来源:威科先行,作者:孙庆南、徐悦。本文已获作者授权转载。
本文聚焦的是《企业可持续尽职调查指令》(Corporate Sustainability Due Diligence Directive,Directive (EU) 2024/1760,下称“CSDDD”),它不只要求“说清楚”,还要求“真的做”。CSDDD是一套具有法律约束力的企业供应链人权与环境尽职调查制度:企业不仅须披露ESG数据,更须切实识别、预防、减轻并补救其自身运营、子公司以及整个供应链中存在的人权与环境风险。换言之,供应链合规不再是企业自愿选择的商业道德表态,而是被写入法律的强制义务。
综合法案(Directive (EU) 2026/470,下称“综合法案”)已于2026年2月26日在《欧盟官方公报》正式发布,2026年3月18日正式生效。该法案对CSDDD进行了大幅度修订。简要而言,综合法案将纳入监管的企业数量削减了预计70%左右,简化了原有的分阶段实施时间表,删除了企业必须制定并执行气候转型计划的要求,并放弃了建立欧盟统一民事诉讼机制的计划。此外,法案还引入了新的“范围界定”机制,改变了企业识别和评估供应链风险的方式——企业不再需要对整条供应链平均用力,而是先摸排高风险环节,再重点跟进。需要注意的是,法律文本“松绑”,并不意味着中国供应商所面临的合规压力同步消退。欧盟大型买方正通过采购合同、供应商行为准则和审计条款等商业工具,将尽职调查要求持续向上游传导。对绝大多数中国供应商而言,即便自身不在CSDDD的直接适用范围内,也可能通过这一链式传导被动卷入合规体系。
一、CSDDD的立法背景与制度定位
CSDDD于2024年7月25日生效,是欧盟在供应链监管领域迄今最重要的立法。它要解决两个长期悬而未决的问题。
第一个问题是欧盟内部监管标准不统一。在CSDDD出台之前,部分成员国已自行立法,但各国要求差异悬殊。以两个典型为例:德国《供应链尽职调查法》(LkSG)侧重行政监管,企业违规最多面临行政罚款或被排除在政府采购之外,但受害方无法据此直接起诉企业索赔[1]。法国《企业责任警戒法》则走得更远:企业若未尽到“警戒义务”且造成实际损害,受害方可直接依据法国侵权法提起民事赔偿诉讼[2]。同一家企业在不同成员国可能面临完全不同的义务和责任,合规不确定性显著。CSDDD的首要目标,正是为所有成员国设定一套统一的最低尽职调查标准——各国可在此基础上制定更高要求,但不能低于这条基准线,从而减少企业跨国经营中面临“同一家公司、不同国家、截然不同义务”的困境。
第二个问题是供应链责任长期停留在“道德倡议”层面。《联合国商业与人权指导原则》(UNGPs)、《经合组织负责任商业行为尽职调查指南》等国际准则早已存在,却只能靠企业自觉遵守,没有任何强制约束力。CSDDD正是将这些“君子协定”转化为具有法律效力的硬性义务,并配套了明确的行政处罚机制。
因此,CSDDD不仅是一项协调成员国立法的内部市场措施,也标志着欧盟将企业供应链人权与环境责任纳入具有强制力的法律监管框架。
二、CSDDD项下企业的核心尽职调查义务
CSDDD要求的是“尽力”而非“结果达标”。指令并不要求企业确保其供应链中绝对不存在任何人权或环境问题——这在现实中几乎不可能做到。它要求的是:企业能够证明自己已经建立了合理、系统的风险管理机制,并切实按照该机制运作。换言之,出了问题不一定违法,但如果企业没有建立任何识别和应对机制,则肯定违法。
