投资并购交易中的数据保护尽职调查

　　在数据经济时代，伴随着大数据、云计算、人工智能等技术的蓬勃发展，数据已经日益成为推动传统行业与新兴行业快速发展的新型资源。对数据资源的深度挖掘与广泛应用正在深刻地改变着为数众多的商业模式和数以亿计的普通人的生活。随着技术与应用的发展，数据所蕴含的巨大商业价值被市场逐渐认可，越来越多的企业将数据视为自己最核心的资产之一，从投资并购交易的角度，如果目标公司拥有的数据资产可以增加买方的竞争优势，带来更多的收入来源，这类数据资产将成为并购交易时的核心目标资产之一，买方将愿意为此支付溢价。

　　企业拥有的数据可能拥有多种价值与用途，但同时也因为企业不同的收集、使用、甚至投后共享行为而可能为买方带来不同程度的风险。在这类“数据驱动型”的投资并购交易中交易双方必须考虑数据保护的法律问题，开展数据保护的尽职调查，并在交易文件中对和数据相关的法律风险进行预先的约定和处理。在《网络安全法》出台后，我国网络安全与个人信息保护相关的配套法规及指南不断推陈出新，执法活动日趋严格。我们将利用本文的篇幅，重点探讨投资并购交易中数据保护尽职调查的法律问题，以期协助投资并购的交易各方在投前阶段便能未雨绸缪，顺利开展交易并实现其商业预期。

一、投资并购交易中数据保护尽职调查的适用范围

　　我们建议在对以下行业的目标公司进行投资并购时需要开展数据保护的尽职调查：

　　以大数据分析和人工智能为驱动的高科技公司

　　对大数据分析行业、基于人脸信息和声音训练算法和模型的人工智能行业、自动驾驶行业等而言，数据是其开展业务不可或缺的基础和核心资产。如果此类行业的公司的数据来源存在法律瑕疵，基于该等具有法律瑕疵的数据产生的衍生数据、在此基础上训练产生的算法、设计的业务模式等也均会受到不同程度的影响。

　　收集和处理大量个人信息的行业

　　对电子商务、零售、旅游、快递、酒店、航空、教育、医疗(如智能健康电子产品及可穿戴健康设备、健康医疗移动应用等)、网约车等通过APP提供其服务的TMT行业的企业而言，其在运营过程中会收集处理大量的个人信息，相应的个人信息的合规风险也会相对较高，因此在投资并购这类行业的公司时应重点关注个人信息的合规风险及对公司价值的影响。如果投资的目的之一是投后的数据对接和融合，核实个人信息来源的合法性，了解个人信息使用的目的限制，从而在交易文件中就为完成投后的数据对接和融合在双方之间进行义务和责任的分配、承诺的约定对完成这类交易而言更是必不可少的环节。

　　涉及关键信息基础设施的企业

　　根据《网络安全法》，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施。如果目标公司是关键信息基础设施的运营者，其在《网络安全法》等相关法律项下面临额外的法律监管要求，比如其在中国境内运营中收集和产生的个人信息和重要数据需要在境内存储，如果确需向境外提供的，需要按照国家网信等部门制定的办法进行安全评估。这对于涉及投后数据共享的具有境外背景的投资者而言是必须考虑的一个问题。而且，除此之外，关键信息基础设施的运营者一旦遭受数据泄露事件，造成的影响、法律后果以及补救的成本都会比一般的网络运营者高很多。因此，如果拟投资并购的目标公司涉及运营关键信息基础设施，网络安全和数据保护的尽调及相关法律风险的防范是必不可少的。

　　出现过数据保护的不利新闻、调查或执法行动的企业

　　如果目标公司出现过上述事项，投资者需要关注目标公司的数据合规情况，并谨慎评估该类事项对目标公司估值的重大影响。以2017年美国电信巨头Verizon收购雅虎一案为例，这笔交易的完成时间因为雅虎在交易对外宣布之后承认的两次大规模数据泄露事件而延期，最终Verizon将总对价减少了3.5亿美元来完成该交易。根据公开消息，为应对针对数据泄露安全事故的集体诉讼，雅虎在调查取证、补救活动和法律费用上花费了1600万美元，2018年4月美国证券交易委员会就数据泄露事件对雅虎处以3500万美元的罚款，2019年4月雅虎达成了赔偿1.175亿美元的集体诉讼和解协议。这一系列的费用会对买方带来巨额的损失，如果投资者在交易过程中没有重视数据合规的法律风险，在交易文件中对数据泄露事件所带来的风险没有进行约定和防范，该等数据安全事件带来的投资损失可能只能由投资者自己承担了。

二、如何进行数据保护尽职调查

　　数据保护尽职调查的流程

　　就数据保护尽职调查的流程而言，和一般的尽职调查没有太大不同，基本包括准备阶段、文件审查阶段、访谈和沟通、尽职调查报告的撰写及协助目标公司整改(如需要)五个步骤。和其他的尽职调查相比，数据尽调中的访谈和沟通是非常重要的一个环节，因为数据尽调的问题技术性比较强，没有专业背景的人士理解消化相关问题并做出准确的回复不是一件容易的事情，需要通过访谈对问题进行一定的解释。此外，由于数据资产的流动性，数据的收集、存储、使用往往涉及目标公司内部法律、IT、研发、运营、产品、营销等多个部门，需要结合目标公司产品和运营的实际情况和涉及处理数据的各个业务部门进行访谈才能对公司数据收集和处理的现状有一个较为清晰的了解。

　　数据保护尽职调查的范围

　　不同的交易根据买方的交易目的及交易架构的选择，尽调的范围可能会有较大不同。但无论是资产并购还是股权并购，从数据保护的角度，买方和投资人都需要特别关注数据的收集与使用阶段的法律合规问题。

