2026年1月28日修订:本页以原《法务意见-集成方案模式合规》中第四版为基础,完整保留所有法务意见与说明;
2026年1月28日修订:在模式 C 的 3.3 / 3.4 中,将责任拆分为「厂商责任 / 我方责任」双列,并将我方责任以红色字体标注,方便阅读。
| 硬件合规/资质类型 | 基础模块供方(出门问问)责任 | 我方责任 | 核心法律依据 | 重要性 |
|---|---|---|---|---|
| 营业执照 | 提供自身营业执照(经营范围含硬件研发/生产) | 持有营业执照(经营范围含"电子产品销售""智能设备销售""技术开发"等) | 《市场主体登记管理条例》 | ⭐⭐⭐ |
| CCC认证 | 提供硬件模块的CCC认证证书(若模块属3C目录内) | 为集成成品单独申请CCC认证(以我方名义) | 《强制性产品认证管理规定》 | ⭐⭐⭐ |
| SRRC认证 | 提供硬件模块的SRRC认证证书(若模块含无线功能) | 为含无线功能的成品申请SRRC认证(以我方名义) | 《中华人民共和国无线电管理条例》 | ⭐⭐⭐ |
| 硬件检测报告 | 提供硬件模块合格检测报告(含电气安全、电磁兼容性等) | 留存集成成品的检测记录 | 《产品质量法》 | ⭐⭐⭐ |
| 关键元器件清单 | 提供硬件模块的关键元器件清单及供应商资质 | 审核关键元器件的合规性 | 《产品质量法》 | ⭐⭐ |
| 合规类型 | 基础模块供方(出门问问)责任 | 我方责任 | 核心法律依据 |
|---|---|---|---|
| 软件与技术合规 | 配合我方完成等保测评中第三方组件安全验证 | 若服务政企客户,完成配套App/控制系统的等保三级及以上备案与测评 若App提供非经营性在线服务,完成工信部ICP备案 |
《网络安全法》第二十一条 《信息安全等级保护管理办法》 《非经营性互联网信息服务备案管理办法》 |
| 知识产权与质量合规 | 提供硬件模块、SDK的知识产权权属证明(专利、软著等) 出具书面授权文件,允许我方将模块/SDK用于集成开发及商业销售 承诺模块/SDK无知识产权侵权问题,承担相应赔偿责任 明确硬件模块质保期限,对模块质量缺陷负责 |
与出门问问签订书面协议,明确知识产权授权范围 留存成品生产、检测记录,明确成品质保与售后机制 |
《著作权法》 《专利法》 《民法典》(买卖合同相关) 《产品质量法》 |
| 数据合规配合 | 若SDK涉及数据处理,配合签订《个人信息委托处理协议》 提供数据接口合规承诺,明确数据流转边界 配合我方开展个人信息保护影响评估(PIA) 数据泄露时及时通知我方并配合处置 |
若产品收集个人信息,需告知用户并获得单独同意 采用加密等措施保障数据安全,制定数据存储、销毁流程 开展个人信息保护影响评估(PIA)并出具报告 政企场景下保障数据本地闭环,不违规传输第三方 |
《个人信息保护法》第二十一条、第五十五条 《网络安全法》 《数据安全法》 |
| 硬件合规/资质类型 | 责任方 | 说明 | 核心法律依据 | 重要性 |
|---|---|---|---|---|
| CCC认证 | 出门问问 | 提供完整的CCC认证证书 | 《强制性产品认证管理规定》 | ⭐⭐⭐ |
| SRRC认证 | 出门问问 | 提供完整的SRRC认证证书(若含无线功能) | 《中华人民共和国无线电管理条例》 | ⭐⭐⭐ |
| 硬件检测报告 | 出门问问 | 提供产品的合格检测报告 | 《产品质量法》 | ⭐⭐⭐ |
| 产品说明书 | 出门问问 | 提供符合法规要求的产品说明书 | 《产品质量法》 | ⭐⭐ |
| 硬件合规/资质类型 | 厂商责任 | 我方责任 | 核心法律依据 | 重要性 |
|---|---|---|---|---|
| CCC 认证(中国强制性产品认证) | 硬件厂商需提供样机、电路图、关键元器件清单及工厂质量保证文件。 | 根据《强制性产品认证管理规定》,品牌持有方(我司)是法定申请人。需以我司名义向认证机构(如CQC)提交申请,承担法律责任。 | 《强制性产品认证管理规定》 | ⭐⭐⭐ |
| 无线电型号核准(SRRC) | 硬件厂商需提供射频模块型号、天线参数、发射功率测试数据等。 | 凡含Wi-Fi、蓝牙等无线电发射模块的产品,必须由我司申请SRRC核准。 | 《中华人民共和国无线电管理条例》 | ⭐⭐⭐ |
