2022-07-11
并購交易實務之 – 從合規和資產視角看數據(上)
作者:
傅鵬
唐江山
趙卿夢 俞沁
隨著數據合規法律體系的建設與完善,數據領域執法活動的持續活躍,以及數據事項相關審查認證的逐項落地,越來越多的并購交易法律盡職調查工作中,專門就數據合規領域開啟專項盡職調查;或者至少就數據合規領域的問題,在法律盡職調查中設立專章,進行專項分析。與此同時,數據作為一項重要資產和生產要素的價值越來越彰顯,甚至是不少交易中的交易驅動因素之一。本系列文章將從合規和資產角度,審視并購交易中數據相關的盡職調查、合規風險處理、數據資產移交等問題。
作為本系列的首篇,我們將首先探討數據合規盡調的關注要點,并購交易的情景限于位于中國的并購標的公司或在中國實質開展業務運營活動的全球性企業(“并購標的”或“目標公司”)。本篇將著重討論對并購標的進行數據合規盡調的關注角度,關注這些角度的監管背景和原因,并購標的常見數據合規風險等問題。
(一)主線清晰的立法結構
我國數據合規領域的監管規則呈現在《網絡安全法》《個人信息保護法》和《數據安全法》三部核心法律文件中,他們從不同的監管視角出發,統轄不同維度下數據合規的監管框架,共同助力于實現安全網絡環境下的數據恰當處理和個人信息適當保護。
收購方對目標公司數據法律合規情況作出研判時,應當把握監管口徑、監管對象和監管領域,并有針對性地核查監管要求與并購標的實踐之間的合規差距。
1.最早書就與奠定的成熟監管領域:網絡安全領域
2016年11月,《中華人民共和國網絡安全法》(“《網絡安全法》”)發布。《網絡安全法》對包括關鍵信息基礎設施運營者在內的網絡運營者,從網絡運行安全、網絡信息安全、網絡安全檢測預警及應急機制等方面提出了全面的要求。網絡安全領域是數據合規法律體系中最早開展系統性立法和執法監管的領域。舉例而言,就《網絡安全法》規定的網絡安全等級保護制度,可追溯至2007年發布的《信息安全等級保護管理辦法》。
從并購交易角度看,網絡安全領域的監管規則可以較為粗略地被概括為關注偏向“硬件”或“基礎設施”方面的問題。因此,網絡安全領域會涉及、但絕不僅僅包含和個人信息保護、數據安全有關的問題。例如,網絡安全領域對網絡系統安全設置了等級保護制度,要求企業進行評測、定級、備案、整改;《網絡安全法》制度性地提出關鍵信息基礎設施保護制度。這些領域,側重關注偏網絡系統安全、設備和系統運行等方面的問題。
由于近年來個人信息保護領域的監管新規出臺密度很高、受到的關注最多(如下文詳述),因此部分并購標的可能僅僅側重于關注個人信息保護領域的規定以及合規要求,并由此可能忽略了同樣十分重要的網絡安全領域的規定以及合規要求。例如,不乏相當一部分并購標的可能不太關注、甚至完全沒有處理過網絡安全等級保護的測評、定級、備案、整改等問題。收購方在交易中也需要對此有所關注,不應忽略網絡安全領域的監管要求。
2.監管密度最高的監管領域:個人信息保護領域
2021年11月,《中華人民共和國個人信息保護法》(“《個人信息保護法》”)正式實施。《個人信息保護法》確立了個人信息處理的基本原則,明確了個人在個人信息處理活動中的法定權利,拓寬了處理個人信息的合法性基礎,并就個人信息跨境傳輸的監管要求作出規定。目前,個人信息保護領域呈現出多部門高度關注、多階層規范性文件多維監管的態勢,是數據合規法律體系中監管規則最為豐富、最受各方關注、監管密度最高的領域。
顧名思義,個人信息保護領域的監管重點,在于如何對個人信息的處理活動進行監管,在商業利用、便利業務發展的大背景下確保如何更好地保護個人信息主體權益。當然,由于個人信息的處理和保護離不開系統與基礎設施,個人信息的存儲和大量經典處理場景(例如出境)也往往和其他類型的數據相互交融,因此個人信息保護領域的部分監管關注點也不可避免地涉及到網絡安全、數據安全領域,但是總體來說,個人信息保護領域的監管還是主要關注保護個人信息、規管個人信息處理活動。
