?

?

?

公司并購(gòu)一般分為股權(quán)收購(gòu)（Share Deal）和資產(chǎn)收購(gòu)（Asset Deal）兩種類(lèi)型。前者是指買(mǎi)方收購(gòu)目標(biāo)公司的股權(quán)或股份，比如三一重工收購(gòu)德國(guó)普茨邁斯特100%的股份；后者是指買(mǎi)方收購(gòu)目標(biāo)公司的某一部門(mén)或者業(yè)務(wù)線(xiàn)，比如微軟收購(gòu)諾基亞的設(shè)備與服務(wù)部門(mén)及其專(zhuān)利組合。

?

在股權(quán)收購(gòu)中，買(mǎi)方購(gòu)買(mǎi)目標(biāo)公司的股權(quán)并成為其股東，相關(guān)數(shù)據(jù)資產(chǎn)一般仍在目標(biāo)公司名下，買(mǎi)方未直接持有。買(mǎi)方作為股東，或?qū)?duì)數(shù)據(jù)合規(guī)問(wèn)題承擔(dān)間接責(zé)任。在資產(chǎn)收購(gòu)中，買(mǎi)方在交割完成后成為數(shù)據(jù)資產(chǎn)的所有權(quán)人。作為數(shù)據(jù)資產(chǎn)的控制者，買(mǎi)方直接對(duì)數(shù)據(jù)資產(chǎn)的合規(guī)風(fēng)險(xiǎn)承擔(dān)責(zé)任。

?

?

?

【案例一】2016年，美國(guó)電信業(yè)巨頭Verizon宣布計(jì)劃收購(gòu)互聯(lián)網(wǎng)門(mén)戶(hù)網(wǎng)站Yahoo，并開(kāi)出48.3億美元的誘人報(bào)價(jià)，業(yè)界對(duì)此樁交易也多持樂(lè)觀態(tài)度。然而，Yahoo在雙方接觸的關(guān)鍵時(shí)刻卻接連爆出數(shù)據(jù)泄露事件。2016年9月，Yahoo被指泄露了至少5億個(gè)賬戶(hù)信息。2016年12月披露的另一起事件更是震驚業(yè)界：Yahoo首席信息安全官Bob Lord承認(rèn)，他們發(fā)現(xiàn)三年前的一次泄露可能波及10億用戶(hù)，被盜的用戶(hù)信息包括姓名，電子郵件地址，電話(huà)號(hào)碼，出生日期等。兩起事件一度讓此次交易的前景蒙塵，還引發(fā)了美國(guó)證券交易委員會(huì)（SEC）的介入。最終，Verizon以44.8億美元的價(jià)格完成了收購(gòu)，數(shù)據(jù)安全事件的發(fā)生導(dǎo)致Yahoo的收購(gòu)價(jià)格重挫了3.5億美元。[1]

?

從這一案例，我們可以看到數(shù)據(jù)合規(guī)對(duì)賣(mài)方具有重要意義。除了在日常經(jīng)營(yíng)中重視數(shù)據(jù)合規(guī)建設(shè)外，聰明的賣(mài)方會(huì)在并購(gòu)工作開(kāi)始前布局，委托外部專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展數(shù)據(jù)合規(guī)盡調(diào)，提前摸清數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)來(lái)源，并及時(shí)采取整改措施封閉或降低風(fēng)險(xiǎn)敞口。這樣的做法可以幫助賣(mài)方提升數(shù)據(jù)資產(chǎn)在內(nèi)的資產(chǎn)估值，在保障交易安全性的同時(shí)，也能幫助爭(zhēng)取更優(yōu)厚的出售條件，或者吸引更優(yōu)質(zhì)的買(mǎi)方。若在并購(gòu)進(jìn)入實(shí)質(zhì)接觸階段發(fā)生數(shù)據(jù)安全 "暴雷"，或者由買(mǎi)方在盡職調(diào)查中發(fā)現(xiàn)數(shù)據(jù)合規(guī)問(wèn)題，就有可能以此為由打壓收購(gòu)價(jià)格、提出更苛刻的條款和條件，或者招致主管政府機(jī)構(gòu)介入，嚴(yán)重的還可能導(dǎo)致交易終止（即便交易完成，也可能將在交易簽署或交割后背負(fù)額外的保證或賠償責(zé)任）。

?

