一
不是互联网企业,也需要考虑数据合规的问题吗?
企业作为一个商业运营实体,拥有各种类别的数据,如企业经营数据、产品用户数据、员工个人信息等,这些数据可以是电子形式的,也可以是通过纸质方式记录的。
像会员信息、消费信息、员工个人信息等这类数据,既是《个人信息保护法》中的“个人信息”,也是《数据安全法》中“数据”,而且无论是否为互联网企业,都是日常生产生活所必须保有的数据。这些数据的处理和使用都有相关的法律规定,必须从数据合规角度去考量,因此,数据合规问题将不只是互联网、云计算、信息等行业的专有名词,而是各行各业都需要面对的一项系统性的合规工作。
二
不重视数据合规,都会有什么法律风险?
在投资并购这个场景下,交易的标的可能是股权,也可能是资产,涉及到数据的转移和/或出境。我国对数据转移是强监管的,随着《网络安全法》《数据安全法》《个人信息保护法》及其配套法律法规、司法解释、国家标准等一系列监管规则逐渐出台,可以完全覆盖到刑事、行政、民事责任三个方面。
刑事方面
,涉及网络与数据合规的相关罪名有十多项,实践中出现比较多的是“侵犯公民个人信息罪”和“拒不履行网络安全义务罪”;
行政方面
,交易双方和目标公司均可能因为数据不合规行为受到行政处罚;
民事方面
,则因为数据处理各个环节的问题,可能存在合同违约、对第三方侵权等相关风险而导致的民事责任。而上述的任何一种风险,都可能导致目标公司价值跳水或交易失败。
三
投资并购,是不是也要数据合规尽职调查?
当然,数据合规都要以尽职调查为基础,合规数据尽职调查也应该是投资并购尽职调查的一部分内容,重点了解目标公司的数据处理活动和数据管理情况。
尽调律师要根据目标公司的行业特点和业务模式,建立起对目标公司的概括性认识,并结合了解到的一些实际情况,设计和出具数据合规的尽职调查清单和调查问卷,以全面了解目标公司数据全生命周期的各项活动和各个环节,即收集、存储、使用、加工、传输、提供、公开、删除、出境等。
此外,也要重点关注网信、工信、公安、市场监督等部门等查办案件的情况,了解行业内突出的问题是什么,对目标公司的数据处理活动进行倒查,审查是否有类似的不合规情况。
四
尽职调查之后,是不是就可以交易数据了?
对目标公司的数据资产有了清晰的审查之后,需要根据数据的不同类型、等级、规模等因素,综合判断交易数据需要履行的合规义务。
除了不得跨境转移的数据
1
,
数据可以作为一项资产单独进行交易,这种模式下,根据《个人信息保护法》,卖方将数据转移给买方,应取得个人的单独同意。必要时,还需要对买方进行尽职调查,评估其作为数据接收方的数据安全能力和由此可能产生的相关风险
2
。同时,投资并购交易涉及数据出境的,还要根据数据的等级,进行相关的安全评估
3
,签订相关合同
4。
数据也可以通过交易目标公司实现交易,这种模式下,
笔者认为
,从保护个人信息的角度出发,仍需要取得个人的单独同意。同时,根据法律规定,汇集掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的,需要申报网络安全审查5。
关于采用资产收购,还是股权收购的交易模式的问题,还要结合目标公司的情况,考虑准入、资质、品牌、组织架构、税务、债权债务、员工等情况进行综合考虑。
五
交易前后,如何解决数据合规问题?
如果交易仅涉及数据资产,可根据买方的可接受程序和数据合规的可实现度,将要求卖方完成数据合规义务,作为交易生效的先决条件,或作为一项交割条件。如买方接受附条件交付,可要求卖方在限期内配合买方完成数据合规整改。如数据合规风险相对严重,或该业务板块与并购交易关联性不强,也可要求卖方剥离该部分业务,以维护交易的安全性6。
需要注意的是,
因投资并购引起的数据合规需满足多法域规则的情况。
例如
,在投资并购后,出现注册在香港的公司处理的境内自然人用户信息的情况,在这种情况下,香港公司既需要满足遵守香港关于数据合规的规定,例如《个人资料(私隐)条例》等,也要遵守我国关于数据合规的相关规定,两者的法律规定可能是不同的或存在冲突的,这是在投资并购交易中需要进行预判的问题。
数据合规属于强监管领域和阶段,随着科技的发展,立法质量和数量都达到了前所未有的高度。自欧洲 GDPR 正式发布以来,全球范围内各国家/地区对数据保护的重要性形成了普遍认知,都在竞争性立法争夺数据主权,这对企业数据跨境合规应对和治理能力提出新的考验。
1.我国已经明确制定单行立法禁止数据跨境转移的行业,包括但不限于:金融、征信行业、网约车行业、网络出版、网络地图行业、民航、域名服务、人口健康等。
2.刘新宇,《数据保护 合规指引 规则解析(第2版)》,中国法制出版社,第279页。
3.《个人信息保护法》,全国人民代表大会常务委员会,2021年11月1日,第三十六、四十及四十一条;《数据出境安全评估办法(征求意见稿)》,国家互联网信息办公室,2021年10月29日,第二、三、四、五、八、九、十及十二条。
4.《个人信息出境安全评估办法(征求意见稿)》,国家互联网信息办公室,2019年6月13日,第十三条。
5.《网络数据安全管理条例(征求意见稿)》,国家互联网信息办公室,2021年11月14日,第十三条。
6.《举足轻重:并购交易中的数据考量与合规》,马军、姜赫 ,https://zhuanlan.zhihu.com/p/581714276,最后访问时间:2023年7月26日。
