并购中,中国卖方如何数据合规?|高杉LEGAL精选文章
题问:并购过程中,中国卖方如何防范数据安全合规风险?
并购卖方的数据安全合规风险防范
作者|曾磊(涉外律师,微信号:zengleix)
*本文经作者授权发布,不代表其供职机构及「高杉LEGAL」立场与观点,且不作为针对任何案件或问题的法律意见或建议*
随着数据在社会生活和国家治理中的重要性凸显,全球各主要经济体在数据安全方面的立法和执法日趋积极和强势。作为回应,中国对数据的保护也在加强,相关立法在提速。继《网络安全法》《民法典》之后,《数据安全法》将于2021年9月1日起施行,《个人信息保护法》也正在加紧制订。新的立法将重塑经济活动的游戏规则,企业并购作为最复杂的经济活动之一,其受到的影响也将是全面而深刻的。并购交易的买方将在交易完成后继承标的企业或资产的权利和责任,数据安全方面的合规义务给买方带来了新的潜在风险,因此业界对买方如何应对数据安全的挑战格外关注,相关研究和讨论十分活跃,但对卖方的风险防范却鲜有提及。在并购中,标的企业是数据的控制者和提供者,卖方面临的数据安全合规风险丝毫不亚于买方。本文立足于中国数据安全立法的现状和方向,就作为并购卖方的中国企业的数据安全合规风险进行简要分析并就风险防范提出一些实操建议。
一、数据安全合规对并购卖方的主要影响
在中国及其他大部分国家的现行数据安全制度框架下,数据处理者是监管的重点对象。根据我国《数据安全法》,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。在并购活动中,标的企业本就是其所掌握的数据的处理者,还要根据交易的需要向买方提供甚至转移这些数据,因而将受制于更多的法律约束。数据安全合规做得好,有助于卖方达成更好的交易,实现收益最大化;做得不好,会导致卖方在并购中的利益受损,甚至给卖方招致法律制裁。
并购卖方,在股权收购的语境下,主要指拟出售标的企业股权的股东;在资产收购的语境下,则主要指标的企业。但在实践中,标的企业及其股东可能都参与或涉及数据的处理,因而两者在数据安全方面的责任并非在任何场景下都可以作清晰划分和切割的,从这个角度上讲,下文关于并购卖方的数据安全合规风险和应对策略,既可适用于标的企业的股东,也可能同样适用于标的企业自身。
具体来说,数据安全的合规对并购卖方的影响主要有以下几个方面:
首先,法律对数据的转让和使用的限制可能影响交易的可行性。如果卖方掌握的数据不能转让给买方,或者转让之后不能被买方使用,买方为什么还要收购呢?
其次,交易模式将受到影响。由于数据的转让和使用受限制,直接的购买(资产收购)可能不是最好的交易模式,间接的获取(股权收购)将更为常用。
再次,标的企业数据的合法性、安全性和可用性将影响对标的企业的估值,最终影响卖方可获得的收益。
最后,卖方在交易过程中对数据处理不当,可能会触犯法律,招致民事索赔、行政处罚甚至刑事责任,进而对并购交易甚至标的企业本身造成严重不利影响。
二、数据安全合规的制度框架
目前中国的数据保护立法和实践还处在初级阶段。一方面,顶层法律框架还在搭建中,专门针对数据保护的法律不多,更多的全国性法律还在草案拟定过程中。另一方面,相关部门、地方根据所属领域、地区的实际需要,制定了适用于特定行业、地域的法规、规章、标准、政策、指导性文件等。立法机关、监管机构和具体裁判人员、执法人员仍然处在摸索、学习、试错阶段。在此背景下,已经颁布的法律、法规固然很重要,还在拟议、起草、征求意见中的规则也不可忽视,因为后者一方面可以揭示立法的趋势,另一方面可以为现行法律法规当中一些不够清晰、不够完整、不够具体的内容提供借以解释、补充、完善的参考,帮助我们更好地执行现行的规则。另外,有关信息安全技术的国家标准,无论是否强制性标准,在实践中都被作为监管机关执法的依据或参考,因此也应作为并购卖方数据安全合规的实操依据之一。以下是我国数据安全方面的法律、法规和其他具有规范性、指导性、参考性的文件举例:
三、需要重视数据安全合规的行业
从立法的精神看,数据保护不分行业、不分组织、不分岗位,人人平等,人人有责。任何一家企业,只要在运营过程中有机会接触到个人信息等数据,就要遵守关于数据安全的规定。当然,某些行业由于其业务的特性,特别容易发生数据安全事故,因此属于数据安全的重点管制行业,在这些行业中的并购卖方应格外注意数据安全的合规。这些行业包括:以数据作为核心生产要素或资产的行业,如人工智能、自动驾驶、大数据分析、云服务、智能安防等;依托大量个人信息开展运营的行业,如电子商务、零售、旅游、快递、酒店、航空、教育、医疗、共享出行等;关键信息基础设施运营行业,如能源、交通、金融、市政服务、电子政务等。
四、数据安全合规的两大基本原则
数据安全离不开信息技术和互联网,同时又关系到个人隐私、公共秩序、国家安全等重大利益,因此相关的法律法规相对庞杂和技术化,貌似难以理解和操作。其实,揭开表象看本质,只要掌握了两大基本原则,就抓住了数据安全规则的精髓。这两大基本原则是:
第一,对个人信息的处理(包括收集、存储、使用、加工、传输、提供、公开等)应遵循合法、正当、必要的原则,并保证信息主体的知情权和自主权;
第二,建立制度和采取措施保证数据的安全,防止数据(包括个人信息)被非法窃取、泄露、转让、滥用、篡改或破坏。
在并购过程中,卖方只要牢牢把握以上两大基本原则,就能找到做好数据安全合规的路径。
五、卖方在并购各阶段的数据安全合规策略
一个典型的企业并购交易,包括交易前准备、尽职调查、协议谈判和签约、交割、整合五个阶段。在每个阶段,卖方都可能会遇到数据安全的问题,但应对的重点和策略各有不同,以下分别说明。
(一)并购准备阶段
有人说,通常情况下,一起并购交易是由买方发起的,买方理所当然应当做好充分的准备工作,而卖方除了被动接受买方的邀约,似乎没什么好准备的。这种认识是片面的。就数据安全来说,卖方不仅应该有所准备,而且要比买方准备的多得多。
卖方要准备什么?卖方准备工作的根本目的是提高公司的数据安全合规水平,使公司对买方更有吸引力,获得更高的估值。为了这个目的,卖方应该根据公司的实际情况,有侧重地从以下几个方面进行数据安全合规准备:
第一,制订和完善数据安全的规章制度、操作流程、格式文本等,使数据安全有据可依;
第二,建立和优化数据安全的组织架构,使数据安全的职责落实到人;
第三,配置和提升数据保护的硬件、软件和网络设施,为数据安全提供物质和技术保障;
第四,检查数据安全的落实情况,一旦发现违法违规违章的情形、漏洞或事故,应及时予以纠正和补救,对于与外部机构或个人的纠纷、争议、诉讼等应尽快予以解决和平息。
可以看到,数据安全的合规是个系统工程,不是几天时间可以完成的,临时抱佛脚是来不及的。因此,卖方一旦有出售企业的股权或者数据资产的计划,就应尽早开始数据安全合规的准备工作。
数据安全合规是专业和复杂的工作,需要可观的人力、财力、智力的投入。但是,因为较高的成本而不舍得进行数据安全合规的投资,是得不偿失的。在数据安全合规上的每一分钱投入,都可以通过并购标的在估值上的提升得到超额回报;而在数据安全合规上的每一分钱缺省,则将由于并购标的的估值损失而加倍放大。数据安全合规的准备工作是一项可为并购标的创造价值的投资。
