合规论 | 合规前行:企业并购交易场景下“数据合规”问题的考量
在数字经济时代,数据作为企业的特殊竞争力,俨然已经成为一种新型生产要素,彰显着愈发显著的经济价值。而在传统印象中,似乎仅有网络科技企业、线上消费平台、医疗行业、汽车行业等会与个体用户产生较多信息交互,进而引发该类企业关于数据安全与数据合规的布局与思考。但实则不然,“数据”的内涵与外延范围很广,企业的客户和供应商信息、生产或经营流程中所产生的信息、员工信息、财务信息、销售信息等均属于企业所掌握的“数据资产”范围,倘若拟对一家企业的真实价值进行全面评估后完成并购交易,上述所涉信息数据均属于交易中不可回避的交易范畴。
因此,关于对“数据合规”问题的思考,在企业并购场景下所涉及的企业对象并不是特定的,各行各业均需要对此给予高度关注;与此同时,数据合规问题也并非仅仅局限于只以数据信息为唯一交易标的的并购交易,而应当是贯穿于各类型并购交易中的各个阶段,亟需交易双方立足各自立场与需求,并结合现行法律与监管要求提前予以考量与规划。
问题焦点一:
并购交易场景下,哪些交易标的需要纳入“数据合规”考量范畴?
1.个人信息
如果拟交易目标资产或业务中涉及个人信息,例如用户/客户个人信息(被收购方为电商、物流、酒店、物业等行业),或员工个人信息(被收购方拟将相关业务整体出售并将相关员工转移至收购方)时,则被收购方应当按照《个人信息保护法》等相关法律规定,取得相关员工或用户个人的单独同意。
诚然,在实际交易中,是否可以顺利取得用户/客户就其个人信息通过资产交易提供给收购方之单独同意,相比较员工而言将具有更大不确定性。而如果该次交易中用户/客户个人信息对目标业务或资产具有极高重要性和不可取代性时,交易双方均需考虑数据转移过程中未取得再次授权同意所对本次交易将会造成的不利影响,并提前考虑与用户/客户完成二次授权的交互界面程序设计,以及同步预设协议安排(将获得再次授权同意作为交割前置条件等),以最大程度规避双方损失及明确风险承担原则。
2.重要数据或核心数据
如果拟交易资产或业务中涉及重要数据或核心数据,则需要考虑若向其他第三方提供所涉重要数据或核心数据是否受到法律上的限制或禁止,或是否必须履行的必要审批或备案手续。
《网络数据安全管理条例(征求意见稿)》:数据处理者共享、交易重要数据应满足以下规定:征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。数据处理者应当事前进行安全评估,如自行或者委托数据安全服务机构进行安全评估,如果评估认为可能危害国家安全、经济发展和公共利益,则不得共享、交易重要数据。
《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》规定:工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案。
尽管上述规定现目前尚处于公开征求意见阶段,最终落地成文仍存在不确定性,但不可否认国家已经发出信号,即在资产交易过程中若涉及重要数据和核心数据的流动合规性将会受到更为严格的监管要求。而回到该类交易本身,如涉及上述监管要求且无法充分响应时,双方需要提前考虑到资产交易安排是否具备可替代性的方案;如确需涉及审批或备案手续的,也应当将该程序体现在交易交割条件中,以明确交易双方权责与风险承担。
问题焦点二:
如并购交易标的涉及“数据合规”,不同交易模式下的合规差异性?
