编者按 数字经济时代,数据已成为一种关键性生产要素,数据资产在企业总资产中占比日益提高,目标企业的数据合规问题也愈发成为并购交易中买方关注的重点之一。在目标企业是数据驱动型企业时,数据合规尽职调查尤为重要,几乎已经成为并购交易中一项必不可少的尽调内容。若缺乏重视,一旦目标企业存在严重的数据合规问题,例如数据来源违法,就可能影响到并购交易的估值、安排、投后管理,甚至交易的成败。为此,本文将带领读者明晰交易并购开展数据合规尽职调查的必要性,把握数据合规尽职调查的要点与方法,提升数据合规尽职调查的问题处理能力以及并购后的数据迁移与数据治理能力。 ✨温馨提示:文末附「《企业收购并购合规尽职调查清单》&《2023年全球及中国并购市场报告(英)》(140页)」,全面且系统,如有需要,可自行获取! 一 并购交易开展数据合规尽职调查的必要性 (一)并购与尽职调查 并购 (Mergers and Acquisitions,“M&A”),包括兼并(Merger,指两家或多家企业合并为一家企业)和收购(Acquisition,指一家企业用现金或者有价证券购买另一家企业的股票或资产)。国际上习惯将兼并和收购合在一起使用,统称为M&A,在中国称为并购。 并购一般包括以下流程:
尽职调查,也叫审慎调查,译自英文“Due Diligence”,其原意是“适当的或应有的勤勉”。尽职调查是各类专业中介服务机构的一项常规工作,系参与公司收购兼并活动的中介服务机构根据客户指示,遵照职业道德规范和专业执业规范的要求,对目标公司开展的平等主体之间的必要调查和核查。 尽职调查的目的主要是增加对目标公司的了解,以缩小信息差,在调查过程中发现目标公司的问题并评估相应风险,判断是否推进交易;如决定推进交易,则结合尽职调查结果设计交易架构、调整估值、确定交易条件。 常规的尽职调查内容主要包括目标公司的基本情况、历史沿革、资质证照、不动产、重大合同、EHS(Environment, Health and Security)、人事与劳动、知识产权、诉讼与争议等方面。随着经济社会的快速发展,尽职调查新增了ABC (Anti-Bribery and Anti-Corruption)、ESG (Environment, Social and Governance)以及Data Compliance即数据合规等内容。 (二)数据合规尽职调查为何重要? 当前,数据合规尽职调查作为新增内容在尽职调查工作中的重要性逐步抬升,其原因在于:一方面,当今社会逐步迈入数字经济与数字化转型阶段,5G、人工智能、大数据、云计算等技术的快速发展,催生了电信业、互联网行业、电子信息制造业、软件信息服务业等新兴产业,数字政府、智慧城市、智能农业、智能网联汽车、智慧制造、平台经济、数字货币也逐渐渗透进人们的日常生活。 另一方面,我国正逐步建立起日益严密的数据合规法律体系,自2017年《网络安全法》颁布以来,《数据安全法》、《个人信息保护法》、《网络安全审查办法》、《关键信息基础设施安全保护条例》等法律法规相继出台,包括工业和信息化部自2019年开始的APP侵害用户权益专项整治工作在内的执法监督活动也显示了国家在数据合规层面的执法力度及决心。这对企业的数据合规能力也提出了更高更严的要求。 并购交易中,若买方未能对目标公司进行充分的数据合规尽职调查,很有可能被目标公司日后暴露的合规问题所牵连而遭受相应的处罚,W酒店收购S酒店泄露案就是一个典型的例子。2020年,英国信息专员办公室(Information Commissioner’s Office, “ICO”)发布声明称,因未能保护客户个人数据安全,W酒店将被处以1840万英镑(约合人民币1.6亿元)罚款。ICO指出,事件起因是S酒店在2014年遭受的网络攻击,而W酒店是2016年收购S酒店之后,才于2018年9月发现这一漏洞。2019年7月,ICO发布公告,称W酒店在收购S酒店时未进行充分调查,其本应采取更多措施来保护其系统:“GDPR明确要求数据持有者对其掌握的个人数据负责,这就包括了在收购时进行充分调查,不仅是对个人数据本身,也要评估它的相应保护措施。” 细究W酒店被处罚的原因可以发现,在GDPR 尤其是英国法(参考 ICO Data Sharing Code of Practice )项下,若并购交易涉及数据控制者变更的,应当进行尽调,尽调是监管机构认定买方是否充分履行数据保护义务的维度,显然W酒店在收购前未对S酒店进行数据方面的充分尽职调查。而完成并购交易后,若目标公司成为买方集团子公司,买方对该子公司的日常经营管理、数据处理活动有决定性影响(decisive influence),并让该子公司遵循买方集团的统一制度,参考之前的执法先例,买方集团也可能被穿透认定需要为子公司违规行为负责。 二 数据合规尽职调查的方法与要点 (一)尽职调查一般流程 尽职调查一般流程主要包括:
