在汽车电子领域,合规与数据安全成为出海关键。2025年4月25日,在第三届中国汽车及零部件出海高峰论坛上,smart首席合规及体系专家马超深入剖析了汽车电子产品的合规体系融合策略。他强调,随着智能网联汽车的快速发展,数据保护、隐私合规及网络安全成为重要议题。

马超介绍了PIMS数据安全建设、网联信息安全交互控制及OTA升级管理等核心内容,并展示了如何将ISO、GDPR等认证体系有效融合,提升产品开发效率与合规性。smart致力于构建端到端的合规体系,为车企出海提供坚实保障,引领汽车电子行业迈向合规发展新高度。

马超|smart首席合规及体系专家

以下为演讲内容整理:

当前,AI网联与智控无疑将成为重要的发展趋势。随着智驾平权的推进,车辆的最终呈现取决于设计。以往商业模式主要为B2B、B2C,如今则向R&DToC转变。

PIMS数据安全建设

ISMS、PIMS相关出台背景是GDPR以及SCC跨境保护法。因违反相关法规可能面临罚款,故而需强化数据保护与隐私保护。各国在数据保护方面的共性问题集中在数据处理以及履行隐私告知义务方面,基本隐私设定应遵循最小化、公开、及时告知等原则,但在互联网产品追求极致体验与新鲜感的过程中,这些原则易被忽视。随着AI兴起、爬虫技术应用,知识产权及公开信息整合等问题凸显。例如,DeepSeek、ChatGPT整合信息的方案虽无法申请IP,但已侵犯知识产权,因此构建数据保护机制十分必要。

图源:演讲嘉宾素材

车路协同涵盖用户数据、通信数据、平台数据、车内数据等多类数据场景。车内与云的通讯是当前重点管控方向。谈及如何做好PIMS、SUMS及隐私合规工作,首先需开展评估流程。当前开发模式通常是先产生功能创意,构建功能场景,提升用户体验与用户粘性,这与隐私设计存在一定冲突。隐私设计要求从开发伊始明确DPIA,包括数据存储位置、流转路径、分类分级及涉及人员等关键信息。但在功能初始阶段,这些信息难以明确。为此,应建立评估影响模型流程,通过该流程对信息进行分离或采用非一对一矩阵化处理,即采用反向矩阵使信息难以定向查询,确保信息整合的使用价值但不易非法利用,且可抽离1-2项关键信息特殊加密或与身份故意不对齐。

图源:演讲嘉宾素材

另外是信息安全、隐私安全与数据安全的体系融合。三者融合后,在进行各项认证时将更为顺畅,能够构建一套可融入公司运营的体系,对开发人员而言,是一套敏捷可落地的体系,而非庞大难以实施的架构。

图源:演讲嘉宾素材

CSMS车联交互控制

当前,汽车网络安全成为汽车行业面临的重大痛点。互联网领域专家虽熟知如何控制原代码、应对入侵及攻击,但汽车开发有其安全要求的特殊性,过程中难以直接借鉴这些经验,这使得制定网络安全控制策略成为巨大挑战。若对车辆网络安全控制过度,关闭美好体验的网联功能,车辆将丧失诸多使用乐趣;若全面开放,则面临极高风险。因此,如何在保障车辆趣味性、驾驶体验的同时确保安全性,实现二者平衡成为关键。

在此过程中,可以将ISMS、PIMS与网络安全CSMS进行融合,它们之间相互支撑、相互印证。同时,网络安全与SUMS在汽车出海过程中具有两面性。目前,汽车出海首先需通过这两个体系的认证,以及R155/156两项产品认证,只有完成这些认证,产品方可实现出海,这是汽车出海的必要门槛。

SUMS主要内容

SUMS同样至关重要。其关键在于,通过维持车辆新颖功能,确保客户对车辆的粘性以及功能的新鲜感,同时及时消除潜在漏洞。为此,需制定SUMS的升级流程。在此流程中,涉及基站、云端、车端等环节,其交互信息存在被劫持截获的风险。

