网上投稿
引言
近些年来,随着大数据、人工智能、云计算和区块链等数字技术的不断演进和创新,企业逐渐开始进行数字化转型。一方面,通过数字化手段,企业能够实现贸易成本的显著降低,业务效率的大幅提升,以及商业主体的多元化。另一方面,数据已经成为贸易中的一项重要资源和交易对象,业务出海、数据出境以及数据回流等刚性需求不断增长,数据资产占企业总资产的比重越来越大,全球范围内的数据跨境流动已经成为驱动经济运行的关键性因素。与此同时,数据的跨境流动也引发了全球范围内的监管和治理问题,全球主要国家和地区均在积极建立、健全和强化数据跨境流动的治理和监管,企业面临越来越严格的数据合规和数据跨境流动要求,数据泄露、隐私侵犯以及知识产权纠纷等数据风险均可能对企业造成重大损失。
密切关注国内外的数据跨境规则,协助企业识别、控制和消除数据合规风险,是开展投资并购尽调的重要内容。本文将以投资并购交易为背景,简要说明不同国家和地区的数据跨境流动规则,梳理我国目前关于数据安全和数据跨境流动的监管体系,重点介绍开展数据跨境流动合规尽调的关注要点及应对策略,为企业建立完善的数据合规治理体系提供参考思路。
一、 不同国家和地区关于数据跨境流动的监管规则
根据国际组织、其他国家对跨境数据流动的管理制度,以及我国国家网信办颁布的《数据出境安全评估申报指南(第一版)》,数据出境行为包含数据处理者向境外提供数据、境外主体从境外访问数据和其他出境行为。不同国家和地区对于数据跨境流动的监管态度和监管体系不尽相同,充分了解不同国家和地区的数据跨境流动规则,是开展跨境交易尽调的重要前提。
(一)欧盟
在欧盟内部,个人数据可以自由流动,但原则上不得向欧盟以外的第三国或者其他国际组织传输,除非通过“充分性认定”、“适当保障措施”或“例外豁免情形”三种合规路径之一进行。充分性认定只能适用于“白名单”上的特定国家或地区,如数据保护水平与欧盟相当,被欧委会被列入“白名单”,个人数据即可自由地从欧盟传输至该国家或地区。如果需将欧盟数据传输至“白名单”以外的国家或地区,可对传输行为提供适当的保障措施,主要包括制定约束性企业规则(Binding Corporate Rules, “BCRs”)、签订标准合同条款(Standard Contractual Clauses, “SCCs”)、遵循经批准的行为准则(Approved Codes of Conduct, “CoC”)或者基于经批准的认证机制(Approved Certification)进行传输等。在充分性认定和适当保障措施均无法适用的情况下,数据传出方可判断数据跨境传输是否属于特定情形下的豁免,如数据主体明确同意、为履行与数据主体的合同需要、为实现公共利益需要等等。
(二)美国
美国互联网企业在全球市场中占据主导地位,具有明显的竞争优势。因此美国在国际层面积极倡导数据跨境自由流动,反对对数据跨境施加不必要的限制,通过签署更加开放自由的贸易协定拓展国际市场。在国内层面,为遏制竞争对手并维护技术霸权,美国以国家安全为由,严格限制数据跨境,如严格限制新型技术和数据的出口、对涉敏感个人数据交易进行外国投资安全审查、禁止科技公司向任何特别关注国家进行直接或间接的数据传输等。
(三)日本
在国际层面,日本积极参与多双边数据跨境协定,探索建立可信赖且自由的数据流动机制。在国内层面,日本现行数据跨境政策具有灵活性,办理个人信息出境以事先取得个人信息主体的同意为原则,以不需要取得同意为例外。例外情形主要包括向白名单国家出境个人信息,以及向已经建立了符合日本法保护标准的个人信息保护机制的接收方出境个人信息。
(四)新加坡
在国际层面,新加坡寻求数据自由流动与高水平数据保护的平衡。在国内层面,新加坡关于数据跨境的规定主要集中于《个人数据保护法》(Personal Data Protection Act,“PDPA”)和《个人数据保护条例》(Personal Data Protection Regulations,“PDPR”)。PDPA要求数据传输方确保数据接收方对传输的个人数据提供至少与PDPA同等的保护,否则不得进行数据的跨境传输。
