知識文章
美國及歐盟針對智慧聯網車之通訊安全管制措施
2025 / 10 / 22
產業發展處 林芷柔
在全球積極發展智慧聯網車之時代,其中中國大陸在生產及銷售方面表現亮眼,帶起一股趨勢。同時也讓各國重新調整本土車輛產業發展,尤其資訊安全議題更加關注。因此,本文將以美國及歐盟為例,探討其聯網車之通訊安全管制措施,可供未來發展之參考。
美國針對聯網車管制措施推動歷程
美國商務部工業安全局(BIS)於2024年9月26日公告《擬議規則》(NPRM),計劃禁止銷售及進口「有疑慮國家」(如中國大陸、俄羅斯、北韓等)相關之聯網車車輛、技術及零組件。隔年1月14日工業安全局公告《最終規則》(Final Rule)明確禁止銷售及進口與中國大陸及俄羅斯有足夠關聯之聯網車,包含資通訊軟硬體。2025年6月美國聯邦通訊委員會(FCC)提議擴大管控中國大陸聯網車之技術並列入管控清單,配合工業安全局之規定。2025年9月5日商務部公告新增禁止進口無人機及重型車輛(意指重量超過1萬磅之車輛),具體規範內容尚待公布。
圖1、美國針對聯網車管制措施推動歷程
資料來源:美國BIS官網,車輛中心整理
美國商務部工業安全局(BIS)《最終規則》(Final Rule)分析
最終規則認定,車輛聯結系統(VCS)硬體或軟體,或自動駕駛系統(ADS)相關軟體之聯網車,倘若該系統由中國大陸或俄國進行設計、研發、製造或供應,即使該車輛是在美國生產製造,仍有顧慮,故皆須禁止,以維護國家及人民安全。 最終規則包含整合之相關硬體與軟體。軟體相關管制適用於2027年式車款,硬體相關管制適用於2030年式車款,無年份之車款則於2029年1月1日生效。 目前此規則僅限於乘用車(意指重量為1萬磅以下之車輛),並計劃未來會針對聯網商用車(包含卡車及公車)發布單獨之管制規則。
最終規則要求特定進口商及製造商須提交年度「符合性聲明」,以證明其遵守禁令。其中內容允許商務部就風險較低之某些交易類型提供「一般授權」,以及給予受管制廠商「特定授權」進行相關交易。廠商如被認定有虞,可請求BIS提供「諮詢意見」以認定該交易是否符合該規則。
最終規則於今年1月14日發布,該規則公布後60日為生效日期,即為今年3月17日生效。
表1、美國「最終規則」(Final Rule)
資料來源:美國BIS官網,車輛中心整理
歐盟針對智慧聯網車之通訊安全管制措施
歐洲是發展車輛產業先驅,在智慧聯網車當道之時代,歐盟在資安、個人隱私及車輛安全等面向也有對應之配套措施。近年來,積極打入歐盟市場之中國大陸車企亦須符合歐盟相關規定,方可進入。
歐盟自2024年7月7日起,強制規定所有車輛製造商須遵守聯合國公布之UN R155、156標準,內容包含網路安全管理系統及軟體更新管理系統,以保障車輛資通訊安全,防範網路攻擊及保障個資。除此還包含網路韌性法案(Cyber Resilience Act,CRA)及無線電設備指令(Radio Equipment Directive;RED)等相關法規。
網路韌性法案(Cyber Resilience Act,CRA)
明定自2024年10月生效,2027年12月全面實施。其針對所有進入歐盟之數位商品,包含硬體及軟體皆須建立統一且強制之資安標準,以保障消費者及企業。此法案要求製造商、進口商及經銷商等供應鏈,在產品之規劃、設計、開發、維護等整個過程,皆須嚴格執行資安要求。包含商品上市前須確保設計無漏洞,售後亦須持續提供資安更新,並要求供應商在2027年前須提供軟體物料清單(SBOM),若不符合規定,除了不得在歐盟市場進行銷售及進口,還將面臨處以1,500萬歐元之罰款。
無線電設備指令(Radio Equipment Directive;RED)
在今年8月1日起,實施最新版規定,其要求凡具有聯網功能之產品,從智慧型手機、藍牙、WiFi設備、車載無線通訊設備(如C-V2X)、無線監控攝影機等,皆須符合規範方可在歐盟市場進行銷售。RED主要涵蓋三面向,分別為須保障人身、健康及財產安全,強調個人隱私須受保護,無線電設備在聯網傳輸過程不受破壞或者被迫中斷,降低詐欺風險及防範網路威脅。
該內容規定製造商及經銷商須確保產品安全、合規性及電磁相容性(EMC),產品亦須有相關規範手冊,如使用說明書。製造商及經銷商亦須持續對產品之軟體進行更新,以不斷強化該安全及符合標準,避免被攻擊或破壞。製造商須取得CE認證標誌,以證明符合歐盟規範。若資格不符,則禁止進口及銷售,甚至面臨罰款或召回。
表2、網路韌性法案(Cyber Resilience Act,CRA)、無線電設備指令(Radio Equipment Directive;RED)
資料來源:車輛中心整理
國內聯網車輛法規之國際接軌與資安整備:以UN R155/R156標準導入為核心 國內針對聯網車之規範,目前車輛中心(ARTC)正建立符合UN R155、R156標準之驗證能量,去年10月已與德國TÜV SÜD簽署合作備忘錄,為後續中心成為具有國際驗證資格奠定良好基礎。交通部已完成車輛型式安全審驗管理辦法附件96,網路安全及網路安全管理系統,以及附件97,軟體更新及軟體更新管理系統,將正式於2028年1月1日起新型車輛實施。
綜上所述,當全球各國皆在追求車輛智慧化、人性化,以及享受聯網功能所帶來之便利同時,相對應通訊安全規範與標準,亦須兼備,國內車輛產業亦已持續推動國內車輛資訊安全技術與國際標準接軌,以拓展海外市場。