SUMS设有一系列评估标准,包括符合性评估等。这些评估旨在判断,当车辆遭遇信息截获或被控制时,可能面临的风险程度。完全规避风险并不现实,只能将风险控制在可接受水平。鉴于摩尔定律,芯片持续发展,在解决漏洞、进行编程以及维持框架平衡的过程中,芯片性能也在不断提升,控制难度也在加大。

图源:演讲嘉宾素材

这是OTA安全渗透测试示意图。图中涵盖27服务绕过、开机绕过、信道劫持、Wifi劫持、基站劫持等情况。当前,基站防护工作相对安全,但由于国内品牌较为单一,在海外出口市场难以沿用安全策略。海外存在诸多规模较小的运营商,部分Wifi网络极易被劫持。为保障整车安全,涵盖电池安全策略、充电与换电安全、功能安全以及网络安全等方面,需开展OTA压力测试。

图源:演讲嘉宾素材

体系开发与融合

UNECE法规与ISO标准是协同发展的,日本法规、欧洲法规以及ISO标准法规亦是如此。它们均基于最佳实践与最新功能持续提升标准。此类标准是一种普适性的基础要求,并非严苛标准,旨在确保各企业能够便捷采用,同时推动产品快速进入市场。

下图融合了ISO27701、SOTIF以及ISO26262功能安全等内容。其核心要点在于,这些标准虽相互关联、相互影响,但整个过程的根本依托是IATF16949体系。IATF16949体系所界定的开发过程,决定了周边相关体系逻辑的相互作用边界。若无IATF16949所规定的开发过程,便无法实现开发过程控制、开发资源整合、开发方法有效、量化指标控制收敛等工作。

 图源:演讲嘉宾素材

基于此图,在构建体系之前,需清晰明确产品所涉及的各项过程,以及这些过程所支撑的内容,分辨出其中的MP过程、COP过程与SP过程,以此为基础实现体系的有效融合。

回归到体系本身,QMS为众人所熟知。其涵盖管理评审环节,管理评审中风险控制计划是进入欧洲市场的有效条件之一。在开展管理评审时,需纳入诸多内容,如升级风险、网络安全攻击风险、信息安全泄露风险等。相较于以往仅关注产品市场表现,如问题ppm值、火烧或安抛重大问题控制、车辆失控情况等,当前管理评审的范畴更为广泛。

图源:演讲嘉宾素材

在COP过程中,涉及研发、工厂制造、售后处理等关键环节,这些均是企业需要主动开展的重要过程。SP过程则是对这些关键过程进行指导、标准化与经验提炼,这是QMS的基本要求。

为实现体系融合,在CSMS方面,需依据过程识别出哪些环节应嵌入CSMS条款。如今构建体系强调做减法而非加法,以往追求“1 1大于2”的效果,现在则要求“1 1小于2”,即体系越多,文件应越少,这就需要更细致的过程识别与更优质的体系融合。如此一来,一方面可使体系更为敏捷,另一方面便于落地实施,使产品开发人员明确工作要求。

另外是信息安全、数据安全与隐私安全的融合。同样需要识别相关过程并将其嵌入产品开发流程,确保产品开发过程并非回溯式机制。避免产品开发完成后才发现不合规、上市后被市场惩罚,进而导致重新开发,造成人力与物力的浪费。网络安全需求需在前期提出,在产品尚未启动开发时,Tier 1、Tier 2供应商就必须开展网络安全需求的落地测试。若产品开发完成后再提出要求,往往会错失时机。

最后,在进行软件升级,包括online和Offline升级时,需开展评估工作,确定哪些区域适合进行OTA升级,哪些区域需采用offline升级方式。例如在山区等信号不佳、基站距离远或基站交换频繁的区域,信号脆弱性较高,OTA升级过程易遭受攻击、被截获权限。这一系列内容构成了整个体系融合的重要课题。

(以上内容来自smart首席合规及体系专家马超于2025年4月25日在第三届中国汽车及零部件出海高峰论坛发表的《AI网联智控未来  体系融合端到端》主题演讲。)