二、 我国数据安全及跨境流动监管体系
(一)国际层面
迄今为止,在我国参与的自由贸易协定中,内容最丰富的数字贸易规则为2020年11月15日签署的《区域全面经济伙伴关系协定》(Regional Comprehensive Economic Partnership, “RCEP”),RCEP的签署标志着我国在个人信息保护、数据跨境流动、计算设施位置等重要问题上与各缔约国达成了共识。基于各缔约国数字贸易发展程度的差异,RCEP在数据跨境流动规则上采取开放性制度设计,兼顾各国利益冲突的协调。原则上禁止缔约国对数据跨境流动进行限制,但设置了“公共政策目标”和“基本安全利益”的例外条款。目前RCEP并未明确“公共政策目标”和“基本安全利益”的适用标准和解释口径,实践中缔约国是否能够援引该条款限制数据跨境流动,存在一定的不确定性。
(二)国内层面
我国目前已初步形成了以《网络安全法》《数据安全法》《个人信息保护法》为核心,《关键信息基础设施安全保护条例》《数据出境安全评估办法》等为补充和重点领域专门规范的规则体系,确立了数据“本地储存+出境评估”的监管模式,为网络安全、数据安全、个人信息安全和大数据环境下的数据流动提供保障。针对数据跨境流动涉及的不同主体和不同数据类型,制定不同的规制措施。
1. 关键信息基础设施运营者(Critical Information Infrastructures Operators,“CIIO”)
《网络安全法》第三十七条规定,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定”。关于CIIO如何认定,截至目前,有关部门暂未公布行业内CIIO的认定规则或清单。《网络安全法》第三十一条明确了关键信息基础设施(Critical Information Infrastructures, “CII”)的要素,即关乎国家安全、国计民生、公共利益等重要因素,但并未明确CIIO的范围和认定方式。因此,实践中企业可参考《网络安全法》和《关键信息基础设施安全保护条例》中规定的CII认定要素,衡量判断自身是否构成CIIO:一是网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;二是网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;三是对其他行业和领域的关联性影响。
2. 重要数据
根据《数据安全法》第三十一条,结合《网络安全法》《数据出境安全评估办法》等规定,数据处理者向境外提供重要数据以及CIIO在我国境内运营中收集和产生的重要数据,应按规定申报出境安全评估。基于此,我国建立了对特定行业进行差异化管理的数据跨境流动规则体系,在汽车、金融、医疗等行业分别对特定数据的跨境传输提出了不同要求。如目标公司所属行业暂未颁布重要数据的识别标准,可参考《数据出境安全评估办法》第十九条和全国信息安全标准化技术委员会发布的《信息安全技术 重要数据识别指南》(征求意见稿)等识别重要数据。
3. 个人信息
2021年8月公布的《个人信息保护法》第三章专章规定了个人信息跨境提供的规则。该法第三十八条至第四十条确立了不同个人信息处理主体的分类监管模式,即区分普通的个人信息处理者、CIIO和处理个人信息达到一定数量的个人信息运营者。对于普通的个人信息处理者,应当具备安全评估/专业机构认证/标准合同条件之一。对于CIIO和处理个人信息达到一定数量的个人信息运营者,均应当遵循“本地储存+出境评估”的要求。
三、 投资并购中数据跨境的尽调关注要点及应对策略
(一)投资并购中开展数据合规尽调的重要性
