❓ 常见问题

中国供应商最关心的 CSDDD 问题

点击展开答案
CSDDD 直接约束中国企业吗?

极少情况下会。Omnibus I 后,第三国企业须在欧盟净营收 >15 亿欧才直接适用。绝大多数中国企业不满足此条件。

间接影响是主要途径:你的欧盟客户(如果是超大企业)会向你传导尽调要求——要求你填写问卷、接受审计、签署行为准则、提供整改证据。

使用影响评估器判断

我是二级供应商(Tier 2),需要担心吗?

Omnibus I 后默认豁免。CSDDD 尽调义务仅默认覆盖直接商业伙伴(Tier 1)。间接供应商(Tier 2+)只有在以下情况才可能被波及:

  • 具体风险迹象指向你(如媒体报道、NGO举报)
  • 你的 Tier 1 客户将要求级联传导给你

建议:确保无明显违规(如强迫劳动、严重污染),但无需投入大量资源专门应对。

欧盟客户会要求我做什么?

作为 Tier 1 供应商,你可能被要求:

  1. 签署供应商行为准则(Supplier Code of Conduct)
  2. 填写自评问卷(SAQ)——覆盖人权、环境、治理
  3. 接受第三方审计(如 SMETA、SA8000 审计)
  4. 提供整改计划(如审计发现不符合项)
  5. 提供碳排放数据(作为客户 Scope 3 的一部分)

使用自查清单提前准备

不配合会怎样?

CSDDD 的处罚针对欧盟企业(最高 3% 净全球营收),不直接罚中国供应商。但:

  • 欧盟客户为了自身合规,可能终止与你的合作
  • 你可能被列入客户的高风险供应商名单
  • 行业内信息共享,影响你与其他欧盟客户的关系
  • 长期来看,不合规供应商会被逐步排除出欧盟供应链
什么时候开始?还有多少时间?

经过 Stop-the-Clock 和 Omnibus I 两次延期:

  • 2027-07-26 — 成员国转化截止
  • 2029-07-26 — 首批企业适用

但注意:部分欧盟大企业(如法国企业受 Loi de Vigilance 约束)已经在实施类似要求。不要等到 2029 年才开始准备。

查看完整时间线

CSDDD 和 SMETA/SA8000 审计有什么关系?

SMETA 和 SA8000 是现有的社会审计标准,覆盖了 CSDDD 人权要求的大部分内容。如果你已经通过了这些审计,你在人权方面的准备已经比较充分。

但 CSDDD 还额外要求环境尽调(污染、气候、生物多样性),这是 SMETA/SA8000 覆盖较少的领域。

SMETA 审计工具 | SA8000 工具

CSDDD 和 CSRD/ESRS 有什么关系?

两者互补:

  • CSRD/ESRS — 要求企业报告可持续发展信息(披露义务)
  • CSDDD — 要求企业行动(识别、预防、减轻负面影响)

CSDDD 的尽调结果会成为 CSRD 报告的数据来源。你的欧盟客户在做 ESRS 报告时,也需要你提供供应链数据。

ESRS 标准速查

我应不应该签客户发来的供应商行为准则(Supplier Code of Conduct)?

一般来说应该签——拒签的代价通常是失去订单。但签之前注意:

  • 核对条款是否包含"成本无条件承担"(如"乙方承担所有审计、整改、补救费用")——可与客户协商分摊
  • 核对"级联传导"条款——客户是否要求你向你的下游供应商传导同等义务
  • 核对"终止权"——发现违规客户是否可立即解约
  • 保留签署记录,每年复审新版本(行为准则常更新)

→ 多客户签多份准则时建议建立内部映射表,识别条款冲突。

第三方审计费用谁承担?

实践中通常由供应商(你)承担。但具体可与客户协商:

  • 首次审计多由供应商承担,约 1.5–3 万元人民币(SMETA 4-Pillar)
  • 跟进审计(follow-up)可议价由客户分摊
  • 整改成本(系统建立、培训、设施改造)通常由供应商承担
  • 建议:与多家客户共享同一份审计报告(SMETA 报告 6 个月有效),降低重复审计成本
Stop-the-Clock 把首批适用推到 2029,我现在还需要准备吗?

需要,但节奏不同。欧盟客户已经在做提前布局:

  • 2026-2027:欧盟客户会做"风险盘点"——识别高风险供应商。在此之前完成 SMETA/SA8000 审计可降低风险评级
  • 2028:欧盟客户会做"能力建设"——可能要求你参与培训、签新合同条款
  • 2029-07:正式适用,届时未达标的供应商可能直接被淘汰

→ 现在做的成本最低(按部就班);2028 才开始则可能要赶工。

SMETA / SA8000 / RBA / amfori BSCI 这么多审计,我该选哪个?

取决于客户群和行业。常见选择:

  • SMETA — 最广泛接受,覆盖人权 + 健康安全 + 环境 + 商业道德。中国出口企业首选
  • SA8000 — 国际公认的"人权认证",比 SMETA 更严格,可作为亮点
  • RBA (前 EICC) — 电子行业专用,苹果/华为/戴尔等强制要求
  • amfori BSCI — 欧洲零售(H&M、Carrefour)常用
  • Sedex — 不是审计,是平台。SMETA 的数据需上传到 Sedex 平台共享

建议:先看你前 3 大欧盟客户要求哪个,最常被指定的优先做。

SMETA 工具 | SA8000 工具

我有底气拒绝某些违反隐私的"调查"吗?

有。CSDDD 不要求供应商无限度披露内部数据。合理边界包括:

  • 员工个人信息——身份证号、住址等仅在合法基础上提供(如审计需要核对)
  • 商业秘密——配方、客户名单、定价不构成 CSDDD 合规证据,可拒绝披露
  • 员工访谈——必须自愿、保密、不在场监督,否则可拒绝配合
  • 突击访厂——多数情况下应有合理通知(24-48 小时),紧急除外

建议:与客户在合同阶段明确审计的范围、频率、通知期