?

數(shù)據(jù)最小必要原則（"數(shù)據(jù)最小化原則"）已在多個(gè)法域的數(shù)據(jù)保護(hù)立法中得以確認(rèn)，成為世界范圍內(nèi)數(shù)據(jù)治理的一個(gè)共識(shí)。例如，GDPR第5（c）條規(guī)定，個(gè)人數(shù)據(jù)的處理應(yīng)限于數(shù)據(jù)處理目的最小必要范圍?！秱€(gè)人信息保護(hù)法》第6條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)采取對(duì)個(gè)人權(quán)益影響最小的方式。因此在并購(gòu)的過(guò)程中，遵守?cái)?shù)據(jù)最小化原則必須得到確保。

?

實(shí)務(wù)中，賣(mài)方需要向買(mǎi)方提供相應(yīng)數(shù)據(jù)資料以推進(jìn)交易。若僅是供買(mǎi)方評(píng)估并購(gòu)方案所用，則賣(mài)方有義務(wù)將原始的用戶(hù)數(shù)據(jù)進(jìn)行脫敏處理，使用匿名化（Anonymisation）或者假名化（Pseudonymisation）的方法，向買(mǎi)方提供符合行業(yè)標(biāo)準(zhǔn)的、不能指向具體自然人的統(tǒng)計(jì)數(shù)據(jù)，而非直接將原始的用戶(hù)數(shù)據(jù)托盤(pán)而出。

?

在特殊的情況下，若必須向買(mǎi)方提供具有可識(shí)別性的個(gè)人信息，則應(yīng)檢查用戶(hù)協(xié)議和隱私條款，核查"并購(gòu)交易使用"是否在用戶(hù)的同意使用范圍內(nèi)，否則就應(yīng)取得用戶(hù)的單獨(dú)同意。在緊張的交易談判階段，重新取得用戶(hù)"并購(gòu)交易使用"的單獨(dú)同意無(wú)疑是比較困難的。因此，在日常經(jīng)營(yíng)活動(dòng)中制定全面的用戶(hù)協(xié)議和隱私條款并就企業(yè)并購(gòu)的有限數(shù)據(jù)披露和交換取得用戶(hù)的充分同意顯得尤為重要。

?

?

DR是一個(gè)物理上的獨(dú)立空間，多設(shè)立于賣(mài)方公司，承擔(dān)著存放重要交易文件供雙方及律師、會(huì)計(jì)師審閱的功能。隨著信息技術(shù)的發(fā)展和新冠疫情的蔓延，為了降低交易成本、提升工作效率，通過(guò)有限制的受控訪(fǎng)問(wèn)網(wǎng)站搭建VDR方式也被越來(lái)越廣泛地采用。確保DR和VDR的數(shù)據(jù)安全，需要對(duì)訪(fǎng)問(wèn)者的權(quán)限進(jìn)行合理的管控，避免在交易過(guò)程中發(fā)生數(shù)據(jù)泄露或數(shù)據(jù)濫用。

?

?

GDPR第6.4條規(guī)定，只有數(shù)據(jù)傳輸目的與數(shù)據(jù)收集時(shí)的處理目的相一致時(shí)，才不需要取得數(shù)據(jù)主體另外的明示同意?！秱€(gè)人信息保護(hù)法》第22條更是明確規(guī)定，個(gè)人信息處理者因合并、分立、解散、被宣告破產(chǎn)等原因需要轉(zhuǎn)移個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱(chēng)或者姓名和聯(lián)系方式。接收方應(yīng)當(dāng)繼續(xù)履行個(gè)人信息處理者的義務(wù)。接收方變更原先的處理目的、處理方式的，應(yīng)當(dāng)依照本法規(guī)定重新取得個(gè)人同意。

?