在跨国投资并购中,数据跨境传输是不可避免的环节,实践中目标公司和收购方因数据风险遭受处罚和经济损失的情形频频发生,如某知名酒店在对目标公司进行尽职调查的过程中并未发现目标公司已经存在的系统漏洞,导致其在收购完成后因目标公司的信息泄露事件受到数亿元的罚款。
从收购方角度看,在尽职调查阶段识别和发现潜在的网络安全和数据合规风险,将有助于收购方对目标公司的股权或者资产价值作出准确的估值,进而调整收购价格和并购交易的结构。目标公司的主营业务与数据的关联性越强,或者目标公司的数据资产占总资产的比重越大,目标公司股权或资产的价值受到数据合规问题的影响就越大。如果数据资产的风险敞口过大,可以选择提前剥离此部分数据资产,或者及时调整交易安排,提出更加严苛的收购条件,压低收购价格,甚至终止交易。
从目标公司角度看,在并购开始前委托专业的外部机构开展数据合规尽职调查,有利于提前发现数据合规风险,及时采取整改措施降低或者封闭风险敞口,提升股权或资产估值,争取到更加优厚的出售条件。避免在并购进入实质性接触阶段发生数据安全“暴雷”,使得目标公司处于不利地位。同时在后续的经营过程中,也可以规避可能由数据合规问题引发的一系列连锁反应,如因数据泄露面临的民事赔偿、行政处罚、刑事责任或者影响目标公司上市进程等。
(二)投资并购中开展数据合规尽调的关注要点
数据合规尽职调查除公开方式核查、文件审阅和人员访谈等常规方法外还涉及技术调查,如开展“网络平台穿行测试”等特别手段。除常规法律尽职调查所关注的内容外,进行数据合规尽调主要关注以下三个方面的内容:(1)数据处理全生命周期的合法合规性;(2)数据安全和网络安全的内控制度;(3)网络和数据安全事件、事故和漏洞及合规问题引发的争议、行政处罚、诉讼等。
1. 目标公司的基本情况
了解目标公司的业务模式,核查公司运营过程中可能涉及数据安全、数据跨境流动的环节,是进行数据合规尽职调查的前提条件。
1.1 目标公司业务模式和主营业务:判断所属行业,识别业务中的数据跨境场景和数据处理者角色,确定目标公司是否可能构成CIIO或处理个人信息达到一定数量的运营者,并进一步确定该行业是否涉及特殊数据监管规则,是否具有特殊的数据出境要求。
以汽车行业为例,《汽车数据安全管理若干规定》对汽车数据进行了列举。《信息安全技术 网络预约汽车服务数据安全要求》要求,网约车服务提供者的数据出境应对出境行为进行监测,如对租用的网络链路进行出境流量分析、对服务APP与境外网络通信行为进行检测分析等,以及根据发展运营情况,每年应自行或委托第三方机构至少进行一次数据出境风险评估等。
1.2 目标公司内部系统的使用情况:内部系统的运维主体,服务器所在地,设立目的和功能,使用人及访问人等。
1.3 目标公司相关平台网站(包括APP、小程序、公众号、网站等):平台网站的设立目的和功能,数据收集的目的、范围、使用等,隐私政策和用户协议等。
2. 数据处理全生命周期的合法合规性
2.1 数据的收集
核查数据的类型、来源、数量、敏感程度、方式等,是否属于个人信息、敏感个人信息、未成年人个人信息、重要数据或核心数据,是否为从第三方处获取的数据。
2.1.1 对目标公司直接收集的数据,需核查数据获取方式的合法性和正当性。如是否涉及用爬虫技术获取相关数据、是否取得个人信息主体的同意或授权、是否超出必要限度收集与提供的服务/产品无关的个人信息等。
2.1.2 对目标公司从第三方处获取的数据,需核查第三方获取及转让数据的合法合规性。如目标公司的数据采购、第三方的数据来源、获取和使用方式是否合规等。
2.1.3 如果目标公司涉及个人信息的收集,需重点核查是否遵循“同意、合理、最小化”三原则,如目标公司是否明确告知、是否已经取得个人的明确同意、是否在个人授权的范围内收集、是否限于实现处理目的之最小范围收集、是否提供撤回同意的渠道、是否向个人提供查询/更正/补充/删除个人信息的渠道、是否告知个人信息的保存期限等。