基于上述成熟且精密的監管生態,個人信息保護領域的合規問題,是并購交易中相對容易識別、目標公司相對容易違反的規則領域,應當作為收購方的關注重點。在并購交易開展過程中,收購方宜結合以《個人信息保護法》為代表的個人信息保護規范性文件,就目標公司是否落實個人信息處理者義務,是否履行特定個人信息處理活動的特別要求等進行識別與核查。
3.監管前沿和有待補完的拼圖:數據安全領域
2021年9月,《中華人民共和國數據安全法》(“《數據安全法》”)實施。《數據安全法》相對寬泛地規定了數據分類分級保護、重要數據保護目錄、數據安全風險預警機制、數據安全應急處置機制、數據活動的國家安全審查機制等數據安全管理制度。
數據安全領域的立法和監管工作,作為一個獨立垂直領域開始啟動,主要集中并爆發于近幾年。同時,作為綱領性文件的《數據安全法》更注重宏觀制度體系構建。因此,數據安全領域仍有相當一部分較為實質的制度內容(如各細分行業的重要數據目錄和分級分類具體指引等),有待后續生效的規范性文件加以完善與補充。
此外,數據安全領域也關涉到一些最前沿、甚至在監管方向和操作范式上都有待進一步探討的領域,典型如數據交易,這一領域還面臨著數據權屬基礎制度、數據交易安全、數據交易價值確認等基本問題的進一步探索。
盡管數據安全領域一些細節的監管要求有待補完和落實,但是部分行業的主管部門已經就數據安全頒發了生效的監管文件,典型如針對汽車相關行業的《汽車數據安全管理若干規定(試行)》。
因此,收購方在交易中,還是應當根據《數據安全法》的總體要求,結合已經落實的監管細節,以及對具體垂直行業的具體監管要求(如有),對并購標的的數據安全合規情況進行核查。
在《個人信息保護法》《數據安全法》出臺前,數據保護(重點體現為個人信息保護)在基本法律層面的規定主要體現在《網絡安全法》《中華人民共和國民法典》(“《民法典》”)等法律中。
但是,該等規定大多為原則性或綱領性的內容,可以直接作為并購交易盡職調查中合規性判定依據或實踐操作指引的內容較少。相關的配套細則主要呈現在自《網絡安全法》項下的各行政法規、規章、國家標準性文件中,但是該等配套細則適用的對象更多側重于《網絡安全法》提出的“網絡運營者”的范疇。盡管“網絡運營者”可以通過解釋的方式,在一定程度上涵蓋較為寬泛的主體與行業,但是就實際項目操作而言,在對部分傳統行業目標公司開展的數據合規審查工作中,可能面臨數據合規規范性文件適用界限模糊的問題,需要具體論證和判斷(有時甚至只能類比適用)部分目標公司是否屬于“網絡運營者”。
《個人信息保護法》《數據安全法》的出臺將適用范圍從“網絡運營者”的行為延伸至一般性的“在境內實施個人信息處理活動、數據處理活動”的組織、個人,明確對個人信息保護、數據保護的要求不再僅限于“網絡運營者”。如餐飲、線下教育等傳統行業中涉及個人信息處理、數據處理的公司同樣適用于相關數據監管規則。因此,收購方需要關注對傳統行業的目標公司開展個人信息保護合規審查、數據安全審查,避免僅因目標公司所處行業而草率地排除數據合規審查工作。
(三)“垂直縱深”的監管顆粒度
與監管覆蓋面橫向拓展至全行業領域并行的,是監管機構基于部分行業或業務領域的高度敏感性,制定出一系列適用范圍具有鮮明行業指向性、合規要求更高或更具執行性的規范性文件。收購方在對全行業目標公司數據合規審查保持關注的前提下,宜對處于特定行業領域的目標公司的數據安全、個人信息處理、網絡安全工作給予更高的重視。
受限于本文篇幅,以下僅就部分熱點行業領域及其部分專門規定進行舉例:
(四)境外個人信息處理者“有條件適用”的監管態度
根據《個人信息保護法》,在境外處理我國境內自然人個人信息,且以向境內自然人提供產品或者服務為目的,或用以分析、評估境內自然人的行為的,應當適用《個人信息保護法》的規定。
