前沿观察,

投资并购交易文件中的数据合规条款

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

在前序文章中,我们介绍了数据合规尽职调查的必要性和常见问题(具体请见《投资并购中的数据合规尽职调查(上)》和《投资并购中的数据合规尽职调查(下)》,以及数据合规对投资并购交易结构设计的影响和考量因素(具体请见《并购交易结构设计——你心中有“数”吗?》)。

在完成投资并购交易的尽职调查及交易结构设计后,买卖双方需要进一步考虑如何通过交易文件合理规避投资并购交易中的数据合规风险,并厘清买卖双方各自的权利义务。

结合我们的相关项目经验,一般而言,买卖双方可从以下几个方面着手,在交易文件中处理有关数据合规的内容。

一、 陈述与保证

1.常见数据合规陈述与保证

投资并购交易文件中涉及的数据合规相关的陈述与保证主要关注:(A) 行为合规-数据整个生命周期(包括数据的收集、存储、使用、加工、传输、提供、公开、删除等)的各个环节是否合法合规;(B) 防范措施-是否建立制度、采取措施确保网络安全及数据合规,防止数据被非法窃取、泄露、转让、滥用、篡改或破坏;以及(C) 监管合规-是否发生了数据安全事件、数据安全漏洞、是否涉及数据安全和个人信息保护相关的重大诉讼、监管问询、行政处罚等。常见的数据合规相关的陈述与保证包括:

(1)目标股权所在公司(“目标公司”,针对股权交易)或卖方就目标数据(针对资产交易)已遵守关于数据安全、网络安全和个人信息保护的法律、法规和合同义务;

(2)目标公司处理数据(针对股权交易)或卖方处理目标数据(针对资产交易)的各个环节(包括数据的收集、存储、使用、加工、传输、提供、公开、删除等)均合法合规,包括但不限于获取必要的同意及完成必要的审批、备案、评估,如就员工/用户/客户信息的处理取得相关个人的同意(如适用,包括单独同意)、就重要数据的处理取得主管部门或网信部门的同意或备案、就特定数据的出境完成国家网信部门组织的数据出境安全评估等。

(3)目标公司(针对股权交易)已根据相关法律法规的要求建立相关制度、采取相应措施确保网络和数据安全,防止数据被非法窃取、泄露、转让、滥用、篡改或破坏等;

(4)卖方确认已披露了所有与目标公司数据(针对股权交易)或目标数据(针对资产交易)相关的现有和潜在的争议、诉讼、索赔、政府调查以及数据安全事件;

(5)确认目标数据(针对资产交易)不存在合法性瑕疵并且可转移给买方并由买方使用,不属于相关法律法规禁止交易的数据(如国家秘密等)。

结合目标公司或目标数据所涉行业,陈述与保证条款可考虑着重强调与其所涉行业相关的数据合规要点,以汽车和医疗行业为例:

(1)汽车行业:就汽车重要数据的处理,已按照规定开展风险评估,并向网信部门和有关部门报送风险评估报告和年度报告[1];依法在境内存储汽车相关重要数据;自动驾驶地图相关数据的采集、编辑加工和生产制作均由具有导航电子地图制作测绘资质的单位承担(如涉及)[2];以及未向外国的组织和个人以及在我国注册的外商独资和中外合资、合作企业提供、共享自动驾驶地图数据(如涉及)[3]等。

(2)医疗行业:医疗健康数据的采集已按照“一数一源、最少够用”的原则,避免重复采集、多头采集[4];已对医护人员访问医疗健康数据的权限实行分级管理,医护人员根据权限访问相应保密等级的电子病历资料[5];已规范医疗健康数据接入、使用和销毁过程的痕迹管理,确保医疗健康数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯[6];已对医疗健康数据进行本地化存储,涉及医疗健康数据出境的,已完成必要的审批、备案、评估等[7]。

上述数据合规相关的陈述与保证条款仅是参考性列举。实践中,需结合投资并购交易中数据资产的重要程度、风险高低及尽职调查的结果拟定相应的数据合规相关陈述与保证条款。

2.数据合规相关陈述与保证的考虑因素

(1)投资并购交易中,有时会出现卖方未能完整提供买方就目标股权或数据资产要求的尽职调查资料的情形。在该等情况下,买方往往较难对目标股权或数据资产所涉及的数据合规事项进行全面、深入的尽职调查,从而无法发现目标股权或数据资产全部已有及潜在的商业和法律风险。因此,买方可考虑要求卖方在交易文件中对尽职调查未能清楚查明的数据合规事项做出充分的陈述与保证。