2.2 数据的存储
2.2.1 目标公司存储数据的方式(自行存储/委托第三方存储)、存储数据的位置(境内存储/境外存储)、存储期限届满后的处理方式、收集到的数据能否境外存储。
2.2.2 目标公司是否对数据进行了分类分级,是否备份,是否对特殊数据采取了充分的安全保护措施。对重要数据和个人信息是否脱密或加密处理,是否设置了数据隔离、访问限制和权限管理。
2.2.3 是否取得数据主体的同意,存储是否超过必要限度。
2.3 数据的使用、加工、传输、提供、公开
2.3.1 数据的使用方式、使用范围:是否符合数据主体的授权范围。
2.3.2 数据的出境:是否因业务需要等正当理由向境外第三方提供、共享或委托处理数据。如存在相关情形,应当关注以下内容。
(1) 拟出境数据的情况:属于何种数据类型(重要数据/核心数据、个人信息及敏感信息),数据出境的规模和范围,评估数据是否达到需申报安全评估的数量要求;目标公司内部是否已就数据出境等行为进行了审批,是否已经过监管机关备案或授权、是否满足所涉行业的特殊监管规则;是否对境外主体访问境内数据设有隔离、限制和权限管理等措施。涉及个人信息的,是否已向个人告知接收方的名称或姓名、联系方式、处理目的、处理方式和个人信息的种类,是否已征得个人的单独同意。
(2) 境外接收方的情况:境外接收方所在的国家或地区相关数据安全保护规定和网络安全环境;境外接收方的数据安全责任人和数据安全保护责任义务内容,其履行责任义务的管理、技术措施和能力等能否保障数据跨境的安全,以充分评估其数据安全的保护水平是否符合我国相关法律规定和强制性标准;境外接收方是否具备数据跨境传输和处理的相关经验,是否曾发生数据安全和网络安全相关事件,以及其是否进行了及时有效的处置、是否曾收到所在国家或地区要求其提供数据的请求及其应对情况。
需注意,未经我国主管机关批准,企业不得向外国司法或执法机构提供存储于我国境内的数据,向外国司法或执法机构传输数据,并不属于数据安全义务豁免的情形。
(3) 数据出境涉及的相关法律文件:是否签署数据跨境转移协议、告知书等,通过核查相关法律文件的条款,判断数据出境的目的、范围、方式等的合法性、正当性、必要性。如数据境外保存地点、期限;达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施;境外接收方将出境数据再转移给其他组织、个人的约束性要求。
(4) 数据出境应当履行的必要程序:符合法律规定的重要数据或个人信息出境是否履行了自评估(数据出境风险自评估、个人信息保护影响评估)、安全评估申报等程序;目标公司及境外接收方是否留存了相应的日志记录。
(5) 数据出境中和出境后到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等。
3. 数据安全和网络安全的内控制度
核查目标公司是否建立了网络和数据安全管理制度、个人信息安全和保护制度、合作方管理制度,是否配备了相关组织人员,是否对可能发生的数据安全事件设置了应急预案和应对措施等。
4. 网络和数据安全事件、事故和漏洞及合规问题引发的争议、行政处罚、诉讼等
关注目标公司历史上发生的数据安全和网络安全问题,是否曾因违反《数据安全法》等遭受调查、行政处罚、诉讼、仲裁等,是否及时采取了相应整改措施,进一步分析相关事件可能引发的法律风险和经济损失。关注目标公司目前是否仍存在导致同类争议、行政处罚、诉讼、仲裁等事件发生的情况。
此外,在进行数据跨境合规尽职调查时,目标公司向律师提供的材料文件等的传输,也可能涉及数据的跨境流动问题,交易各方可通过签署数据分享协议,确保相关数据的安全性和保密性,明确提供该等数据的目的、范围和处理方式等,并约定在交易的相应阶段有关方按照目标公司要求及时删除、销毁该等数据。
(三)如何规避投资并购交易中的数据合规风险