為使得前述條款得到切實維護和保障,《個人信息保護法》第五十三條要求,境外個人信息處理者應當向履行個人信息保護職責的部門報送其在境內設立的專門機構名稱或指定代表的姓名、聯系方式,并由專門機構或指定代表負責處理該境外個人信息處理者在《個人信息保護法》下的相關事務。
基于此,收購方在對目標公司為跨國集團的并購項目進行盡職調查時,如果發現該跨國集團有相對實質的針對我國境內個人信息的處理活動(例如目標公司的網站服務器設置在境外,但是面向中國境內大量用戶提供服務,甚至設置中文網頁、設置便利中國用戶付款的支付渠道,并實質收集中國用戶的個人信息),宜考慮對處理中國境內自然人個人信息的境外實體的處理行為進行合規性審查,并納入整個并購交易的盡職調查范圍內。
由于監管部門尚未出臺實施細則,就《個人信息保護法》第五十三條下的報送程序、材料等進行明確,收購方宜在并購交易中要求目標公司(即存在由境外實體處理中國境內個人信息的跨國集團),對《個人信息保護法》第五十三條的實施細則、解釋說明保持高度關注,并在相關文件出臺后及時在境內設立專門機構或委托代表以履行有關信息的報送義務。
1.收集個人信息通常情況下以取得個人信息主體的同意為主要合法性基礎,但并購標的在這一環節往往容易出現問題
并購標的收集個人信息,必須具有《個人信息保護法》規定的某一合法性基礎,在商業和業務運營場景中最常見的,是需要獲得個人信息主體的同意作為信息收集的合法性基礎。
并購交易中,并購標的由于種種原因,在這一環節容易出現問題。例如,一些并購標的因為對個人信息保護合規要求缺乏基本了解,沒有注意設置一定環節,取得用戶的同意。
此外,值得特別關注的是,部分場景下目標公司較難直接取得個人信息主體的同意,此時需要采取一些其他措施,降低合規風險。舉例而言,如果目標公司以B端業務為主,且從B端業務合作伙伴獲得個人信息,目標公司基本難以直接接觸這些個人信息的個人信息主體并獲得他們的同意。所以,目標公司往往需要采取如下措施以降低風險:
(1)在業務合作協議中包含數據保護條款,或者與B端業務合作伙伴單獨簽署了個人信息及數據保護協議,并且通過這些協議或者條款,要求B端業務伙伴(作為數據提供方)承諾其向目標公司提供個人信息已經獲得適當同意或具有其他合法性基礎,并約定如因個人信息提供給目標公司造成目標公司損失的處理方式與賠償方;
(2)在涉及大量個人信息的收集合作中,或者在與目標公司主營業務高度相關或特別重要并存在個人信息收集活動的合作中,或者在明顯可能存在個人信息收集瑕疵的業務合作中(例如審閱已知信息發現業務合作伙伴較有可能是從第三方購買或通過其他不合規方式獲得個人信息),如條件或合作關系允許,目標公司應考慮對業務合作伙伴獲得個人信息來源授權同意的適當性進行過一定的核查與確認(例如要求B端業務合作伙伴說明個人信息收集流程及合法性基礎;如果以“同意”為基礎的,提供獲得同意的文書文本,并對同意的范圍進行審核)。
如果目標公司未能完成上述工作,則其一方面無法獲知(或者至少盡到合理努力以便在一定程度上獲知)B端業務合作伙伴向目標公司提供個人信息的實際風險水平,另一方面則是在出現風險的情況下(例如信息提供方確實有較為明顯的未經適當授權而向目標公司提供個人信息的行為,甚至引發個人信息主體的訴訟),其沒有基本的合同依據向B端業務合作伙伴索償。
因此,收購方應當在盡職調查中關注,目標公司直接收集個人信息時,是否已經進行告知并獲得適當同意;在間接收集個人信息時,是否與個人信息提供方簽署如上第(1)點所述的適當數據保護條款,以及是否在業務允許的情況下對個人信息提供方進行上文(2)所述的適當了解與調查。
2.“同意”以外的其他合法性基礎的適用條件比較嚴格