(2)由于数据合规相关法律法规的要求较为庞杂,且实践中存在一些细节问题有待监管部门明确,卖方可能无法做出全面的数据合规陈述与保证。因此,有些卖方希望对数据合规相关的陈述与保证加上“重大”的限制。但对买方而言,由于如何界定“重大”在实践中仍存在不确定性,买方往往会倾向于去除“重大”的限制。对于该问题,需结合交易的背景、买卖双方的谈判地位和数据资产的重要程度等因素进行综合判断。

(3)由于数据合规相关的法律法规在不断更新,有些卖方可能会要求仅对特定期间(如最近三年或五年)的数据相关处理活动做出陈述与保证,而买方通常希望卖方就过去和现有(自目标公司/目标数据开始存续之日起)的数据处理活动的合规性做出陈述与保证。从数据合规角度,相关法律法规的追溯效力尚存在模糊之处,需整体把控陈述与保证的期间范围。

(4)卖方通常倾向于将所有已知的数据合规相关的违法、违规、违约情形或数据安全事件做成交易文件的附件向买方披露,并声明对已披露的事项不承担赔偿责任。而买方可以要求卖方在交割前或交割后对相关数据合规问题进行整改,并且可以要求卖方对部分卖方披露的数据合规问题承担特殊赔偿责任。

二、 交割先决条件、交割后义务与交割方式

1.交易过程中常见的数据合规义务

(1)个人信息

(i)针对资产交易

如目标数据中包含个人信息(例如,卖方将相关业务整体出售并将相关员工转移给买方,或卖方从事酒店、电商、或物流等面向个体消费者的行业等情形),买方可要求卖方取得员工/用户/客户等个人信息主体的同意。

相对来说,在资产交易中,取得员工的同意通常不会构成实施交易的重大障碍。但对于个人用户/客户而言,其是否同意卖方将其个人信息通过该等资产交易提供给买方,具有不确定性。买卖双方需协商探讨获取个人用户/客户同意的方式,例如与个人用户/客户的交互界面的设计、相关告知文案的措辞以及相关的沟通释疑渠道设置等,以尽可能促使个人用户/客户做出同意。买卖双方还应考虑是否需要获取相关个人信息主体的单独同意。

(ii)针对股权交易

a.如目标公司涉及个人信息处理且目标公司未将其持有的个人信息提供给买方,在这种情况下,个人信息处理者的主体身份并未发生变化,目标公司通常无需取得个人信息主体同意。

b.如目标公司涉及个人信息处理且目标公司将其持有的个人信息共享给买方,买方可要求目标公司取得员工/用户/客户等个人信息主体的同意。在这种情形下(更为常见),目标公司将其持有的相关个人信息共享给买方,该等共享行为或安排应《个人信息保护法》第23条中有关“提供”的规定,需取得个人信息主体的单独同意。

(2)重要数据、核心数据或特定身份

(i)针对资产交易

有些资产交易的标的可能会涉及核心数据或重要数据。考虑到核心数据和重要数据的重要性,其流转往往面临着监管部门的特别关注和更严格的合规要求,一般需要在交割前根据有关法律法规的要求完成必要的审批、备案或评估手续。

(ii)针对股权交易

如目标公司涉及核心数据或重要数据处理,或目标公司具有特定身份(如关键信息基础设施运营者、互联网平台运营者、工业和信息化领域数据处理者等),在该等情况下,交易一般会涉及特定的审批、备案或评估手续。

(3)数据安全事件、处罚等

如买方在尽职调查过程中发现了数据安全事件、数据安全漏洞、数据安全和个人信息保护相关重大诉讼、监管问询、行政处罚等,应要求卖方(针对资产交易)或目标公司(针对股权交易)完成对数据安全问题的处理、整改。买方也可考虑要求卖方在交割前将具有重大数据安全问题或隐患的相关资产剥离出目标公司。

(4)数据融合

不少“数据驱动型”股权交易涉及较多数据融合的安排[8]。如涉及数据融合,买卖双方一般会在交割前对数据融合的方案以及数据融合期间有关数据流转的附属协议(如需,如数据融合过渡服务协议或数据委托处理协议)达成一致,然后在交割后一定期限内根据数据融合计划及过渡服务协议进行数据融合。

