隨著數(shù)據(jù)合規(guī)法律體系的建設(shè)與完善,數(shù)據(jù)領(lǐng)域執(zhí)法活動的持續(xù)活躍,以及數(shù)據(jù)事項相關(guān)審查認證的逐項落地,越來越多的并購交易法律盡職調(diào)查工作中,專門就數(shù)據(jù)合規(guī)領(lǐng)域開啟專項盡職調(diào)查;或者至少就數(shù)據(jù)合規(guī)領(lǐng)域的問題,在法律盡職調(diào)查中設(shè)立專章,進行專項分析。與此同時,數(shù)據(jù)作為一項重要資產(chǎn)和生產(chǎn)要素的價值越來越彰顯,甚至是不少交易中的交易驅(qū)動因素之一。本系列文章將從合規(guī)和資產(chǎn)角度,審視并購交易中數(shù)據(jù)相關(guān)的盡職調(diào)查、合規(guī)風險處理、數(shù)據(jù)資產(chǎn)移交等問題。
作為本系列的首篇,我們將首先探討數(shù)據(jù)合規(guī)盡調(diào)的關(guān)注要點,并購交易的情景限于位于中國的并購標的公司或在中國實質(zhì)開展業(yè)務運營活動的全球性企業(yè)(“并購標的”或“目標公司”)。本篇將著重討論對并購標的進行數(shù)據(jù)合規(guī)盡調(diào)的關(guān)注角度,關(guān)注這些角度的監(jiān)管背景和原因,并購標的常見數(shù)據(jù)合規(guī)風險等問題。
(一)主線清晰的立法結(jié)構(gòu)
我國數(shù)據(jù)合規(guī)領(lǐng)域的監(jiān)管規(guī)則呈現(xiàn)在《網(wǎng)絡(luò)安全法》《個人信息保護法》和《數(shù)據(jù)安全法》三部核心法律文件中,他們從不同的監(jiān)管視角出發(fā),統(tǒng)轄不同維度下數(shù)據(jù)合規(guī)的監(jiān)管框架,共同助力于實現(xiàn)安全網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)恰當處理和個人信息適當保護。
收購方對目標公司數(shù)據(jù)法律合規(guī)情況作出研判時,應當把握監(jiān)管口徑、監(jiān)管對象和監(jiān)管領(lǐng)域,并有針對性地核查監(jiān)管要求與并購標的實踐之間的合規(guī)差距。
1.最早書就與奠定的成熟監(jiān)管領(lǐng)域:網(wǎng)絡(luò)安全領(lǐng)域
2016年11月,《中華人民共和國網(wǎng)絡(luò)安全法》(“《網(wǎng)絡(luò)安全法》”)發(fā)布。《網(wǎng)絡(luò)安全法》對包括關(guān)鍵信息基礎(chǔ)設(shè)施運營者在內(nèi)的網(wǎng)絡(luò)運營者,從網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全檢測預警及應急機制等方面提出了全面的要求。網(wǎng)絡(luò)安全領(lǐng)域是數(shù)據(jù)合規(guī)法律體系中最早開展系統(tǒng)性立法和執(zhí)法監(jiān)管的領(lǐng)域。舉例而言,就《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)安全等級保護制度,可追溯至2007年發(fā)布的《信息安全等級保護管理辦法》。
從并購交易角度看,網(wǎng)絡(luò)安全領(lǐng)域的監(jiān)管規(guī)則可以較為粗略地被概括為關(guān)注偏向“硬件”或“基礎(chǔ)設(shè)施”方面的問題。因此,網(wǎng)絡(luò)安全領(lǐng)域會涉及、但絕不僅僅包含和個人信息保護、數(shù)據(jù)安全有關(guān)的問題。例如,網(wǎng)絡(luò)安全領(lǐng)域?qū)W(wǎng)絡(luò)系統(tǒng)安全設(shè)置了等級保護制度,要求企業(yè)進行評測、定級、備案、整改;《網(wǎng)絡(luò)安全法》制度性地提出關(guān)鍵信息基礎(chǔ)設(shè)施保護制度。這些領(lǐng)域,側(cè)重關(guān)注偏網(wǎng)絡(luò)系統(tǒng)安全、設(shè)備和系統(tǒng)運行等方面的問題。
由于近年來個人信息保護領(lǐng)域的監(jiān)管新規(guī)出臺密度很高、受到的關(guān)注最多(如下文詳述),因此部分并購標的可能僅僅側(cè)重于關(guān)注個人信息保護領(lǐng)域的規(guī)定以及合規(guī)要求,并由此可能忽略了同樣十分重要的網(wǎng)絡(luò)安全領(lǐng)域的規(guī)定以及合規(guī)要求。例如,不乏相當一部分并購標的可能不太關(guān)注、甚至完全沒有處理過網(wǎng)絡(luò)安全等級保護的測評、定級、備案、整改等問題。收購方在交易中也需要對此有所關(guān)注,不應忽略網(wǎng)絡(luò)安全領(lǐng)域的監(jiān)管要求。
