網上投稿
引言
近些年來,隨著大數據、人工智能、云計算和區塊鏈等數字技術的不斷演進和創新,企業逐漸開始進行數字化轉型。一方面,通過數字化手段,企業能夠實現貿易成本的顯著降低,業務效率的大幅提升,以及商業主體的多元化。另一方面,數據已經成為貿易中的一項重要資源和交易對象,業務出海、數據出境以及數據回流等剛性需求不斷增長,數據資產占企業總資產的比重越來越大,全球范圍內的數據跨境流動已經成為驅動經濟運行的關鍵性因素。與此同時,數據的跨境流動也引發了全球范圍內的監管和治理問題,全球主要國家和地區均在積極建立、健全和強化數據跨境流動的治理和監管,企業面臨越來越嚴格的數據合規和數據跨境流動要求,數據泄露、隱私侵犯以及知識產權糾紛等數據風險均可能對企業造成重大損失。
密切關注國內外的數據跨境規則,協助企業識別、控制和消除數據合規風險,是開展投資并購盡調的重要內容。本文將以投資并購交易為背景,簡要說明不同國家和地區的數據跨境流動規則,梳理我國目前關于數據安全和數據跨境流動的監管體系,重點介紹開展數據跨境流動合規盡調的關注要點及應對策略,為企業建立完善的數據合規治理體系提供參考思路。
一、 不同國家和地區關于數據跨境流動的監管規則
根據國際組織、其他國家對跨境數據流動的管理制度,以及我國國家網信辦頒布的《數據出境安全評估申報指南(第一版)》,數據出境行為包含數據處理者向境外提供數據、境外主體從境外訪問數據和其他出境行為。不同國家和地區對于數據跨境流動的監管態度和監管體系不盡相同,充分了解不同國家和地區的數據跨境流動規則,是開展跨境交易盡調的重要前提。
(一)歐盟
在歐盟內部,個人數據可以自由流動,但原則上不得向歐盟以外的第三國或者其他國際組織傳輸,除非通過“充分性認定”、“適當保障措施”或“例外豁免情形”三種合規路徑之一進行。充分性認定只能適用于“白名單”上的特定國家或地區,如數據保護水平與歐盟相當,被歐委會被列入“白名單”,個人數據即可自由地從歐盟傳輸至該國家或地區。如果需將歐盟數據傳輸至“白名單”以外的國家或地區,可對傳輸行為提供適當的保障措施,主要包括制定約束性企業規則(Binding Corporate Rules, “BCRs”)、簽訂標準合同條款(Standard Contractual Clauses, “SCCs”)、遵循經批準的行為準則(Approved Codes of Conduct, “CoC”)或者基于經批準的認證機制(Approved Certification)進行傳輸等。在充分性認定和適當保障措施均無法適用的情況下,數據傳出方可判斷數據跨境傳輸是否屬于特定情形下的豁免,如數據主體明確同意、為履行與數據主體的合同需要、為實現公共利益需要等等。
(二)美國
美國互聯網企業在全球市場中占據主導地位,具有明顯的競爭優勢。因此美國在國際層面積極倡導數據跨境自由流動,反對對數據跨境施加不必要的限制,通過簽署更加開放自由的貿易協定拓展國際市場。在國內層面,為遏制競爭對手并維護技術霸權,美國以國家安全為由,嚴格限制數據跨境,如嚴格限制新型技術和數據的出口、對涉敏感個人數據交易進行外國投資安全審查、禁止科技公司向任何特別關注國家進行直接或間接的數據傳輸等。
(三)日本
在國際層面,日本積極參與多雙邊數據跨境協定,探索建立可信賴且自由的數據流動機制。在國內層面,日本現行數據跨境政策具有靈活性,辦理個人信息出境以事先取得個人信息主體的同意為原則,以不需要取得同意為例外。例外情形主要包括向白名單國家出境個人信息,以及向已經建立了符合日本法保護標準的個人信息保護機制的接收方出境個人信息。
(四)新加坡
在國際層面,新加坡尋求數據自由流動與高水平數據保護的平衡。在國內層面,新加坡關于數據跨境的規定主要集中于《個人數據保護法》(Personal Data Protection Act,“PDPA”)和《個人數據保護條例》(Personal Data Protection Regulations,“PDPR”)。PDPA要求數據傳輸方確保數據接收方對傳輸的個人數據提供至少與PDPA同等的保護,否則不得進行數據的跨境傳輸。