(5)其他根据尽调结果设置的数据合规义务

就尽调中发现的其他重要数据合规问题,若买方认为有必要要求卖方(针对资产交易)或目标公司(针对股权交易)在交割前进行整改,则可将有关数据合规义务作为交割先决条件。

2.将数据合规事项作为交割先决条件或交割后义务的考虑因素

(1)前述数据合规相关的义务具体作为交割先决条件还是交割后义务,需结合以下因素综合考虑:

(i)实现相关数据合规义务的预估时间和难度

a.如果实现相关数据合规义务预计耗时较久、难度较大,卖方会更希望将该等数据合规义务作为交割后义务,这样可以降低因未能实现该等数据合规义务而无法交割或者花费较长时间实现该等数据合规义务而延误交割进度的风险;而对买方而言,如果实现相关数据合规义务预计耗时较久、难度较大,是否需要将该等数据合规义务作为交割先决条件取决于该等数据合规义务对买方的重要性。

b.如果实现相关数据合规义务预计耗时较短、难度较小,买方可考虑要求将其作为交割先决条件。

(ii)相关数据合规义务的重要性

a.如果某些数据合规义务对买方而言的重要性高,卖方完成该等数据合规义务是买方完成交割的前提(如对重大数据安全漏洞或违法违规事件的整改),即便相关数据合规义务预计耗时较久、难度较大,买方可能仍会考虑将其作为交割先决条件。

b.如果相关数据合规义务对买方的重要性相对较低,即使卖方无法完成该等数据合规义务买方仍可接受完成交割(如制定或完善目标公司数据保护政策),则为了不影响交割的确定性,买方可考虑将该等数据合规义务作为交割后义务(当然,设置交割后义务也应有前提,比如卖方并未完全退出,否则交割后义务对卖方的约束力有限)。

(2)如果某项数据合规义务作为交割先决条件体现在交易文件中,但卖方未能在交割前完成并购的数据合规义务,在该等情况下,买方可考虑在交割阶段豁免该等义务,或在适用的情况下将该等义务转换为交割后义务。为了保障交割后义务的完成,对于较为重要的交割后义务,买方可考虑要求设置明确的义务完成时间;一部分交易对价需在该等重要性较高的交割后义务完成后再支付;若因为卖方未及时完成该等交割后义务,买方有权从暂扣的交易对价中直接获得赔偿或采取其他救济措施。

(3)对卖方而言,需要明确哪些数据合规义务应由卖方完成、哪些应由买方完成、哪些应由买卖双方共同完成。如由于买方原因需涉及数据的跨境传输或需改变个人信息的使用目的,在适用的情况下,卖方可考虑要求相关数据合规义务(如取得个人信息主体的单独同意、完成相关审批、备案或评估手续)由买方自行完成,卖方提供协助、配合。

3.交割方式

针对股权交易,一般只需交割目标公司的股权,不涉及特定数据的交割,因此采取常规股权交易的交割方式即可。而针对资产交易,如目标资产中包含数据资产,则将涉及该等数据资产的交割。

由于数据资产一般都存储于特定的介质之中,数据资产的交割一般即数据资产所在介质所有权或控制权的转移,包括但不限于物理介质(例如硬盘、光盘、U盘或其他移动存储设备等)转移、服务器接管、电子系统权限账号密码转移等措施。如涉及数据传输还需要技术人员选择安全的传输方式和传输环境,例如网络隔离数据传输、加密传输(如设置SSL[9])、设置防火墙、查杀病毒等。

数据资产的交割还可通过数据交易平台完成[10]。国内目前的数据交易平台包括但不限于上海数据交易所、北京国际大数据交易所、中关村数海大数据交易平台等。数据交易所一般会对数据交易进行合规性审查(如要求对数据来源进行说明)、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯[11]。

三、 赔偿责任

1.常见的赔偿责任

根据数据合规相关法律法规,若卖方违反数据合规相关的陈述与保证、交割后义务或其他合同责任,买方可能面临直接或间接的民事赔偿风险(侵权之诉或违约之诉)、行政处罚风险(罚款最高可达到人民币五千万元或者上一年度营业额百分之五)、甚至是刑事责任(拒不履行信息网络安全管理义务罪、侵犯公民个人信息罪等)。

为了避免前述风险,买方往往会要求在交易文件中约定数据合规相关的赔偿责任条款。若因卖方违反其数据合规相关的陈述与保证、交割后义务或其他合同责任致使买方遭受任何损失(包括但不限于第三方索赔后政府处罚),买方可基于该等赔偿责任条款向卖方索赔。