1. 陈述与保证条款
在制作交易文件时,可以基于对目标公司数据跨境的尽调情况,设置如下陈述与保证条款。
1.1 目标公司已遵守关于数据安全、网络安全和个人信息保护的全部法律法规(包括但不限于中国法律规定、境外接收地法律规定)、合同义务。
1.2 目标公司处理数据的全生命周期(包括数据的收集、存储、使用、加工、传输、提供、公开、删除等)均合法合规,包括但不限于告知、获取必要的同意及完成必要的审批、备案、评估。
1.3 目标公司已依照监管要求建立相关内控制度并采取相应保护措施,以确保数据和网络安全,防止数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。
1.4 目标公司不存在/已披露与数据合规相关的现有和潜在的争议、诉讼、索赔、政府调查以及数据安全事件。
1.5 着重强调与目标公司所涉行业相关的数据合规要点。以汽车行业为例,可要求目标公司、实控人承诺就汽车重要数据的处理,已遵循汽车数据处理者相关原则,已通过适当方式向个人信息主体告知相关事项,已按照规定开展风险评估,并向网信部门和有关部门报送风险评估报告和年度汽车数据安全管理情况等。
2. 交割先决条件或交割义务
2.1 个人信息方面。在针对目标数据的资产收购中,如果目标数据中包含个人信息(例如卖方将相关业务整体出售并将相关员工转移给买方,或卖方从事酒店、电商等面向个体消费者的行业等情形),买方可要求将卖方取得员工/用户/客户等个人信息主体的同意作为交割先决条件或交割后义务,双方可通过与个人信息主体的交互界面设计、相关告知文案通知以及沟通释疑渠道设置等,促使个人信息主体同意。在股权收购当中,因兼并、重组等原因需要转移数据的,企业也应当以合适的方式通知受影响的个人。因业务需要等正当原因确需改变数据处理目的、范围和方式的,应重新征得个人同意。
例如,2019年美团全资收购摩拜,并将摩拜全面接入美团APP。在数据融合实施前,美团和摩拜通过弹窗发布“账号融合用户确认函”的方式,明确告知用户将实现账号互通并获得用户同意。
2.2 重要数据、核心数据或特定身份方面。如果目标公司涉及核心数据或重要数据处理,或目标公司具有特定身份(如CIIO等),可将完成特定的审批、备案或评估手续作为交割先决条件或交割后义务。
例如,在新能源收并购项目中,电力行业企业因能源行业的特性,被能源主管部门认定CIIO的可能性较大,但电力行业尚未出台有关本行业的重要数据目录,在尽调过程中可协同企业技术人员研判相关气象数据、电站运营技术数据等是否属于重要数据或核心数据,从而确定是否需要申报数据出境安全评估等等。站在投资方角度,若通过尽调发现目标公司确需进行数据出境安全评估的,建议将该等评估的完成作为交割先决条件,以确保实现并购目的,避免被处罚的风险。
2.3 数据安全事件、诉讼处罚方面。如果买方在尽职调查过程中发现了数据安全事件或漏洞、相关重大诉讼、监管问询、行政处罚等,可将卖方或目标公司完成对数据安全问题的处理、整改作为交割先决条件,或者要求卖方在交割前将具有重大数据安全问题或隐患的相关资产剥离出目标公司。
2.4 如果尽调中发现目标公司内控制度瑕疵等其他重要数据合规问题,买方如认为有必要要求卖方或目标公司在交割前进行整改,则可将有关数据合规义务作为交割先决条件。
应当注意,前文提到的与数据合规相关的义务具体作为交割先决条件还是交割后义务,需要结合实现相关数据合规义务的预估时间和难度、相关数据合规义务的重要性等因素综合考虑。
3. 赔偿责任
如果目标公司违反数据合规相关的陈述与保证、交割义务或其他合同责任,目标公司可能会承担民事责任(侵权之诉或违约之诉)、行政责任(尤其是上市公司)、甚至是刑事责任(例如拒不履行信息网络安全管理义务罪、侵犯公民个人信息罪等)。为了避免该等风险,买方可要求在交易文件中约定数据合规相关的赔偿责任条款。一旦卖方或目标公司违反其数据合规相关的陈述与保证、交割义务或其他合同责任致使买方遭受任何损失,买方可基于该等赔偿责任条款向卖方或目标公司索赔。
