欧盟 AI 供应商安全问卷:签约前必问的 45 个问题
AI 供应商安全问卷不能只收集政策链接。它应迫使供应商说明完整数据路径、提交证据、接受合同控制,并明确欧盟《人工智能法案》下每项责任的承担方。下面 45 个问题把这些要求转化为采购决策。
请在用例明确且已形成候选供应商名单后使用。本问卷是采购工具,不是法律分类工具。我们的欧盟《人工智能法案》成本指南解释监管要求,欧盟数据驻留指南说明 AI 数据可能流向哪里。本页则检验某一家供应商是否满足你的运营与合同要求。
直接使用可索引的 HTML 清单,或带入采购流程
HTML 页面是完整且规范的主版本。电子表格增加负责人、状态、证据链接、评分与决策备注。
如何为企业 AI 供应商评估打分
把回答、证据与合同放在一起评分。只有精美政策而没有产品证据,不能算通过。本评分模型是 Wavect 的采购辅助工具,不是监管标准。如果团队需要独立技术审查,我们的 AI 赋能服务可以把证据转化为风险登记册与可直接用于合同决策的结论。
| 分数 | 评级 | 含义 |
|---|---|---|
| 2 | 通过 | 明确回答、当前证据与可执行合同条款均符合具体用例。 |
| 1 | 部分通过 | 控制存在,但证据、范围、配置或合同语言不完整。 |
| 0 | 不通过 | 供应商无法回答、拒绝提供证据,或保留冲突权利。 |
| N/A | 不适用 | 必须记录不适用原因,不要用 N/A 隐藏未知项。 |
- 76 到 90 分:可进入采购候选,仍需法律、安全与业务批准。
- 58 到 75 分:仅可附条件批准,必须指定整改项、负责人和截止日期。
- 0 到 57 分:暂停,买方正在接受过多未定价风险。
- 任何 Hard Stop 都优先于总分。
签约前的八个 Hard Stop
- 客户内容可在没有明确 opt-in 与约束性排除条款时用于训练或评估。
- 供应商无法识别数据路径中的全部处理者、子处理者、模型供应商与托管区域。
- 敏感 prompt 或 output 被无限期保存,或删除不覆盖日志、备份、embedding、fine-tune 且没有合理期限。
- 服务缺少 tenant 隔离、最小权限管理或与你的风险等级匹配的身份控制。
- 重大模型、安全、区域或子处理者变更可在没有通知、重新评估或回滚时发生。
- 事件通知条款没有合同时间、最低内容或证据保全义务。
- 供应商没有代表性用例评估,或拒绝披露方法、版本、局限与结果。
- 双方无法确定预期用途中谁是欧盟《人工智能法案》下的提供者、部署者或其他角色。
采购承诺之前,需要独立的 AI 供应商评估吗?
规划供应商评审客户数据的训练使用与保留: 问题 1 至 4
如果反馈、滥用监控、人工审查或子处理者仍可复用客户内容,一句不用于训练远远不够。必须逐项询问每类数据与每份副本,包括任何微调流程。
1. Prompt、文件、output、反馈或遥测是否会被用于训练、微调、蒸馏或评估任何模型,包括由子处理者使用?
要求的证据: 按数据类别、目的、模型和接收方列出的数据使用矩阵,以及当前产品配置和政策版本。
写入合同: 除交付与保护服务外,不得使用客户内容,除非客户另行明确 opt-in。
2. 模型改进用途是否默认关闭,买方可在哪个层级强制关闭?
要求的证据: 组织、workspace、项目与 endpoint 层级的截图或 API 文档,以及管理员测试。
写入合同: 排除条款适用于合同下的全部账户、API、支持渠道与未来功能。
3. Prompt、output、上传文件、embedding、日志、备份与滥用监控副本的默认和可配置保留期分别是多少?
要求的证据: 区分生产系统、日志、缓存、备份、支持工单与安全审查队列的保留计划。
写入合同: DPA 或订单中写明最长保留期、允许目的与不可配置的例外。
4. 供应商能否证明承诺的数据使用与保留配置已对本 tenant 生效?