卖方可以将已知的数据合规问题列入披露函,一般而言,对于卖方已在披露函中披露的数据合规问题,买方不能依据陈述与保证条款索赔。但对于买方认为风险敞口较大且卖方无法在交割前完成整改的数据合规问题,即使卖方已在披露函中披露,买方仍可要求将其作为特殊赔偿事项。

2. 赔偿责任设置的注意事项

(1)由于赔偿责任是一种事后救济,即使在交易文件中有相关条款支持,实践中买卖双方可能需要较长时间就是否赔偿及赔偿的金额达成一致,在无法达成一致的情况下还可能需要通过诉讼或仲裁的方式来解决,对买方来说较为被动。因此,对于交割前买方已获悉的数据合规问题(如尽职调查中发现的、卖方主动在披露函中披露的等),买方可考虑以此为筹码要求调整交易对价或要求卖方在交割前完成整改。

(2)就卖方而言,往往会希望对买方要求的赔偿责任设置一些限制,包括但不限于:

(i)赔偿额上限:卖方可要求设置赔偿额上限,对于超过赔偿额上限的索赔不予赔偿。一般会将赔偿额上限设置为交易金额的一定比例。具体将赔偿额上限设定在多少需结合风险敞口大小(含数据合规问题的风险敞口)来决定。对买方而言,除非已在交易对价中予以扣减,需尽可能争取赔偿额上限可以覆盖尽职调查中发现的数据合规问题的风险敞口(比如,若在尽职调查中发现个人信息相关的合规问题,在设置赔偿额上限时,需考虑是否能覆盖《个人信息保护法》下的顶格处罚人民币五千万元或者上一年度营业额百分之五)。

(ii)设置起赔额:卖方可要求设置起赔额,对于未达到起赔额的索赔不予赔偿,这样可以避免因过小的索赔金额触发双方谈判,导致不必要的交易成本。如仅有个别员工/用户/客户就其个人信息被不当处理要求索赔,若未达到起赔额,买方无权向卖方提出索赔。

(iii)设置索赔期限:卖方可以要求设置索赔期限,对于超出索赔期限的索赔不予赔偿。对卖方而言索赔期限越短越好,一般不宜超过法定的诉讼时效。由于数据合规问题风险敞口较大(罚款最高可达人民币五千万元或者上一年度营业额百分之五),卖方可考虑要求针对数据合规相关的陈述与保证设置更长的索赔期限。

四、解除

1.合理设置最终完成日(long-stop date)

由于部分交割先决条件是否能完成存在不确定性(如受限于政府部门的审批、备案、网信部门的数据出境评估或第三方的同意等),可结合相关交割条件预估耗时合理设置最终完成日,截至最终完成日如果未完成交割先决条件,非过错方可要求解除合同。

2.违反陈述与保证

买方可在交易文件中要求在卖方(针对资产交易)或目标公司(针对股权交易)在严重违反数据合规相关的陈述与保证条款的情况下买方享有解除合同的权利。为了确保交易确定性,卖方可要求,仅针对数据合规相关陈述与保证的重大违约或者仅针对特定重要性高的数据合规相关陈述与保证,买方才享有解除合同的权利。

3.数据合规相关法律法规发生重大变化

如在交割前数据合规相关法律法规发生重大变化并对投资并购交易造成重大不利影响(如交易所涉及的数据变为不可交易或不可使用的数据),买方可要求解除合同的权利。需要注意的是,由于数据合规相关法律法规在不断更新、完善中,如果数据合规相关法律法规的变化较为轻微或者未对投资并购交易造成重大不利影响(如数据合规相关的审批、备案流程发生些许变化),为了确保交易确定性,卖方一般不会同意给予买方解除合同的权利。

结语

数据合规问题在投资并购交易中的重要性已日趋凸显。在初期数据合规尽职调查和交易结构设计的基础上,如何将已识别的数据合规风险在交易文件中加以体现和明确,对交易活动的开展和完成至关重要。

一般而言,我们建议买卖双方从陈述与保证、交割先决条件/交割后义务、赔偿责任、解除等条款着手,在交易文件中明确各方有关数据合规问题的权利和义务。尽管我们在上文中作了例举,但实践中,仍需要根据交易背景、买卖双方和目标公司或目标资产的具体情况、所涉及的数据种类/数量/范围等因素进行综合分析判断,力求在交易文件中妥善处理数据合规问题,降低交易风险、确保交易顺利完成。

