供应商合规：构建供应商关系管理计划需关注的核心法规

理解行业与政府法规对供应链的影响，对于降低企业风险并为客户提供保障至关重要。本文将剖析若干合规要求，这些要求应纳入更广泛的供应商风险管理计划中予以落实。

尽管企业多年来一直受信息安全和数据隐私法规约束，但近期出台的多项强制性规定要求企业将更多关注点转向供应商关系。与此同时，ESG合规要求的引入正对供应链产生重大影响。本文将涵盖供应商合规要求的各类范畴，梳理直接涉及供应商风险的关键法规，并探讨这些法规如何融入您的供应商关系管理（SRM）计划。

供应商需要遵守哪些类型的合规要求？

适用于第三方供应商的合规要求主要有三类：

信息安全要求，例如HIPAA（
）和CMMC（Cybersecurity Maturity Model Certification）。
ESG合规要求，例如英国《现代奴隶制法案》和欧盟《企业尽职调查指令》
数据隐私要求，例如《通用数据保护条例》（GDPR）和《加州消费者隐私法案》（CCPA）

供应商信息安全

众所周知，信息安全合规性是与软件公司、SaaS服务提供商及其他IT供应商合作时的重要考量因素。然而，确保非IT供应商也将信息安全标准纳入其业务实践同样至关重要。

任何供应商若接触到贵组织的敏感信息、系统或设施，都可能带来数据泄露风险。请考虑以下示例：

受保密协议约束的客户名称及数据，若被公开可能导致声誉和财务损失
客户、员工——甚至其他供应商的个人身份信息（PII）或受保护健康信息（PHI）
对系统的物理或虚拟访问权限，例如为维护或更新工业设备而聘用的供应商

供应商ESG

供应链中的环境、社会和治理（ESG）实践对许多组织日益重要。多个国家正在制定法规，要求组织主动对其整个供应链进行ESG尽职调查。影响供应链的ESG问题包括：

矿产开采企业、制造商及其他依赖重体力劳动的供应商实施的强迫劳动、现代奴役及其他侵犯人权行为
环境退化，例如高水平的温室气体排放、雨林及其他生态系统的破坏，或侵犯原住民所属土地的行为
涉及政府关联的第三方、第四方及N方供应商的贿赂与腐败问题，这些政府存在滥用职权的记录

供应商数据隐私

在与供应商合作时，数据隐私也是一个重要考量因素。诸如《通用数据保护条例》（GDPR）、《加州消费者隐私法案》（CCPA）和《纽约州消费者隐私保护法案》（SHIELD Act）等法规，为消费者数据的获取、处理和共享设定了标准。供应商数据隐私问题可能源于以下情形：

未经事先同意即共享或出售客户数据
未能对能够物理或虚拟访问个人数据的供应商进行审计
使用对个人身份信息、个人健康信息及其他敏感数据保护措施不足的供应商

供应商信息安全要求

即使是非IT行业的供应商，也可能接触到个人身份信息（PII）、个人健康信息（PHI）、知识产权或其他敏感信息，这些信息可能给贵组织带来合规风险。在与供应商合作时，需考虑以下几项主要信息安全要求：

供应商HIPAA指南

《健康保险携带与责任法案》（HIPAA）要求各组织实施信息安全控制措施，以保障患者受保护健康信息（PHI）的安全。HIPAA要求适用于多种类型的组织，包括医疗服务提供者、健康计划提供者和医疗信息交换中心。

根据《健康保险流通与责任法案》业务伙伴规则，存储或处理个人健康信息的第三方供应商和供货商同样受该法案监管。虽然业务伙伴通常是IT供应商，但情况并非总是如此。业务伙伴还可能包括以下类型的供应商：

处理医疗保险索赔的顾问
为医院执行利用率和效率评估的供应商
医疗文书录入员

哪些供应商必须遵守《健康保险流通与责任法案》？

《健康保险流通与责任法案》（HIPAA）的业务合作伙伴规则适用于任何存储或处理个人健康信息（PHI）的第三方。根据美国卫生与公众服务部的定义，业务合作伙伴是指 "代表受保护实体执行涉及使用或披露受保护健康信息的特定职能或活动，或向受保护实体提供服务的个人或实体"。

供应商的CMMC认证

网络安全成熟度模型认证（CMMC）是由美国国防部（DoD）创建的框架，旨在提升其供应链（即国防工业基地，DIB）的安全性。

根据CMMC 2.0要求，寻求与国防部合作的组织必须满足特定信息安全标准，并根据其处理的数据类型及接触机密信息的范围，通过其中一个CMMC等级的认证：

一级：该 级别适用于管理联邦合同信息（FCI）的供应商，此类信息不涉及国家安全关键领域，需针对17项控制措施进行自我评估。
二级：处理受控非机密信息（CUI）的供应商属于二级范围，需通过NIST SP 800-171标准中额外110项控制措施的认证。虽然部分供应商可在此级别进行自我评估，但多数仍需经认证的第三方审计机构（C3PAO）进行评估。
三级：这是面向最高优先级国防部供应商的专家级认证。除二级所需的控制措施外，该级别还包含NIST SP 800-172控制措施的子集。联邦政府将对三级供应商实施审计。