因此，并購(gòu)?fù)瓿珊螅跇I(yè)務(wù)調(diào)整或者跨部門(mén)的數(shù)據(jù)分享等場(chǎng)景下，若變更數(shù)據(jù)收集時(shí)承諾的用途，則應(yīng)獲得用戶(hù)特別同意后再進(jìn)行數(shù)據(jù)的轉(zhuǎn)移。具體到同意方法上，可以采取選擇加入（opt-in）或者雙重確定（double opt-in）的架構(gòu)確保用戶(hù)同意的有效性。

?

【選擇加入】Opt-in即用戶(hù)采取明確的行為來(lái)表示同意。在個(gè)人信息保護(hù)領(lǐng)域，這種同意包括對(duì)基本隱私政策的同意，有時(shí)也包括訂閱電子郵件和新聞通訊郵件列表、接受 Cookie使用等附屬選項(xiàng)。在并購(gòu)?fù)瓿珊蟮臄?shù)據(jù)轉(zhuǎn)移場(chǎng)景下，需要相關(guān)電子選框處于默認(rèn)不勾選的狀態(tài)，以獲得用戶(hù)的明示同意。

?

【雙重確定】Double opt-in是一種雙層次的同意架構(gòu)。典型的應(yīng)用場(chǎng)景包括：在用戶(hù)提交個(gè)人信息用于注冊(cè)后，發(fā)送一份帶有確認(rèn)鏈接的電子郵件要求用戶(hù)進(jìn)行二次確認(rèn)。這樣的架構(gòu)設(shè)計(jì)可以避免用戶(hù)身份的濫用或者冒用，也有利于為用戶(hù)同意增效。在并購(gòu)?fù)瓿珊蟮臄?shù)據(jù)轉(zhuǎn)移場(chǎng)景下，這樣的架構(gòu)可用于用戶(hù)信息的處理目的變更和信息轉(zhuǎn)移。通過(guò)收集用戶(hù)個(gè)人信息中的聯(lián)系方式（電子郵件、電話(huà)號(hào)碼等），發(fā)送二次確認(rèn)的通知，在收到二次確認(rèn)的鏈接后，再將信息入庫(kù)。

?

?

?

【案例二】2014年，在線(xiàn)旅游網(wǎng)站TripAdvisor以2億美元收購(gòu)旅游預(yù)訂公司Viator。該交易于2014年8月中旬完成交割，大約兩周后，Viator宣布它是用戶(hù)數(shù)據(jù)泄露的受害者，多達(dá)140萬(wàn)客戶(hù)的個(gè)人資料和信用卡信息可能遭到泄露。消息傳出后，TripAdvisor的股票應(yīng)聲下跌5%。[2]

?

從交易的角度，買(mǎi)方應(yīng)當(dāng)建立"有瑕疵的數(shù)字資產(chǎn)與有負(fù)擔(dān)的傳統(tǒng)財(cái)產(chǎn)一樣，都會(huì)對(duì)收購(gòu)乃至收購(gòu)后的業(yè)務(wù)開(kāi)展產(chǎn)生影響"的風(fēng)險(xiǎn)意識(shí)。此外，合格的數(shù)據(jù)盡職調(diào)查也可以幫助買(mǎi)方更加全面、合理地評(píng)估收購(gòu)價(jià)格。在并購(gòu)時(shí)，尤其是收購(gòu)具有龐大數(shù)字資產(chǎn)的互聯(lián)網(wǎng)公司時(shí)，做好數(shù)據(jù)合規(guī)盡調(diào)就顯得尤為重要。

?

?

1、數(shù)據(jù)處理者主體身份

?

（1）一般身份審查。目標(biāo)公司是否擁有數(shù)據(jù)相關(guān)的運(yùn)營(yíng)資質(zhì)；是否與境外實(shí)體存在關(guān)聯(lián)，實(shí)施了數(shù)據(jù)傳輸行為；是否被有關(guān)部門(mén)認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或?yàn)殛P(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供產(chǎn)品或服務(wù)。

?