要求的证据: Tenant 配置导出、控制测试、审计结果或与所购服务等级绑定的签署证明。
写入合同: 配置错误或绕过排除控制应被视为安全事件,并触发纠正、通知与删除义务。
子处理者: 问题 5 至 7
EDPB 指出,控制者应始终掌握全部处理者与子处理者的身份,并验证其是否提供充分保障。只列通用类别不足以说明真实数据路径。
5. 全部处理者与子处理者分别是谁、承担什么功能、注册于哪里、可接收哪些数据?
要求的证据: 包含法定名称、地址、服务、国家、数据类别与处理地点的最新登记表。
写入合同: 登记表通过引用纳入合同,并对范围内服务持续保持完整。
6. 新增或替换子处理者会提前多久通知,买方能否反对或终止合同?
要求的证据: 通知流程、历史通知与变更通知样例。
写入合同: 明确通知期、合理反对流程,以及没有可行替代方案时无罚金退出。
7. 同等的安全、保密、传输、协助与删除义务是否下传至整个链条?
要求的证据: 相关合同摘录、独立 assurance 范围,以及监控关键子处理者的证据。
写入合同: 供应商对其子处理者负责,并提供买方证明合规所需的证据。
模型与基础设施位置: 问题 8 至 10
承诺存储区域并不能说明推理、日志、支持访问或灾难恢复发生在哪里。请使用我们的欧盟 AI 数据驻留指南中的控制项绘制完整请求路径。
8. 推理、存储、日志、备份、支持与 failover 分别发生在哪些国家?
要求的证据: 标明服务、区域与跨区域复制路径的架构和数据流图。
写入合同: 按处理活动列出批准地点,不能只写支持欧盟区域。
9. 能否锁定区域,数据在什么支持、安全或灾难恢复场景下可离开该区域?
要求的证据: 配置文档、经过测试的 routing 行为与例外流程。
写入合同: 未经记录的法律机制与约定控制,不得改变地点或从批准国家外远程访问。
10. 模型、gateway、cloud 与支持的完整链条是什么,每一段 EEA 外传输由什么机制覆盖?
要求的证据: 供应链、必要时的传输影响评估、SCC 模块与补充措施。
写入合同: 供应商维护有效传输文件,并在机制或目的地变化时通知买方。
Prompt 与 output 日志: 问题 11 至 13
日志支持安全与可审计性,同时也会形成第二份敏感数据集。应区分内容与运营元数据,并明确访问。
11. 应用、gateway、模型供应商与基础设施层分别记录哪些内容?
要求的证据: 字段级日志 schema,说明 payload、元数据、脱敏、hash 与 correlation ID。
写入合同: 只可为约定目的记录约定字段,敏感字段在持久化前脱敏。
12. 能否关闭 prompt 与 output 内容日志,同时保留必要的安全和运营遥测?
要求的证据: Tenant 层级控制测试与产生的日志样例。
写入合同: 所选日志模式与任何强制安全例外固定适用于本服务等级。
13. 谁可读取 prompt 与 output 日志、目的是什么、需要什么批准、可保留多久?
要求的证据: 角色矩阵、特权访问流程、访问审查与审计记录样例。
写入合同: 指定访问目的、最小权限、审查频率与保留期同时适用于供应商人员和子处理者。
权限: 问题 14 至 17
企业 AI 会继承其可访问的每个数据源与工具的权限。即使模型很强,身份控制薄弱的系统仍然薄弱,尤其是在 RAG 权限横跨 SharePoint、Confluence 或 Drive 时。
14. 服务是否支持所需的 SSO、MFA、SCIM 与基于角色的访问控制?
要求的证据: 功能演示、角色目录,以及入职、转岗、离职与紧急访问流程测试。
写入合同: 所需身份功能包含在所购服务等级中,合同期内不得移除。
15. 存储、检索、缓存、fine-tune 与支持工具中的 tenant 隔离如何实施和测试?
要求的证据: 隔离设计、渗透测试范围、结果与加密密钥架构。
写入合同: 跨 tenant 访问属于安全事件,关键隔离控制接受独立测试。
16. 源权限是否在 RAG、connector、缓存、生成链接与导出中保持?