| 企业标准备案(企标) | — | 需制定《XX智能语音终端技术规范》或《语音AI边缘计算设备通用技术要求》,并在\"企业标准信息公共服务平台\"(https://www.qybz.org.cn)公开备案,作为产品生产和检验依据。 | 《中华人民共和国标准化法》 | ⭐⭐⭐ |
| 硬件检测报告 | 硬件厂商提供样机的电气安全、电磁兼容性等检测报告。 | — | 《产品质量法》 | ⭐⭐⭐ |
| 关键元器件资质 | 硬件厂商提供关键元器件的供应商资质和合规证明。 | — | 《产品质量法》 | ⭐⭐ |
| 合规类型 | 厂商责任 | 我方责任 | 核心法律依据 |
|---|---|---|---|
| 网络安全等级保护 | — | 系统上线前需完成定级(通常为第二级,若接入政务/金融网络可能需三级),组织整改并委托具备资质的测评机构进行测评。 | 《网络安全法》第二十一条、《信息安全等级保护管理办法》 |
| 个人信息保护 | — | 因系统采集并处理语音(属于《个人信息保护法》第28条定义的敏感个人信息),我司必须在产品上线前开展PIA,并保存评估报告至少三年。 | 《个人信息保护法》第五十五条 |
| 数据本地化与隐私合规 | — | 需在用户协议和隐私政策中明确:数据仅在本地处理、不上传云端(除非用户授权更新)、保留期限、用户权利行使方式等,并在设备界面提供\"同意/拒绝\"交互。 | 《个人信息保护法》、《数据安全法》 |
| 商用密码应用安全性评估(密评) | — | 若系统使用SM2/SM3/SM4等国密算法对语音数据加密,且部署于关键信息基础设施或等保三级以上系统,则需通过密评。 | 《商用密码管理条例》 |
| 产品质量责任与售后 | — | 作为产品上市责任主体,对用户承担《产品质量法》《消费者权益保护法》下的全部责任,包括缺陷召回、损害赔偿等。 | 《产品质量法》、《消费者权益保护法》 |
说明:模式 C 3.3 / 3.4 的全部条目均来自原版第四版,仅进行了“厂商责任 / 我方责任”列拆分与红色高亮。
| 硬件合规/资质类型 | 责任方 | 说明 | 核心法律依据 | 重要性 |
|---|---|---|---|---|
| CCC认证 | 双方共同 | 共同申请CCC认证(可协商确定申请人和持证人) | 《强制性产品认证管理规定》 | ⭐⭐⭐ |
| SRRC认证 | 双方共同 | 共同申请SRRC认证(若含无线功能) | 《中华人民共和国无线电管理条例》 | ⭐⭐⭐ |
| 硬件检测报告 | 双方共同 | 共同完成硬件产品的检测并留存报告 | 《产品质量法》 | ⭐⭐⭐ |
| 关键元器件资质 | 双方共同 | 共同审核关键元器件的合规性 | 《产品质量法》 | ⭐⭐ |
| 模式 | 适用场景 | 定制程度 | 硬件合规责任 | 开发周期 | 成本 | 优势 | 挑战 |
|---|---|---|---|---|---|---|---|
| 模式A | ToB市场、自主集成 | 中等 | 我方为主,供方配合 | 中等 | 中等 | 灵活度高、可控性强 | 需要一定的技术能力 |
| 模式B | 快速部署、小规模应用 | 低 | 供方为主,我方配合 | 短 | 低 | 快速上线、成本低 | 定制化程度有限 |
| 模式C | 中国大陆市场、品牌化需求 | 高 | 我方为主,厂商配合 | 长 | 高 | 品牌统一、体验闭环 | 前期投入高、认证复杂 |
| 模式D | 长期合作、深度定制 | 高 | 双方共享 | 长 | 高 | 技术深度、共享收益 | 协调成本高、风险共担 |
以下表格按项目逐项列出申请/评测部门、核心申请材料、办理周期、不确定/需核实点、核实渠道及绝对准确的核心原则,便于规避风险。
| 项目 | 申请/评测部门 | 核心申请材料 | 办理周期(常规+特殊情况) | 不确定/需核实点(规避风险) | 核实渠道 | 绝对准确的核心原则 |
|---|---|---|---|---|---|---|
| SRRC认证(无线电发射设备型号核准) | 1. 审核备案:工业和信息化部(无线电管理局); 2. 测试:工信部认可实验室(如国家无线电监测中心、中国信通院等) |
