局之規定。2025年9月5日商務部公告新增禁止進口無人機及重型車輛（意指重量超過1萬磅之車輛），具體規範內容尚待公布。

圖1、美國針對聯網車管制措施推動歷程

資料來源：美國BIS官網，車輛中心整理

美國商務部工業安全局（BIS）《最終規則》（Final Rule）分析

最終規則認定，車輛聯結系統（VCS）硬體或軟體，或自動駕駛系統（ADS）相關軟體之聯網車，倘若該系統由中國大陸或俄國進行設計、研發、製造或供應，即使該車輛是在美國生產製造，仍有顧慮，故皆須禁止，以維護國家及人民安全。最終規則包含整合之相關硬體與軟體。軟體相關管制適用於2027年式車款，硬體相關管制適用於2030年式車款，無年份之車款則於2029年1月1日生效。目前此規則僅限於乘用車（意指重量為1萬磅以下之車輛），並計劃未來會針對聯網商用車（包含卡車及公車）發布單獨之管制規則。

最終規則要求特定進口商及製造商須提交年度「符合性聲明」，以證明其遵守禁令。其中內容允許商務部就風險較低之某些交易類型提供「一般授權」，以及給予受管制廠商「特定授權」進行相關交易。廠商如被認定有虞，可請求BIS提供「諮詢意見」以認定該交易是否符合該規則。

最終規則於今年1月14日發布，該規則公布後60日為生效日期，即為今年3月17日生效。

表1、美國「最終規則」（Final Rule）

資料來源：美國BIS官網，車輛中心整理

歐盟針對智慧聯網車之通訊安全管制措施

歐洲是發展車輛產業先驅，在智慧聯網車當道之時代，歐盟在資安、個人隱私及車輛安全等面向也有對應之配套措施。近年來，積極打入歐盟市場之中國大陸車企亦須符合歐盟相關規定，方可進入。

歐盟自2024年7月7日起，強制規定所有車輛製造商須遵守聯合國公布之UN R155、156標準，內容包含網路安全管理系統及軟體更新管理系統，以保障車輛資通訊安全，防範網路攻擊及保障個資。除此還包含網路韌性法案（Cyber Resilience Act，CRA）及無線電設備指令（Radio Equipment Directive；RED）等相關法規。

網路韌性法案（Cyber Resilience Act，CRA）

明定自2024年10月生效，2027年12月全面實施。其針對所有進入歐盟之數位商品，包含硬體及軟體皆須建立統一且強制之資安標準，以保障消費者及企業。此法案要求製造商、進口商及經銷商等供應鏈，在產品之規劃、設計、開發、維護等整個過程，皆須嚴格執行資安要求。包含商品上市前須確保設計無漏洞，售後亦須持續提供資安更新，並要求供應商在2027年前須提供軟體物料清單（SBOM），若不符合規定，除了不得在歐盟市場進行銷售及進口，還將面臨處以1,500萬歐元之罰款。

無線電設備指令（Radio Equipment Directive；RED）

在今年8月1日起，實施最新版規定，其要求凡具有聯網功能之產品，從智慧型手機、藍牙、WiFi設備、車載無線通訊設備（如C-V2X）、無線監控攝影機等，皆須符合規範方可在歐盟市場進行銷售。RED主要涵蓋三面向，分別為須保障人身、健康及財產安全，強調個人隱私須受保護，無線電設備在聯網傳輸過程不受破壞或者被迫中斷，降低詐欺風險及防範網路威脅。

該內容規定製造商及經銷商須確保產品安全、合規性及電磁相容性（EMC），產品亦須有相關規範手冊，如使用說明書。製造商及經銷商亦須持續對產品之軟體進行更新，以不斷強化該安全及符合標準，避免被攻擊或破壞。製造商須取得CE認證標誌，以證明符合歐盟規範。若資格不符，則禁止進口及銷售，甚至面臨罰款或召回。

表2、網路韌性法案（Cyber Resilience Act，CRA）、無線電設備指令（Radio Equipment Directive；RED）

資料來源：車輛中心整理

國內聯網車輛法規之國際接軌與資安整備：以UN R155/R156標準導入為核心國內針對聯網車之規範，目前車輛中心（ARTC）正建立符合UN R155、R156標準之驗證能量，去年10月已與德國TÜV SÜD簽署合作備忘錄，為後續中心成為具有國際驗證資格奠定良好基礎。交通部已完成車輛型式安全審驗管理辦法附件96，網路安全及網路安全管理系統，以及附件97，軟體更新及軟體更新管理系統，將正式於2028年1月1日起新型車輛實施。

綜上所述，當全球各國皆在追求車輛智慧化、人性化，以及享受聯網功能所帶來之便利同時，相對應通訊安全規範與標準，亦須兼備，國內車輛產業亦已持續推動國內車輛資訊安全技術與國際標準接軌，以拓展海外市場。