投资并购中的数据合规尽职调查（上）

随着数字经济的发展，数据已成为新的生产要素。数据所蕴含的巨大商业价值也愈发被市场发现和认可。企业数据资产占企业总资产的比重越来越高。

在投资并购交易中，企业数据资产的合规性逐渐成为重点关注问题，尤其在数据资产价值占总资产价值比重较高或数据资产对企业运营重要性较高的情况下。企业数据资产如果存在严重不合规的问题，如数据来源违法、数据的处理活动违法等，可能影响投资并购交易的流程和结构（例如事先剥离有合规问题的数据资产），还可能影响交易标的的估值（例如降低估值以覆盖数据合规问题对应的风险敞口），更甚者可能会成为投资并购交易的“deal breaker”。

一、 并购交易中为什么需要做数据合规尽调？

(一)    忽视数据合规尽调或为交易“埋雷”

某知名酒店（“A酒店”）的客房预订系统自2014年受到黑客攻击便开始存在系统漏洞。2016年，某大型国际集团（“B集团”）完成了对A酒店的收购，B集团在对A酒店进行尽调过程中未发现该等系统漏洞，直至2018年才发现并公开披露了该等系统泄露。经评估，约有3亿多A酒店客户的个人信息被黑客窃取。2020年，境外个人数据保护监管机构宣布向B集团就包括前述数据泄露事件在内的数据合规问题处以约人民币1.5亿元的罚款。除前述行政处罚外，B集团还在欧洲、美国、加拿大等多地面临集体诉讼及高额索赔。B集团在收购A酒店时的数据合规尽调不够充分，因此未及时发现A酒店的系统漏洞。如果B集团对数据合规尽调更加重视，或许能在尽调阶段就发现A酒店的系统漏洞，从而可以提前应对并降低风险（如通过降低收购价格的方式将可能的风险敞口覆盖或收购后尽早整改系统漏洞等）。

类似的案例还包括某知名境外公司（“M公司”）收购某基于云的多渠道支付平台（“S公司”）。M公司于2017年以2亿多美元完成对S公司的收购。但收购后，M公司发现有黑客自S公司存储信息的服务器窃取了约100万用户的个人信息（含个人金融信息），出于安全考虑，M公司于同年11月暂停了S公司的所有业务，并随后彻底关停S公司。M公司未能在收购尽调过程中发现S公司的数据安全问题，导致2亿多美元收购款最终付诸东流。

由上可见，忽视数据合规尽调可能会给并购交易带来不可控的风险。从中国法角度来看，该等风险包括但不限于标的公司和/或其负责人/直接责任人可能面临民事赔偿风险（侵权之诉或违约之诉）、行政处罚风险（对公司而言罚款最高可以达到人民币五千万元或者上一年度营业额百分之五，情节严重的可能被责令停业整顿甚至吊销营业执照，负责人/直接责任人可能面临罚款、拘留）、甚至是刑事责任（拒不履行信息网络安全管理义务罪、侵犯公民个人信息罪等）。

(二)    数据合规尽调对于买方的意义

数据合规尽调对买方最主要的意义之一在于有助于评估购买目标公司数据资产可能存在的法律风险。如经评估发现法律风险高，风险敞口大，买方可选择调整收购价格、设置交割先决条件，甚至终止交易。前述提及的M公司与S公司的交易中，如果能通过数据合规尽调发现S公司的数据安全问题，采取措施降低风险，或可避免支付高额收购价款后再关停S公司的不利结果。

一家总部位于美国的大型飞机结构件制造商（“S制造商”）在2018年5月宣布拟以6.5亿美元的对价收购一家比利时飞机零部件制造商，（“A制造商”），后由于在2019年6月了解到A制造商的系统受到勒索软件攻击并导致A制造商中止了数家工厂的运营，S制造商与A制造商进行协商将拟收购对价下调至4.2亿美元。2020年9月，该交易由于A制造商在最晚交割日（Long Stop Date）前未能达成交割先决条件（包括取得欧洲委员会European Commission的同意，其中数据安全问题是European Commission关注的重点之一）最终被取消。

以上案例再次表明，数据合规尽调对一项并购交易而言可能是举足轻重的。网络安全或因其他原因导致的数据合规问题（包括个人信息的泄露事件）都可能影响交易的价值，甚或决定交易是否继续进行。

虽然数据合规尽调结果并不是在每个交易中都扮演“to do or not to do”这样的核心角色，但就交易本身而言，数据合规尽调的结果通常有助于买方准确评估目标公司股权或数据资产的估值，特别是当目标公司是数据驱动型或数据资产比重较大的标的时：