1. 无线电发射设备型号核准申请表、承诺书; 2. 申请企业营业执照(境外企业需境内代理授权书); 3. 产品技术资料:说明书、电路图、方框图、天线参数、射频参数表; 4. 样品(常规2-3台,多频段需3-5台含定频样机); 5. 产品六面照片、铭牌设计稿; 6. 代理申请需提供委托书 |
常规:8-10周(测试3-4周,审核2-4周); 加急:4-6周; 特殊:射频参数接近限值需反复调整时,延长至12-16周 |
1. 样品要求:集成多频段(如蓝牙+WiFi)需额外提供单频段定频样机,样品数量可能增加; 2. 审核周期:射频参数达标难度大时,测试及审核周期会显著延长 |
工信部认可的测试实验室(提前沟通样品要求及频段相关注意事项) | 1. 核心主管单位为工信部无线电管理局,测试需委托官方认可实验室; 2. 基础材料清单(资质、技术资料、样品)法定不变 |
| 3C认证(中国强制性产品认证) | 国家认证认可监督管理委员会(CNCA)指定机构,常见为中国质量认证中心(CQC) | 1. 3C认证申请表; 2. 企业营业执照、组织机构代码证; 3. 产品技术资料:说明书、电路图、BOM表、关键元器件清单(含3C证书,无则需合规声明+供应商资质)、铭牌样稿; 4. 样品2-5台; 5. 工厂质量保证能力文件(如ISO9001证书); 6. ODM/OEM需提供授权文件 |
常规:3-6个月(检测1-2个月,工厂审核1-2个月,审核发证1个月); 特殊:简易录音模块可能豁免工厂审核,周期缩短至2-4个月 |
1. 工厂审核:部分简易信息技术设备(如单纯录音模块)可能豁免现场审核,仅需提供质量体系文件; 2. 关键元器件:核心芯片、天线无3C证书时,需额外补充合规材料,否则检测不通过 |
选定的3C认证机构(如CQC)——提前做"产品预判定",确认是否需工厂审核及元器件要求 | 1. 仅列入3C目录的产品需申请,核心受理机构为CNCA指定机构; 2. 技术资料需与产品实际一致,这是审核核心要求 |
| PIA(个人信息保护影响评估) | 1. 自行评估:企业内部合规部门; 2. 第三方协助:CCIA数据安全工作委员会、具备资质的律所/数据安全评估机构; 3. 备案(如适用):属地网信部门 |
1. 评估委托书(委托第三方时); 2. 企业主体资质文件(营业执照等); 3. 个人信息处理活动说明(收集、存储、传输、使用、销毁流程); 4. 语音(敏感个人信息)处理方案(含脱敏方案,特殊场景需补充); 5. 数据安全技术与管理措施文档; 6. 用户授权与隐私政策文本; 7. 风险评估与应对措施说明 |
自行评估:2-4周; 第三方协助:常规3-6周,特殊场景(如关联人脸、采集未成年人语音)延长至4-8周; 备案(如适用):1-2周 |
1. 备案要求:处理用户数据量超100万条需向网信部门备案,普通场景仅留存报告即可; 2. 评估深度:涉及人脸识别关联录音、未成年人语音采集时,需额外覆盖专属合规要求 |
1. 国家网信办《个人信息保护影响评估备案管理办法》; 2. 第三方合规机构(说明数据处理规模和具体使用场景) |
1. 处理语音等敏感个人信息必须事前完成PIA,报告需留存至少3年; 2. 核心评估方向(合法性、必要性、安全措施)符合《个人信息保护法》要求 |
| 等保三级(含备案与测评) | 1. 备案:属地市级/区级公安机关网安部门(按地方下放情况); 2. 测评:"中国网络安全等级保护网"推荐名录内的第三方测评机构(如上海市信息安全测评中心) |
1. 备案材料:《信息系统安全等级保护备案表》《定级报告》、营业执照副本复印件、系统拓扑图及说明、安全产品清单及认证证书(部分地区需额外提供安全负责人任命文件、承诺书); 2. 测评材料:系统安全管理制度、安全设备部署记录、日志审计策略文件、漏洞整改记录等技术与管理材料 |
整体常规:1-2个月(定级1-2周,备案10-15个工作日,测评整改15-30个工作日); 特殊:系统复杂(多终端、跨网络)时,测评整改延长至2-3个月; 后续:每年至少1次复评,备案证明有效期3年,复评通过自动延长1年 |
1. 备案部门:部分地区已下放至区级公安机关网安部门,非统一市级以上; 2. 材料要求:部分地区需额外提供安全负责人任命文件、系统安全承诺书; 3. 周期:系统复杂度高时,测评及整改周期会延长 |