值得注意的是,CSDDD的尽职调查义务在范围上并不局限于传统意义上的“供应链”(supply chain)——指令采用了更广的概念“活动链”(chain of activities)。根据指令定义,活动链涵盖两个方向:上游方面,包括与公司生产商品或提供服务相关的上游业务伙伴的活动,如原材料、产品或部件的设计、开采、采购、制造、运输、储存和供应,以及产品或服务的开发;下游方面,包括与产品分销、运输和储存相关的下游业务伙伴的活动——前提是这些活动由业务伙伴为公司或代表公司执行。这一界定有别于仅关注采购端的供应链尽调框架,是CSDDD相比早期政策讨论的重要制度扩展,也是本文在后续分析中使用“活动链”而非“供应链”的原因所在。
在制度设计上,CSDDD的尽职调查体系借鉴了《经合组织负责任商业行为尽职调查指南》所确立的六步骤框架,依次为:将尽职调查嵌入企业政策与风险管理体系→识别和评估不利影响→预防或减轻潜在风险→终止或补救已发生的不利影响→建立投诉程序→持续监测和对外沟通。
综合法案在此框架上进一步增加了一项新的操作机制——风险范围界定,使企业得以有针对性地集中资源应对最高风险领域,并仅在该等领域开展深入评估,而非对整条供应链进行无差别扫描。以下逐一说明各项核心义务:
(一)风险识别程序:范围界定与深入评估
这是综合法案对CSDDD尽职调查方法的重要结构性调整。原CSDDD要求企业识别活动链中的不利影响,但对“从哪里入手、先查什么”没有明确指引,实操中企业往往不知道资源该如何分配。综合法案将这一过程拆分为两个步骤:
- 范围界定(Scoping Exercise):企业基于合理可获取的信息,对自身运营、子公司及活动链伙伴进行初步摸排,找出最可能发生、且影响最严重的风险领域。
- 深入评估(In-depth Assessment):完成摸排后,企业只需对被标记为高风险的领域开展深入评估,无需对每个供应商平均用力。指令同时规定了信息收集的“比例原则”:企业只应在确有必要时才向合作伙伴索取信息;对于员工少于5,000人的合作伙伴,只有在无法通过其他渠道获取信息时,才能向其提出请求——避免将合规成本转嫁给中小供应商。
(二)将尽职调查嵌入企业政策和风险管理体系
企业须将尽职调查纳入日常政策和风险管理体系,制定并定期更新专项政策,明确公司及供应链合作伙伴须共同遵守的行为准则。
(三)预防或减轻潜在不利影响
对于识别出的潜在风险,企业应优先采取预防措施;若无法立即消除,则须尽量降低其发生概率或影响程度。可采取的措施包括:制定预防行动计划、在合同中要求供应商作出合规承诺、调整采购策略,以及在必要时为合作伙伴提供培训或资金支持等。
原CSDDD规定,若各项预防和整改措施均告失效,企业须终止相关业务关系。综合法案对此进行了重要调整:强制终止义务被删除,代之以“暂停业务关系”作为最后手段——暂停期间,企业须积极寻求解决方案,而非直接解约。值得注意的是,暂停本身并非免责通道:企业在暂停时还须评估该措施是否会带来新的不利影响(例如断供后当地工人因此失业)。对中国供应商而言,这意味着欧盟客户在发现违规后不再有法律上的解约强制义务,但合同中的商业终止条款依然有效,整改的及时性仍然至关重要。
(四)终止或补救实际不利影响
当问题已经实际发生(而非仅存在风险)时,企业须采取措施终止该影响或尽量减少其程度,包括启动纠正行动计划、要求供应商整改,或调整自身的运营和投资安排。与第(三)条一致,穷尽其他手段后,欧盟企业可暂停相关业务关系,但不再有强制终止义务。
(五)建立投诉程序
企业须建立可访问、可预测且透明的投诉渠道,允许受影响的个人和组织就企业自身、子公司或活动链合作伙伴的实际或潜在违规行为提出投诉。企业须对投诉作出实质性回应,向投诉人说明处理结果及理由,并采取措施保护投诉人身份、防止打击报复。
(六)持续监测与披露