2.監(jiān)管密度最高的監(jiān)管領(lǐng)域:個人信息保護領(lǐng)域
2021年11月,《中華人民共和國個人信息保護法》(“《個人信息保護法》”)正式實施。《個人信息保護法》確立了個人信息處理的基本原則,明確了個人在個人信息處理活動中的法定權(quán)利,拓寬了處理個人信息的合法性基礎(chǔ),并就個人信息跨境傳輸?shù)谋O(jiān)管要求作出規(guī)定。目前,個人信息保護領(lǐng)域呈現(xiàn)出多部門高度關(guān)注、多階層規(guī)范性文件多維監(jiān)管的態(tài)勢,是數(shù)據(jù)合規(guī)法律體系中監(jiān)管規(guī)則最為豐富、最受各方關(guān)注、監(jiān)管密度最高的領(lǐng)域。
顧名思義,個人信息保護領(lǐng)域的監(jiān)管重點,在于如何對個人信息的處理活動進行監(jiān)管,在商業(yè)利用、便利業(yè)務發(fā)展的大背景下確保如何更好地保護個人信息主體權(quán)益。當然,由于個人信息的處理和保護離不開系統(tǒng)與基礎(chǔ)設(shè)施,個人信息的存儲和大量經(jīng)典處理場景(例如出境)也往往和其他類型的數(shù)據(jù)相互交融,因此個人信息保護領(lǐng)域的部分監(jiān)管關(guān)注點也不可避免地涉及到網(wǎng)絡(luò)安全、數(shù)據(jù)安全領(lǐng)域,但是總體來說,個人信息保護領(lǐng)域的監(jiān)管還是主要關(guān)注保護個人信息、規(guī)管個人信息處理活動。
基于上述成熟且精密的監(jiān)管生態(tài),個人信息保護領(lǐng)域的合規(guī)問題,是并購交易中相對容易識別、目標公司相對容易違反的規(guī)則領(lǐng)域,應當作為收購方的關(guān)注重點。在并購交易開展過程中,收購方宜結(jié)合以《個人信息保護法》為代表的個人信息保護規(guī)范性文件,就目標公司是否落實個人信息處理者義務,是否履行特定個人信息處理活動的特別要求等進行識別與核查。
3.監(jiān)管前沿和有待補完的拼圖:數(shù)據(jù)安全領(lǐng)域
2021年9月,《中華人民共和國數(shù)據(jù)安全法》(“《數(shù)據(jù)安全法》”)實施。《數(shù)據(jù)安全法》相對寬泛地規(guī)定了數(shù)據(jù)分類分級保護、重要數(shù)據(jù)保護目錄、數(shù)據(jù)安全風險預警機制、數(shù)據(jù)安全應急處置機制、數(shù)據(jù)活動的國家安全審查機制等數(shù)據(jù)安全管理制度。
數(shù)據(jù)安全領(lǐng)域的立法和監(jiān)管工作,作為一個獨立垂直領(lǐng)域開始啟動,主要集中并爆發(fā)于近幾年。同時,作為綱領(lǐng)性文件的《數(shù)據(jù)安全法》更注重宏觀制度體系構(gòu)建。因此,數(shù)據(jù)安全領(lǐng)域仍有相當一部分較為實質(zhì)的制度內(nèi)容(如各細分行業(yè)的重要數(shù)據(jù)目錄和分級分類具體指引等),有待后續(xù)生效的規(guī)范性文件加以完善與補充。
此外,數(shù)據(jù)安全領(lǐng)域也關(guān)涉到一些最前沿、甚至在監(jiān)管方向和操作范式上都有待進一步探討的領(lǐng)域,典型如數(shù)據(jù)交易,這一領(lǐng)域還面臨著數(shù)據(jù)權(quán)屬基礎(chǔ)制度、數(shù)據(jù)交易安全、數(shù)據(jù)交易價值確認等基本問題的進一步探索。
盡管數(shù)據(jù)安全領(lǐng)域一些細節(jié)的監(jiān)管要求有待補完和落實,但是部分行業(yè)的主管部門已經(jīng)就數(shù)據(jù)安全頒發(fā)了生效的監(jiān)管文件,典型如針對汽車相關(guān)行業(yè)的《汽車數(shù)據(jù)安全管理若干規(guī)定(試行)》。
因此,收購方在交易中,還是應當根據(jù)《數(shù)據(jù)安全法》的總體要求,結(jié)合已經(jīng)落實的監(jiān)管細節(jié),以及對具體垂直行業(yè)的具體監(jiān)管要求(如有),對并購標的的數(shù)據(jù)安全合規(guī)情況進行核查。
在《個人信息保護法》《數(shù)據(jù)安全法》出臺前,數(shù)據(jù)保護(重點體現(xiàn)為個人信息保護)在基本法律層面的規(guī)定主要體現(xiàn)在《網(wǎng)絡(luò)安全法》《中華人民共和國民法典》(“《民法典》”)等法律中。