要求的证据: 负向权限测试,证明已撤销或未授权内容无法被检索、引用或导出。
写入合同: 检索必须在结果进入模型前执行当前源权限。
17. API key、agent 与 service account 能否限定范围、轮换、撤销并归属到负责人?
要求的证据: 密钥管理控制、scope 模型、轮换日志与使用归属。
写入合同: 不得使用没有负责人的共享凭证,轮换和撤销期限符合买方安全政策。
审计日志: 问题 18 至 20
买方需要足够可追溯性来调查结果、证明控制并满足适用保留义务,同时避免无限监控。
18. 审计轨迹包含哪些认证、配置、数据访问、模型、政策与管理事件?
要求的证据: 包含登录、角色变更、connector 访问、模型变更、安全设置与管理员操作的导出样例。
写入合同: 约定事件目录在合同期内保持可用且实质完整。
19. 事件是否包含可靠时间、actor、tenant、操作、对象、结果、前后值与 correlation ID?
要求的证据: 可从请求到结果重建一次 prompt 或操作的字段级样例。
写入合同: 持续维护时钟同步、完整性保护与特权日志访问控制。
20. 买方能否将日志导入 SIEM,并保存到所需期限?
要求的证据: API 或 streaming 文档、导出测试、rate limit 与保留配置。对适用高风险系统,测试能否至少保留六个月自动生成日志。
写入合同: 访问、格式、延迟与保留满足买方事件与监管义务。
模型变更: 问题 21 至 23
静默模型更新可能使评估失效、改变输出行为或改变法律与安全特征。应像生产依赖变更一样管理。
21. 哪些模型、system prompt、安全、区域与子处理者变更会触发提前通知?
要求的证据: 变更政策、release note 与基于重大性标准的历史通知。
写入合同: 对可能影响性能、风险、数据流或合规的变更设置明确提前期。
22. 买方能否固定版本、测试 canary、批准 rollout 并执行 rollback?
要求的证据: 版本 API、部署流程与保留日志的回滚演示。
写入合同: 关键流程具有受支持的验证窗口与回滚路径。
23. 兼容与弃用窗口多长,重大变更会附带什么重新评估证据?
要求的证据: 支持政策、迁移指南、差异评估与更新后的已知局限。
写入合同: 除记录的紧急安全原因外,不得在测试窗口结束前强制重大迁移。
事件响应: 问题 24 至 27
传统数据泄露条款可能遗漏 prompt injection、不安全工具使用、模型破坏与有害自动结果。必须提前定义 AI 事件。
24. 什么构成 AI 安全或 safety 事件?
要求的证据: 覆盖数据暴露、跨 tenant 检索、prompt injection、工具滥用、有害输出、模型或政策篡改、故障与未授权变更的分类。
写入合同: 定义覆盖保密性、完整性、可用性、安全与基本权利影响,不限于已确认个人数据泄露。
25. 供应商多久通知买方、通过什么渠道、最低包含哪些事实?
要求的证据: 响应计划、升级树、通知样例与按严重度划分的时限。
写入合同: 明确初始通知时限、指定渠道、最低内容与更新频率。
26. 供应商是否保全证据、支持调查,并提供根因与纠正行动报告?
要求的证据: 取证保留流程、证据链实践与脱敏事件报告。
写入合同: 证据保全、合作、定期更新与最终报告均有明确期限。
27. 响应计划如何演练,过去发生过哪些相关事件?
要求的证据: 最近 tabletop 或模拟记录、整改跟踪,以及约定回溯期内实质相似事件的披露。
写入合同: 定期演练与重大控制退化属于需报告的 assurance 事件。
人工审查: 问题 28 至 30
如果审查者没有时间、信息、权限和真正的停止控制,human in the loop 只是标签。
28. 获授权人员能否审查、覆盖、停止并申诉 AI 辅助结果?
要求的证据: 包含错误模型输出、升级与安全停止的流程演示。
写入合同: 服务不得绕过强制批准,也不得在所需审查前执行不可逆操作。
29. 什么信息与培训帮助审查者理解局限并避免自动化偏见?
要求的证据: 使用说明、局限提示、审查培训,以及界面不会把不确定性呈现为确定性的证据。
写入合同: 重大系统变更后,供应商及时更新说明与培训材料。
30. 审查、覆盖与升级决定是否被记录,同时避免收集不必要的个人数据?