企业基于商业需求实施并购交易的法律路径通常为两种,股权收购或资产收购。传统并购交易中,股权收购与资产收购各有利弊,交易双方将立足综合交易目的、风险、障碍、效率等因素后选择更优方案,但如交易标的涉及数据合规问题,其中尤其是涉及个人信息保护问题时,两种路径的选择将会面临截然不同的合规要求。
1.股权收购
股权收购语境下只导致持股的变化,而并不影响目标企业在法律上的主体身份。因此,用户对于目标企业所作出的数据处理许可,原则上当完成并购交易后,在遵循原隐私政策(或其他授权文本)所约定的使用目的、方式等前提下可以继续适用(若涉及变更,应当重新取得个人信息主体的明示同意)。当然,目标企业因授权所享有的法律权利并非在并购交易完成后自动地扩展至其母公司或其他关联企业,如需要将前述数据与母公司或其他关联企业进行共享,则仍需严格按照《个人信息保护法》的相关规定完成再次授权。
2.资产收购
资产收购语境下如交易标的涉及用户个人信息,则将当然构成个人信息在不同主体之间的披露、传输或处理。非国家法律例外规定,原则上这一行为应事前严格按照《个人信息保护法》的相关规定征得用户的单独同意。虽然美国和欧盟就该场景下的交易遵循“经营主体合理利益与信息主体合理期待”原则,存在案例可以突破事前同意的规则,但就我国现行个人信息保护法律规范中,尚未针对资产收购场景下企业合理利益的考量留下法律空间。
基于此,当并购交易标的涉及用户/客户个人信息时,除传统需要考量的法律问题及障碍外,个人信息保护问题确需交易双方给予高度关注,并将相关风险体现在交易安排与协议约定中;而当交易标的涉及重要或核心数据时,不论采取的交易路径是股权或资产收购,《网络数据安全管理条例(征求意见稿)》《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》均已明确将该行为纳入数据处理者“兼并”、“重组”的范畴,因此实施交易时建议与其所在行业主管部门提前予以沟通,并按照规定取得相关政府审批或履行报备程序,以保障程序合规。
问题焦点三:
数据合规对并购交易安排的重大影响?
1.交易标的所涉及数据类型对并购交易的影响?
前文已述,若并购交易标的涉及个人信息、重要或核心数据时,将会受到较多监管限制,但如交易标的未落入法律法规所要求受监管的数据类型范围,现行法律法规对其转移或共享不存在限制或特别要求的,则在交易结构和交易主体选择上的灵活性则更大。其中尤其需要说明的是,当交易标的聚焦于某一数据产品时(即通过技术匿名处理完成拟交易数据与原始权利人之间的权利分割,使之成为脱离于单个信息主体权利之上,不可再次复原于识别具体个人),虽然目前立法基于人格权益保护、促进数据流通、保护公共利益安全等因素尚未对数据权属予以法律界定,但不可否认现行司法判例以及部分地方性法规在确认企业可享有数据产品相关财产性权益,并可依法进行有偿交易等领域已有突破,并初步建立相应保护规则。
2.交易标的存在重大数据合规瑕疵的风险规避?
并购交易实施通常与收购方对目标企业/资产的尽职调查程序同步进行(如尽调核实中涉及数据披露的,同样需要关注数据安全保护问题,因本文篇幅在此仅简要提示),如果尽调结果显示目标公司/资产存在违法处理个人信息或重要、核心数据的情况时,未来将会面临行政处罚等法律风险。因此,需要结合实际情况同步考虑调整交易方式,如调整收购范围降低收购对价,或采取混合收购方式(剥离资产),或设置被收购方整改期限作为交割前置条件等,从而降低交易风险与成本。
3.交易如涉及数据跨境的合规规划?
如收购方为境外企业且直接收购境内含有数据的资产、或收购目标企业后涉及将数据转移或共享至境外企业的,则构成数据出境。如涉及个人信息或重要、核心数据时,除本文已提及的合规限制外,还应严格遵守有关数据跨境的特殊要求。而目前国家高度重视数据安全保护,针对数据跨境的监管要求趋于严格,是否可以取得相关主管部门的审批同意将会增加交易的难度及不可确定性,因此若存在该类并购需求的,建议需要考虑转移与接收方国与国之间就数据跨境问题的监管要求并提前予以合规规划,保障交易实施。
在过去传统并购交易中,或许数据合规问题通常并非属于影响交易方案设计的决定性因素,但随着国家对于数据安全保护的监管要求日趋严格,立法规范日趋完善,在面对涉及数据资产交易,尤其是数据处理对于完成并购后的业务开展具有高度不可分割性的交易时,数据合规问题应当成为交易各方重点关注的领域,并提前予以专业布局与规划。
- THE END -