对于卖方来说,可以对买方要求的赔偿责任设置一些限制,例如只对买方的直接损失负责、设置赔偿额上限、设置起赔额、设置索赔期限等,以避免赔偿责任的无限放大。
四、 企业建立内部数据合规治理体系的思路
对企业而言,不仅是投资并购的尽调阶段,在完成投资并购交易后的整合阶段以及后续的日常经营活动中,均不能忽视数据跨境的合规性。企业有必要建立内部数据合规治理体系,定期或不定期开展内部数据合规情况调研。本文以跨国汽车企业为例,对其数据跨境提出一些具有参考性的合规建议。
第一,结合企业的实际运营模式,识别企业数据跨境传输场景和活动,明确数据监管要点。跨国车企收集到的数据包括但不限于车辆自身的数据、用户数据和外部环境数据,数据跨境的典型场景包括但不限于将车内传感器、车载及手机APP等收集到的数据传输并存储至境外或通过云端进行境外远程访问。
第二,结合业务分布情况,梳理所涉国家或地区的数据跨境法律规则,识别禁止出境的数据类型、限制出境的数据类型以及可以传输的数据类型,制定企业数据分类分级清单,进一步确认适用的数据出境路径。就我国跨境数据监管规则而言,个人信息和重要数据面临不同的出境合规要求,汽车行业是较早明确了重要数据范围的行业之一。在识别数据性质的同时,判定境内数据处理者是否存在特定身份,是否为CIIO或处理100万人以上个人信息;是否自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息。在完成上述数据性质识别、数据处理者身份识别的基础上,汽车企业可进一步判断适用的数据出境路径。如果数据性质或数据处理者身份存在以上任一情形,则应当适用官方评估路径;如果不存在上述情形,但出境数据中包含个人信息,则应当适用认证路径或标准合同路径。
第三,对标监管要求对企业全跨境场景进行风险评估,参考监管规则、国际标准和同行业实践,进行企业内部数据跨境合规体系建设。通过制定内部数据跨境安全评估制度、组织专业数据跨境安全评估人员和建立数据跨境内部自评估工具等,对企业的数据跨境行为进行动态评估。动态评估还应当关注可能存在的非典型数据出境情形并设置相应的规制流程,如车企员工在境外差旅/休假期间,通过该车企内网链接查询、调取、下载、导出重要数据或个人信息,是否违反“境内储存,出境评估”的规定。若出现企业无法预判的非典型数据出境场景,及时主动与主管部门沟通,寻求主管部门对该等事件的处理方案。
第四,提前为数据出境准备好相关法律文件等合规准备。建议企业以标准合同为基础制定法律文件,以减少程序性负担。如果出境数据包括个人信息和重要数据,建议在法律文件中将个人信息与重要数据进行拆分处理:个人信息相关条款参照标准合同,重要数据部分则通过单独章节进行约定。此外,根据《网络安全标准实践指南 个人信息跨境处理活动安全认证规范》,建议车企在与境外数据接收方签署的数据跨境合同或标准合同中,规定境外接收方应指定个人信息保护负责人和设立个人信息保护机构,并把包含上述合同文本作为申报数据出境安全评估(如需)的附件。
结语
包括数据跨境流动在内的一系列数据合规问题在投资并购交易中的重要性日趋凸显,在数据合规尽职调查和交易结构设计的基础上,如何将已识别的数据合规风险在交易文件中加以体现和明确,对交易活动的开展和完成至关重要。作为律师,在尽调过程中和尽调完成后应当在交易文件中明确各方有关数据合规问题的权利和义务,协助双方落实陈述与保证、交割先决条件或交割后义务、赔偿责任等条款,妥善处理数据合规问题,以便降低交易风险,确保交易顺利完成。作为企业,应当关注数据全生命周期的合法合规性,根据监管要求识别不同的数据类型,以建立完善的内部数据合规体系,尽可能避免数据安全等事件给企业带来的潜在风险。
沪公网安备 31010402007129号