哪些供应商必须遵守CMMC？

CMMC将适用于国防部供应链中的所有主承包商、分包商和供应商。国防部预计将有超过30万家机构受到CMMC法规的影响。未能遵守CMMC要求的机构将丧失竞标美国国防部合同的资格。CMMC 2.0的最终法规制定工作正在进行中，计划于今年晚些时候至2025年分阶段实施。

NIST供应商指南

美国国家标准与技术研究院（NIST）发布了网络安全框架，其中包含构建有效信息安全计划的最佳实践。所有美国联邦机构、承包商及与联邦机构合作的分包商均须遵守NIST的安全要求。

NIST文件虽不具法律约束力，但多项法规均以NIST控制措施和标准为基础。众多公共及私营机构要求依据NIST指南进行第三方认证。若干NIST特别出版物概述了要求组织建立并实施流程以识别、评估和管理供应链风险的控制措施，包括：

SP 800-53 Rev. 5：信息系统和组织的安全与隐私控制
SP 800-161 Rev. 1：系统和组织的网络安全供应链风险管理实践
网络安全框架2.0版：关键基础设施网络安全改进框架

哪些NIST要求适用于供应商关系？

美国国家标准与技术研究院（NIST）针对第三方供应商的要求包括：

评估安全控制措施是否正确实施、按预期运行并符合要求
持续监控安全控制措施，以评估其有效性
确定对供应商的网络安全要求
通过正式协议（如合同）颁布网络安全要求
向供应商说明如何核实和验证网络安全要求
通过评估方法验证网络安全要求是否得到满足

美国国家标准与技术研究院（NIST）并非监管机构，因此除非涉及《健康保险流通与责任法案》（HIPAA）等采用NIST SP 800-66标准的法规要求，否则违规行为不会直接面临法律处罚。然而，若贵机构与美国政府机构合作，则必须遵守NIST标准。第三方供应商若不符合NIST标准，仍可能引发风险并损害客户关系。

供应商ESG合规要求

旨在解决环境、社会和治理（ESG）问题的法规，正日益要求组织主动识别并处理其延伸供应链中的ESG问题。

早期ESG法规（如英国《现代奴隶制法案》和加州《供应链透明度法案》）主要要求企业报告其在供应链中遏制不道德行为的举措。然而，新出台的更严格ESG法规则要求采取具体行动：包括对供应商的ESG实践进行例行审计、终止与不道德供应商的合同，以及主动监测供应链中的潜在ESG风险。

ESG合规要求主要分为两大类：

披露要求，规定组织必须报告其在供应链中解决ESG问题的举措
尽职调查与管控要求，要求组织评估供应商的ESG实践，并确保供应商实施与ESG相关的管控措施。

您供应商风险管理计划中现行及即将实施的ESG法规包括：加拿大《打击供应链中强迫劳动和童工行为法案》、英国《现代奴隶制法案》、德国《供应链尽职调查法》以及欧盟《企业可持续性尽职调查指令》。

《打击供应链中强迫劳动和童工行为法案》（S-211）

《供应链中打击强迫劳动和童工法案》（亦称S-211法案）要求加拿大政府机构及特定私营部门实体"报告为防止和降低自身或其供应链中使用强迫劳动或童工风险所采取的措施"。该法案同时建立检查机制以确保条款执行。与英国《现代奴隶制法案》、澳大利亚《奴隶制法案》及同类法律相同，本法案旨在推动全球打击强迫劳动、童工及其他现代奴隶制形式的斗争。

谁必须遵守《反对强迫劳动法》？

所有在加拿大生产、采购或分销商品的加拿大政府机构均须遵守该法案。此外，符合以下任一条件的商业实体也须遵守：a) 在加拿大证券交易所上市；或 b) 在加拿大开展业务且拥有至少2000万加元资产、创造至少4000万加元收入、平均雇佣至少250名员工。

英国《现代奴隶制法案》

《2015年现代奴隶制法案》是英国的一项法律，要求各组织公开说明其做法，以确保其业务或供应链中不存在强迫劳动、人口贩运及其他形式的非自愿劳役。

该法案的"供应链透明度"章节（第6部分第54条）规定了组织必须披露的信息，包括：

组织结构，包括其业务及其供应链的相关信息
处理奴役和人口贩运的企业政策
尽职调查流程，用于揭示其业务和供应链中潜在的奴役和人口贩运行为
存在奴役和人口贩运风险的特定业务领域，以及为评估和管理该风险所采取的措施
在确保其业务或供应链中不存在奴役和人口贩运方面的表现
关于奴役与人口贩卖主题的员工培训信息