《汽车数据安全管理若干规定(试行)》第10条。

《关于加强自动驾驶地图生产测试与应用管理的通知》第一条。

《关于加强自动驾驶地图生产测试与应用管理的通知》第二条。

《人口健康信息管理办法(试行)》第6、8条的规定。

《国家健康医疗大数据标准、安全和服务管理办法(试行)》第22条。《医疗机构病历管理规定》第6条。

《人口健康信息管理办法(试行)》第18条。《电子病历应用管理规范(试行)》第14、16条。

《国家健康医疗大数据标准、安全和服务管理办法(试行)》第30条。

例如2014年美国知名社交平台F公司收购即时通讯软件公司W公司,以及2018年4月中国M公司收购某单车出行公司( “B公司”),被收购的目标公司均持有大量的用户个人信息。

安全套接字层(SSL)是对两台计算机之间传输的数据进行加密的协议。SSL可以确保计算机之间的通信安全。SSL可以对用户名/密码的认证进行加密,还可以对服务器与客户端之间的交换内容进行加密。

根据《数据安全法》第19条,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。根据《上海市数据条例》第56条,市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。

《上海市数据条例》第67条。

参考资料

  • [1]

    《汽车数据安全管理若干规定(试行)》第10条。

  • [2]

    《关于加强自动驾驶地图生产测试与应用管理的通知》第一条。

  • [3]

    《关于加强自动驾驶地图生产测试与应用管理的通知》第二条。

  • [4]

    《人口健康信息管理办法(试行)》第6、8条的规定。

  • [5]

    《国家健康医疗大数据标准、安全和服务管理办法(试行)》第22条。《医疗机构病历管理规定》第6条。

  • [6]

    《人口健康信息管理办法(试行)》第18条。《电子病历应用管理规范(试行)》第14、16条。

  • [7]

    《国家健康医疗大数据标准、安全和服务管理办法(试行)》第30条。

  • [8]

    例如2014年美国知名社交平台F公司收购即时通讯软件公司W公司,以及2018年4月中国M公司收购某单车出行公司( “B公司”),被收购的目标公司均持有大量的用户个人信息。

  • [9]

    安全套接字层(SSL)是对两台计算机之间传输的数据进行加密的协议。SSL可以确保计算机之间的通信安全。SSL可以对用户名/密码的认证进行加密,还可以对服务器与客户端之间的交换内容进行加密。

  • [10]

    根据《数据安全法》第19条,国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。根据《上海市数据条例》第56条,市场主体可以通过依法设立的数据交易所进行数据交易,也可以依法自行交易。

  • [11]

    《上海市数据条例》第67条。

  • 展开
最新文章
前沿观察
在各国的专利审查过程中,评价权利要求是否具有新颖性或创造性,需要进行详尽的文献检索,根据找到的对比文件判断该专利是否具备新颖性和创造性。而其中至关重要的一环在于对比文件能否认定为现有技术,这一认定对于专利授权和无效而言非常重要。前不久,笔者收到一个提问:专利申请通过巴黎公约途径进入美国,其申请在先、公开在后的优先权基础专利是否构成现有技术影响其他在后美国专利申请的新创性?相信这也成为许多申请人关心的问题。本文结合《美国发明法案》(America Invents Act, AIA)的相关规定,探讨这个问题背后的逻辑和影响。知识产权-专利

2024/11/28

前沿观察
2024年8月,亚洲开发银行(下称“亚行”)经审核后,认可金杜担任某被制裁企业的合规监管人(Compliance Monitor)。被制裁的是一家水利工程行业的国有企业,该企业在2018年投标时提交了不真实的业绩证明,亚行认为其构成欺诈,因此对该企业及其下属单位做出取消投标资格4年的制裁决定,如果企业完成合规整改等义务则最早可以在制裁决定生效3年后申请解禁。在制裁期限内,企业需聘请合规监管人,对其合规整改的情况进行监督和评价,并向亚行汇报。争议解决与诉讼-合规调查及公司治理,金融机构-多边开发性金融机构

2024/11/27

前沿观察
近年来,越来越多的中国企业将目光投向海外市场,寻求更广阔的发展空间。出海为中国企业带来新的商业机遇的同时,也带来全新的海外税收挑战。如何提高资金利用效率、降低集团整体税负成本;如何优化供应链、构建境内境外公司关联交易安排;如何提升企业税务合规,避免重大税务风险,都是在海外投资中常见的税务问题。 为更好助力企业海外发展战略,我们特推出企业出海税务指南系列文章,对出海企业海外投资架构搭建、业务规划及运营管理等方面涉及的税务规划进行探讨。本篇文章将重点讨论境外控股架构搭建中的税务考量。税务-税务合规及税务筹划

2024/11/27