(二)尽职调查阶段
由于买卖双方的信息不对称,尽职调查是买方了解并购标的的最重要方式。买方的尽职调查种类包括商务尽职调查、财务尽职调查、税务尽职调查、法律尽职调查、人力资源尽职调查、技术尽职调查、环保尽职调查等,将来随着数据安全合规的重要性提高,很可能还要加上数据合规尽职调查。尽职调查本质上是买方对并购标的的信息收集和分析工作,主要采取“我问你答”的方式,由买方主导。但是,卖方不能只是被动地、不加区别地根据买方的要求披露信息,否则容易招致数据安全合规风险。
从卖方的角度,尽职调查的基本问题有两个:提供什么信息,以及怎样提供这些信息。
首先说说哪些信息可以提供。作为买方,当然希望卖方提供的信息越全面详细越好。但是,在数据安全的规范下,并不是任何信息都可以由卖方自主决定提供给买方的。在现行的法律框架下,卖方对以下三种情形的信息披露应特别慎重。
第一种情形是披露被列入国家、地区或行业主管部门的重要数据目录的信息或者属于国家核心数据的信息。根据《数据安全法》,这类信息将实行严格的管理制度。尽管具体的管理制度还有待出台,但未向相关主管部门请示就向第三方披露这类信息,仍存在很高的违法风险。例如,《数据安全法》第四十五条第二款规定:“违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。”此前已有依据行业监管规则处罚数据安全不合规的先例。2021年1月19日,中国银行保险监督管理委员会依据《银行业监督管理法》第二十一条、第四十六条第五项和相关审慎经营规则,对中国农业银行处以420万元罚款,案由包括“数据安全管理较粗放,存在数据泄露风险”“网络信息系统存在较多漏洞”“互联网门户网站泄露敏感信息”等。
第二种情形是披露个人信息。我国法律迄今关于个人信息的最详细定义来自《民法典》。根据该法第一千零三十四条第二款,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。被并购企业的员工、高管、自然人用户、自然人供应商等的信息都属于个人信息,而员工、高管、用户、供应商信息等通常也是买方尽职调查的必备内容。《民法典》《网络安全法》均规定,未经自然人同意,不得向他人提供该自然人的个人信息,但是,经过加工无法识别特定个人且不能复原的除外。
据此,卖方在尽职调查中披露个人信息,第一种方式是征得有关个人的同意。但这种方式不仅费时,可能延缓交易的进度,更容易导致交易信息的泄密,不利于交易的推进。实践中更可取的是第二种方式,即将相关个人信息进行汇总、归纳和整理,去除身份识别信息,再将不可复原的匿名化信息提供给买方。例如,仅提供员工的平均工资而不是具体个人的工资数字,仅提供空白的劳动合同格式而不是真实签署的劳动合同等。如果买方认为有必要对某些个人(如核心高管、重大供应商等)进行更深入的二次调查,卖方再有针对性地征求这些特定个人的同意。当然,在征求这些特定个人的同意的同时,卖方也应要求他们签订保密协议,对交易承担保密义务。
第三种情形是向境外主体提供数据。如果并购标的企业掌握的数据是在中国境内收集和产生,而买方是境外的企业或个人,则买方的尽职调查有可能导致卖方向境外主体(买方或者买方聘用的境外会计师事务所、律师事务所等中介机构)提供数据。根据《网络安全法》第三十七条,关键信息基础设施的运营者如确需向境外提供个人信息或重要数据的,应当按照国家相关办法进行安全评估。关于其他数据处理主体向境外提供数据的具体管理办法,目前还在制订过程中。《个人信息出境安全评估办法(征求意见稿)》要求,个人信息出境前,网络运营者应当向所在地省级网信部门申报个人信息出境安全评估,安全评估通过后才能出境。该征求意见稿还要求,网络运营者应与接收个人信息的境外主体签订合同,对信息接收者关于个人信息安全的义务和责任进行约定。建议并购卖方在现阶段参考这个征求意见稿处理数据的出境事宜。