但是,該等規(guī)定大多為原則性或綱領(lǐng)性的內(nèi)容,可以直接作為并購交易盡職調(diào)查中合規(guī)性判定依據(jù)或?qū)嵺`操作指引的內(nèi)容較少。相關(guān)的配套細則主要呈現(xiàn)在自《網(wǎng)絡(luò)安全法》項下的各行政法規(guī)、規(guī)章、國家標準性文件中,但是該等配套細則適用的對象更多側(cè)重于《網(wǎng)絡(luò)安全法》提出的“網(wǎng)絡(luò)運營者”的范疇。盡管“網(wǎng)絡(luò)運營者”可以通過解釋的方式,在一定程度上涵蓋較為寬泛的主體與行業(yè),但是就實際項目操作而言,在對部分傳統(tǒng)行業(yè)目標公司開展的數(shù)據(jù)合規(guī)審查工作中,可能面臨數(shù)據(jù)合規(guī)規(guī)范性文件適用界限模糊的問題,需要具體論證和判斷(有時甚至只能類比適用)部分目標公司是否屬于“網(wǎng)絡(luò)運營者”。
《個人信息保護法》《數(shù)據(jù)安全法》的出臺將適用范圍從“網(wǎng)絡(luò)運營者”的行為延伸至一般性的“在境內(nèi)實施個人信息處理活動、數(shù)據(jù)處理活動”的組織、個人,明確對個人信息保護、數(shù)據(jù)保護的要求不再僅限于“網(wǎng)絡(luò)運營者”。如餐飲、線下教育等傳統(tǒng)行業(yè)中涉及個人信息處理、數(shù)據(jù)處理的公司同樣適用于相關(guān)數(shù)據(jù)監(jiān)管規(guī)則。因此,收購方需要關(guān)注對傳統(tǒng)行業(yè)的目標公司開展個人信息保護合規(guī)審查、數(shù)據(jù)安全審查,避免僅因目標公司所處行業(yè)而草率地排除數(shù)據(jù)合規(guī)審查工作。
(三)“垂直縱深”的監(jiān)管顆粒度
與監(jiān)管覆蓋面橫向拓展至全行業(yè)領(lǐng)域并行的,是監(jiān)管機構(gòu)基于部分行業(yè)或業(yè)務領(lǐng)域的高度敏感性,制定出一系列適用范圍具有鮮明行業(yè)指向性、合規(guī)要求更高或更具執(zhí)行性的規(guī)范性文件。收購方在對全行業(yè)目標公司數(shù)據(jù)合規(guī)審查保持關(guān)注的前提下,宜對處于特定行業(yè)領(lǐng)域的目標公司的數(shù)據(jù)安全、個人信息處理、網(wǎng)絡(luò)安全工作給予更高的重視。
受限于本文篇幅,以下僅就部分熱點行業(yè)領(lǐng)域及其部分專門規(guī)定進行舉例:
(四)境外個人信息處理者“有條件適用”的監(jiān)管態(tài)度
根據(jù)《個人信息保護法》,在境外處理我國境內(nèi)自然人個人信息,且以向境內(nèi)自然人提供產(chǎn)品或者服務為目的,或用以分析、評估境內(nèi)自然人的行為的,應當適用《個人信息保護法》的規(guī)定。
為使得前述條款得到切實維護和保障,《個人信息保護法》第五十三條要求,境外個人信息處理者應當向履行個人信息保護職責的部門報送其在境內(nèi)設(shè)立的專門機構(gòu)名稱或指定代表的姓名、聯(lián)系方式,并由專門機構(gòu)或指定代表負責處理該境外個人信息處理者在《個人信息保護法》下的相關(guān)事務。
基于此,收購方在對目標公司為跨國集團的并購項目進行盡職調(diào)查時,如果發(fā)現(xiàn)該跨國集團有相對實質(zhì)的針對我國境內(nèi)個人信息的處理活動(例如目標公司的網(wǎng)站服務器設(shè)置在境外,但是面向中國境內(nèi)大量用戶提供服務,甚至設(shè)置中文網(wǎng)頁、設(shè)置便利中國用戶付款的支付渠道,并實質(zhì)收集中國用戶的個人信息),宜考慮對處理中國境內(nèi)自然人個人信息的境外實體的處理行為進行合規(guī)性審查,并納入整個并購交易的盡職調(diào)查范圍內(nèi)。
由于監(jiān)管部門尚未出臺實施細則,就《個人信息保護法》第五十三條下的報送程序、材料等進行明確,收購方宜在并購交易中要求目標公司(即存在由境外實體處理中國境內(nèi)個人信息的跨國集團),對《個人信息保護法》第五十三條的實施細則、解釋說明保持高度關(guān)注,并在相關(guān)文件出臺后及時在境內(nèi)設(shè)立專門機構(gòu)或委托代表以履行有關(guān)信息的報送義務。
1.收集個人信息通常情況下以取得個人信息主體的同意為主要合法性基礎(chǔ),但并購標的在這一環(huán)節(jié)往往容易出現(xiàn)問題