盡管《個人信息保護法》為企業收集個人信息的合法性基礎提供了多樣化選擇,在“同意”以外,設置了其他合法性基礎,但是該等合法性基礎的適用條件比較嚴格,在對目標公司盡職調查的過程中,需要慎重決策論證目標公司的部分個人信息處理行為是否確實能夠適用“同意”之外的合法性基礎。
舉例而言,為訂立、履行個人作為一方當事人的合同所必需而處理個人信息,是一項單獨的合法性基礎。適用該場景時,目標公司首先需要滿足“必需”的前提,意味著無論是收集/使用個人信息的具體行為和頻率,還是涉及的個人信息種類都應滿足“必需”。同時,對于該場景下的“合同”指何種類型的文件,也需要特別關注,例如一般來說這里的“合同”應指雙方經歷充分、平等的意思表示達成的具有實質履行內容的合同,類似于APP中常見的格式條款《用戶協議》通常不宜被認定為此場景下的“合同”。
與此類似的,按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需處理個人信息,也是一項單獨的合法性基礎。適用該場景時目標公司同樣需要滿足為人力資源管理所“必需”的前提,以及存在滿足法定程序的勞動規章制度和依法簽訂的集體合同。并非任何與員工工作相關的個人信息處理活動,或者發生在員工工作時間段內的處理活動,都可以依賴本合法性基礎。
3.需要注意目標公司是否落實收集個人信息的“單獨同意”的要求
收集敏感個人信息應當取得個人的單獨同意,敏感個人信息包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
因此,在對目標公司盡職調查過程中,如發現涉及上述類別個人信息收集的,應進一步審查目標公司是否已落實“單獨同意”的要求
(二)疏于制度建設及個人信息保護影響評估(“PIPA”)
1.網絡安全等級保護制度
網絡安全等級保護制度是對目標公司網絡系統的測評、定級和整改,并且對于未及時履行等級保護制度的企業,法律法規也有相應罰則。
但是,在較早時期,特別是在《網絡安全法》頒布之前,執法機關沒有在所有時間段和所有領域內都對本制度的執行與落實保持較為嚴格的力度,可能有一些企業沒有按時完成網絡安全等級保護的評測、備案、整改等工作,但尚未被處罰,因此有的企業疏于開展等保工作。隨著2017年《網絡安全法》的頒布以及一系列配套國家標準的頒布,等級保護制度進入“2.0時代”;與此同時,與等保制度有關的執法案例頻出。從目前的監管視角來看,目標公司如果沒有進行等保工作,將面臨比以往更高的實際處罰風險。因此收購方的數據合規盡調有必要關注目標公司的等保完成情況。
另外,《數據安全法》以及《網絡數據安全管理條例(征求意見稿)》頒布后,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,所以隨著對企業數據分級分類要求的落實和重要數據識別工作的有序展開,收購方盡調過程中還需要關注目標公司是否涉及重要數據處理,以及其系統的等級保護定級備案是否達到了三級,目標公司是否按照規定完成評測、備案與整改。
2.內部制度建設及PIPA
早期對于企業內部合規制度建設和個人信息保護影響評估(在有的文件中亦就實質類似的評估體系稱為“個人信息安全影響評估”,下稱“PIPA”)的要求主要在《信息安全技術 個人信息安全規范》(“《個人信息安全規范》”)等國家推薦性標準中規定,在實踐中有很強的指導作用和很高的參考價值,但效力層級低,沒有強制的法律效力。在定位上,《個人信息安全規范》屬于倡導性的良好實踐要求,通常一些規模較大的企業可能會按照規范要求完成,其他大部分公司缺乏落實動力;另外,在《個人信息保護法》和《數據安全法》頒布前,也沒有直接對應的罰則,有的并購標的對此重視度不高。
