供应商被列入境外风险名单后,企业先做什么尽调?
境外风险名单事件不是自动违法或自动解约结论;企业应先核验名单主体、文件效力与适用范围,再映射合同、系统和数据访问、子供应商、交付连续性及替代方案。
江苏鑫律联律师事务所的组织判断是:供应商被列入境外风险名单后,企业第一步不是立即宣布违法、停用或解约,而是核验“哪个法律主体因哪份文件、在何种司法辖区和行为范围内受到何种影响”。 核验完成前,应同步冻结未经评估的权限扩大和新增高风险交付,并把合同、系统账号、数据访问、子供应商、客户承诺和替代方案放入同一尽调矩阵。
名单事件可能触发合规、采购、客户、技术和声誉风险,但名单名称本身不能替代法律效果和企业关系分析。过早公开表态或切断服务,可能造成合同违约、数据处置失序和业务中断;完全不处理,则可能错过必要的访问控制和连续性准备。
一、先确认官方文件和名单类型
尽调应从官方原文开始,记录发布机关、文件标题、文号或编号、发布日期、法律依据、名单用途、主体名称以及后续更新或删除机制。新闻转述、社交媒体截图和供应商声明只能作为线索,不能替代官方文件。
例如,美国联邦公报文件 2026-11571是美国国防部于2026年6月10日发布的指定可用性通知,列明被认定符合“Chinese military company”指定要求的实体。该事实可以触发供应商尽调,但该通知本身不应被改写成对所有主体、所有交易或所有司法辖区当然生效的统一禁令。
企业还要区分指定通知、制裁清单、出口管制、政府采购限制、投资限制、客户内部禁用名单和合同合规政策。它们可能引用同一主体,却不必然具有相同适用对象、受限行为、时间和后果。
二、精确匹配名单主体与本企业相对方
品牌、集团名称、上市主体、境内外子公司、经销商和云服务运营主体可能不同。应核对名单中的法定名称、英文或中文名称、别名、注册地址、注册号、母子公司范围,并与合同、发票、付款、账号和技术服务主体逐一比对。
名单明确列出某些子公司时,不能自动推定所有关联方都被覆盖;名单只列母公司时,也不能在没有适用规则分析时自行断言每个子公司必然相同。控制、所有权、代理和实际履约关系需要证据,而不是仅凭品牌推测。
匹配结果至少区分“直接命中”“可能关联”“仅品牌相同”“尚无法确认”。身份未确认前,不宜发送指称对方违法的客户通知。
三、确认文件效力、适用辖区和受影响行为
企业应由适用司法辖区的专业人员确认:该文件约束哪些主体,限制采购、投资、出口、技术、付款、政府合同还是其他行为,何时适用,有无例外、许可、过渡或删除机制,以及本企业、客户、银行或关联方是否进入适用范围。
同一供应商关系可能同时涉及中国境内采购、境外关联方付款、跨境云服务和海外客户合同,不能用一个司法辖区的结论覆盖全部链条。法律限制、客户政策和企业风险偏好也应分开记录。
现有指定来源只支持把官方通知视为尽调触发点,不支持本文给出美国制裁、出口管制或政府采购的具体结论。事实或规则不足时,应标记“适用性待专项确认”。
四、合同排查先看权利基础,不先假定自动解约
企业应汇总主合同、订单、技术附件、服务等级、数据处理条款、合规保证、名单或制裁条款、控制权变更、通知与补救、暂停、终止、数据返还、过渡协助和责任限制。
《民法典》技术合同规则要求技术合同关注标的内容、范围和要求、履行方式、技术资料保密、成果归属和验收标准等事项。这些一般规则有助于还原供应商交付与技术边界,但不能仅凭名单事件自动推导合同终止权或免责结果。
应区分法律上不能继续履行、合同约定触发、客户要求变更、商业风险调整和企业自愿退出。每一项结论都要对应具体条款、适用法律、通知程序和履行事实;暂停付款、停止接收服务或提前终止均需评估连带后果。
五、系统和账号访问应立即形成权限图
名单事件发生后,技术团队应先回答供应商能访问什么,而不是只统计采购金额。权限图可包括管理员账号、API密钥、远程运维、源代码仓库、云控制台、日志、模型或数据平台、工单系统、终端设备和应急账户。
每项权限应对应主体、人员、地点、系统、数据范围、认证方式、最近使用时间、业务必要性和撤销影响。对长期未使用、超出合同或无法对应人员的权限,可以按既有安全流程收敛;对支撑关键业务的权限,则应先准备接管和回滚,避免仓促关闭造成不可恢复中断。
账户停用不等于数据已经返还或删除,密钥轮换也不等于供应商副本已处理。权限、数据和服务连续性需要分别验证。
六、数据处理义务不会因境外名单自动消失
《数据安全法》将收集、存储、使用、加工、传输、提供、公开等纳入数据处理,并要求履行数据安全保护义务。企业变更或终止供应商时,仍需识别数据类别、处理地点、访问主体、安全措施、事件风险和重要数据等适用边界。