并購標的收集個人信息,必須具有《個人信息保護法》規(guī)定的某一合法性基礎(chǔ),在商業(yè)和業(yè)務運營場景中最常見的,是需要獲得個人信息主體的同意作為信息收集的合法性基礎(chǔ)。
并購交易中,并購標的由于種種原因,在這一環(huán)節(jié)容易出現(xiàn)問題。例如,一些并購標的因為對個人信息保護合規(guī)要求缺乏基本了解,沒有注意設(shè)置一定環(huán)節(jié),取得用戶的同意。
此外,值得特別關(guān)注的是,部分場景下目標公司較難直接取得個人信息主體的同意,此時需要采取一些其他措施,降低合規(guī)風險。舉例而言,如果目標公司以B端業(yè)務為主,且從B端業(yè)務合作伙伴獲得個人信息,目標公司基本難以直接接觸這些個人信息的個人信息主體并獲得他們的同意。所以,目標公司往往需要采取如下措施以降低風險:
(1)在業(yè)務合作協(xié)議中包含數(shù)據(jù)保護條款,或者與B端業(yè)務合作伙伴單獨簽署了個人信息及數(shù)據(jù)保護協(xié)議,并且通過這些協(xié)議或者條款,要求B端業(yè)務伙伴(作為數(shù)據(jù)提供方)承諾其向目標公司提供個人信息已經(jīng)獲得適當同意或具有其他合法性基礎(chǔ),并約定如因個人信息提供給目標公司造成目標公司損失的處理方式與賠償方;
(2)在涉及大量個人信息的收集合作中,或者在與目標公司主營業(yè)務高度相關(guān)或特別重要并存在個人信息收集活動的合作中,或者在明顯可能存在個人信息收集瑕疵的業(yè)務合作中(例如審閱已知信息發(fā)現(xiàn)業(yè)務合作伙伴較有可能是從第三方購買或通過其他不合規(guī)方式獲得個人信息),如條件或合作關(guān)系允許,目標公司應考慮對業(yè)務合作伙伴獲得個人信息來源授權(quán)同意的適當性進行過一定的核查與確認(例如要求B端業(yè)務合作伙伴說明個人信息收集流程及合法性基礎(chǔ);如果以“同意”為基礎(chǔ)的,提供獲得同意的文書文本,并對同意的范圍進行審核)。
如果目標公司未能完成上述工作,則其一方面無法獲知(或者至少盡到合理努力以便在一定程度上獲知)B端業(yè)務合作伙伴向目標公司提供個人信息的實際風險水平,另一方面則是在出現(xiàn)風險的情況下(例如信息提供方確實有較為明顯的未經(jīng)適當授權(quán)而向目標公司提供個人信息的行為,甚至引發(fā)個人信息主體的訴訟),其沒有基本的合同依據(jù)向B端業(yè)務合作伙伴索償。
因此,收購方應當在盡職調(diào)查中關(guān)注,目標公司直接收集個人信息時,是否已經(jīng)進行告知并獲得適當同意;在間接收集個人信息時,是否與個人信息提供方簽署如上第(1)點所述的適當數(shù)據(jù)保護條款,以及是否在業(yè)務允許的情況下對個人信息提供方進行上文(2)所述的適當了解與調(diào)查。
2.“同意”以外的其他合法性基礎(chǔ)的適用條件比較嚴格
盡管《個人信息保護法》為企業(yè)收集個人信息的合法性基礎(chǔ)提供了多樣化選擇,在“同意”以外,設(shè)置了其他合法性基礎(chǔ),但是該等合法性基礎(chǔ)的適用條件比較嚴格,在對目標公司盡職調(diào)查的過程中,需要慎重決策論證目標公司的部分個人信息處理行為是否確實能夠適用“同意”之外的合法性基礎(chǔ)。
舉例而言,為訂立、履行個人作為一方當事人的合同所必需而處理個人信息,是一項單獨的合法性基礎(chǔ)。適用該場景時,目標公司首先需要滿足“必需”的前提,意味著無論是收集/使用個人信息的具體行為和頻率,還是涉及的個人信息種類都應滿足“必需”。同時,對于該場景下的“合同”指何種類型的文件,也需要特別關(guān)注,例如一般來說這里的“合同”應指雙方經(jīng)歷充分、平等的意思表示達成的具有實質(zhì)履行內(nèi)容的合同,類似于APP中常見的格式條款《用戶協(xié)議》通常不宜被認定為此場景下的“合同”。
與此類似的,按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施人力資源管理所必需處理個人信息,也是一項單獨的合法性基礎(chǔ)。適用該場景時目標公司同樣需要滿足為人力資源管理所“必需”的前提,以及存在滿足法定程序的勞動規(guī)章制度和依法簽訂的集體合同。并非任何與員工工作相關(guān)的個人信息處理活動,或者發(fā)生在員工工作時間段內(nèi)的處理活動,都可以依賴本合法性基礎(chǔ)。
3.需要注意目標公司是否落實收集個人信息的“單獨同意”的要求
收集敏感個人信息應當取得個人的單獨同意,敏感個人信息包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
