# SaaS / 云服务 / AI 供应商：客户文件预审资料清单

用途：用于企业在回复与“SaaS / 云服务 / AI 供应商”相关的客户问卷、DPA、尽调清单、数据出境问题、AI 治理要求或责任条款前，先做内部资料准备和风险预审。

适用产品：
- [ ] B2B SaaS
- [ ] Cloud collaboration
- [ ] AI copilot
- [ ] API / developer platform
- [ ] Data platform
- [ ] Embedded AI workflow

一、客户已经发来的文件
- [ ] Vendor security questionnaire
- [ ] Third-party risk assessment
- [ ] DPA / privacy addendum
- [ ] Subprocessor schedule request
- [ ] Data location questionnaire
- [ ] AI governance / acceptable use questionnaire

二、先确认的产品事实
- [ ] 客户现在卡住的是安全问卷、DPA、子处理者、数据位置、AI 训练边界，还是几件事一起出现？
- [ ] 服务模式是纯 SaaS、私有化部署、混合部署，还是带 API / 插件 / 模型调用的复合交付？
- [ ] 是否存在境外云、境外支持、海外研发、海外总部访问，或第三方模型 / 基础设施调用？
- [ ] 客户要求确认的是事实性说明，还是已经在要求未来持续承诺、审计权和赔偿边界？
- [ ] 子处理者、云基础设施、日志和监控链路是否已经有稳定对外披露口径？
- [ ] AI 功能是否涉及训练、微调、质检、产品改进、生成结果输出或内容标识？
- [ ] 事故通知、删除返还、可用性和安全更新条款，是否与现有运营和技术流程一致？
- [ ] 内部谁来统一销售、法务、安全、产品和研发的回复口径，哪些问题必须升级律师复核？

三、建议准备的资料台账
- [ ] 服务模式：主产品说明、租户架构、角色分工、部署模式（用于：判断客户问卷和 DPA 里的控制者/处理者口径是否成立）
- [ ] 数据链路：数据流转图、日志留痕、数据位置与访问路径说明（用于：支撑数据位置、跨境、删除返还和事故通知答复）
- [ ] 分包与云基础设施：子处理者清单、云厂商安排、变更通知机制（用于：回应子处理者、转委托、审计和通知要求）
- [ ] AI 功能边界：模型来源、训练/微调规则、输出标识和人工复核说明（用于：避免对训练使用、输出准确性和 AI 承诺答得过满）
- [ ] 安全与运维：安全制度、事故响应、漏洞流程、备份恢复和可用性说明（用于：支撑安全问卷、审计权、SLA 和事件通知条款）

四、需要重点标注的合同风险
- [ ] All customer data remain in mainland China at all times：如果存在海外访问、境外云或全球协同，这类绝对表述可能与真实链路冲突；建议方向：先核实真实链路，再区分境内存储、境外访问、跨境传输和合规路径
- [ ] No subprocessors without case-by-case written approval：会卡住正常云服务、基础设施、日志和支持安排；建议方向：改为事先披露 + 变更通知 + 反对窗口，并明确责任传导
- [ ] Supplier will not use any data for training or improvement：若产品已有日志分析、模型微调、质检或产品改进流程，绝对承诺容易失真；建议方向：拆分训练、微调、监控、匿名化分析和单独授权边界
- [ ] Unlimited audit and security cooperation：客户可能要求审计全部系统、全部供应商和高频现场配合；建议方向：限定范围、频次、提前通知、第三方报告替代和合理费用

五、内部确认人
- [ ] 销售 / 客户成功：确认客户阶段、最晚回复时间、采购节奏和商业压力。
- [ ] 法务 / 合同负责人：确认 DPA、主合同、责任限制、审计权和谈判空间。
- [ ] 产品负责人：确认服务模式、AI 功能边界、对外承诺和客户使用场景。
- [ ] 研发 / 安全 / IT：确认系统架构、数据链路、子处理者、日志和事件响应能力。
- [ ] 数据 / 合规负责人：确认出境路径、资料包、审批留痕和升级规则。

六、相关法规来源锚点
- 网络数据安全管理条例
- 促进和规范数据跨境流动规定
- 个人信息出境标准合同办法
- 生成式人工智能服务管理暂行办法
- 人工智能生成合成内容标识办法

七、提交前提醒
- 避免在公开表单粘贴源代码、完整 SBOM、客户名单、价格条款或商业秘密。
- 避免直接承诺“所有法律”“所有漏洞”“所有召回”“全部供应链”“所有下游流向”。
- 正式法律意见应基于具体产品、客户文件、交易阶段和已有证据另行判断。

在线提交这个行业场景：
https://civcom.org/contact/?industry=saas-cloud-ai-suppliers&source=solution-supplier-security-questionnaire-fastcheck&origin=download-checklist&checklist=saas-cloud-ai-suppliers-pre-review-checklist

Last reviewed: 2026-06-18