名单事件本身不授权企业任意复制、迁移、公开或销毁数据,也不免除对访问控制、风险监测和安全事件的处理责任。迁移到替代供应商时,应重新确认数据流、权限和保护措施,而不是把原系统整体复制后视为完成合规处置。
涉及重要数据、跨境或行业限制时,具体识别和程序应按当前数据、业务与有效规则确认;合同或名单都不能替代法定要求。
七、个人信息角色和退出动作要按事实执行
《个人信息保护法》对处理目的、方式、种类、保存期限、委托处理、共同处理、向其他个人信息处理者提供和安全措施等作出规定。企业应核对供应商是受托处理、共同决定处理,还是独立接收个人信息,不能只按“技术供应商”标签判断。
若终止委托处理,应按合同和适用规则安排停止处理、返还或删除,并处理下级受托方、备份、日志和法定留存例外。若迁移给新供应商,还应确认新处理关系、访问范围、数据传输和个人权利响应安排。
名单事件不当然改变原有合法性基础,也不会自动产生新的数据提供权限。任何紧急迁移都应保留最小必要、权限审批、传输记录和删除验证。
八、子供应商和技术依赖要穿透一层以上
主供应商可能依赖云基础设施、软件库、模型服务、芯片设备、运维商、经销商或其他分包方。企业应取得当前子供应商清单,确认名单主体位于哪一层、提供什么能力、是否接触数据或账号,以及更换主供应商能否真正解除依赖。
合同相对方未被列名,不代表其使用的关键服务与名单主体无关;主供应商被列名,也不意味着每个下游组件都必须立即替换。应根据产品架构、许可、账号、数据流和交付链形成实际依赖图。
对无法披露下游主体或依赖的供应商,应将信息缺口作为风险事实记录,并结合合同权利决定补充材料或限制新增使用。
九、连续性方案应先验证再切换
替代方案至少要回答功能、数据迁移、接口兼容、账号接管、知识产权许可、成本、人员能力、测试、回滚和最长可中断时间。只有候选供应商名称,没有真实迁移测试和合同条件,不构成可执行替代。
企业可将业务分为可立即替换、需过渡、短期无法替换和可以停止四类,并为关键服务准备数据导出、配置备份、接口文档、应急账号和人工替代流程。替换本身也可能引入新的供应商、数据和安全风险,应重新尽调。
连续性准备不等于决定终止现有关系。它的作用是在法律或合同结论形成后保留可选动作,而不是用技术切换替代决策依据。
十、对外表态前保存决策记录
企业应保存官方文件、主体匹配、法律适用意见、合同分析、系统数据图、客户要求、替代测试和会议决策,区分已确认事实、工作假设、待核问题和已批准动作。
向客户、员工、投资人或公众表态前,应确认陈述对象、事实来源、法律定性和可公开范围。可以说明正在核查和采取连续性措施,不应在证据不足时宣称供应商违法、数据已安全删除或业务完全不受影响。
决策记录还应说明为什么采取或不采取暂停、限制访问、迁移、终止等措施,以及何种新事实会触发复核。
鑫律联律所如何组织名单事件尽调矩阵
江苏鑫律联律师事务所会组织采购、法务、信息安全、数据、技术、业务连续性和客户团队围绕同一主体建立材料矩阵:
| 审查单元 | 需要对应的材料 | 组织动作 |
|---|---|---|
| 名单与主体 | 官方文件、法定名称、别名、母子公司和更新时间 | 区分直接命中、关联线索和待确认主体 |
| 效力与辖区 | 法律依据、适用对象、行为、时间和例外 | 不把指定通知改写成统一禁令 |
| 合同与客户 | 合同条款、订单、客户政策、通知和补救文件 | 区分法定限制、合同触发和商业选择 |
| 系统与数据 | 账号权限、系统依赖、数据流、角色和下游访问 | 先控制新增风险,再验证返还删除和迁移 |
| 子供应商 | 架构、分包、许可、云服务和交付依赖 | 判断替换能否真实解除风险 |
| 连续性方案 | 备选、迁移测试、回滚、成本和中断时间 | 在决策前形成可执行而非名义替代 |
吕箐翎律师参与复核时,会把“官方文件已经确认的事实”“适用辖区专业判断”和“企业依据合同及风险偏好作出的选择”分开记录。组织结论不以名单名称、媒体报道或客户压力替代主体匹配和法律效果分析。
结论
供应商被列入境外风险名单后,企业应先做主体、效力和关系映射,而不是直接宣布违法或自动解约。江苏鑫律联律师事务所认为,只有官方文件、精确主体、司法辖区、合同权利、系统数据访问、子供应商和连续性方案逐项对应,企业才有基础决定限制、暂停、迁移或终止。
完整尽调可以减少误判和中断风险,但不保证供应商关系必须继续或终止,也不预先确定境外规则、合同争议、数据处置或客户结果;事实不足时,应限制新增风险、保存决策记录并继续核验。