此外,买方要求卖方提供的数据有可能受卖方或标的企业与第三方在过往签订的保密条款的约束,非经该第三方同意不得向买方披露。在这种情况下,卖方也可参照上述第二种情形予以灵活处理。
再来说说信息应怎样提供。
信息提供的方式分为直接提供和间接提供。直接提供即卖方直接向买方或买方委托的会计师事务所、律师事务所等中介机构提供数据。依据立法的精神,并购卖方作为数据处理者,本身对于其掌握的数据负有安全保护的义务和责任,这种责任不会因为向他方披露数据而得到免除或减轻。而数据一旦被提供给买方或其委托的中介机构,这些数据即脱离了卖方的控制,卖方因数据泄露、破坏、非法使用等安全事故而承担法律责任的风险大大增加。对此,卖方可采取以下防范措施:第一,限定双方可接触数据的人员身份和数量并进行登记,确保数据只能在这些特定的人员之间交接;第二,只采用有充分安全保障的通信网络或媒介传输数据;第三,要求买方、买方的中介机构以及其他可接触卖方数据的非卖方人员分别签订数据处理协议,承诺确保数据安全。
数据处理协议应至少包括以下内容:
1、除非经卖方许可,接收方只能将卖方提供的数据用于评估本次并购交易的目的,不得用于其他目的;
2、接收方应对数据保密,不得转让给任何第三方;
3、接收方应采取适当措施保护数据安全,确保数据免遭泄漏、损毁、丢失、篡改;
4、卖方有权对接收方的数据使用、安全保护的实践进行监督检查;
5、卖方有权随时撤回对数据使用的授权;
6、评估结束后,接收方应删除数据;
7、如卖方提供给接收方的数据发生非法使用、泄漏、损毁、丢失、篡改等安全事故,接收方应承担全部责任。
所谓间接提供,通常指卖方将数据上传到独立数据库服务商建立的一个网上数据库,买方及其中介机构登录该数据库进行查阅。这种方式在卖方对多家买方开展邀标竞购时比较常用。为了确保数据的安全,卖方应选择具备合法从业资质、良好服务记录和充分技术能力的服务商。数据库服务商获得的数据安全认证,如ISO27001或ISO27040,可以作为选择服务商的参考指标。数据库服务商作为卖方数据的接收方,也应承担数据安全责任。卖方对买方及其中介机构采取的数据保护措施也可用于数据库服务商,包括限定可接触卖方数据的人员、签订数据处理协议等。另外,由于服务商将向买方及其中介机构提供数据,卖方应要求服务商与各个买方及其中介机构签订数据处理协议,并对买方及其中介机构处理网上数据库内的信息的权限进行限制(例如,只能查阅但不得下载或打印等),确保买方及其中介机构向服务商承担的义务和责任不低于服务商向卖方承担的义务和责任,实现“背靠背”保护。
诚然,数据处理协议不能百分之百确保数据的安全。但是,在当前相关立法还不完善的环境下,数据处理协议可以作为卖方约束数据接收方并向其追责的契约依据,给予卖方更直接和清晰的保护。
(三)并购协议谈判阶段
数据安全问题在并购协议谈判阶段主要影响三个方面:交易结构、卖方的陈述与保证、赔偿责任。
关于交易结构。企业并购一般分为股权收购和资产收购两种模式,主要区别之一在于前者无需转让标的企业的资产的所有权和控制权,而资产收购则导致资产的所有权和控制权转移至买方。对数据转让的合规要求可能对交易结构的选择产生决定性的影响。