（1）股权交易中，数据资产价值占总资产价值比重越高或数据资产对目标公司的重要性越高，数据资产存在数据合规问题对目标公司股权估值的影响就越大；

（2）资产交易中，若数据资产存在的数据合规问题越严重，对数据资产的估值影响也就越大。

S制造商股权收购A制造商的交易中，虽然最终交易被取消，但在交易过程中，正因为S制造商及时发现了A制造商的数据合规问题，将拟收购价格从6.5亿美元下调至4.2亿美元（约下调35%）。此前，一家大型跨国电信集团（“V集团”）收购一跨国互联网集团（“Y集团”）的过程中，也遇到了类似的问题，因V集团收购Y集团过程中发现Y集团存在大规模数据泄露事件，最终收购金额下调了3.5亿美元，且V集团还承诺与Y集团共同承担数据泄露产生的责任（包括相关政府机构调查的费用和第三方索赔的责任等）。

(三)    数据合规尽调对于卖方的意义

数据合规尽调对卖方而言同样意义重大。卖方与其等到买方通过数据合规尽调发现目标公司的数据合规问题后以此为筹码要求降低最初承诺的对价或终止交易，不如在交易前未雨绸缪，自行或聘请第三方机构开展数据合规尽调，提前厘清目标公司的数据合规问题并有针对性地进行整改。目标公司在根据数据合规尽调完成合规整改后，其标的股权的估值或数据资产的估值将得以提升，交易的确定性得以提高，还可以此为亮点吸引更为优质的买家。

由于中国政府对网络安全与数据合规的监管日趋严格，尽早完成数据安全合规整改，还可在一定程度上避免卖方面临民事、行政和/或刑事责任。若目标公司后续有上市的打算，尽早整改也可以避免目标公司在报告期内因存在数据合规问题而影响上市的进程。数据合规问题在中国境内上市过程中已是审核机关重点关注的问题之一，尤其数据资产价值占总资产价值比重较高或数据资产对公司重要度高的企业常被审核机关重点问询数据合规问题。

二、 数据合规尽调强需求领域

在各类并购交易中，如果目标公司或资产涉及特定身份、数据种类、行业或数量较多的个人信息，则需要对数据合规问题提高警惕并予以重点关注：

(一)    身份维度：关键词 - 关键信息基础设施

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等[1]。根据《关键信息基础设施安全保护条例》，关键信息基础设施的认定由相关行业和领域的主管部门、监督管理部门负责，并向相关运营者发出通知[2]。

如目标公司被认定为关键信息基础设施运营者，则需遵守本地化存储其在中国境内运营中收集和产生的个人信息和重要数据，向境外提供重要数据或个人信息需通过安全评估，采购网络产品和服务可能影响国家安全的应通过安全审查等更为严格的网络/数据合规要求[3]。

如目标公司的业务与关键信息基础设施相关（如向关键信息基础设施运营者提供产品或服务），该等业务可能受制于《网络安全审查办法》所提出的审查机制[4]，如未能满足相关数据合规要求，目标公司的业务可能会受到不同程度的影响。

(二)    行业维度：关键词 - 重要数据/核心数据

重要数据的概念早在2017年就出现在了《网络安全法》中[5]。重要数据通常指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。2021年，《数据安全法》进一步提出了核心数据的概念，并将其解释为关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据[6]。

重要数据和核心数据往往意味着监管部门的特别关注和更严格的合规要求，包括出境限制、本地化存储要求、定期风险评估、定期备案等[7]。未能满足该等要求的可能会面临严厉的处罚。

根据我们的观察，行业/领域是识别重要数据和核心数据的重要因素之一。根据《数据安全法》，我国对数据采取分类分级管理，各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护；对于核心数据，实行比重要数据更加严格的管理制度[8]。

截止日前，汽车行业率先明确了重要数据的范围，包括敏感区域地理信息、车流量信息、充电网运行数据、包含人脸或车牌信息的车外音视频、涉及个人信息主体超过10万人的个人信息等[9]。其他行业尚未出台生效的部门规章或规定明确其核心数据、重要数据的范围。

参考一些早前或新近发布的法规或国家标准的征求意见稿[10]，包括工业、科技、电信、能源、交通、水利、金融、国防科技工业、海关、税务在内众多行业和领域均有可能存在重要数据和核心数据。另外，我们注意到包括人工智能、互联网平台、自动驾驶行业等[11]以数据资产作为关键生产要素及驱动力的领域，数据合规亦敏感且重要。