因此,在對目標公司盡職調(diào)查過程中,如發(fā)現(xiàn)涉及上述類別個人信息收集的,應進一步審查目標公司是否已落實“單獨同意”的要求
(二)疏于制度建設(shè)及個人信息保護影響評估(“PIPA”)
1.網(wǎng)絡(luò)安全等級保護制度
網(wǎng)絡(luò)安全等級保護制度是對目標公司網(wǎng)絡(luò)系統(tǒng)的測評、定級和整改,并且對于未及時履行等級保護制度的企業(yè),法律法規(guī)也有相應罰則。
但是,在較早時期,特別是在《網(wǎng)絡(luò)安全法》頒布之前,執(zhí)法機關(guān)沒有在所有時間段和所有領(lǐng)域內(nèi)都對本制度的執(zhí)行與落實保持較為嚴格的力度,可能有一些企業(yè)沒有按時完成網(wǎng)絡(luò)安全等級保護的評測、備案、整改等工作,但尚未被處罰,因此有的企業(yè)疏于開展等保工作。隨著2017年《網(wǎng)絡(luò)安全法》的頒布以及一系列配套國家標準的頒布,等級保護制度進入“2.0時代”;與此同時,與等保制度有關(guān)的執(zhí)法案例頻出。從目前的監(jiān)管視角來看,目標公司如果沒有進行等保工作,將面臨比以往更高的實際處罰風險。因此收購方的數(shù)據(jù)合規(guī)盡調(diào)有必要關(guān)注目標公司的等保完成情況。
另外,《數(shù)據(jù)安全法》以及《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》頒布后,處理重要數(shù)據(jù)的系統(tǒng)原則上應當滿足三級以上網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求,所以隨著對企業(yè)數(shù)據(jù)分級分類要求的落實和重要數(shù)據(jù)識別工作的有序展開,收購方盡調(diào)過程中還需要關(guān)注目標公司是否涉及重要數(shù)據(jù)處理,以及其系統(tǒng)的等級保護定級備案是否達到了三級,目標公司是否按照規(guī)定完成評測、備案與整改。
2.內(nèi)部制度建設(shè)及PIPA
早期對于企業(yè)內(nèi)部合規(guī)制度建設(shè)和個人信息保護影響評估(在有的文件中亦就實質(zhì)類似的評估體系稱為“個人信息安全影響評估”,下稱“PIPA”)的要求主要在《信息安全技術(shù) 個人信息安全規(guī)范》(“《個人信息安全規(guī)范》”)等國家推薦性標準中規(guī)定,在實踐中有很強的指導作用和很高的參考價值,但效力層級低,沒有強制的法律效力。在定位上,《個人信息安全規(guī)范》屬于倡導性的良好實踐要求,通常一些規(guī)模較大的企業(yè)可能會按照規(guī)范要求完成,其他大部分公司缺乏落實動力;另外,在《個人信息保護法》和《數(shù)據(jù)安全法》頒布前,也沒有直接對應的罰則,有的并購標的對此重視度不高。
而《個人信息保護法》和《數(shù)據(jù)安全法》頒布后,目標公司如果未按照要求建設(shè)和完善內(nèi)部制度,或者不按時完成PIPA,都可能面臨《個人信息保護法》和《數(shù)據(jù)安全法》下的處罰。此外需要強調(diào)的是,內(nèi)部制度的建設(shè)和PIPA在個人信息權(quán)益訴訟糾紛適用“舉證責任倒置”的背景下,可以有效幫助目標公司自證其履行了保護個人信息和數(shù)據(jù)安全的合理義務。因此,沒有履行這兩項工作,會增加目標公司在數(shù)據(jù)合規(guī)爭議中的敗訴甚至高額賠償隱患。
因此,收購方的數(shù)據(jù)合規(guī)盡調(diào),也應當關(guān)注目標公司是否進行了適當?shù)膬?nèi)部數(shù)據(jù)合規(guī)建設(shè),是否就法定需要進行個人信息保護影響評估的場景進行了相應評估。
(三)部分典型場景下收購方宜特別關(guān)注的數(shù)據(jù)合規(guī)風險
1.APP、小程序等線上渠道
這是比較常見的個人信息處理場景。相當一部分目標公司,包括傳統(tǒng)行業(yè)的公司,只要有線上宣發(fā)渠道或線上商城,都可能涉及。這些線上渠道的個人信息收集和處理合規(guī),是主管機關(guān)關(guān)注和執(zhí)法的重點,面臨相對嚴格、密集的監(jiān)管行動,以及更為體系化、復雜化的監(jiān)管要求(需要滿足一系列針對APP、小程序提出的合規(guī)要求)。目標公司線上渠道的不合規(guī)行為非常容易被主管機關(guān)察覺,可能造成即時性的負面后果,例如公開警告和應用商城下架等。
2.爬取數(shù)據(jù)的行為