中国现行法律对由于企业并购而发生的数据转让并未有明确的规定。技术标准《信息安全技术个人信息安全规范》第9.3条规定:“当个人信息控制者发生收购、兼并、重组、破产等变更时,个人信息控制者应向个人信息主体告知有关情况,变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。”此处的“个人信息控制者”是指有能力决定个人信息处理目的、方式等的组织或个人。这个规范只是推荐标准,不是法律或行政法规,不具有强制性效力,但可被监管机构作为执法参考。另外,正在征求意见阶段的《个人信息保护法(草案)》第二十三条也有类似的规定:“个人信息处理者因合并、分立等原因需要转移个人信息的,应当向个人告知接收方的身份、联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。”该草案中的“个人信息处理者”是指自主决定处理目的、处理方式等个人信息处理事项的组织、个人。标的企业对于其所掌握的个人信息,毫无疑问符合“个人信息控制者”或“个人信息处理者”的身份。
上述技术标准和立法草案在很大程度上借鉴了外国的相关制度,可以说反映了我国立法和监管机构的意向和趋势。并购卖方应参考上述技术标准和草案的规定,评估股权收购或资产收购的可行性。
如果采取股权收购模式,个人信息仍由标的企业持有,“个人信息控制者”或“个人信息处理者”不发生变更,标的企业不需要执行上面提及的告知和同意程序;反之,如果采取资产收购模式,个人信息将从标的企业转移到买方,“个人信息控制者”或“个人信息处理者”将发生变更,上面提及的告知和同意程序将难以避免。执行这些告知和同意程序将涉及多少个人?需要耗费多长时间?是否会泄露交易信息并对交易造成不利影响?是否会导致员工、用户或供应商大量流失?是否会导致标的企业的股价大幅波动?如果完成了告知和同意程序,但事后交易没有达成,会对标的企业有怎样的不利影响?这些问题都值得卖方在选择交易结构时三思。
关于陈述与保证。买方要求卖方在并购协议中就标的企业或资产的历史和现状作出一些陈述和保证,是交易的惯例。由于数据安全方面的立法和监管实践尚不完善和成熟,合规风险难以估量,买方对此类风险的敏感度相应会更高,因此买方很可能会要求卖方就数据安全合规作出专门的陈述和保证。这些陈述和保证可能包括以下内容:卖方和标的企业已遵守了关于数据安全和个人信息保护的法律、法规和合同义务;确认标的企业现有的网络信息设备和基础设施是安全的;确认数据的取得和处理符合合法、正当、必要的要求并已获得相关个人的同意;确认已采取必要的措施保护数据免遭泄漏、损毁、丢失、篡改;确认已进行过数据安全评估并弥补了所有缺陷和漏洞;确认已披露了所有与数据安全相关的争议、诉讼、索赔和政府调查;确认数据不存在合法性瑕疵并且可转移给买方并由买方使用;等等。
同样是由于我国的立法和监管的现状,卖方单方面作出关于数据安全完全合规的保证将隐含很大的风险,而且这种风险完全超出卖方的控制。基于这种考虑,卖方在作出与数据安全有关的陈述与保证时,可以采取以下策略:第一,只在“卖方明确已知情的范围”内对数据安全合规的情况作出陈述与保证;第二,只承诺不违反现行有效的强制性法律法规所明确订明的禁止性规定;第三,将所有已知的违法、违规、违约情形或数据安全事件做成并购协议的附件向买方披露,并声明对已披露的事项不承担赔偿责任;第四,只保证移交给买方的数据可继续用于与标的企业当前所用相同的用途,不保证可用于其他用途。
关于赔偿责任。对应于卖方的陈述与保证,买方会提出赔偿责任条款,要求卖方为可能发生的违反关于数据安全合规的陈述与保证的情形承担违约责任。买方的要求可能包括:如卖方违反其作出的任何关于数据安全合规的陈述与保证,卖方应赔偿买方的一切损失;如卖方未如实披露的数据安全风险导致买方遭受政府处罚或第三方的索赔,卖方应承担连带责任;如卖方的违约情形严重,买方有权要求取消交易或要求卖方回购股权;等等。