（2）特殊行業(yè)的專(zhuān)門(mén)審查。目標(biāo)公司是否屬于擁有特別規(guī)范的特殊行業(yè)，并應(yīng)按照該行業(yè)的特別規(guī)范進(jìn)行專(zhuān)門(mén)審查。例如，在健康和生命科學(xué)領(lǐng)域，根據(jù)《人類(lèi)遺傳資源管理?xiàng)l例》第2條的規(guī)定，人類(lèi)遺傳資源信息是指利用人類(lèi)遺傳資源材料產(chǎn)生的數(shù)據(jù)等信息資料，其與人類(lèi)遺傳資源材料一樣都屬于人類(lèi)遺傳資源。而監(jiān)管對(duì)"外方單位"[3]采集、保藏、利用以及對(duì)外提供人類(lèi)遺傳資源信息的行為，都提出了更高的要求。因此，若買(mǎi)方是涉足此類(lèi)業(yè)務(wù)的生物醫(yī)藥企業(yè)，就有必要結(jié)合行業(yè)法規(guī)和監(jiān)管邏輯，判斷其是否屬于"外方單位"，從而更好地確定合規(guī)工作的需求與要點(diǎn)。

?

2、數(shù)據(jù)處理行為和數(shù)字產(chǎn)品或服務(wù)

?

（1）數(shù)據(jù)處理全流程合規(guī)審查。根據(jù)GDPR和《個(gè)人信息保護(hù)法》的規(guī)定，數(shù)據(jù)的處理涵蓋數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除等諸流程，對(duì)于這些覆蓋數(shù)據(jù)生命全周期的流程要逐步排查風(fēng)險(xiǎn)源。

?

（2）數(shù)字產(chǎn)品或服務(wù)的合規(guī)審查。目標(biāo)公司自用或者對(duì)外提供的互聯(lián)網(wǎng)產(chǎn)品（包括開(kāi)發(fā)者、運(yùn)營(yíng)商、維護(hù)商、服務(wù)器位置等）；網(wǎng)絡(luò)平臺(tái)（包括APP、網(wǎng)站、社交媒體，嵌入式程序等）的安全狀況和合規(guī)情況。

?

（3）安全技術(shù)的審查。目標(biāo)公司對(duì)數(shù)據(jù)的技術(shù)分類(lèi)、備份情況是否合規(guī)；是否采取了恰當(dāng)?shù)母綦x、加密、脫敏、分類(lèi)和訪(fǎng)問(wèn)限制措施；SDK、API接口的使用情況是否合規(guī)。

?

3、數(shù)據(jù)安全履歷

?

（1）目標(biāo)公司是否有受到任何與網(wǎng)絡(luò)安全或數(shù)據(jù)隱私相關(guān)的重大調(diào)查、詢(xún)問(wèn)或制裁，是否受到網(wǎng)信辦、中國(guó)證監(jiān)會(huì)或任何其他相關(guān)政府機(jī)構(gòu)的網(wǎng)絡(luò)安全審查，或者其他因不遵從網(wǎng)絡(luò)安全或數(shù)據(jù)隱私法律法規(guī)而受到任何重大罰款或其他重大處罰，受到過(guò)民事起訴、行政執(zhí)法調(diào)查或處罰、刑事調(diào)查或起訴等情況。

?

（2）若目標(biāo)公司未受到問(wèn)詢(xún)、處罰或者訴訟，但有不曾公開(kāi)的受到攻擊事件或者泄露事件，也應(yīng)該要求賣(mài)方公司說(shuō)明情況或者自行開(kāi)展調(diào)查。

?

4、數(shù)據(jù)保護(hù)合規(guī)制度建設(shè)

?

（1）目標(biāo)公司數(shù)據(jù)合規(guī)專(zhuān)門(mén)制度的建設(shè)情況。目標(biāo)公司是否已建立數(shù)據(jù)安全防范機(jī)制、數(shù)據(jù)安全事故的響應(yīng)機(jī)制、個(gè)人信息安全或者關(guān)鍵信息基礎(chǔ)設(shè)施的評(píng)估制度，是否組建網(wǎng)絡(luò)安全和數(shù)據(jù)安全的專(zhuān)業(yè)部門(mén)，建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度；是否定期進(jìn)行網(wǎng)絡(luò)安全審計(jì)，是否有受理并處理用戶(hù)投訴和舉報(bào)的機(jī)制等。

?