(二)数据合规尽职调查的方法与范围 1.尽职调查方法 一般法律尽职调查的方法主要包括:问卷调查、审阅文件、公开检索、实地调查、人员访谈、独立核实等。而数据合规尽职调查除上述方法外,可能还需要实际体验目标公司产品(例如APP、小程序、网站等)、与技术人员合作对目标公司的数据安全、网络安全系统从技术层面进行进一步调查。 2.Data Mapping 在对目标公司进行数据合规尽职调查时,一般需要从以下维度出发以了解公司数据处理活动及其合规性: (1)目标公司的业务及场景。以房地产公司为例,其业态可能包括办公楼、酒店、商场、住宅、智慧城市、物业管理等; (2)目标公司所使用的数字化工具和系统。例如网站、APP、微信公众号、小程序、系统等; (3)目标公司的数据流。包括数据的收集、存储、使用、加工、传输、提供以及删除等; (4)目标公司的组织架构与职责划分。例如DPO、网络安全负责人、法定代表人、部分负责人等; (5)目标公司的数据合规制度建设情况。包括但不限于个人信息保护制度、数据安全管理制度、网络安全管理制度等。 而针对拥有多个项目公司的较大规模的集团,可能还需要以横向项目公司与纵向职能部门相结合的方式展开数据合规尽职调查。 3.数据合规尽职调查关注的十大问题 (1)数据资产标的相关 问题一:数据资产本身的问题。例如并购交易涉及的标的是何种数据资产,数据资产具备何种价值,数据资产是否真实,质量如何等。 (2)数据来源的合法性相关 问题二:隐私政策问题。例如目标公司收集个人信息是否合法,是否制定了相关隐私政策,是否明确获得了个人信息主体的同意。 问题三:数据爬虫问题。例如目标公司是否遵守了信息来源网站的Robots协议,是否存在故意绕开数据来源技术手段的方式进行爬取的行为。 问题四:数据采购问题。例如目标公司就该等采购数据是否进行了合规审核,该等数据的数据来源、获取和使用方式是否正当。 (3)企业数据合规内控制度相关 问题五:目标公司是否建立了数据合规相关制度,例如目标公司是否建立了个人信息保护管理制度、数据安全管理制度、网络安全管理制度等。 问题六:目标公司在日常经营中是否实际执行了相关制度。 (4)安全事件与涉诉风险相关 问题七:目标公司是否发生过各类数据及网络安全事件,例如是否遭受过网络攻击或网络入侵,是否发生过个人信息泄露、损毁或丢失事件; 问题八:目标公司是否曾因数据合规问题承担责任,例如目标公司是否因违反数据合规相关法律法规遭受过投诉、举报,目标公司是否因上述行为被民事起诉、行政执法调查或处罚、刑事调查或起诉等。 (5)目标企业相关资质相关 问题九:目标公司是否取得相应资质证照,例如ICP证件、ICP备案等。 问题十:目标公司是否做过网络安全登记保护备案或者相关认证。 4.对哪些企业更应进行数据合规尽职调查? 若并购交易的目标企业属于下列行业,则应重点开展进行数据合规尽职调查: (1)关键信息基础设施运营者:如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域; (2)涉及重要数据或核心数据的企业:如工业、科技、电信、能源、交通、水利、金融、国防科技工业、海关、税务等行业; (3)处理数据达到一定规模的企业:如酒店、教育、电商、物流、航空、零售、快消等行业。 (三)数据合规引发的新型尽调问题 《个人信息保护法》等法律出台后,数据合规尽职调查产生了新的合规问题,其中就包括个人信息主体的“同意”问题。在并购交易中,买方可能在尽职调查阶段即想了解目标公司相关人员(如员工、自然人股东、高管)的个人信息,而根据我国《个人信息保护法》第二十三条,个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。在前述情境中,如果涉及人员众多,取得单独同意的实操难度较大,且可能会导致知晓拟进行交易的人员范围过大,不利于交易的保密。 在这种情况下,我们建议在尽调初期尽量匿名化提供相关个人信息,仅提供统计数据(员工总数量、核心员工数量)等;在尽调中后期,仅提供核心人员的个人信息,此时取得单独同意的难度较小,同时要求该等人员对所知悉的拟议交易信息保密。当然,在卖方与潜在买方签订LOI时,也可要求卖方作出已取得相关个人信息主体同意的承诺与保证。 三 数据合规尽职调查后续处理 经过数据合规尽职调查,目标公司可能会暴露出某些数据合规问题,例如未制定隐私政策或隐私政策不符合法律要求、未建立数据安全管理制度或制度不完善、曾发生过信息泄露事件等。交易双方可针对具体情况采取调整交易价格、要求目标公司或卖方作出陈述与保证、将部分合规整改事项作为交割先决条件或交割后义务、设置赔偿条款、将特定违约事项作为合同终止或解除的触发条件等方式,尽量减小数据合规问题带来的风险,促进交易的顺利完成。 而在并购交易完成后,针对数据合规尽调的结果,买方还应继续采取整改措施。 首先,买方应对目标公司或目标资产及时排雷并亡羊补牢,通过调查和评估(PIA)进一步发现公司内部数据合规问题,并针对暴露的问题及时进行补救和改正(而不仅仅依赖于交易合同条款)。 其次,应着力提升目标公司的数据治理水平,及时建立健全企业内部运营与发展的数据合规管理制度,建立全生命周期的数据安全防护,对数据实施分级加密管理;制定全方位培训计划,定期开展企业数据合规培训。 另外,还需通过对目标公司的投后管理实现与买方集团公司的一体化,对目标公司数据相关系统、平台、制度等进行整合,及时、高效且合法合规地完成从目标公司到并购后主体的数据迁移与数据治理。 文末福利 为更切实、便利地帮助读者们开展企业合规业务,我们精心准备了《企业收购并购合规尽职调查清单》&《2023年全球及中国并购市场报告(英)》(140页),清单涵盖公司存续、业务、股权、知识产权、投资、税务等方面尽职调查内容,报告有助于读者发现、理解其法律合规的风险问题,助力企业开展业务!如有需要,欢迎前往「iLaw合规」订阅号自行领取~ |
|