1. 属地公安机关网安部门官网/咨询电话; 2. 选定的第三方测评机构(提前沟通系统复杂度及地方材料要求) |
1. 备案和测评是等保三级办理的核心法定环节,无额外独立申请部门; 2. 每年复评、重大升级后重新测评备案是强制要求 |
| 企业标准信息公共服务平台公开备案 | 1. 备案:国家市场监督管理总局主办的企业标准信息公共服务平台; 2. 监管:属地市场监管部门(随机抽查) |
1. 企业基本信息(名称、统一社会信用代码、联系方式等); 2. 加盖企业公章的企业标准文本扫描件(PDF格式,需符合GB/T 1.1规范,部分地方有额外格式要求); 3. 编制说明、技术指标说明等补充材料(按需提供,特殊领域需额外补充行业合规说明) |
常规:不超过10个工作日(平台形式审查1-3个工作日); 特殊:材料不合格需修改重提,或涉及特殊领域需补充材料时,周期延长至10-20个工作日 |
1. 材料要求:部分地方市场监管部门对标准文本格式有额外细化要求; 2. 备案范围:涉及医疗、教育等特殊领域时,企业标准需符合行业专属规范 |
1. 企业标准信息公共服务平台"帮助中心"(查看地方补充要求); 2. 属地市场监管局标准化科咨询 |
1. 备案平台为国家市场监管总局官方平台,全国通用; 2. 企业标准文本需符合GB/T 1.1基础规范,这是形式审查核心 |
| 商用密码应用安全性评估(密评) | 1. 评测:国家密码管理部门指定的密评机构(如工信部电子五所,各省名录不同); 2. 审核备案:国家密码管理局或属地省、自治区、直辖市密码管理部门 |
1. 密码应用方案及编制说明; 2. 系统相关技术资料(系统拓扑图、网络架构图、密码产品部署清单及资质证明); 3. 商用密码使用管理制度、操作规程、应急处置预案等; 4. 系统建设相关合同、验收材料等辅助文件 |
常规:2-3个月(方案评估2-4周,系统评估1个月,审核备案30日内); 特殊:方案需多轮修改或测评未通过需整改时,周期延长至3-6个月; 后续:运行阶段每年至少开展1次评估 |
1. 适用场景:仅用于国家机关、关键信息基础设施、金融/能源等重要领域,或处理敏感政务数据、核心商业秘密时才强制,普通民用可能仅需合规用密码产品; 2. 机构资质:不同省份指定密评机构名录不同,跨区域使用需确认资质通用性 |
1. 属地省密码管理局官网(查强制密评场景清单); 2. 国家密码管理局"商用密码检测机构名录" |
1. 核心主管单位为国家密码管理局及属地省级密码管理部门; 2. 强制密评场景需使用合规商用密码产品,这是评估基础 |
| ICP备案与ICP许可证(经营性互联网信息服务) | 1. ICP备案:通过阿里云、腾讯云等服务器接入服务商提交申请,最终由企业所在地省级通信管理局审核; 2. ICP许可证:省内经营向所在地省通信管理局申请,全国/跨地区经营向工信部申请 |
1. ICP备案:企业营业执照等含统一社会信用代码的有效证件、主体负责人及网站负责人身份证、域名证书,若网站涉及药品、新闻等特殊内容需提供前置审批文件; 2. ICP许可证:法定代表人签署的经营增值电信业务书面申请、营业执照副本、公司章程及股权结构证明、3名员工社保缴纳证明、域名证书、服务器托管协议、业务发展实施计划、网络安全保障措施文件、公司依法经营电信业务的承诺书 |
1. ICP备案:服务商初审1-3个工作日,省级通信管理局审核5-20个工作日,整体耗时6-23个工作日; 2. ICP许可证:材料准备1-7天,审核阶段20-30个工作日,公示7天,整体耗时约1-2个月,部分试点地区材料齐全可缩至20天左右 |
1. 经营性互联网信息服务须先完成ICP备案,再申请ICP许可证(增值电信业务经营许可证-信息服务业务仅限互联网); 2. 省内经营与全国/跨地区经营对应不同受理机关(省通管局 vs 工信部),需提前确认 |
1. 企业所在地省级通信管理局官网; 2. 工信部官网(跨地区经营); 3. 接入服务商(阿里云、腾讯云等)备案与许可证办理指引 |
1. 经营性互联网信息服务必须先完成ICP备案,再申请ICP许可证; 2. 备案通过接入服务商提交、省通管局审核;许可证按经营范围向省通管局(省内)或工信部(全国/跨地区)申请 |