企业须定期评估其尽职调查措施的实际效果。原CSDDD要求至少每12个月评估一次,综合法案将这一频率大幅放宽至每5年一次——相当于将评估从“年度例行任务”降格为“五年一检”,显著降低了运营成本。但有一个重要例外:若企业运营结构或活动链发生重大变化(例如进入新市场、收购新供应商),则须在变化发生后及时补做评估,而不能等到下一个五年周期。
在对外披露方面,企业须通过年度声明公开其尽职调查政策、识别到的风险,以及为应对这些风险采取的措施。已适用CSRD可持续发展报告要求的企业,通常可将上述内容并入可持续发展报告一并披露,无需单独出具。
三、适用范围及时间轴的重大调整
了解CSDDD的核心义务之后,还需要明确:自己的企业是否在适用范围内?何时起须履行义务?综合法案对此作出了大幅调整。下表列出修订前后的主要变化及对中国企业的影响。
|
类别 |
核心维度 |
原CSDDD规定 |
综合法案最终规定 |
对中国企业的影响 |
|
适用范围与时间轴 |
欧盟企业门槛 |
员工>1,000人且全球净营业额>€4.5亿(两者须同时满足) |
员工>5,000人且全球净营业额>€15亿 |
只有在欧盟拥有超大型运营规模的中国企业才被直接纳入CSDDD适用范围,中型出海企业在集团层面目前不构成直接适用对象。 但需注意的是,由于指令不再设置非欧盟企业的员工人数门槛,轻资产高营收模式(如跨境电商平台、贸易集团)仍可能触及营收标准,需持续关注相关合规风险。 |
|
非欧盟企业门槛 |
在欧净营业额>€4.5亿,无员工门槛 |
在欧净营业额>€15亿,仍无员工门槛 |
||
|
特许经营门槛 |
特许权使用费>€2,250万且集团全球净营业额>€8,000万 |
特许权使用费>€7,500万且集团全球净营业额>€2.75亿 |
||
|
实施时间轴 |
分阶段实施时间表: l 2027年(欧盟企业员工>5,000人且净营业额>€15亿;非欧盟企业在欧净营业额>€15亿); l 2028年(欧盟企业>3,000人且>€9亿;非欧盟企业>€9亿); l 2029年(欧盟企业>1,000人且>€4.5亿;非欧盟企业>€4.5亿)。 |
原分阶段实施安排完全取消,所有适用范围内企业统一自2029年7月26日起履行尽职调查义务。年度声明义务适用于2030年1月1日或之后开始的财年。 |
适用时间安排显著简化,原先分阶段扩大适用的安排被取消,企业获得更充足的准备时间。 |
|
|
核心义务变化 |
气候转型计划 |
要求企业制定并实施气候转型计划,以最大努力确保商业模式与向可持续经济转型及全球变暖限制在1.5摄氏度目标相符 |
完全删除该义务,但CSRD项下的披露义务保留不变 |
企业不再被法律强制要求制定和实施气候转型计划;但若已有此类计划,仍需在CSRD报告中予以披露。 |
|
尽职调查方法 |
- |
引入风险识别程序(详见上文第2(一)节):范围界定→深入评估 |
企业无需对整个业务链进行全面、同等强度的风险审查,而可以将合规资源集中于识别出的最高风险领域。 |
|
|
评估频率 |
至少每12个月审查一次 |
至少每5年一次;在重大业务变更或有合理理由时仍须临时评估 |
运营成本大幅削减,但须建立触发评估的内控机制。 |
|
|
违规处置 |
作为最后手段须终止商业关系 |
完全删除终止义务,将“暂停业务关系”作为风险无法预防、减轻或避免的最终措施(详见上文第2(三), (四)节) |
法案取消了强制终止义务,为中国供应商提供了整改缓冲,但客户仍可能基于合同其他商业条款约定行使终止权。 |
|
|
执法与责任机制 |
民事责任 |
欧盟统一责任触发标准:故意或过失违反尽职调查义务且造成实际损害,成员国须确保企业可被追责;配套赔偿、连带责任、5年诉讼时效 |