要求的证据: 决策日志 schema、访问规则与隐私审查。
写入合同: 记录在目的限制与保留控制下支持责任追踪与申诉。
评估证据: 问题 31 至 34
通用 benchmark 不是验收证据。NIST AI RMF 要求在类似部署条件下进行记录完整、可重复的测试,并在运行中定期评估。请定义可接受的幻觉率,并为我们的大模型评估成本与 ROI 指南所述持续工作预留预算。
31. 该确切系统是否已在代表性任务、语言、用户与故障条件下针对本用例评估?
要求的证据: 测试集设计、采样理由、模型与 prompt 版本、结果、错误分析与局限。
写入合同: 生产验收取决于约定的用例测试,而不是通用模型排行榜。
32. 哪些指标与阈值覆盖质量、幻觉、偏差、安全、鲁棒性、延迟与成本?
要求的证据: 指标定义、baseline、不确定性处理、阈值与当前 scorecard。
写入合同: 关键阈值、监控频率与整改触发器构成验收标准或服务等级。
33. 谁执行评估,与交付团队之间有多大独立性?
要求的证据: 审查角色、适当的外部 assurance、可重复方法与重大局限信息。
写入合同: 买方可审查方法并获得足够证据复现关键测试,同时不暴露无关商业秘密。
34. 是否测试 prompt injection、数据外泄、不安全工具调用与模型特定滥用,并在变更后重测?
要求的证据: Threat model、red-team 范围、发现、整改与当前版本回归结果。
写入合同: 重大变更后重复关键 AI 安全测试,未解决的高风险发现阻止 rollout。
数据删除: 问题 35 至 37
删除必须覆盖 AI 系统创建的派生副本与运营副本,而不只是原始上传文件。
35. 供应商能否从生产、日志、embedding、fine-tune、缓存、支持系统与备份中删除客户数据?
要求的证据: 删除地图、各系统时限、备份到期与经过测试的删除流程。
写入合同: 逐一列出每个存储的范围、完成期限与狭窄例外。
36. 能否删除单个数据主体、记录、workspace 或 tenant,并传播至子处理者?
要求的证据: 删除 API 或运营流程、下游传播与完成轨迹样例。
写入合同: 供应商协助适用的数据主体请求并确认下游完成。
37. 提供什么删除证据,如何防止备份恢复重新引入已删除数据?
要求的证据: 删除证明、例外登记、恢复控制与再次删除流程。
写入合同: 证明列明范围、日期、剩余 legal hold 与恢复备份控制。
退出与可移植性: 问题 38 至 40
欧盟《数据法》对适用的数据处理服务规定切换义务。即使具体适用范围仍需法律审查,采购也应明确能导出什么、格式、速度与成本。请将回答纳入买方的技术尽职调查记录。
38. 买方能否导出 input、output、配置、prompt、评估集、日志、元数据与其他客户控制资产?
要求的证据: 完整导出样例与采用常用机器可读格式的数据字典。
写入合同: 签约前完整列出可导出类别与有理由的排除项。
39. 切换可使用哪些 API、工具,限制、时限、协助与费用是什么?
要求的证据: 退出指南、API 文档、容量测试、预计时间与当前费用表。
写入合同: 切换支持、连续性、安全、通知、取回期与费用符合适用法律和约定服务等级。
40. 买方能否安全过渡、验证替代方案,并在确认导出前延迟删除?
要求的证据: 涵盖只读访问、并行运行、模型替换、导出验证与最终删除的退出演练。
写入合同: 明确过渡与取回窗口,避免锁定或提前删除。
欧盟《人工智能法案》责任: 问题 41 至 45
《人工智能法案》按角色与用途分配义务,而不是按谁起草 MSA。第 25 条规定,在重新贴牌、重大修改或改变预期用途后,部署者或其他第三方可能成为高风险系统提供者。
41. 在预期用途中,哪一方是提供者、部署者、进口商、经销商、GPAI 提供者或下游系统提供者?
要求的证据: 与产品、模型、预期用途和欧盟市场路径绑定的签署责任矩阵。
写入合同: 每项义务只有一个 accountable owner,并明确合作义务。
42. 什么书面分析覆盖禁止做法、高风险分类、第 50 条透明度与 GPAI 义务?