二、 我國數據安全及跨境流動監管體系
(一)國際層面
迄今為止,在我國參與的自由貿易協定中,內容最豐富的數字貿易規則為2020年11月15日簽署的《區域全面經濟伙伴關系協定》(Regional Comprehensive Economic Partnership, “RCEP”),RCEP的簽署標志著我國在個人信息保護、數據跨境流動、計算設施位置等重要問題上與各締約國達成了共識。基于各締約國數字貿易發展程度的差異,RCEP在數據跨境流動規則上采取開放性制度設計,兼顧各國利益沖突的協調。原則上禁止締約國對數據跨境流動進行限制,但設置了“公共政策目標”和“基本安全利益”的例外條款。目前RCEP并未明確“公共政策目標”和“基本安全利益”的適用標準和解釋口徑,實踐中締約國是否能夠援引該條款限制數據跨境流動,存在一定的不確定性。
(二)國內層面
我國目前已初步形成了以《網絡安全法》《數據安全法》《個人信息保護法》為核心,《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》等為補充和重點領域專門規范的規則體系,確立了數據“本地儲存+出境評估”的監管模式,為網絡安全、數據安全、個人信息安全和大數據環境下的數據流動提供保障。針對數據跨境流動涉及的不同主體和不同數據類型,制定不同的規制措施。
1. 關鍵信息基礎設施運營者(Critical Information Infrastructures Operators,“CIIO”)
《網絡安全法》第三十七條規定,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定”。關于CIIO如何認定,截至目前,有關部門暫未公布行業內CIIO的認定規則或清單。《網絡安全法》第三十一條明確了關鍵信息基礎設施(Critical Information Infrastructures, “CII”)的要素,即關乎國家安全、國計民生、公共利益等重要因素,但并未明確CIIO的范圍和認定方式。因此,實踐中企業可參考《網絡安全法》和《關鍵信息基礎設施安全保護條例》中規定的CII認定要素,衡量判斷自身是否構成CIIO:一是網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度;二是網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;三是對其他行業和領域的關聯性影響。
2. 重要數據
根據《數據安全法》第三十一條,結合《網絡安全法》《數據出境安全評估辦法》等規定,數據處理者向境外提供重要數據以及CIIO在我國境內運營中收集和產生的重要數據,應按規定申報出境安全評估。基于此,我國建立了對特定行業進行差異化管理的數據跨境流動規則體系,在汽車、金融、醫療等行業分別對特定數據的跨境傳輸提出了不同要求。如目標公司所屬行業暫未頒布重要數據的識別標準,可參考《數據出境安全評估辦法》第十九條和全國信息安全標準化技術委員會發布的《信息安全技術 重要數據識別指南》(征求意見稿)等識別重要數據。
3. 個人信息
2021年8月公布的《個人信息保護法》第三章專章規定了個人信息跨境提供的規則。該法第三十八條至第四十條確立了不同個人信息處理主體的分類監管模式,即區分普通的個人信息處理者、CIIO和處理個人信息達到一定數量的個人信息運營者。對于普通的個人信息處理者,應當具備安全評估/專業機構認證/標準合同條件之一。對于CIIO和處理個人信息達到一定數量的個人信息運營者,均應當遵循“本地儲存+出境評估”的要求。
三、 投資并購中數據跨境的盡調關注要點及應對策略
(一)投資并購中開展數據合規盡調的重要性