而《個人信息保護法》和《數據安全法》頒布后,目標公司如果未按照要求建設和完善內部制度,或者不按時完成PIPA,都可能面臨《個人信息保護法》和《數據安全法》下的處罰。此外需要強調的是,內部制度的建設和PIPA在個人信息權益訴訟糾紛適用“舉證責任倒置”的背景下,可以有效幫助目標公司自證其履行了保護個人信息和數據安全的合理義務。因此,沒有履行這兩項工作,會增加目標公司在數據合規爭議中的敗訴甚至高額賠償隱患。
因此,收購方的數據合規盡調,也應當關注目標公司是否進行了適當的內部數據合規建設,是否就法定需要進行個人信息保護影響評估的場景進行了相應評估。
(三)部分典型場景下收購方宜特別關注的數據合規風險
1.APP、小程序等線上渠道
這是比較常見的個人信息處理場景。相當一部分目標公司,包括傳統行業的公司,只要有線上宣發渠道或線上商城,都可能涉及。這些線上渠道的個人信息收集和處理合規,是主管機關關注和執法的重點,面臨相對嚴格、密集的監管行動,以及更為體系化、復雜化的監管要求(需要滿足一系列針對APP、小程序提出的合規要求)。目標公司線上渠道的不合規行為非常容易被主管機關察覺,可能造成即時性的負面后果,例如公開警告和應用商城下架等。
2.爬取數據的行為
數據爬取行為此前廣泛存在于特定行業的公司,比如為營銷目的爬取公開的個人信息,或者爬取大量電商、直播信息并匯總為一定的數據集進行售賣。在盡職調查過程中,如發現目標公司存在爬取數據的行為,應引起特別關注,審查目標公司是否遵守了信息來源網站的Robots協議;是否存在故意繞開數據來源技術手段的方式進行爬取;是否有爬取網頁(含網頁代碼)表層公開可見的信息以外的、深入網站數據庫(非公開可讀信息)的爬取行為;爬取產生的日訪問量是否會達到信息來源日均流量的較高比例(視具體爬取情形以及給信息來源服務器可能造成的具體負擔而定,例如可以考慮以三分之一或者具體項目中其他更合理的比例)。
3.使用人臉識別攝像頭的行為
這一行為是監管的重點。對于人臉識別信息的監管規定比較分散和細致。同時,近期的一些執法案例也日趨嚴格。例如,浙江多個房地產公司因在售樓處違規安裝人臉識別設備被處罰;某衛浴線下門店因違規安裝人臉識別和分析設備被處罰;某兩家知名汽車廠商線下4S店因違規安裝人臉識別和分析設備被處罰。這些案例中,部分場景下,使用人臉識別技術的經營者已經試圖在較為明顯之處張貼說明、通知,以對消費者進行告知并在一定程度上“獲得同意”,但是執法機關在執法過程中采取相對嚴格的標準,依舊認定經營者違法。
4.算法推薦技術
許多互聯網公司基于營銷目的或者優化信息服務的目的使用算法推薦技術,也有相當一部分數據營銷解決方案公司以此作為主營業務。此外,一些傳統行業的公司也會在數字化轉型、線上化營銷的過程中,使用算法推薦技術。
《個人信息保護法》對應用算法推薦技術的企業提出了更嚴格、更明確的要求,需要在盡職調查過程中核查目標公司是否均已落實,包括保證算法推薦的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇;向個人進行信息推送、商業營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式;如果作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,并有權拒絕個人信息處理者僅通過算法自動分析形成決策的方式作出決定。
值得關注的還有近期發布的《互聯網信息服務算法推薦管理規定》,對算法設計和使用的過程提出一系列要求,落實了算法使用主體的責任,并具體建立了算法備案制度。收購方需要關注目標公司的算法推薦使用活動,也需要關注目標公司是否已經著手進行互聯網信息服務算法備案。
因此,收購方在數據合規盡調中,可注意關注目標公司在上述四個典型的嚴監管場景下的合規現狀,并進行風險研判。
(四)數據本地化與出境
如果在盡職調查過程中發現目標公司存的個人信息或數據出境行為,收購方應當予以特別關注。