要求的证据: 当前分类 memo、假设、排除项与版本日期,并在适当情况下由律师审查。
写入合同: 可能改变分析的变更必须通知买方。
43. 供应商是否提供买方履行使用说明、日志、人工监督、局限、事件与下游合规所需的信息?
要求的证据: 使用说明、技术文档、模型信息、联系人路径与 compliance pack 样例。
写入合同: 必要信息、能力、技术访问与协助属于需持续更新的交付物。
44. 谁负责上市后监控、严重事件报告、透明度控制、AI 素养与任何必要的基本权利影响评估?
要求的证据: 生命周期责任图、流程、已培训负责人和主管机关联系人。
写入合同: 通知与合作时限应给法律责任方足够时间采取行动。
45. 如果品牌、修改或预期用途变化把提供者责任转给买方,会如何处理?
要求的证据: Change-control 场景、重大修改评估与交接包。
写入合同: 未经批准、更新文档、技术协助、成本分配与退出权,不得进行转移责任的变更。
如何把 45 个回答变成采购决定
- 先开一次 45 分钟范围会议,在发问卷前固定用例、数据类别、用户、工具、区域与影响。
- 要求供应商直接在电子表格回答并附上证据。只有政策链接,最高只能算部分通过。
- 安全、隐私、法务、产品与运营负责人只审查自己有权接受或拒绝的部分。
- 把每个接受的缺口转为合同控制、整改项、负责人和日期。
- 生产前测试对本用例最重要的五项控制,重大模型或数据路径变更后重测。
为什么这份问卷以证据为基础
结构来自欧盟《人工智能法案》对价值链责任、部署者监督、日志与事件义务的分配;GDPR 的处理者链和删除要求;欧盟《数据法》的切换条款;NIST AI RMF 的测试与第三方风险实践;以及 ENISA 的 AI 网络安全分层方法。它刻意要求系统证据,因为证书或政策无法证明你所配置 tenant 的真实行为。
AI 供应商安全问卷常见问题
什么是 AI 供应商安全问卷?
谁应该填写问卷?
SOC 2 或 ISO 27001 证书够吗?
这份清单能让 AI 采购自动符合欧盟《人工智能法案》吗?
AI 供应商尽调回答应附哪些材料?
企业应多久重新评估一次 AI 供应商?
最终思考
可信的 AI 供应商不会对每个问题都回答是。它会解释边界、展示当前证据并接受可执行合同。这才是真正的采购信号。隐藏模型链、无法复现评估或保留客户数据单方权利的供应商,并没有转移风险,只是把不确定性转给你。
以 HTML 清单作为主版本,让电子表格贯穿评审,并把已接受缺口写入合同。如果系统会接触敏感数据、执行有后果的动作或进入受监管流程,请在签署生产承诺前通过付费试点验证关键控制。
主要来源与研究基础
- 欧盟法规 2024/1689,《人工智能法案》. 第 12、14、15、25、26、50、72 和 73 条,涉及价值链、日志、监督、鲁棒性、透明度、监控与事件。
- 欧盟委员会,《人工智能法案》概览与实施时间线. 提供者、部署者、GPAI 与透明度义务的当前委员会摘要,核查于 2026 年 7 月 17 日。
- 欧盟法规 2016/679,GDPR. 第 28 与 32 条,涉及处理合同、子处理者、审计、删除或返还与处理安全。
- EDPB 第 22/2024 号处理者与子处理者意见. 处理链身份、充分保障与传输文件。
- EDPB 第 28/2024 号 AI 模型意见. 匿名性、合法利益及违法处理个人数据对 AI 模型开发和使用的影响。
- 欧盟法规 2023/2854,《数据法》. 第 23 至 30 条,涉及适用数据处理服务的合同、导出、过渡、取回、删除与切换费用。
- NIST AI Risk Management Framework Core. 第三方风险、人工监督、记录完整的测试、独立评估与生产监控。
- ENISA Multilayer Framework for Good Cybersecurity Practices for AI. 覆盖 AI 生命周期的网络安全基础、AI 特定控制与行业控制。
采购承诺之前,需要独立的 AI 供应商评估吗?
规划供应商评审