从国际经验看,就数据安全责任而言,并购买方可能承担的监管罚金往往高于卖方可能承担的金额。欧盟的通用数据保护条例(简称GDPR)被称为史上最严苛的数据和隐私保护法律。该法规定,对于违法的经营者,最高可罚款2000万欧元或全球营业额的4%,以较高者为准。2020年10月30日,英国信息专员办公室以未能保护客户个人数据安全为由,依据GDPR对万豪酒店集团(Marriott)处以1840万英镑(约合2500万美元)罚款。事件起因是喜达屋酒店(Starwood)在2014年遭受了网络攻击,导致3.39亿客户的个人信息被泄露。万豪于2016年9月收购了喜达屋酒店,但由于尽职调查的疏漏,直到2018年9月才发现这一漏洞。2018年,万豪的总营收是207.58亿美元,上述罚款约占该年总营收的0.12%。喜达屋2016年的总营收是57.63亿美元。假设GDPR在2016年已经生效并且信息泄露事件在2016年9月之前被披露并遭受监管机构的查处,按照同样的罚金比例计算,喜达屋应承担的罚款约为692万美元,仅为万豪所受罚款的27.68%;如果按照4%的顶格比例处罚,罚款金额的差距会更大。
GDPR的处罚机制也被我国立法所借鉴。《个人信息保护法(草案)》第六十二条规定:“违法处理个人信息或者处理个人信息未按照规定采取必要的安全保护措施,情节严重的,可被处以五千万元以下或者上一年度营业额百分之五以下罚款。”一旦这项规定最终成为法律,则就同一个数据安全违法事件,并购后的企业所遭受的罚款将很可能高于未被收购的标的企业作为独立的违法主体应承受的罚款。而买方在收购后未及时发现并购标的的数据安全瑕疵并予以及时纠正,最终招致处罚,并不应完全归责于卖方,由卖方承担全部损失有失公允。
另外一种情形是,标的公司被上市公司收购,成为上市公司的下属企业,标的公司的数据安全违规事件将对上市公司的股价造成负面影响,经济损失可能远超标的公司本身的价值。例如,2019年11月19日,A股上市公司拉卡拉持股32.4%的个人征信平台考拉征信因涉嫌非法提供身份证查询服务,被江苏淮安警方依法查处。次日,拉卡拉股价跌停,市值损失超过20亿元,而考拉征信的运营主体考拉昆仑信用管理有限公司的注册资本仅为7800多万元。考拉昆仑由拉卡拉与其他股东共同发起设立,并非收购取得,但本事件揭示的利害关系对并购卖方仍具有警示意义。
为了避免数据安全违规责任由于并购而被放大,在并购协议的赔偿责任条款谈判中,卖方应争取对赔偿责任进行限制:对责任类型进行限制,只同意对买方的直接损失负责,不对市值损失、销售损失、声誉损失等间接损失负责;对赔偿金额进行限制,为赔偿金额设一个上限,该上限可以是一个固定的金额,也可以是并购价款或标的企业上年度总营收的一定比例。另外,还应要求买方提供监管机构出具的处罚文书或者法院的生效判决文书,作为向卖方索赔的凭据。最后,卖方还应争取限定买方的索赔期限,该期限不宜超过法定的民事诉讼时效(三年)。此外,如果有可能的话,卖方还可以购买陈述与保证责任保险,通过保险赔款分散违约风险。
(四)交割阶段