在跨國投資并購中,數據跨境傳輸是不可避免的環節,實踐中目標公司和收購方因數據風險遭受處罰和經濟損失的情形頻頻發生,如某知名酒店在對目標公司進行盡職調查的過程中并未發現目標公司已經存在的系統漏洞,導致其在收購完成后因目標公司的信息泄露事件受到數億元的罰款。
從收購方角度看,在盡職調查階段識別和發現潛在的網絡安全和數據合規風險,將有助于收購方對目標公司的股權或者資產價值作出準確的估值,進而調整收購價格和并購交易的結構。目標公司的主營業務與數據的關聯性越強,或者目標公司的數據資產占總資產的比重越大,目標公司股權或資產的價值受到數據合規問題的影響就越大。如果數據資產的風險敞口過大,可以選擇提前剝離此部分數據資產,或者及時調整交易安排,提出更加嚴苛的收購條件,壓低收購價格,甚至終止交易。
從目標公司角度看,在并購開始前委托專業的外部機構開展數據合規盡職調查,有利于提前發現數據合規風險,及時采取整改措施降低或者封閉風險敞口,提升股權或資產估值,爭取到更加優厚的出售條件。避免在并購進入實質性接觸階段發生數據安全“暴雷”,使得目標公司處于不利地位。同時在后續的經營過程中,也可以規避可能由數據合規問題引發的一系列連鎖反應,如因數據泄露面臨的民事賠償、行政處罰、刑事責任或者影響目標公司上市進程等。
(二)投資并購中開展數據合規盡調的關注要點
數據合規盡職調查除公開方式核查、文件審閱和人員訪談等常規方法外還涉及技術調查,如開展“網絡平臺穿行測試”等特別手段。除常規法律盡職調查所關注的內容外,進行數據合規盡調主要關注以下三個方面的內容:(1)數據處理全生命周期的合法合規性;(2)數據安全和網絡安全的內控制度;(3)網絡和數據安全事件、事故和漏洞及合規問題引發的爭議、行政處罰、訴訟等。
1. 目標公司的基本情況
了解目標公司的業務模式,核查公司運營過程中可能涉及數據安全、數據跨境流動的環節,是進行數據合規盡職調查的前提條件。
1.1 目標公司業務模式和主營業務:判斷所屬行業,識別業務中的數據跨境場景和數據處理者角色,確定目標公司是否可能構成CIIO或處理個人信息達到一定數量的運營者,并進一步確定該行業是否涉及特殊數據監管規則,是否具有特殊的數據出境要求。
以汽車行業為例,《汽車數據安全管理若干規定》對汽車數據進行了列舉。《信息安全技術 網絡預約汽車服務數據安全要求》要求,網約車服務提供者的數據出境應對出境行為進行監測,如對租用的網絡鏈路進行出境流量分析、對服務APP與境外網絡通信行為進行檢測分析等,以及根據發展運營情況,每年應自行或委托第三方機構至少進行一次數據出境風險評估等。
1.2 目標公司內部系統的使用情況:內部系統的運維主體,服務器所在地,設立目的和功能,使用人及訪問人等。
1.3 目標公司相關平臺網站(包括APP、小程序、公眾號、網站等):平臺網站的設立目的和功能,數據收集的目的、范圍、使用等,隱私政策和用戶協議等。
2. 數據處理全生命周期的合法合規性
2.1 數據的收集
核查數據的類型、來源、數量、敏感程度、方式等,是否屬于個人信息、敏感個人信息、未成年人個人信息、重要數據或核心數據,是否為從第三方處獲取的數據。
2.1.1 對目標公司直接收集的數據,需核查數據獲取方式的合法性和正當性。如是否涉及用爬蟲技術獲取相關數據、是否取得個人信息主體的同意或授權、是否超出必要限度收集與提供的服務/產品無關的個人信息等。
2.1.2 對目標公司從第三方處獲取的數據,需核查第三方獲取及轉讓數據的合法合規性。如目標公司的數據采購、第三方的數據來源、獲取和使用方式是否合規等。
2.1.3 如果目標公司涉及個人信息的收集,需重點核查是否遵循“同意、合理、最小化”三原則,如目標公司是否明確告知、是否已經取得個人的明確同意、是否在個人授權的范圍內收集、是否限于實現處理目的之最小范圍收集、是否提供撤回同意的渠道、是否向個人提供查詢/更正/補充/刪除個人信息的渠道、是否告知個人信息的保存期限等。