數(shù)據(jù)爬取行為此前廣泛存在于特定行業(yè)的公司,比如為營銷目的爬取公開的個人信息,或者爬取大量電商、直播信息并匯總為一定的數(shù)據(jù)集進行售賣。在盡職調(diào)查過程中,如發(fā)現(xiàn)目標公司存在爬取數(shù)據(jù)的行為,應引起特別關(guān)注,審查目標公司是否遵守了信息來源網(wǎng)站的Robots協(xié)議;是否存在故意繞開數(shù)據(jù)來源技術(shù)手段的方式進行爬取;是否有爬取網(wǎng)頁(含網(wǎng)頁代碼)表層公開可見的信息以外的、深入網(wǎng)站數(shù)據(jù)庫(非公開可讀信息)的爬取行為;爬取產(chǎn)生的日訪問量是否會達到信息來源日均流量的較高比例(視具體爬取情形以及給信息來源服務器可能造成的具體負擔而定,例如可以考慮以三分之一或者具體項目中其他更合理的比例)。
3.使用人臉識別攝像頭的行為
這一行為是監(jiān)管的重點。對于人臉識別信息的監(jiān)管規(guī)定比較分散和細致。同時,近期的一些執(zhí)法案例也日趨嚴格。例如,浙江多個房地產(chǎn)公司因在售樓處違規(guī)安裝人臉識別設(shè)備被處罰;某衛(wèi)浴線下門店因違規(guī)安裝人臉識別和分析設(shè)備被處罰;某兩家知名汽車廠商線下4S店因違規(guī)安裝人臉識別和分析設(shè)備被處罰。這些案例中,部分場景下,使用人臉識別技術(shù)的經(jīng)營者已經(jīng)試圖在較為明顯之處張貼說明、通知,以對消費者進行告知并在一定程度上“獲得同意”,但是執(zhí)法機關(guān)在執(zhí)法過程中采取相對嚴格的標準,依舊認定經(jīng)營者違法。
4.算法推薦技術(shù)
許多互聯(lián)網(wǎng)公司基于營銷目的或者優(yōu)化信息服務的目的使用算法推薦技術(shù),也有相當一部分數(shù)據(jù)營銷解決方案公司以此作為主營業(yè)務。此外,一些傳統(tǒng)行業(yè)的公司也會在數(shù)字化轉(zhuǎn)型、線上化營銷的過程中,使用算法推薦技術(shù)。
《個人信息保護法》對應用算法推薦技術(shù)的企業(yè)提出了更嚴格、更明確的要求,需要在盡職調(diào)查過程中核查目標公司是否均已落實,包括保證算法推薦的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇;向個人進行信息推送、商業(yè)營銷,應當同時提供不針對其個人特征的選項,或者向個人提供便捷的拒絕方式;如果作出對個人權(quán)益有重大影響的決定,個人有權(quán)要求個人信息處理者予以說明,并有權(quán)拒絕個人信息處理者僅通過算法自動分析形成決策的方式作出決定。
值得關(guān)注的還有近期發(fā)布的《互聯(lián)網(wǎng)信息服務算法推薦管理規(guī)定》,對算法設(shè)計和使用的過程提出一系列要求,落實了算法使用主體的責任,并具體建立了算法備案制度。收購方需要關(guān)注目標公司的算法推薦使用活動,也需要關(guān)注目標公司是否已經(jīng)著手進行互聯(lián)網(wǎng)信息服務算法備案。
因此,收購方在數(shù)據(jù)合規(guī)盡調(diào)中,可注意關(guān)注目標公司在上述四個典型的嚴監(jiān)管場景下的合規(guī)現(xiàn)狀,并進行風險研判。
(四)數(shù)據(jù)本地化與出境
如果在盡職調(diào)查過程中發(fā)現(xiàn)目標公司存的個人信息或數(shù)據(jù)出境行為,收購方應當予以特別關(guān)注。
在審查信息和數(shù)據(jù)的跨境行為時,應首先識別信息和數(shù)據(jù)的種類,分離出受到出境管控、備案要求或需要采取一定行動的信息和數(shù)據(jù)種類,再結(jié)合這些信息和數(shù)據(jù)適用的監(jiān)管規(guī)則和要求,逐一確認目標公司是否履行了法定義務。目前,針對國家秘密、個人信息、重要數(shù)據(jù)與核心數(shù)據(jù)、特定行業(yè)數(shù)據(jù)(如人類遺傳資源、地理測繪信息、汽車重要數(shù)據(jù)、證券活動有關(guān)的底稿等),都已有專門的監(jiān)管要求。舉例而言,就目前監(jiān)管相對成熟的個人信息出境而言,境內(nèi)向境外提供個人信息的處理者,應當取得個人信息主體的單獨同意,應當就出境進行個人信息保護安全評估,應當視傳輸出境的個人信息的主體數(shù)量(例如根據(jù)《數(shù)據(jù)出境安全評估辦法》及《個人信息出境標準合同規(guī)定(征求意見稿)》的規(guī)定,統(tǒng)計目標公司處理的個人信息是否滿100萬人,是否自上年1月1日起累計向境外提供達到10萬人個人信息,是否自上年1月1日起累計向境外提供達到1萬人敏感個人信息),提交網(wǎng)信部門進行數(shù)據(jù)出境安全評估或者與境外個人信息接收方簽訂網(wǎng)信部門發(fā)布的標準合同。