并购交易中的交割,其核心是将收购标的的所有权和控制权从卖方转移至买方。交割的安排在很大程度上取决于交易结构。如果采取股权收购模式,则只需交割标的企业的股权,不涉及数据的交割;如果采取资产收购模式并且标的资产包含数据,则数据的交割在所难免。根据现行的个人信息安全技术标准和相关立法草案,个人信息控制者/处理者发生收购、兼并、重组、破产等变更时,应向个人信息主体告知有关情况,变更后的个人信息控制者/处理者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。(详见上文关于交易结构的讨论。)为最大程度地规避合规风险,并购双方应参照这一原则开展数据的交割。在交割过程中,卖方应注意划清买卖双方的责任和义务,即卖方只负责向有关个人告知信息转移的原因和安排,后续的数据接收、转存、整合、使用、保管等均属于买方的责任,尤其是取得有关个人对变更个人信息使用目的的同意,应由买方自行负责,卖方更不应承诺确保买方获得这些同意。如数据需转移给境外的接收方,还需要办理数据出境安全评估并取得境内监管部门的批准。同理,卖方不应同意承担相关的责任,应坚持由买方自行完成相关的手续。
此外,买方还有可能设置一些交割的先决条件。例如,买方可能要求卖方对尽职调查发现的数据安全漏洞、瑕疵或违法违规事件进行弥补、纠正或解决,买方对结果满意后才开始交割。卖方应客观评估完成这些事项所需的成本、时间和其他条件(如监管部门的批准、第三方的配合等)。如果评估发现所需成本太高,耗时太长,特别是结果无法预料的,卖方不宜同意这样的先决条件,而应考虑在收购价格、付款期限甚至赔偿责任上做出适当的让步,以确保交割的早日顺利完成。
(五)整合阶段
多数情况下,在股权或资产交割完成之后,卖方即不再参与标的企业或资产的运营,并购后的业务和资产整合主要是买方的活动。但不排除卖方继续参与标的企业或资产运营的情形。
在大数据时代,买方通过收购获得的数据量可能非常庞大,充分提取、解析、分类这些数据并纳入买方原有的数据库,将是一项耗时和复杂的工作,而且这个过程还可能对业务的正常开展造成干扰,甚至导致业务的中断。为了提高数据整合的效率和准确性并降低对业务的负面影响,在资产收购的模式下,某些买方可能会要求卖方(即原持有数据的企业)在交割后的一段时间内(如一到两年)提供过渡期服务。在过渡期内,卖方将按照买方的要求,继续对数据进行处理,此时买方是数据的控制者,卖方是受委托方。
作为受委托处理数据的一方,卖方一方面需服从买方的要求和管理,另一方面仍应遵守数据安全的合规要求。一旦发生数据安全事故,卖方首先将遭受相应的法律惩处,其次还将承担对买方的违约责任。尤其值得注意的是,如果事故是由于卖方在交割之前存在或发生的数据安全漏洞、瑕疵或违法违规事件造成的,并且这些漏洞、瑕疵或违法违规事件在并购协议签约时并未向买方明确披露,则卖方还很可能被追究并购协议约定的违约责任。
因此,卖方在谈判此类过渡期服务协议时,应结合陈述与保证条款和赔偿责任条款,慎重考虑哪些服务可以提供、怎样提供、怎样规避或转移风险等。另外,卖方应争取达成“不重复救济条款”,即对于同一个数据安全事故,如果卖方已经按照过渡期服务协议予以纠正或补救,则买方不得再依据并购协议追究卖方的违约责任,避免卖方遭受一事两罚。
六、结语
不断提速和加强的数据安全立法和监管给并购卖方带来前所未有的合规风险。并购卖方需要牢牢把握数据安全的基本原则,在并购准备、尽职调查、合同谈判、交割和整合各阶段采取适当的策略和措施,做到既达成了交易又规避了合规风险,尽力避免任何数据安全不合规的情形给交易、标的企业或卖方造成不利影响或损失。
高杉LEGAL精选文章:
2014年1月至今,「高杉LEGAL」长期致力于中国民商法实务研究,高杉峻(个人微信:gaoshanlawyer)出品。
投稿请寄:gaoshanLEGAL@163.com
▲长按识别关注「高杉LEGAL」