其他可能涉及医疗、人类遗传资源、测绘等方面的经营活动，由于处理的数据较为敏感（如健康大数据信息、地理信息等），亦需提高对数据合规问题的重视。

对于以上行业，若数据资产存在法律瑕疵，可能会对目标公司的运营造成重大不利影响，因此数据合规尽调的必要性更高。

(三)    个人信息保护维度：关键词 – 个人信息主体数量

酒店、教育、电商、物流、航空、零售、快消等行业的企业在运营过程中一般会处理较多个人信息，相应的个人信息合规风险也会更高。如果目标公司在运营过程中涉及较多个人信息的处理，则或需遵守本地化存储其在中国境内运营中收集和产生的个人信息，向境外提供个人信息应通过安全评估，指定个人信息保护负责人等更为严格的数据合规要求[12]。

另外，对于较大规模的公司（如集团公司、设有大型工厂的公司、跨国企业），其内部员工个人信息的管理也是数据合规的风险点。实务中较为常见的合规问题包括向境外总部传输员工个人信息、向境内第三方（如外部人力资源管理服务商）共享或委托处理员工个人信息等。这些环节中的合规问题同样值得重视。

三、 数据合规尽调中的常见问题

(一)    数据合规尽调要“查”什么？

数据合规尽调主要关注的内容有三个方面：第一，数据整个生命周期（包括数据的收集、存储、使用、加工、传输、提供、公开、删除等）的各个环节是否合法合规；第二，是否建立制度、采取措施确保网络安全及数据合规，防止数据被非法窃取、泄露、转让、滥用、篡改或破坏；第三，是否发生网络安全事件或个人信息泄露事件，如数据安全漏洞、数据安全事故、涉及重大诉讼、监管问询、行政处罚等。具体而言，为了核实以上三方面情况，一般会向目标公司确认以下信息：

1. 目标公司基本信息

主营业务与所属行业、提供的产品和/或服务内容、是否存在境外子/分公司、是否被有关部门认定为关键信息基础设施运营者或为关键信息基础设施运营者提供产品或服务、公司使用系统的情况（包括系统名称、运维主体、服务器位置、主要功能、使用用户种类等）、公司运营平台（包括APP、小程序、公众号、网站、H5等）的情况。

2. 数据的收集与存储

收集、存储数据的种类及情形、是否收集、存储个人信息、敏感个人信息、未成年人个人信息、重要数据、对于从第三方获取的数据（如有），是否已向第三方核实已取得所需同意、对于自主收集的数据，是否获得相关授权/同意、是否涉及通过爬虫方式获取数据、数据的存储方式、期限、位置及存储期限届满后的处理方式、第三方SDK使用的情况、是否更新了隐私政策、是否超出必要限度收集与提供的服务/产品无关的个人信息、是否对数据进行分类、是否备份、脱敏/加密重要数据和个人信息、是否对个人敏感信息隔离存储、是否对数据的访问设置限制等。

3. 使用、加工、传输、提供、公开

是否涉及超出授权范围处理数据、是否涉及将个人信息和重要数据提供至境外，如涉及，是否通过数据出境安全评估、是否涉及数据委托处理、是否涉及集团内部或外部数据转移或传输的情况，如涉及是否取得相关授权/同意、是否使用第三方平台存储数据等。

4. 数据合规与网络安全体系及人员安排

是否制定数据安全与网络安全政策、是否建立个人信息安全影响评估制度、是否向员工提供网络安全与数据合规培训、是否在与员工的劳动合同中加入数据合规与网络安全条款、是否设置网络安全和个人信息保护的部门及相关负责人、是否部署网络安全运行安全保护相关的系统、是否已就所有信息系统确定系统安全保护等级并完成等级保护备案、是否制定网络安全应急预案，并定期开展网络安全应急演练、是否建立网络安全监测预警和信息通报制度、是否定期进行网络安全审计、是否设置受理并处理用户投诉和举报的机制等。

5. 网络安全事件/个人信息泄露事件

是否曾经发现自身产品、服务存在恶意程序、安全缺陷、漏洞等风险，或者受到网络攻击或网络入侵、是否曾发生或者可能发生个人信息泄露、毁损、丢失的情况、是否曾因违反网络安全法、侵犯个人信息受到过民事起诉、行政执法调查或处罚、刑事调查或起诉等。

(二)    数据合规尽调与常规法律尽调方法有何不同？

1. 尽调内容和侧重点有所不同

常规的法律尽调方式包括独立公开调查、文档审查、人员访谈等。

常规法律尽调在独立公开调查过程中需调查目标公司的股权结构、历史沿革、主营业务等，而数据合规尽调则关注目标公司及其他集团公司在开展主营业务的过程中分别可能涉及哪些类别的数据、涉及数据流转过程中的哪些环节以及数据流转的每个环节是如何开展的。