特別注意的是,《個人信息保護法》明確了侵害個人信息權(quán)益訴訟中的舉證責任倒置規(guī)則,即處理個人信息侵害個人信息權(quán)益造成損害,個人信息處理者不能證明自己沒有過錯的,應當承擔損害賠償?shù)惹謾?quán)責任。如果并購標的發(fā)生個人信息權(quán)益訴訟,與普通的不適用舉證責任倒置的侵權(quán)案件相比,其可能面臨較重的舉證責任,以及隨之而來的更高的敗訴風險。當然,如上文所述,正是因為存在舉證責任倒置的法定安排,收購方更需要關(guān)注目標公司是否有較為良好的內(nèi)部個人信息保護管理制度,是否就重點場景進行過PIPA,因為這些措施有助于在爭議中輔助證明并購標的的善意以及已經(jīng)盡到了部分法定義務。
(二)可能面臨的大額罰款、產(chǎn)品下架或停止經(jīng)營或甚至刑事責任
如目標公司在數(shù)據(jù)合規(guī)領(lǐng)域違反法律規(guī)定,其可能面臨罰款,甚至是較為大額的罰款。例如,在《個人信息保護法》頒布前,目標公司違法收集或處理個人信息通常會被依照《網(wǎng)絡(luò)安全法》或《消費者權(quán)益保護法》的規(guī)定進行處罰,該等法規(guī)涉及的法定罰金的上限相對較低。《個人信息保護法》提高了對侵害個人信息權(quán)益行為的處罰力度。其中,對于處理個人信息不符合《個人信息保護法》規(guī)定或者未采取必要安全保護措施且情節(jié)嚴重的目標公司的違法行為,可能處以五千萬元以下或上年度營業(yè)額百分之五以下的罰款,極大地提高了企業(yè)的違法成本,應當引起所有涉及個人信息處理行為的目標公司的充分重視。
除罰款以外,違反數(shù)據(jù)合規(guī)法律的目標公司可能面臨停止產(chǎn)品或服務的后果。例如,《個人信息保護法》規(guī)定,如果違反了該法的條款,視具體情形,違法主體可能被監(jiān)管機關(guān)責令改正,給予警告,對違法處理個人信息的應用程序,責令暫停或者終止提供服務。實踐中,多部委近年頻繁進行聯(lián)合執(zhí)法,宣布了多批違法違規(guī)收集個人信息的移動應用程序的案例,實踐中,對于發(fā)現(xiàn)違規(guī)收集個人信息的移動應用程序,如果在主管部門要求的時限內(nèi)未能完成整改,則將被直接從主流應用市場中予以下架,可能對目標公司的主營業(yè)務形成直接影響。
最后,除行政責任外,目標公司的數(shù)據(jù)或個人信息處理活動如果達到一定的違法嚴重后果,滿足刑法的犯罪構(gòu)成要件(典型如《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》當中規(guī)定的情形),目標公司或其主要責任人可能構(gòu)成犯罪,需要承擔刑事責任。
(三)對后續(xù)上市的潛在影響
收購方并購一個企業(yè)時,可能考慮在該企業(yè)運營一段時間后,進行首次公開發(fā)行,或者收購方自己進行上市等資本市場運作。因此,收購方在盡職調(diào)查中,也應充分考慮目標公司個人信息保護或者數(shù)據(jù)管理方面是否存在實質(zhì)影響上市的情況。
1.網(wǎng)絡(luò)安全審查與國外上市
國家互聯(lián)網(wǎng)信息辦公室于2022年1月4日聯(lián)合其他部委正式發(fā)布了修訂后的《網(wǎng)絡(luò)安全審查辦法》,該法規(guī)規(guī)定掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市需要申報網(wǎng)絡(luò)安全審查。
就網(wǎng)絡(luò)安全審查法定審查期限而言,根據(jù)適用的程序類型不同:理論上最短法定審查期限約55個工作日;最長法定審查期限約160個工作日或更長的時間。但是,實際操作中,由于材料提交及往復溝通并補充材料需要時間,且提交補充材料的時間不計入上述審查時限,所以實際需要的時間,可能超出上述時間框架。
目前在一些項目中,主管機關(guān)對于赴國外上市企業(yè)是否需要主動申報網(wǎng)絡(luò)安全審查的判定態(tài)度仍比較模糊,不一定會向企業(yè)明確表達其是否需要報送。此外,特別值得關(guān)注的是,即使企業(yè)沒有達到上述提及的申報門檻,進而決定不主動進行網(wǎng)絡(luò)安全審查申報,后續(xù)主管機關(guān)仍可以依職權(quán)要求企業(yè)進行申報。