2.2 數據的存儲
2.2.1 目標公司存儲數據的方式(自行存儲/委托第三方存儲)、存儲數據的位置(境內存儲/境外存儲)、存儲期限屆滿后的處理方式、收集到的數據能否境外存儲。
2.2.2 目標公司是否對數據進行了分類分級,是否備份,是否對特殊數據采取了充分的安全保護措施。對重要數據和個人信息是否脫密或加密處理,是否設置了數據隔離、訪問限制和權限管理。
2.2.3 是否取得數據主體的同意,存儲是否超過必要限度。
2.3 數據的使用、加工、傳輸、提供、公開
2.3.1 數據的使用方式、使用范圍:是否符合數據主體的授權范圍。
2.3.2 數據的出境:是否因業務需要等正當理由向境外第三方提供、共享或委托處理數據。如存在相關情形,應當關注以下內容。
(1) 擬出境數據的情況:屬于何種數據類型(重要數據/核心數據、個人信息及敏感信息),數據出境的規模和范圍,評估數據是否達到需申報安全評估的數量要求;目標公司內部是否已就數據出境等行為進行了審批,是否已經過監管機關備案或授權、是否滿足所涉行業的特殊監管規則;是否對境外主體訪問境內數據設有隔離、限制和權限管理等措施。涉及個人信息的,是否已向個人告知接收方的名稱或姓名、聯系方式、處理目的、處理方式和個人信息的種類,是否已征得個人的單獨同意。
(2) 境外接收方的情況:境外接收方所在的國家或地區相關數據安全保護規定和網絡安全環境;境外接收方的數據安全責任人和數據安全保護責任義務內容,其履行責任義務的管理、技術措施和能力等能否保障數據跨境的安全,以充分評估其數據安全的保護水平是否符合我國相關法律規定和強制性標準;境外接收方是否具備數據跨境傳輸和處理的相關經驗,是否曾發生數據安全和網絡安全相關事件,以及其是否進行了及時有效的處置、是否曾收到所在國家或地區要求其提供數據的請求及其應對情況。
需注意,未經我國主管機關批準,企業不得向外國司法或執法機構提供存儲于我國境內的數據,向外國司法或執法機構傳輸數據,并不屬于數據安全義務豁免的情形。
(3) 數據出境涉及的相關法律文件:是否簽署數據跨境轉移協議、告知書等,通過核查相關法律文件的條款,判斷數據出境的目的、范圍、方式等的合法性、正當性、必要性。如數據境外保存地點、期限;達到保存期限、完成約定目的或者法律文件終止后出境數據的處理措施;境外接收方將出境數據再轉移給其他組織、個人的約束性要求。
(4) 數據出境應當履行的必要程序:符合法律規定的重要數據或個人信息出境是否履行了自評估(數據出境風險自評估、個人信息保護影響評估)、安全評估申報等程序;目標公司及境外接收方是否留存了相應的日志記錄。
(5) 數據出境中和出境后到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險,個人信息權益維護的渠道是否通暢等。
3. 數據安全和網絡安全的內控制度
核查目標公司是否建立了網絡和數據安全管理制度、個人信息安全和保護制度、合作方管理制度,是否配備了相關組織人員,是否對可能發生的數據安全事件設置了應急預案和應對措施等。
4. 網絡和數據安全事件、事故和漏洞及合規問題引發的爭議、行政處罰、訴訟等
關注目標公司歷史上發生的數據安全和網絡安全問題,是否曾因違反《數據安全法》等遭受調查、行政處罰、訴訟、仲裁等,是否及時采取了相應整改措施,進一步分析相關事件可能引發的法律風險和經濟損失。關注目標公司目前是否仍存在導致同類爭議、行政處罰、訴訟、仲裁等事件發生的情況。
此外,在進行數據跨境合規盡職調查時,目標公司向律師提供的材料文件等的傳輸,也可能涉及數據的跨境流動問題,交易各方可通過簽署數據分享協議,確保相關數據的安全性和保密性,明確提供該等數據的目的、范圍和處理方式等,并約定在交易的相應階段有關方按照目標公司要求及時刪除、銷毀該等數據。
(三)如何規避投資并購交易中的數據合規風險
1. 陳述與保證條款