删除统一责任触发标准及跨法域强制适用条款;保留充分赔偿原则、连带责任、5年诉讼时效等核心救济 |
诉讼风险降低但未消失:统一机制取消,但各成员国国内法仍有效;连带责任保留,中国供应商仍可能面临赔偿;合同准据法可更灵活选择,谈判空间增加。 |
|
行政罚款 |
最高罚款至少为全球净营业额的5%(设有下限) |
最高罚款不超过全球净营业额的3%(改为上限),由“最低下限”改为“最高上限” |
行政罚款上限虽有所下调,但3%的上限仍具有较强的监管约束作用。 |
四、CSDDD对中国企业的适用与传导机制
综合上述变化,CSDDD对中国企业的影响可以用一句话概括:极少数出海巨头被直接纳入监管,而绝大多数中国供应商则通过供应链被间接“卷入”。
(一)集团直辖模式(针对极少数出海巨头)
在欧盟境内净营业额超过15亿欧元的中国企业集团,无论在欧洲雇用多少人,无论采取轻资产还是重资产模式,均须自2029年7月26日起直接履行CSDDD的全部尽职调查义务,并从2030财年起每年对外发布尽职调查声明。
(二)业务链传导模式(针对绝大多数供应商)
绝大多数中国企业的营收规模达不到上述门槛,不会被纳入CSDDD直接直接适用范围。但作为欧盟大型买方的上游供应商,这些企业仍可能通过商业合同被动承担合规义务。原因很直接:欧盟买方须履行法定的范围界定与深入评估义务(见第2(i)节),为此需要掌握上游供应链的人权与环境信息。买方通常会通过采购合同中的条款、供应商行为准则、审计要求等工具,将这些信息收集和合规要求一层层传导给上游供应商。
五、中国企业面临的合规挑战与应对策略
综合法案在法律层面作出了明显收缩,但对中国企业而言,实际风险并未等比例减少——它们只是换了一种方式呈现,主要通过供应链传导、合同条款和商业压力来体现。以下梳理四项具体挑战及应对策略。
(一)民事责任的国别化
综合法案删除了欧盟统一的民事责任触发标准(详见第3节表格“民事责任”行),企业不再面临全欧一致的追责机制。但这并不等于民事责任消失——责任回归各成员国的国内侵权法,而各国法律环境差异显著。例如,法国、荷兰的司法体系对NGO提起的人权侵权诉讼相对开放;德国目前以行政处罚为主,民事诉讼路径较为有限。此外,综合法案允许各成员国在转化过程中针对“特定产品、服务或情形”设定超出指令最低要求的额外义务,这意味着即便欧盟层面“松绑”,特定国家的要求可能仍然严格。对中国企业而言,不能只看欧盟法规怎么说,还要留意每个主要业务所在国的国内转化情况。
应对策略:实施差异化法律风控。聘请专业律师对业务所在国的国内转化法进行诉讼风险评级。对高风险区(如法国、荷兰),重点部署民事责任防御,建立完善的尽职调查证据链,以应对潜在的NGO侵权诉讼。对以行政合规为主的市场(如德国),重点确保报告符合行政审查要求。
(二)合同条款的过度转嫁与数据索取
综合法案已将评估频率放宽至5年一次、以暂停替代强制终止(见第3节表格),但欧盟买方在商业实践中完全可以不理会这些“底线”,继续在合同里要求更严苛的条件——例如年度审核、无理由解约权,或远超法律最低要求的数据索取。凭借市场地位,这些要求往往成为中国供应商不得不接受的合同硬约束。
这给中国供应商带来三个具体困境:
第一,很难判断买方合同中的某项ESG数据索取或解约条款,究竟是法律要求的合理延伸,还是买方借势转嫁的超额负担;
第二,CSRD项下的“数据封顶机制”限制了买方以报告为目的向小供应商索取数据,但基于CSDDD尽职调查义务提出的数据请求不在此限——而实际操作中,同一批数据往往同时服务于两个目的,很难明确区分,导致中国供应商难以判断能否拒绝;
第三,即便综合法案将“终止”改成了“暂停”,如果合同里本就有无条件解约条款,这一法律保护对实际谈判几乎没有帮助。