（2）目標(biāo)公司日常經(jīng)營(yíng)制度中的合規(guī)工作。目標(biāo)公司向員工提供網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)培訓(xùn)的情況；是否在勞動(dòng)或者勞務(wù)合同中加入數(shù)據(jù)安全的相關(guān)條款；是否為業(yè)務(wù)系統(tǒng)部署網(wǎng)絡(luò)安防系統(tǒng)、定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練等。

?

5、相關(guān)協(xié)議審查

?

（1）要求目標(biāo)公司提供最新的用戶(hù)協(xié)議、使用條款、隱私協(xié)議，檢查其現(xiàn)有的隱私政策和數(shù)字安全政策能否覆蓋法規(guī)要求。

?

（2）用戶(hù)對(duì)協(xié)議同意的審查。目標(biāo)公司是否獲得數(shù)據(jù)相關(guān)授權(quán)/同意；同意的方式是否符合法規(guī)要求；對(duì)于法律規(guī)定的特殊事項(xiàng)是否取得單獨(dú)授權(quán)。

?

6、數(shù)據(jù)跨境傳輸審查

?

數(shù)據(jù)的跨境傳輸，是目前數(shù)據(jù)合規(guī)中立法較為集中的領(lǐng)域。雖然仍然處于法規(guī)的建設(shè)期和制度的探索期，但隨著法規(guī)和配套制度的逐步完善，可以預(yù)計(jì)在未來(lái)幾年內(nèi)將進(jìn)入強(qiáng)監(jiān)管時(shí)代。因此，還需要重點(diǎn)關(guān)注目標(biāo)公司是否涉及將個(gè)人信息和重要數(shù)據(jù)提供至境外，如涉及，是否已通過(guò)數(shù)據(jù)出境安全評(píng)估；是否取得相關(guān)的特別授權(quán)/同意；數(shù)據(jù)處理是否符合境外法規(guī)等。

?

?

【案例三】2019年，有業(yè)內(nèi)消息傳出，某網(wǎng)絡(luò)巨頭欲將一家可穿戴設(shè)備公司收入囊中。標(biāo)的公司生產(chǎn)的健身追蹤設(shè)備可以收集用戶(hù)步數(shù)和行程，以及心率、血壓、血氧飽和度等涉及健康狀況的敏感個(gè)人信息。這一事實(shí)在全世界范圍內(nèi)引發(fā)了廣泛擔(dān)憂(yōu)，導(dǎo)致本次交易一波三折：

?

【美國(guó)】出于對(duì)消費(fèi)者個(gè)人數(shù)據(jù)保護(hù)的擔(dān)憂(yōu)，消費(fèi)者權(quán)益保護(hù)組織 "公共公民"（Public Citizen）和"數(shù)字民主中心"（Center For Digital Democracy）先后呼吁反壟斷執(zhí)法機(jī)構(gòu)介入叫停交易。與此同時(shí)，電子隱私信息中心（EPIC）于2019年11月12日發(fā)布了一份聲明，要求聯(lián)邦貿(mào)易委員會(huì)（FTC）在審查公司合并時(shí)考慮數(shù)據(jù)保護(hù)。[4]隨后，《紐約時(shí)報(bào)》等媒體報(bào)道美國(guó)司法部將對(duì)這項(xiàng)并購(gòu)交易進(jìn)行審查。聯(lián)邦貿(mào)易委員會(huì)表示關(guān)注到了這一情勢(shì)，也將跟進(jìn)調(diào)查。[5]2020年7月，在買(mǎi)方公司官宣交易后，明尼蘇達(dá)州參議員艾米·克洛布查爾（Amy Klobuchar）與其他五名參議員再次致函司法部長(zhǎng)威廉·P·巴爾（William P. Barr），對(duì)買(mǎi)方公司通過(guò)收購(gòu)獲取標(biāo)的公司用戶(hù)數(shù)據(jù)表達(dá)擔(dān)憂(yōu)，并敦促對(duì)該收購(gòu)進(jìn)行全面審查。[6]

?