在制作交易文件時,可以基于對目標公司數據跨境的盡調情況,設置如下陳述與保證條款。
1.1 目標公司已遵守關于數據安全、網絡安全和個人信息保護的全部法律法規(包括但不限于中國法律規定、境外接收地法律規定)、合同義務。
1.2 目標公司處理數據的全生命周期(包括數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等)均合法合規,包括但不限于告知、獲取必要的同意及完成必要的審批、備案、評估。
1.3 目標公司已依照監管要求建立相關內控制度并采取相應保護措施,以確保數據和網絡安全,防止數據遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。
1.4 目標公司不存在/已披露與數據合規相關的現有和潛在的爭議、訴訟、索賠、政府調查以及數據安全事件。
1.5 著重強調與目標公司所涉行業相關的數據合規要點。以汽車行業為例,可要求目標公司、實控人承諾就汽車重要數據的處理,已遵循汽車數據處理者相關原則,已通過適當方式向個人信息主體告知相關事項,已按照規定開展風險評估,并向網信部門和有關部門報送風險評估報告和年度汽車數據安全管理情況等。
2. 交割先決條件或交割義務
2.1 個人信息方面。在針對目標數據的資產收購中,如果目標數據中包含個人信息(例如賣方將相關業務整體出售并將相關員工轉移給買方,或賣方從事酒店、電商等面向個體消費者的行業等情形),買方可要求將賣方取得員工/用戶/客戶等個人信息主體的同意作為交割先決條件或交割后義務,雙方可通過與個人信息主體的交互界面設計、相關告知文案通知以及溝通釋疑渠道設置等,促使個人信息主體同意。在股權收購當中,因兼并、重組等原因需要轉移數據的,企業也應當以合適的方式通知受影響的個人。因業務需要等正當原因確需改變數據處理目的、范圍和方式的,應重新征得個人同意。
例如,2019年美團全資收購摩拜,并將摩拜全面接入美團APP。在數據融合實施前,美團和摩拜通過彈窗發布“賬號融合用戶確認函”的方式,明確告知用戶將實現賬號互通并獲得用戶同意。
2.2 重要數據、核心數據或特定身份方面。如果目標公司涉及核心數據或重要數據處理,或目標公司具有特定身份(如CIIO等),可將完成特定的審批、備案或評估手續作為交割先決條件或交割后義務。
例如,在新能源收并購項目中,電力行業企業因能源行業的特性,被能源主管部門認定CIIO的可能性較大,但電力行業尚未出臺有關本行業的重要數據目錄,在盡調過程中可協同企業技術人員研判相關氣象數據、電站運營技術數據等是否屬于重要數據或核心數據,從而確定是否需要申報數據出境安全評估等等。站在投資方角度,若通過盡調發現目標公司確需進行數據出境安全評估的,建議將該等評估的完成作為交割先決條件,以確保實現并購目的,避免被處罰的風險。
2.3 數據安全事件、訴訟處罰方面。如果買方在盡職調查過程中發現了數據安全事件或漏洞、相關重大訴訟、監管問詢、行政處罰等,可將賣方或目標公司完成對數據安全問題的處理、整改作為交割先決條件,或者要求賣方在交割前將具有重大數據安全問題或隱患的相關資產剝離出目標公司。
2.4 如果盡調中發現目標公司內控制度瑕疵等其他重要數據合規問題,買方如認為有必要要求賣方或目標公司在交割前進行整改,則可將有關數據合規義務作為交割先決條件。
應當注意,前文提到的與數據合規相關的義務具體作為交割先決條件還是交割后義務,需要結合實現相關數據合規義務的預估時間和難度、相關數據合規義務的重要性等因素綜合考慮。
3. 賠償責任
如果目標公司違反數據合規相關的陳述與保證、交割義務或其他合同責任,目標公司可能會承擔民事責任(侵權之訴或違約之訴)、行政責任(尤其是上市公司)、甚至是刑事責任(例如拒不履行信息網絡安全管理義務罪、侵犯公民個人信息罪等)。為了避免該等風險,買方可要求在交易文件中約定數據合規相關的賠償責任條款。一旦賣方或目標公司違反其數據合規相關的陳述與保證、交割義務或其他合同責任致使買方遭受任何損失,買方可基于該等賠償責任條款向賣方或目標公司索賠。