　　了解数据收集及使用概况

　　作为开展数据保护尽职调查的第一步，买方需要通过目标公司对尽调问卷的反馈初步了解以下基本情况：(1)目标公司所处行业是否涉及关键信息基础设施、是否收集重要数据或个人信息、是否属于受到特别监管的行业、是否在中国以外的境外地区开展业务;(2)通过其产品和服务或为其产品或服务收集的主要数据类型、来源及合法依据;(3)数据存储地、存储时是否有采用技术保护措施、存储时限、对个人信息访问的控制措施;(4)运营过程中使用数据的目的及方式;(5)数据与业务发展的关系;(6)有无集团内部或外部数据转移或共享的情况;(7)有无委托其他公司收集和处理数据的情况、有无受其他公司委托收集和处理数据的情况;(8)是否涉及数据的跨境传输;(9)有无因数据合规问题受到政府部门的调查或处罚、有无发生过数据泄露事件、有无因数据问题被起诉;(10)有无网络安全与数据保护负责人和工作机构、是否落实数据保护制度、隐私政策等。

　　审阅与数据收集及使用有关的文件

　　买方需要审阅目标公司数据收集、使用及合规的相关文件及政策，包括但不限于信息安全等级保护备案证明、隐私政策、用户协议、保密协议、数据共享协议、内部数据管理制度(授权访问制度、网络安全和个人信息安全事件应急预案等)、云服务协议(如有)、数据委托处理协议、数据跨境传输协议等。问卷的反馈和访谈的结果需要结合具体的文件、协议和政策进行核实和分析。

　　确定关键数据合规问题

　　在数据收集阶段的常见问题包括：(1)数据来源不合规、存在采用非法手段获取或爬取数据或超越授权范围收集数据的情况;(2)对直接收集的个人信息未合法取得个人信息主体的同意;(3)收集的个人信息不符合最小必要原则;(4)隐私政策和用户协议不完善或不符合法律和国家标准的要求;(5)对从第三方间接获取的数据来源合法性未做核实等。

　　在数据使用阶段的常见问题包括：(1)超越授权范围和期限使用数据;(2)未区分个人敏感信息以加强保护;(3)内部人员数据访问及使用权限设置不合理、内部数据安全管理制度不健全或未完全落实，可能导致数据被泄露或被篡改;(4)保存或使用个人信息时未做去标识化处理;(5)未确认受委托数据处理的第三方是否具有足够的数据安全保护能力;(6)将应在本地存储的数据在境外存储;(7)没有制度和相应的人员保障数据安全及数据主体的删除权、更正权等权利;(8)未与共享个人信息的内部关联公司或外部第三方签署保密协议，要求其按照隐私政策中的内容保护个人信息，或未能以其他方式进行监督。

三、数据合规问题的买方保护措施

　　有别于为企业搭建和完善合规体系而开展的数据保护合规审查、差距分析和整改项目，投资并购项目中的数据保护尽职调查通常需要在相对较短的时间内确定对并购交易可能产生实质影响的关键数据法律问题，并从保护买方利益的角度提出可在交易前后解决数据合规问题或降低相关风险的解决方案。为此目的，可以在交易文件中从下述角度对这些风险做出处理：

　　(1) 要求卖方在交易文件中对目标公司的网络安全和数据保护方面的问题作出全面的陈述和保证。取决于违反的严重程度及发现的时间，买方有权不交割或对违反该等陈述和保证造成的买方损失要求卖方承担赔偿责任，甚至按照约定的价格退出。为了避免承担赔偿责任，卖方也会更有动力对潜在的网络安全和数据保护的法律问题进行披露;

　　(2) 考虑将尽调过程中发现的对某些重大合规问题的补救作为交易交割的前提条件。例如完成等保的评估和备案，与数据共享者和处理者签订书面协议，要求其按照目标公司的要求和隐私政策的规定来处理个人信息;

　　(3) 对在尽调过程中发现的潜在合规问题和法律风险用明确的特定补偿条款要求卖方承担责任。根据现有案例来看，系统漏洞和数据合规的问题可能要交割后很长一段时间才会被发现，买方应尽可能地要求按照法定诉讼时效来限定提出赔偿请求的时间限制;

　　(4) 暂扣部分交易对价，满足一定期限或条件后方能释放给卖方。在交割后的一定时间内如发生网络安全和数据合规问题导致买方遭受损失，买方有权从暂扣的交易对价中直接获得赔偿;

　　(5) 调整交易价格或按照事先约定的价格退出。如果卖方根本性地违反陈述保证和承诺，例如发生数据造假的事件，按事先约定的价格经由创始人或老股东回购退出。如果愿意继续成为其股东但公司估值减损，按照重新调整的估值，按照原先投资比例从创始人或原股东处无偿获得额外的股份。

四、结语

　　越来越多因为数据合规的问题导致交易失败或是标的价值下降的事件为我们敲响警钟，数据保护尽职调查既有助于买方识别并客观评估交易风险、科学决策交易架构和交易价格，也有助于买方尽早准备针对目标公司所需的合规整改，在交易全流程中都具有重要意义。由于数据与传统的资产形态在获取、使用、收益和处分等方面存在的根本性差异，需要企业在交易中格外的关注，寻求专业顾问的建议与指导。考虑到数据的商业价值及数据收集、使用方面的法律问题可能给买方带来的巨大法律和声誉风险，数据保护尽职调查应成为数据驱动型交易中不可或缺的环节。

图片来源：123RF

声明：本文为资本邦转载文章，如有版权问题请联系bd@chinaipo.com。

风险提示：资本邦呈现的所有信息仅作为投资参考，不构成投资建议，一切投资操作信息不能作为投资依据。投资有风险，入市需谨慎!