【歐洲】2020年6月，買(mǎi)方正式官宣收購(gòu)，并向歐盟委員會(huì)進(jìn)行了經(jīng)營(yíng)者集中申報(bào)。歐盟委員會(huì)于2020年8月4日宣布對(duì)該收購(gòu)交易展開(kāi)深入調(diào)查。[7]在歐洲監(jiān)管機(jī)構(gòu)的施壓下，買(mǎi)方做出一系列重大讓步以保障收購(gòu)的完成，包括承諾不將可穿戴設(shè)備從歐洲經(jīng)濟(jì)區(qū)（EEA）用戶(hù)處獲取的健康數(shù)據(jù)用于廣告用途，并對(duì)相關(guān)用戶(hù)數(shù)據(jù)進(jìn)行技術(shù)隔離。這些承諾的期限為十年，而且歐盟委員會(huì)有權(quán)在期滿(mǎn)后再延期十年。在獲得一系列承諾后，歐盟委員會(huì)于2020年12月最終附條件批準(zhǔn)了這筆交易。[8]

?

【澳大利亞】澳大利亞競(jìng)爭(zhēng)和消費(fèi)者委員會(huì)（ACCC）于2020年6月發(fā)布了一份問(wèn)題聲明，概述了對(duì)該收購(gòu)案的關(guān)切。[9]雖然買(mǎi)方對(duì)ACCC給予了與歐盟類(lèi)似的保護(hù)承諾，但ACCC于2020年12月22日宣布，不接受買(mǎi)方在此次收購(gòu)案中提供的長(zhǎng)期行為承諾，[10]導(dǎo)致這筆交易在澳洲受到了一定阻力，影響了買(mǎi)方在數(shù)字健康領(lǐng)域的全球布局。

?

從這一系列交易案例中，我們可以看到跨國(guó)經(jīng)營(yíng)主體在各國(guó)主管部門(mén)數(shù)字主權(quán)意識(shí)覺(jué)醒下發(fā)起并購(gòu)交易所要面臨的多法域監(jiān)管挑戰(zhàn)。在這種環(huán)境下，跨國(guó)經(jīng)營(yíng)主體應(yīng)根據(jù)不同經(jīng)營(yíng)所在地的數(shù)據(jù)保護(hù)法律制定不同的交易與合規(guī)策略。同時(shí)，保持與當(dāng)?shù)財(cái)?shù)據(jù)保護(hù)主管部門(mén)的良性互動(dòng)和有效溝通，幫助其并購(gòu)交易和商業(yè)目標(biāo)的順利達(dá)成。

?

值得注意的是，對(duì)于并購(gòu)中數(shù)據(jù)安全與隱私保護(hù)的關(guān)切，已不限于發(fā)達(dá)國(guó)家或者先進(jìn)司法管轄區(qū)主管部門(mén)，越南、菲律賓、馬來(lái)西亞等發(fā)展中國(guó)家都已采取相關(guān)立法措施確立數(shù)據(jù)領(lǐng)域的安全保護(hù)規(guī)范。這可能對(duì)意在"走出去"，或在"一帶一路"沿線(xiàn)開(kāi)展并購(gòu)業(yè)務(wù)的中國(guó)買(mǎi)方公司是一個(gè)有用的提示。

?

?

并購(gòu)中的數(shù)據(jù)合規(guī)是交易雙方合作實(shí)現(xiàn)共贏規(guī)避風(fēng)險(xiǎn)的重要一環(huán)。對(duì)于賣(mài)方而言，需要通過(guò)高標(biāo)準(zhǔn)的數(shù)據(jù)合規(guī)建設(shè)，爭(zhēng)取交易中的主動(dòng)；對(duì)于買(mǎi)方而言，需要通過(guò)全面深入的數(shù)據(jù)合規(guī)盡職調(diào)查排除隱患，確保并購(gòu)交易的安全。在當(dāng)下的并購(gòu)交易中，無(wú)論是互聯(lián)網(wǎng)等新興行業(yè)還是涉及數(shù)字資產(chǎn)正在轉(zhuǎn)型中的傳統(tǒng)行業(yè)，都需要對(duì)數(shù)據(jù)合規(guī)給予足夠的重視，才能更好地保障交易雙方的權(quán)利，推動(dòng)交易順利達(dá)成的同時(shí)，通過(guò)數(shù)據(jù)這一重要的維度提升交易的價(jià)值。

?