# 智能硬件 / IoT / 工业设备出海：客户文件预审资料清单

用途：用于企业在回复与“智能硬件 / IoT / 工业设备出海”相关的客户问卷、DPA、尽调清单、数据出境问题、AI 治理要求或责任条款前，先做内部资料准备和风险预审。

适用产品：
- [ ] 智能摄像头 / 安防 IoT
- [ ] 工业网关 / 工业路由器
- [ ] 机器人 / 自动化设备
- [ ] 无线消费电子
- [ ] 远程维护设备
- [ ] 带 App / 云能力的 connected products

一、客户已经发来的文件
- [ ] CRA / RED 网络安全问卷
- [ ] SBOM request
- [ ] 软件更新承诺
- [ ] Product Safety Addendum
- [ ] Remote Access Policy
- [ ] Purchase T&C / Recall clause

二、先确认的产品事实
- [ ] 客户要求你确认的是网络安全、产品安全、远程维护、召回责任，还是这几类问题一起出现？
- [ ] 哪些型号、无线模块、固件版本、App / 云能力和远程功能真正落在这次销售或交付范围内？
- [ ] 客户要求的 24 小时漏洞通知、免费更新期限、SBOM 披露和远程访问责任，哪些能被现有流程和证据支撑？
- [ ] 这次更像消费电子 / 无线设备、工业网关 / 远程维护设备，还是机器人 / 自动化设备项目合同？
- [ ] 客户是否已经把召回、监管罚款、平台损失、停线损失或长期售后责任一并压进附件？
- [ ] 内部谁来统一研发、质量、认证、售后、供应链和法务对这些条款的最终口径？

三、建议准备的资料台账
- [ ] 产品与范围：型号清单、版本记录、无线模块说明、交付与功能清单（用于：限定答复范围，只承诺当前销售和交付范围内的产品事实）
- [ ] 联网与远程链路：架构图、远程维护流程、日志留痕、账号权限和更新机制（用于：支撑远程访问、更新义务、数据路径和客户授权前提）
- [ ] 软件组件与漏洞流程：SBOM 摘要、第三方组件清单、漏洞披露流程、更新支持政策（用于：回应 SBOM、24 小时通知和安全缺陷承诺，同时控制保密边界）
- [ ] 产品安全与召回：GPSR 风险评估、说明书、警示标签、召回流程、责任矩阵（用于：支撑产品安全、消费者使用场景和召回责任边界）
- [ ] 验收与售后：FAT/SAT 标准、备件清单、售后范围、责任上限和延期条件（用于：限定停线损失、长期售后、项目验收和现场支持责任）

四、需要重点标注的合同风险
- [ ] Any vulnerability / incident within 24 hours：把疑似漏洞、已确认漏洞和一般事件全部打包要求即时通知；建议方向：限定为重大、已确认、影响客户产品安全的漏洞或事件，并设置初步通知与后续更新
- [ ] Full SBOM / source-level disclosure on request：容易暴露组件、版本、商业秘密和安全敏感信息；建议方向：限定摘要范围、接收方、保密条件、用途和更新频率
- [ ] All recalls, fines, marketplace losses and third-party claims：把召回、监管罚款、平台损失、用户索赔和声誉风险全部转嫁给供应商；建议方向：限定为供应商自身违约或缺陷导致的合理直接损失，并设置责任上限
- [ ] Remote access, downtime and lifetime support responsibility：把远程访问、停线损失、长期更新和现场支持全部无限期压给供应商；建议方向：区分客户授权、客户网络条件、交付范围、支持期限和付费条件

五、内部确认人
- [ ] 销售 / 客户经理：确认客户、回复期限、订单阶段和当前最卡的商业节点。
- [ ] 法务 / 合同负责人：确认采购附件、责任限制、索赔边界和谈判空间。
- [ ] 研发 / 软件负责人：确认型号范围、组件链路、远程更新能力和漏洞处理政策。
- [ ] 质量 / 认证负责人：确认 CE、RED、技术文件、召回流程和风险评估。
- [ ] 售后 / 服务负责人：确认备件、现场支持、日志留痕和持续支持边界。

六、相关法规来源锚点
- Cyber Resilience Act
- Radio Equipment Directive
- RED cybersecurity delegated act
- General Product Safety Regulation
- Machinery Regulation
- Product Liability Directive

七、提交前提醒
- 避免在公开表单粘贴源代码、完整 SBOM、客户名单、价格条款或商业秘密。
- 避免直接承诺“所有法律”“所有漏洞”“所有召回”“全部供应链”“所有下游流向”。
- 正式法律意见应基于具体产品、客户文件、交易阶段和已有证据另行判断。

在线提交这个行业场景：
https://civcom.org/contact/?industry=smart-hardware-iot-electronics&source=solution-supplier-security-questionnaire-fastcheck&origin=download-checklist&checklist=smart-hardware-iot-electronics-pre-review-checklist

Last reviewed: 2026-06-18