供应商DPA和安全附录清单

在处理供应商 DPA 和安全附录检查表吗？关键很简单：如果文件不能显示权限、版本、证据、阈值、期限和负责人，最终的法律或商业决定就更难被信任。将相关文件上传到 Caira，并把它们变成可审查的检查表。
打开 Caira

先从文件需要支持的决定开始。然后在结论定型前建立证据索引。把缺失信息、业务决定、法律假设和归档操作分开。自始就让日期、文件版本和指定负责人可见。

支撑文件的官方数据点

使用这些有来源支撑的检查，让页面更实用，而不是泛泛而谈。

• 供应商 DPA 应明确数据类别、处理目的、分处理方权利、安全措施和删除义务。

• 事件通知条款应检查时限、内容、配合义务、监管机构通知和客户通知支持。

• 安全附录应保留审计报告、认证、控制说明、例外和整改承诺。

那么，为什么重要

供应商 DPA 和安全附录检查表之所以重要，是因为风险通常不是少了一段文字，而是缺乏可追溯性。你需要把供应商的隐私与安全义务变成可执行的要求，而不是装饰，同时把来源权威、适用文件、审批机制、证据归属和未决假设分开。

目标不是用摘要替代来源文件。目标是让记录更易审查：请求了什么，哪个规则或合同条款控制它，批准了什么，什么证据支持它，缺了什么，什么已升级处理，以及什么仍需负责人决定。

两种常见场景

场景 1. 一家金融科技供应商报告可疑访问，涉及 14 个州的 184,139 条消费者记录。业务团队想要一份全国统一通知。隐私顾问则想按州列出数据项、居民、监管门户和期限差异的矩阵。

场景 2. 客户合同要求 48 小时内通知，但事件团队仍不知道数据是否已被外传。供应商想保住合作关系；客户想要事实、遏制措施，以及一份可给其董事会看的书面时间线。

本问题常见的解决点

这个问题通常会以实际方式出现。采购团队需要把 DPA、MSA、安全附录和真实数据流关联起来。安全问卷也应与合同性保障对应。

它也会在后续审查中造成摩擦。事件通知时限和分包方控制经常成为谈判焦点。删除和返还承诺需要可操作的证明。

需收集的文件

• DPA、安全附录和 MSA

• 数据清单和处理说明

• 供应商安全问卷和认证

• 事件通知条款和泄露响应手册

• 分包方名单和审计权

• 数据返还、删除和保留条款

需核查的权威与记录

先从控制该问题的权威或记录开始，再核对你手头的实际文件。若州、机构、法院或县级规则不同，请把具体辖区的权威与被审查的文件放在一起。

在本页中，权威核查应始终与实际文件相连。FTC《保障规则》相关来源支持风险评估、保障措施、供应商监督和事件响应证据。州级泄露报告来源支持通知分流规划。若涉及 PHI，可使用 HIPAA 来源，但医疗行业特有的业务伙伴条款仍属单独保留主题。

文件审查要点

把它当作一个紧凑的审查表。这样法律来源、工作文件和最终处理结果就能保持在同一视线内。

如何使用此检查表

在任何备忘录、归档、通知或修订稿定稿前，先用一个索引工作。为来源权威单独设一列，再为支持该要点的实际文件或附件设一列。把每个缺口标为事实、法律、商业、归档、通知、批准或证据质量问题，这样下一位审查者就知道问题类型。

为已由商业判断、风险接受、修订起草或进一步审查关闭的事项保留简短决定日志。重复使用前明确标记过期资料。这样下一位审查者就能从来源材料顺畅走到决定。

向 Caira 提问

上传后，向 Caira 提出窄范围问题，迫使文件以表格、时间线或检查表形式呈现。这样能在晚期起草或归档问题出现前暴露缺口。

• 处理了哪些数据，用于什么目的

• 合同中承诺了哪些保障

• 适用的事件通知时钟是什么

• 谁批准分包方

• 退出时，什么证据能证明删除或返还

需分离的红旗

• DPA 对处理的描述与订单表不同

• 安全附件没有审计证据

• 事件通知时限含糊

• 缺少分包方批准

• 承诺了删除证明，但没有落实到操作

实际产出

一份好的完成文件应足够小，便于快速审查；又足够详细，便于日后重建。将来源文件、工作笔记和最终输出分开，保持轨迹清晰。实践中，这通常意味着要产出供应商数据地图、保障到证据对照表、事件通知矩阵、分包方跟踪表，以及退出和删除检查表。

需检查的来源与权威

把这些作为辖区特定审查的起点，而不是完整的法律意见。

• 在涉及 PHI 时，HIPAA 隐私规则、安全规则和泄露通知规则，45 CFR 第 164 部分。

• 在涉及客户金融信息时，FTC《保障规则》16 CFR 第 314 部分，以及《格拉姆-利奇-布莱利法》的保障条款。

• 在涉及加州个人信息时，CCPA/CPRA 法规以及 CPPA 规章。

• 适用于受影响居民的州数据泄露通知法规和总检察长报告门户。