应对策略:针对挑战一、三,全面审查与欧盟客户的采购协议及供应商行为准则,尤其涉及“无限连带责任”或“无条件解约”的条款,应依据综合法案精神进行商业谈判,争取修改为“基于过错的责任”或设定合理整改期限。针对挑战二,在合同中明确区分“CSRD报告目的”与“CSDDD尽职调查目的”的信息请求,确保数据请求和披露义务界定清晰,减少歧义和重复。
(三)风险评级与供应链替换风险
如第2(二)节所述,法律层面“终止”已改为“暂停”,但在商业现实中,若中国供应商在暂停期内无法提供令买方满意的整改方案,买方仍可能援引合同条款终止合作。
综合法案引入的范围界定程序(见第2(一)节)进一步放大了这一风险:欧盟买方在摸排阶段会对所有供应商进行风险打分,被评为高风险的供应商将面临更频繁的深入评估和审计要求。相比偶发性的违规事件,长期挂着“高风险”标签,才是对供应商与客户关系稳定性最实质性的威胁。
应对策略:CSDDD并不要求企业消除所有风险,而是要求企业能够证明自己建立了合理的风险管理和整改机制。因此,中国企业应建立完整的尽职调查档案,系统留存风险评估记录、整改沟通记录、供应商往来文件及第三方审计报告等材料——这些记录在面临监管审查或商业争议时,将是最有力的抗辩依据。此外,企业应主动了解客户在范围界定阶段使用的风险评分标准,通过提供清晰的合规信息和风险控制说明,争取在评分中被归入低风险区间,从而降低被频繁审计或被替换出供应链的可能性。
(四)上游追偿机制的缺失
中国企业往往处于供应链中游:对下,须向欧盟客户承担合规义务;对上,却难以全面管控国内上游供应商的行为。一旦上游出现违规,中游企业可能对欧盟客户承担连带责任,却没有顺畅的法律机制向上游追偿。与此同时,尽管综合法案已将行政罚款从“至少5%的下限”调整为“不超过3%”的上限,但对于利润率微薄的制造企业,3%的全球营收罚款金额依然足以造成重大打击。
应对策略:在与国内上游供应商的采购合同中加入“背靠背(Back-to-back)”条款,明确规定:若因上游违规导致企业被欧盟处罚或向欧盟客户承担赔偿,企业有权向上游全额追偿。同时约定“配合取证义务”——上游须在调查期间及时提供合规证明文件,以支持中游企业“已采取合理预防措施”的抗辩。
六、结语
CSDDD的实施,标志着全球供应链治理正在从以往的自愿性企业社会责任(CSR)框架,逐步转向具有法律约束力的尽职调查制度。综合法案缩小了适用范围、放宽了部分要求,但其核心逻辑未变:达到门槛的欧盟大型企业,仍须对其整个活动链中的人权与环境风险承担持续的管理责任。
在这一制度框架下,合规压力不会只停留在监管层面,而会通过商业合同、供应商行为准则、审计要求和采购策略,持续向上游企业渗透。对于中国企业而言,真正值得思考的问题,不是“我有没有被CSDDD直接点名”,而是“我的供应链合规能力能否经得起欧盟客户的审视”。
从长远看,尽职调查能力、供应链透明度和风险管理水平,将逐渐成为国际商业合作中真实的竞争筹码。通过建立系统化的合规机制、完善供应链信息管理,并在商业合同中合理配置责任结构,中国企业不仅能降低潜在的法律和商业风险,也有机会在全球供应链重构过程中积累信任、提升议价能力。
(原标题:欧盟ESG新规系列观察:CSDDD篇——供应链责任如何传导:综合法案正式生效后的合规新框架丨威科先行)
作者:
- 孙庆南,北京大成(上海)律师事务所高级合伙人;联系方式:邮箱:nancy.sun@dentons.cn
- 徐悦,北京大成(上海)律师事务所律师助理;联系方式:邮箱:xuyue.shanghai@dentons.cn
声明:以上所刊登的文章仅代表作者本人观点,不代表威科中国出具的任何形式之法律意见或建议。