在審查信息和數據的跨境行為時,應首先識別信息和數據的種類,分離出受到出境管控、備案要求或需要采取一定行動的信息和數據種類,再結合這些信息和數據適用的監管規則和要求,逐一確認目標公司是否履行了法定義務。目前,針對國家秘密、個人信息、重要數據與核心數據、特定行業數據(如人類遺傳資源、地理測繪信息、汽車重要數據、證券活動有關的底稿等),都已有專門的監管要求。舉例而言,就目前監管相對成熟的個人信息出境而言,境內向境外提供個人信息的處理者,應當取得個人信息主體的單獨同意,應當就出境進行個人信息保護安全評估,應當視傳輸出境的個人信息的主體數量(例如根據《數據出境安全評估辦法》及《個人信息出境標準合同規定(征求意見稿)》的規定,統計目標公司處理的個人信息是否滿100萬人,是否自上年1月1日起累計向境外提供達到10萬人個人信息,是否自上年1月1日起累計向境外提供達到1萬人敏感個人信息),提交網信部門進行數據出境安全評估或者與境外個人信息接收方簽訂網信部門發布的標準合同。
特別注意的是,《個人信息保護法》明確了侵害個人信息權益訴訟中的舉證責任倒置規則,即處理個人信息侵害個人信息權益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償等侵權責任。如果并購標的發生個人信息權益訴訟,與普通的不適用舉證責任倒置的侵權案件相比,其可能面臨較重的舉證責任,以及隨之而來的更高的敗訴風險。當然,如上文所述,正是因為存在舉證責任倒置的法定安排,收購方更需要關注目標公司是否有較為良好的內部個人信息保護管理制度,是否就重點場景進行過PIPA,因為這些措施有助于在爭議中輔助證明并購標的的善意以及已經盡到了部分法定義務。
(二)可能面臨的大額罰款、產品下架或停止經營或甚至刑事責任
如目標公司在數據合規領域違反法律規定,其可能面臨罰款,甚至是較為大額的罰款。例如,在《個人信息保護法》頒布前,目標公司違法收集或處理個人信息通常會被依照《網絡安全法》或《消費者權益保護法》的規定進行處罰,該等法規涉及的法定罰金的上限相對較低。《個人信息保護法》提高了對侵害個人信息權益行為的處罰力度。其中,對于處理個人信息不符合《個人信息保護法》規定或者未采取必要安全保護措施且情節嚴重的目標公司的違法行為,可能處以五千萬元以下或上年度營業額百分之五以下的罰款,極大地提高了企業的違法成本,應當引起所有涉及個人信息處理行為的目標公司的充分重視。
除罰款以外,違反數據合規法律的目標公司可能面臨停止產品或服務的后果。例如,《個人信息保護法》規定,如果違反了該法的條款,視具體情形,違法主體可能被監管機關責令改正,給予警告,對違法處理個人信息的應用程序,責令暫停或者終止提供服務。實踐中,多部委近年頻繁進行聯合執法,宣布了多批違法違規收集個人信息的移動應用程序的案例,實踐中,對于發現違規收集個人信息的移動應用程序,如果在主管部門要求的時限內未能完成整改,則將被直接從主流應用市場中予以下架,可能對目標公司的主營業務形成直接影響。
最后,除行政責任外,目標公司的數據或個人信息處理活動如果達到一定的違法嚴重后果,滿足刑法的犯罪構成要件(典型如《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》當中規定的情形),目標公司或其主要責任人可能構成犯罪,需要承擔刑事責任。
(三)對后續上市的潛在影響
收購方并購一個企業時,可能考慮在該企業運營一段時間后,進行首次公開發行,或者收購方自己進行上市等資本市場運作。因此,收購方在盡職調查中,也應充分考慮目標公司個人信息保護或者數據管理方面是否存在實質影響上市的情況。
1.網絡安全審查與國外上市
國家互聯網信息辦公室于2022年1月4日聯合其他部委正式發布了修訂后的《網絡安全審查辦法》,該法規規定掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市需要申報網絡安全審查。