常规法律尽调在文档审查阶段一般是围绕股权、业务、资产、知识产权、财务、税务、劳动、诉讼与行政处罚等板块来收集，而数据合规尽调一般围绕数据整个生命周期的各个环节是否合法合规、数据合规相关制度及网络安全事件来收集。比如数据合规尽调关注与数据流转相关的协议，如用户协议、数据共享协议、数据处理协议、数据跨境传输协议等，以及更关注数据合规相关的制度与政策，隐私权政策、网络安全制度、数据安全制度等，用以核实数据流转过程的安排及数据合规相关内控制度的合规性。

人员访谈与文档审查阶段相似，与常规法律尽调相比，数据合规尽调主要关注数据合规板块的合规性（如向员工收集了哪些个人信息，如何存储员工的个人信息，是否涉及向第三方提供员工的个人信息，如涉及是否取得相关授权/同意等），访谈的人员通常会包括HR负责人及IT技术负责人。

2. 或涉及常规法律尽调方法以外的方法

除常规法律尽调用到的独立公开调查、文档审查、人员访谈等审查方法外，数据合规尽调还可能涉及技术调查，可以对目标公司的数据安全、网络安全系统从技术层面进行进一步调查，该等技术调查可由法律人员与技术类人员合作配合完成。

(三)    专项数据合规尽调还是常规法律尽调中“一带而过”？

随着《网络安全法》《数据安全法》及《个人信息保护法》这“三驾马车”及相应配套法律法规的陆续出台，数据合规的重要性日益提升。相较于专项数据合规尽调，常规法律尽调对数据合规板块常常“一带而过”，仅关注一些比较high level的问题，如是否制定了隐私政策、是否涉及个人数据的买卖、是否涉及网络安全事件、是否遵守数据合规的相关法律法规等，颗粒度较低。

考虑到数据合规的重要性日益提升，虽然不是所有交易都需要专项数据合规尽调，但“一带而过”可能已经远远不够。形式本身并不是最重要的，关键在于对数据合规问题是否能有与数据资产的重要程度和可能的风险等级相匹配的深度和广度的调查。一般而言，数据资产价值占总资产价值比重越高或数据资产对目标公司的重要性越高，对数据合规问题尽调深度、广度的要求越高。在数据资产价值占总资产价值比重高或数据资产对目标公司重要性高的情形，可以考虑开展专项数据合规尽调或对常规的法律尽调中的数据合规板块进行加深、提高颗粒度。

(四)    股权交易与资产交易中的数据合规尽调有何区别？

股权交易中，买方购买目标公司的股权，成为目标公司的股东，相关数据资产一般仍在目标公司名下，买方未直接持有数据资产。资产交易中，买方在交割完成后将直接成为数据资产的所有人。如果未来数据资产出现合规问题，在股权交易中，买方作为目标公司的股东，将间接承担责任，但如果合规问题严重，买方委派的法定代表人或董监高可能面临直接的责任。在资产交易中，买方作为数据资产的所有人，将直接对数据资产的风险承担责任。考虑到股权交易与资产交易的交易结构不同决定的前述买方的责任、义务的不同，股权交易与资产交易中对数据合规尽调的颗粒度要求可能不同。

另外，资产交易中涉及资产的交付，对于数据资产而言，则会涉及数据的转移。如果数据中包含个人信息，则有可能涉及取得个人信息主体的同意，这就需要在数据尽调中了解最初的个人信息取得的方式和范围，是否需要重新取得个人信息主体同意。同样，如果交易的数据资产中包括重要数据或核心数据，则数据尽调应了解重要数据或核心数据来源的合法性以及对向买方传输是否有法律上和合同上的限制。

四、 结语

数字经济时代一方面数据资产的价值在不断提升，另一方面数据合规的要求也日趋严格，这对并购交易提出了新的挑战。

目前数据合规尽调已是欧盟、美国等司法管辖区域的并购交易中较为常见的环节，而在中国的并购交易中，数据合规尽调尚未受到足够的重视。

如前文所述，数据合规尽调将可能影响交易标的的估值，交易架构的设计以及在特定交易中成为左右交易是否继续进行的重要考量因素。数据合规尽调对于并购交易的买卖双方来说都同等重要。

除了本文讨论的并购交易的数据合规尽调外，并购交易中面临的另一个新问题是如何确保并购交易尽调过程本身的数据合规。我们将在下一篇文章中进行专门的分析。