所以并購標的以及收購方應關(guān)注的是,提前對并購標的的個人信息處理和數(shù)據(jù)處理現(xiàn)狀進行摸底,了解是否存在顯著風險,對是否需要申報網(wǎng)絡(luò)安全審查,以及是否有可能被主管機關(guān)主動啟動網(wǎng)絡(luò)安全審查進行較為謹慎的研判。例如,對于是否“掌握超過100萬用戶個人信息”,是否屬于“網(wǎng)絡(luò)平臺運營者”,應當以更為嚴格的尺度進行全面衡量和評估,需要審慎判斷公司的個人信息和數(shù)據(jù)處理活動是否可能影響國家安全,以免打亂既有時間表,將上市計劃拖入被動局面。
2.上市監(jiān)管機構(gòu)在企業(yè)上市過程中對數(shù)據(jù)合規(guī)問題施加更高的關(guān)注
日趨嚴格的數(shù)據(jù)監(jiān)管導致交易所和證券監(jiān)管機構(gòu)在上市審核過程中對發(fā)行人數(shù)據(jù)合規(guī)方面施加越來越多的關(guān)注,特別是企業(yè)境內(nèi)上市和香港上市。我們建議收購方在對盡職調(diào)查的基礎(chǔ)上,針對數(shù)據(jù)相關(guān)的盡調(diào)發(fā)現(xiàn)從上市角度進行評估,排除可能構(gòu)成上市障礙的問題,并在交易后對盡調(diào)發(fā)現(xiàn)進行有針對性的整改。
(1)數(shù)據(jù)收集、使用和共享的合規(guī)性
例如,監(jiān)管機構(gòu)可能重點關(guān)注并購標的(即未來的發(fā)行人)是否存在未經(jīng)授權(quán)獲取用戶數(shù)據(jù)的情況、獲取個人數(shù)據(jù)是否對用戶有明示提示、收集的數(shù)據(jù)是否限制在必要的范圍內(nèi)、是否僅概括性提示收集用戶信息、是否超出用戶授權(quán)范圍使用數(shù)據(jù)或存在未經(jīng)其他平臺的授權(quán)直接收取數(shù)據(jù)的行為。
(2)數(shù)據(jù)規(guī)模和權(quán)屬
監(jiān)管機構(gòu)可能重點關(guān)注并購標的收集及儲存的用戶信息規(guī)模,數(shù)據(jù)收集使用情況,上市前后保護個人信息和數(shù)據(jù)安全的安排,是否符合《個人信息保護法》《數(shù)據(jù)安全法》等法律法規(guī)要求;并購標的及其原料數(shù)據(jù)采集供應商相關(guān)數(shù)據(jù)的獲取方式及其合規(guī)性,并購標的是否享有數(shù)據(jù)的所有權(quán)或獲得相關(guān)數(shù)據(jù)主體的授權(quán)許可,相關(guān)授權(quán)許可是否存在使用范圍、主體或期限等方面的限制;并購標的及其原料數(shù)據(jù)采集供應商是否存在超出上述限制使用數(shù)據(jù)的情形,是否存在數(shù)據(jù)內(nèi)容侵犯個人隱私或其他合法權(quán)益的風險。
(3)企業(yè)內(nèi)部數(shù)據(jù)和網(wǎng)絡(luò)安全管理制度
監(jiān)管機構(gòu)可能重點關(guān)注并購標的內(nèi)部是否就個人信息保護、網(wǎng)絡(luò)安全和數(shù)據(jù)安全,建立了相對完善的內(nèi)部流程制度;實際運行中,并購標的是否對內(nèi)部流程制度進行了行之有效的落實。
(4)主管部門數(shù)據(jù)立法與監(jiān)管活動對企業(yè)未來合規(guī)趨勢的影響
監(jiān)管機構(gòu)關(guān)注的問題中,有時可能涉及對未來合規(guī)趨勢的影響,例如可能要求發(fā)行人說明一些已經(jīng)頒布的征求意見稿對發(fā)行人業(yè)務的適用性,說明如果征求意見稿正式生效,對發(fā)行人業(yè)務可能存在的影響等。
(四)對目標公司價值及并購對價的影響
作為并購交易商業(yè)考慮的核心要點之一,目標公司不合規(guī)的情況是否影響標的估值及并購對價金額,是收購方及出售方都最關(guān)注的問題之一。
考慮到近年來數(shù)據(jù)合規(guī)領(lǐng)域的監(jiān)管不斷升溫,違法后果愈發(fā)嚴重,如果目標公司確實在數(shù)據(jù)合規(guī)領(lǐng)域的某些方面存在實質(zhì)的違法行為,可能對并購結(jié)構(gòu)的設(shè)計以及交易對價產(chǎn)生影響。
以上,我們重點介紹了數(shù)據(jù)合規(guī)盡調(diào)的關(guān)注角度以及并購標的常見數(shù)據(jù)合規(guī)風險。在下一篇文章中,我們將討論何種類型的并購項目更應注意開展數(shù)據(jù)合規(guī)專項盡調(diào),在并購項目交易文件中如何處理已經(jīng)識別的數(shù)據(jù)合規(guī)問題,以及收集盡調(diào)材料過程中有哪些值得關(guān)注的數(shù)據(jù)合規(guī)問題。
京ICP備05019364號-1 
京公網(wǎng)安備110105011258
