随着汽车网联化和智能化程度加深，汽车的研发、运行等需要大量的数据，汽车与云平台、路侧设施等形成大量的网络链接，从而产生了网络和数据安全风险。欧美重视对汽车网络和数据安全的监管，通过研究欧美汽车网络和数据安全的监管体系，为我国构建完整有效的监管体系提供建议。

01

欧美监管情况分析

1.1 欧盟监管情况分析

针对汽车的网络与数据安全问题，欧盟依照自身原有体系主要从整车型式认证、数据保护法规体系、供应链管理体系和数据跨境传输等四方面进行管控，见图 1。

图 1 欧盟网络与数据安全监管情况分析

1.1.1 将网络安全纳入整车型式批准

欧盟于2020年9月1日起生效的车辆型式批准框架技术法规（EU）2018/858（以下简称欧盟858法规）中明确，L3级及以上自动驾驶汽车可通过豁免程序获得型式批准，其中涉及信息安全的规定。欧盟858法规在相关条例中阐明，UN WP.29发布的R155《关于在信息安全与信息安全管理体系方面批准车辆的统一规定》（以下简称联合国R155法规）在欧盟正式生效后，豁免中关于信息安全的要求将参照联合国R155法规执行。欧盟于2022年7月起，规定联合国R155法规为所有新车型的强检项。要求汽车产品必须完成企业网络安全管理体系认证和车辆型式审批，方可进入欧盟市场。国际标准化组织（ISO）为配套实施联合国R155法规中网络安全管理体系的要求 ，特制定ISO/SAE 21434《道路车辆 网络安全工程》等系列国际标准。

1.1.2 构建完整适用的数据保护法规体系

欧盟总体采用“外严内松”的数据监管政策，以GDPR为基础，构建较为完整的数据安全监管体系。对内支持区域内成员国之间数据自由流动，即“内松”；数据流出欧盟则需要获得充分性保护，即“外严”，重点考虑保护个人权利下的数据流动问题。在法律法规体系方面，构建了GDPR顶层法律法规，以及个人数据、非个人数据、数据运用等应用层面的法律法规。在监管机构层面，构建了从欧盟到国家的三级垂直管理/监管机构。

1.1.3 建立汽车供应链网络与数据安全的认证机制

2017年，德国汽车工业协会（VDA）与欧洲网络交换所（ENX）联合推出了信息安全的评估和交换机制（TISAX）认证，针对组织、人员、风险管理等方面，面向供应链企业提出信息安全管理要求。该认证为行业自发行为，非政府强制监管。使用TISAX认证的整车制造企业要求，其零部件供应商和相关服务方需通过审核才能进入整车企业的供应体系。目前大众、奥迪、保时捷等德国车企正在采用TISAX认证模式对供应商和相关服务商进行管理。

1.1.4 构建较完整的数据跨境机制

在数据跨境流动方面，欧盟以推进欧盟乃至全球的数字单一市场、引领国际数据流动和保护规则为战略，对于欧盟数据向境外传输有着严格的管控，需要达成“充分性协议”，形成对跨境数据严监管的机制。欧盟数据跨境传输主要包括四种框架：一是欧盟成员国遵守GDPR，欧盟范围的数据资源自由流动；二是数据传输至数据充分安全的国家或地区，确定数据跨境自由流动白名单国家；三是通过签署法律文件，保障数据传输；四是其他特殊情况，如极少量数据豁免等。欧盟在数据跨境流动国际规则制定中具有超强影响力，欧盟国家依据GDPR修订了本国法规，大量非欧盟国家参考该体系制修订跨境规则。

1.2 美国监管情况分析

针对汽车的网络与数据安全问题，美国主要从汽车网络与数据安全认证、数据保护法规和数据跨境传输等三方面进行监管，见图 2。

图 2 美国网络与数据安全监管情况分析

1.2.1  实行企业自我评估认证、政府事后监督制度

美国在汽车网络安全监管方面，保持灵活且技术中立的态度，采用自我认证制度，但事后监督力度较高。2016年开始，美国交通部发布多版有关联邦自动驾驶机动车政策的法律法规，均涉及到对汽车网络与数据安全的要求。美国自动驾驶政策是自愿性的而非强制的，没有合规要求或者执行机制，网络与数据安全是自动驾驶汽车评估认证要素之一。具体内容涉及四个方面：一是网络安全要求，车企和其他企业应遵循基于系统工程学方法的完整产品开发流程，将安全风险降至最低，包括处理网络安全威胁和漏洞、溯源等要求；二是数据记录要求，车企应具有用于测试和运营目的的文档化流程，记录车辆测试和运行阶段的故障数据、失效数据；三是隐私保护的要求，保护驾驶员和乘客的数据以及被动第三方的数据（如自动驾驶车辆采集的行人数据）免受侵害；四是数据共享的要求，车企应制定与其他组织分享数据的计划，采取措施确保共享数据符合要求，取得有关方的同意。

尚未形成完整的数据保护法律体系，但在特殊领域或者个别州实现定点立法监管。美国在制定数据隐私安全监管制度时，基于担忧过多的法律规制会使美国信息与通信技术、互联网等企业丧失发展活力与优势的考虑，未在联邦层面建立统一的数据保护立法。因此，美国尚未形成完整的数据隐私保护法律体系，但在教育等特殊领域以及加利福尼亚州等个别州实现定点立法。

依托自身政治、经济、技术等优势，构建立法与贸易谈判相结合的跨境传输制度。在数据跨境方面，美国以维护产业竞争优势为主旨，构建数据跨境流动与限制政策，试图在网络空间中打造数据霸权。美国数据跨境传输涉及个人数据、重要的非个人数据和特定领域数据、受控非秘密信息、长臂管辖等四个方面。