就網絡安全審查法定審查期限而言,根據適用的程序類型不同:理論上最短法定審查期限約55個工作日;最長法定審查期限約160個工作日或更長的時間。但是,實際操作中,由于材料提交及往復溝通并補充材料需要時間,且提交補充材料的時間不計入上述審查時限,所以實際需要的時間,可能超出上述時間框架。
目前在一些項目中,主管機關對于赴國外上市企業是否需要主動申報網絡安全審查的判定態度仍比較模糊,不一定會向企業明確表達其是否需要報送。此外,特別值得關注的是,即使企業沒有達到上述提及的申報門檻,進而決定不主動進行網絡安全審查申報,后續主管機關仍可以依職權要求企業進行申報。
所以并購標的以及收購方應關注的是,提前對并購標的的個人信息處理和數據處理現狀進行摸底,了解是否存在顯著風險,對是否需要申報網絡安全審查,以及是否有可能被主管機關主動啟動網絡安全審查進行較為謹慎的研判。例如,對于是否“掌握超過100萬用戶個人信息”,是否屬于“網絡平臺運營者”,應當以更為嚴格的尺度進行全面衡量和評估,需要審慎判斷公司的個人信息和數據處理活動是否可能影響國家安全,以免打亂既有時間表,將上市計劃拖入被動局面。
2.上市監管機構在企業上市過程中對數據合規問題施加更高的關注
日趨嚴格的數據監管導致交易所和證券監管機構在上市審核過程中對發行人數據合規方面施加越來越多的關注,特別是企業境內上市和香港上市。我們建議收購方在對盡職調查的基礎上,針對數據相關的盡調發現從上市角度進行評估,排除可能構成上市障礙的問題,并在交易后對盡調發現進行有針對性的整改。
(1)數據收集、使用和共享的合規性
例如,監管機構可能重點關注并購標的(即未來的發行人)是否存在未經授權獲取用戶數據的情況、獲取個人數據是否對用戶有明示提示、收集的數據是否限制在必要的范圍內、是否僅概括性提示收集用戶信息、是否超出用戶授權范圍使用數據或存在未經其他平臺的授權直接收取數據的行為。
(2)數據規模和權屬
監管機構可能重點關注并購標的收集及儲存的用戶信息規模,數據收集使用情況,上市前后保護個人信息和數據安全的安排,是否符合《個人信息保護法》《數據安全法》等法律法規要求;并購標的及其原料數據采集供應商相關數據的獲取方式及其合規性,并購標的是否享有數據的所有權或獲得相關數據主體的授權許可,相關授權許可是否存在使用范圍、主體或期限等方面的限制;并購標的及其原料數據采集供應商是否存在超出上述限制使用數據的情形,是否存在數據內容侵犯個人隱私或其他合法權益的風險。
(3)企業內部數據和網絡安全管理制度
監管機構可能重點關注并購標的內部是否就個人信息保護、網絡安全和數據安全,建立了相對完善的內部流程制度;實際運行中,并購標的是否對內部流程制度進行了行之有效的落實。
(4)主管部門數據立法與監管活動對企業未來合規趨勢的影響
監管機構關注的問題中,有時可能涉及對未來合規趨勢的影響,例如可能要求發行人說明一些已經頒布的征求意見稿對發行人業務的適用性,說明如果征求意見稿正式生效,對發行人業務可能存在的影響等。
(四)對目標公司價值及并購對價的影響
作為并購交易商業考慮的核心要點之一,目標公司不合規的情況是否影響標的估值及并購對價金額,是收購方及出售方都最關注的問題之一。
考慮到近年來數據合規領域的監管不斷升溫,違法后果愈發嚴重,如果目標公司確實在數據合規領域的某些方面存在實質的違法行為,可能對并購結構的設計以及交易對價產生影響。
以上,我們重點介紹了數據合規盡調的關注角度以及并購標的常見數據合規風險。在下一篇文章中,我們將討論何種類型的并購項目更應注意開展數據合規專項盡調,在并購項目交易文件中如何處理已經識別的數據合規問題,以及收集盡調材料過程中有哪些值得關注的數據合規問題。
京ICP備05019364號-1 
京公網安備110105011258