對于賣方來說,可以對買方要求的賠償責任設置一些限制,例如只對買方的直接損失負責、設置賠償額上限、設置起賠額、設置索賠期限等,以避免賠償責任的無限放大。
四、 企業建立內部數據合規治理體系的思路
對企業而言,不僅是投資并購的盡調階段,在完成投資并購交易后的整合階段以及后續的日常經營活動中,均不能忽視數據跨境的合規性。企業有必要建立內部數據合規治理體系,定期或不定期開展內部數據合規情況調研。本文以跨國汽車企業為例,對其數據跨境提出一些具有參考性的合規建議。
第一,結合企業的實際運營模式,識別企業數據跨境傳輸場景和活動,明確數據監管要點。跨國車企收集到的數據包括但不限于車輛自身的數據、用戶數據和外部環境數據,數據跨境的典型場景包括但不限于將車內傳感器、車載及手機APP等收集到的數據傳輸并存儲至境外或通過云端進行境外遠程訪問。
第二,結合業務分布情況,梳理所涉國家或地區的數據跨境法律規則,識別禁止出境的數據類型、限制出境的數據類型以及可以傳輸的數據類型,制定企業數據分類分級清單,進一步確認適用的數據出境路徑。就我國跨境數據監管規則而言,個人信息和重要數據面臨不同的出境合規要求,汽車行業是較早明確了重要數據范圍的行業之一。在識別數據性質的同時,判定境內數據處理者是否存在特定身份,是否為CIIO或處理100萬人以上個人信息;是否自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息。在完成上述數據性質識別、數據處理者身份識別的基礎上,汽車企業可進一步判斷適用的數據出境路徑。如果數據性質或數據處理者身份存在以上任一情形,則應當適用官方評估路徑;如果不存在上述情形,但出境數據中包含個人信息,則應當適用認證路徑或標準合同路徑。
第三,對標監管要求對企業全跨境場景進行風險評估,參考監管規則、國際標準和同行業實踐,進行企業內部數據跨境合規體系建設。通過制定內部數據跨境安全評估制度、組織專業數據跨境安全評估人員和建立數據跨境內部自評估工具等,對企業的數據跨境行為進行動態評估。動態評估還應當關注可能存在的非典型數據出境情形并設置相應的規制流程,如車企員工在境外差旅/休假期間,通過該車企內網鏈接查詢、調取、下載、導出重要數據或個人信息,是否違反“境內儲存,出境評估”的規定。若出現企業無法預判的非典型數據出境場景,及時主動與主管部門溝通,尋求主管部門對該等事件的處理方案。
第四,提前為數據出境準備好相關法律文件等合規準備。建議企業以標準合同為基礎制定法律文件,以減少程序性負擔。如果出境數據包括個人信息和重要數據,建議在法律文件中將個人信息與重要數據進行拆分處理:個人信息相關條款參照標準合同,重要數據部分則通過單獨章節進行約定。此外,根據《網絡安全標準實踐指南 個人信息跨境處理活動安全認證規范》,建議車企在與境外數據接收方簽署的數據跨境合同或標準合同中,規定境外接收方應指定個人信息保護負責人和設立個人信息保護機構,并把包含上述合同文本作為申報數據出境安全評估(如需)的附件。
結語
包括數據跨境流動在內的一系列數據合規問題在投資并購交易中的重要性日趨凸顯,在數據合規盡職調查和交易結構設計的基礎上,如何將已識別的數據合規風險在交易文件中加以體現和明確,對交易活動的開展和完成至關重要。作為律師,在盡調過程中和盡調完成后應當在交易文件中明確各方有關數據合規問題的權利和義務,協助雙方落實陳述與保證、交割先決條件或交割后義務、賠償責任等條款,妥善處理數據合規問題,以便降低交易風險,確保交易順利完成。作為企業,應當關注數據全生命周期的合法合規性,根據監管要求識別不同的數據類型,以建立完善的內部數據合規體系,盡可能避免數據安全等事件給企業帶來的潛在風險。
滬公網安備 31010402007129號
