# 医疗器械 / 数字健康 / AI 医疗：客户文件预审资料清单

用途：用于企业在回复与“医疗器械 / 数字健康 / AI 医疗”相关的客户问卷、DPA、尽调清单、数据出境问题、AI 治理要求或责任条款前，先做内部资料准备和风险预审。

适用产品：
- [ ] Digital health SaaS
- [ ] Clinical workflow software
- [ ] AI-assisted module
- [ ] Remote monitoring tool
- [ ] Hospital integration interface
- [ ] Medical-device software component

一、客户已经发来的文件
- [ ] 医院/合作方安全问卷
- [ ] DPA / 数据处理附件
- [ ] 采购尽调清单
- [ ] AI 功能说明或治理问卷
- [ ] 数据位置 / 访问说明要求
- [ ] 上线前合规材料请求

二、先确认的产品事实
- [ ] 产品面对的是医院、医生、患者，还是药企、保险、渠道或其他合作方？
- [ ] 涉及哪些数据：患者个人信息、健康数据、影像、随访数据、模型输入输出或运营数据？
- [ ] AI 功能是在内部辅助、对外给医护人员使用，还是直接向用户展示生成结果？
- [ ] 是否存在院外访问、集团总部访问、境外研发支持、第三方模型调用或跨境协作？
- [ ] 客户要求提交的是采购尽调资料、DPA、数据位置说明，还是系统安全和权限文档？
- [ ] 是否已经区分产品说明、AI 输出建议和最终人工决策边界？
- [ ] 训练、微调、日志留痕、人工复核和标识方式，是否已经有稳定内部规则？
- [ ] 客户是否把数据安全、服务可用性、事故通知和赔偿责任绑在同一套附件里？

三、建议准备的资料台账
- [ ] 产品与场景说明：产品功能说明、使用对象、部署模式、上线流程（用于：明确这是采购尽调、数据处理还是 AI 功能边界问题）
- [ ] 数据链路：数据流转图、接口说明、访问角色、留痕方式（用于：支撑患者/健康数据、访问控制、出境和删除返还答复）
- [ ] AI 治理底稿：AI 功能说明、模型来源、人工复核、标识与日志规则（用于：避免对准确性、训练使用和生成内容边界答得过满）
- [ ] 采购与尽调资料：白皮书、制度、FAQ、架构图、医院或合作方历史追问（用于：减少每次尽调都重新找资料）
- [ ] 事故与持续支持：事件响应流程、升级链路、版本记录、服务支持边界（用于：支撑上线前承诺、通报义务和后续持续支持安排）

四、需要重点标注的合同风险
- [ ] Supplier warrants AI output accuracy and clinical suitability：把 AI 输出、临床使用和最终人工决策责任混在一起；建议方向：限定为产品说明、既定功能和人工复核前提，不替代专业判断
- [ ] All patient or health data must never leave mainland China：若存在集团协作、境外研发支持或第三方模型服务，绝对承诺可能失真；建议方向：先核实真实链路，再区分本地部署、访问控制和合规出境路径
- [ ] 24-hour notice for any privacy or security issue：未区分已确认事件、影响级别和调查阶段；建议方向：改为重大、已确认、影响客户或数据安全的事件，并设置初步通知与后续更新
- [ ] Customer may request all policies, architecture and logs at any time：会把内部敏感资料、完整日志和未脱敏架构无限开放；建议方向：限定资料目录、脱敏范围、用途、保密要求和频次

五、内部确认人
- [ ] 商务 / 项目负责人：确认客户类型、上线阶段、回复期限和当前最卡的采购节点。
- [ ] 法务 / 合同负责人：确认 DPA、采购附件、责任边界、持续支持和谈判空间。
- [ ] 产品 / 医学场景负责人：确认功能说明、使用对象、AI 输出边界和人工复核前提。
- [ ] 研发 / 安全 / IT：确认系统接口、数据链路、权限控制、日志和事件响应。
- [ ] 数据 / 合规 / 运营负责人：确认资料包、出境路径、审批留痕和升级规则。

六、相关法规来源锚点
- 网络数据安全管理条例
- 促进和规范数据跨境流动规定
- 个人信息保护合规审计管理办法
- 生成式人工智能服务管理暂行办法
- 人工智能生成合成内容标识办法

七、提交前提醒
- 避免在公开表单粘贴源代码、完整 SBOM、客户名单、价格条款或商业秘密。
- 避免直接承诺“所有法律”“所有漏洞”“所有召回”“全部供应链”“所有下游流向”。
- 正式法律意见应基于具体产品、客户文件、交易阶段和已有证据另行判断。

在线提交这个行业场景：
https://civcom.org/contact/?industry=medical-device-digital-health-ai&source=solution-customer-due-diligence-pack&origin=download-checklist&checklist=medical-device-digital-health-ai-pre-review-checklist

Last reviewed: 2026-06-18