哪些主体必须遵守英国《现代奴隶制法案》？

英国《现代奴隶制法案》适用于在英国运营且年销售额达3600万英镑或以上的组织。

德国供应链尽职调查法

《德国供应链尽职调查法》要求企业对其供应链实施人权尽职调查。该法律规定企业必须采取一切必要措施预防人权风险，报告其相关举措，采取补救措施，并保留相关文件七年。

受监管企业必须更新其供应链尽职调查流程，并确保其活动符合该法案规定，涵盖以下领域：

环境破坏
最低工资
童工和强迫劳动
非法征用土地和水域
酷刑
歧视
结社自由
问题重重的就业和工作条件
职业健康与安全

谁必须遵守德国《供应链尽职调查法》？

截至2023年，所有在德国运营且雇员人数至少达3000人的企业均须遵守《德国供应链尽职调查法》。2024年起，该法律将扩大至雇员人数超过1000人的企业。

欧盟企业可持续发展尽职调查指令

《企业可持续性尽职调查指令》（简称CSDDD）规定了企业对其运营和供应链履行尽职调查的具体义务，旨在识别、预防、减轻并说明其对环境、劳工和人权造成的不利影响。欧洲议会于2024年1月发布了该指令的最终草案。若获通过，该法律将自2027年起分阶段生效。

如果该法律获得通过，将要求组织：

将ESG尽职调查纳入公司政策
识别实际或潜在的对人权和环境的不利影响
预防或减轻潜在影响
终止或最大限度地减少实际影响
建立并维持投诉处理程序
监督尽职调查政策和措施的有效性
公开报告尽职调查活动

哪些主体必须遵守《企业可持续发展尽职调查指令》？

若获通过，《企业可持续发展尽职调查指令》将适用于欧盟境内员工超过500人且全球营业额高于1.5亿欧元的公司及其母公司。对于员工超过250人且营业额超过4000万欧元的企业，若其在下列任一领域产生至少2000万欧元收入，则须履行相关义务：

纺织品、服装和鞋类制造及批发贸易
农业，包括林业和渔业
食品制造业及农产品贸易
矿产资源的开采及批发贸易或相关产品制造
建筑

供应商数据隐私要求

数据隐私要求是与第三方供应商合作的组织面临的另一项核心关切。诸如《通用数据保护条例》（GDPR）和《加州消费者隐私法案》（CCPA）等法规限制了企业间个人数据的共享、存储和处理方式，对违规行为将处以巨额罚款。

供应商的《通用数据保护条例》

《通用数据保护条例》（GDPR）是一项隐私法律，规范着欧盟公民数据的收集、流动及保护。该条例适用于任何收集、存储、处理或传输欧洲个人数据的组织，无论其所在地如何。

由于第三方通常负责代表客户管理个人数据，组织必须确保其供应商和经销商已建立数据保护控制措施和治理机制。该流程包括开展数据隐私控制评估、分析结果以识别潜在风险，并要求第三方采取补救措施消除风险，从而规避监管、财务及声誉风险。

事实上，《通用数据保护条例》要求组织机构进行风险评估，以识别隐私风险——包括内部风险以及由第三方代为处理、加工或存储个人数据时产生的风险。第76条——风险评估指出：“应基于客观评估来衡量风险，据此确定数据处理操作是否涉及风险或高风险。”

哪些主体必须遵守《通用数据保护条例》？

《通用数据保护条例》适用于任何存储或处理欧盟居民数据的组织。

供应商的《加州消费者隐私法案》

《加州消费者隐私法案》规范企业收集和销售消费者数据的行为，旨在保护加州居民的敏感个人信息，并赋予消费者对企业使用该信息方式的控制权。

《加州消费者隐私法案》（CCPA）适用于从加州任何居民处收集的消费者数据，无论数据是由总部位于该州的公司收集，还是仅在该州开展业务的公司收集。各组织需监督接触加州居民数据的供应商，并采取主动措施确保受CCPA约束的数据得到妥善处理。

《加州消费者隐私法案》（CCPA）于2023年通过《加州隐私权法案》（CPRA）得以扩展，新增了合规义务要求，强制企业与第三方签订严格协议，以确保消费者信息的安全收集、使用及处置。

哪些主体必须遵守《加州消费者隐私法案》？

《加州消费者隐私法案》（CCPA）适用于从加州居民处收集个人信息的企业、服务提供商以及接收企业转移该信息的第三方。尽管CCPA是州级法律，但其适用范围涵盖任何与加州消费者开展业务的营利性实体——无论其所在地——且满足以下任一条件：

年总收入超过2500万美元；
购买、接收或出售50,000名或以上加州居民、家庭或设备的个人信息；或
其年度收入的50%或以上来源于向加州居民出售个人信息。

下一步：自动化供应商合规管理

当今的第三方风险环境复杂且不断演变。因此，您的供应商风险管理计划应能够满足合规要求，并确保整个供应链的业务韧性。

借助Prevalent的供应商风险管理解决方案，您可通过单一统一平台自动化完成供应商风险评估、监控、分析及报告工作。同时，该平台内置数十项合规法规与最佳实践框架的覆盖支持。立即预约演示，了解如何优化供应商风险合规流程。

编者按 本文最初发表于 Prevalent.net. 2024 年 10 月，Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后，我们对内容进行了更新，以纳入与我们的产品、监管变化和合规性相一致的信息。

供应商合规：供应商关系管理计划应考虑的主要法规