一是对个人数据，以双边或多边谈判方式，利用数字产业全球领导优势，主张数据跨境开放态度，以破除许多国家利用数据跨境设置市场壁垒。目前已签订部分协议，如《APEC 隐私框架》《跨境隐私规则体系》《美韩自由贸易协定》等。

二是对重要的非个人数据和特定领域数据限制输出，遏制战略竞争对手发展，确保美国的全球领导地位。如《出国管理条例》重点限制技术数据（含软件）、技术参数数据库和部分关键领域的数据，并提出进行备案制或者许可制管理要求。

三是制定受控非秘密信息清单，明确重要数据范围。美国档案局牵头，各相关政府部门协同参与，形成受控非秘密数据清单，并进行分级管理。四是通过长臂管辖扩大美国法律适用的范围，试图维护数据霸权。美国发布《澄清境外数据的合法使用法案》，明确美国执法机关有权获得美国企业存储在境外服务器中的用户数据。

02

欧美监管方式对比分析

2.1 数据监管的政策理念不同

美国在制定数据保护政策时，主要以支持信息技术跨国企业和促进数字贸易发展为出发点，有明显的霸权主义色彩。欧盟有重视个人数据保护的传统，既希望参与到全球数字经济发展的浪潮，又不希望自身数字市场被国外企业占据，因此往往会选取较高的数据保护标准，满足数据保护要求。

2.2 数据监管实施机制不同

欧盟施行以“数据基本权利”为基础的模式，集中体现在GDPR。美国施行以“自由式市场+强监管”为基础的模式，集中体现在《加州消费者隐私法案》。欧盟模式偏向“数据权利保护”一方，基于数据安全是公民的基本权利。美国模式偏向“数据自由流通”一方，意在数字经济的发展。

2.3 数据监管方式不同

美国一直引领着全球信息技术和产业发展，国家数据安全的挑战相对较小，主要采用事后监管思路进行监管。欧盟通过建立监管机构、不断完善监管法律法规等方式提高监管强度。但受到各方执法力度的限制以及考虑数据传输的隐蔽性，监管执法存在较大的难度。

03

我国可借鉴的实施建议

我国汽车监管体系与欧盟类似，并且欧盟汽车网络与数据安全的治理与监管经验基本符合中国国情，同时部分美国治理与监管经验可被我国借鉴，因此，我国汽车信息安全与数据安全治理与监管框架可以欧盟经验为主、美国经验为辅进行制定。

3.1 顶层设计

欧盟以GDPR作为数据安全顶层法律法规，同时细化和补充数据安全其他法律法规以及车联网领域数据安全法律法规，形成了较完善的监管体系。

建议研究消费者、团体、国家等主体的“ 数据权”问题，将“数据权”作为个人的基本权力，适应当前数字经济社会的发展。建议重新梳理《网络安全法》《数据安全法》《个人信息保护法》等上位法的监管范围、要求规则等内容，制定统一、清晰、明确的类似GDPR地位的数据根本法。在新能源、智能网联汽车等我国优势领域，以上位法为基础，制定专业领域的网络与数据安全的实践规则，保持我国新能源、智能网联汽车的先发优势。

3.2 安全监管

在参考欧盟型式准入监管的基础上，并结合美国事后监管经验，建议我国工信部、公安部、市场监管总局等部门联合开展监管工作，委托第三方或单独成立部门建设事前（CCC 认证、型式批准等）、事中（汽车上路行驶、年检等）、事后（召回等）的统一监管平台。根据网络与数据安全的特性，建议将更多精力放到事中、事后监管阶段，保证有漏洞及时发现、有风险及时响应、有问题及时解决。

3.3 数据跨境

考虑欧盟以多模式方式监管数据跨境，美国对不同类型数据实行不同监管方式，结合我国等级保护制度，采用分类分级思想建设数据监管模式。将新能源、智能网联汽车数据分为个人数据、重要的非个人数据和特定领域数据、受控非秘密信息等，站在利我的角度，制定相关数据的“黑名单”。面对复杂多变的国际形势，根据海外国家的市场、政治、标准法规等情况，将与我国智能网联汽车相关的国家分类分级，制定数据跨境的“白名单”，促进我国智能网联汽车数字经济的发展。

3.4 数据主权

欧盟以市场作为武器，维护自身数据主权，奠定了在数据安全立法方面的世界主导地位。欧盟、美国凭借各自的优势，主导形成了跨境数据流动的国际规制体系，在全球产生了广泛、深远的影响，促进汽车数字贸易发展。

利用我国是最大的汽车市场以及我国独特而多样化的汽车行驶环境这一丰富的数据资源，主动推行“市场和数据换主权”，欧美等汽车企业若想进入我国市场和采集我国汽车行驶环境车内外数据，需国内子公司和国外总公司均要满足我国网络与数据安全规则，强调我国数据主权。

借鉴欧美经验，可在“一带一路”、上合组织等与我国友好的国际机构中，宣传中国汽车数据主张，将我国智能网联汽车跨境数据流动规则、数据治理规则推广成区域制度，再逐步推广到其他区域、甚至全世界，争取汽车数据跨境流动的国际话语权，在数字经济时代占据主导权。

04

结束语

本文对欧美汽车网络与数据安全监管进行系统和详细的分析，清晰总结了型式准入与认证、法律法规体系、监管机构、数据跨境、供应链等多个维度的特点，并将欧美之间监管特点从三个角度进行对比，借鉴欧美经验，针对中国汽车网络与数据安全监管，提出顶层设计、安全监管、数据跨境以及数据主权等方面建设性的意见。

作者 | 刘洋洋，赵炳峰，赵嘉睿，杨祥璐，孟庆瑶

来源 | 研究与应用 2025第35卷第5期