前沿观察,

并购交易结构设计——你心中有“数”吗?

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
中国香港特别行政区
新加坡
美国
全球

在并购交易中,交易结构设计是前期极为重要的一个环节,是在综合考量具体项目情况、现行法律规则以及各方商业利益诉求的基础上,为交易勾勒出的一幅整体蓝图,后续交易文件起草及执行均应基于经各方确定的交易结构而进行。交易结构设计的内容通常包括交易主体的选择和架构搭建、收购的方式和范围、对价支付方式、融资方式、主要流程和步骤、时间表等。

影响交易结构设计的因素有诸多方面,比如交易双方的业务计划、税务筹划、资金流转安排、管理架构、实现交割所需的时间、法律流程及合规性等。合理的交易结构设计不仅要满足交易双方的商业安排,还应在最大程度上降低交易的不确定性和风险。

随着近年来数据资产价值不断提升以及数据合规重要性日益凸显,在并购交易结构设计时,尤其是数据资产在交易标的中所占比重较大或重要性程度较高的并购交易(如互联网、自动驾驶、人工智能、大数据、高科技等行业的收购)中,需要同时考虑数据合规的要求及影响。

传统的交易结构主要包括资产交易和股权交易两种方式,本文将重点分析数据合规对交易结构设计带来的影响以及交易结构设计时需考虑的相关因素。

一、   数据合规对交易结构设计的影响

1.      资产交易

资产交易是指买方直接向卖方购买相关资产(通常是为业务整体转让之目的),例如土地房产、机器设备、知识产权等,同时可能会伴随员工转移安排。通常情况下,资产交易中买方可以灵活选择其希望购买的资产,同时也无需承担目标公司历史上的法律风险;但同时,资产过户及人员转移的程序较为复杂、耗时较长,并且可能影响业务连续性。

就传统的资产交易而言,如果拟购买的资产或业务中涉及个人信息、重要数据或核心数据[1],则该资产交易会涉及前述数据的转移或共享。交易结构的设计需考虑数据转移或共享过程中的合规要求:

(1)  个人信息

如果目标资产或业务中涉及个人信息,比如员工的个人信息(如卖方将相关业务整体出售并将相关员工转移给买方)或用户/客户的个人信息(如卖方从事酒店、电商、或物流等面向个体消费者的行业),则卖方应取得相关员工或用户/客户个人的单独同意。相对来说,在资产或业务交易中,取得员工的单独同意通常不会构成实施交易的重大障碍。但对于个人用户/客户而言,其是否同意卖方将其个人信息通过该资产交易提供给买方,将具有不确定性。

从交易结构设计角度来看,如果该等用户/客户个人信息对目标资产或业务的重要性很高,则买方需要考虑和防范卖方未能取得多数个人用户/客户单独同意对交易造成的影响。一方面,双方需协商探讨获取个人用户/客户单独同意的方式,例如与个人用户/客户交互界面的设计、相关告知文案的措辞以及相关的沟通释疑渠道设置等,以尽可能促使个人用户/客户做出单独同意;另一方面,为避免争议,双方应在交易文件中设置相应机制(如将卖方获得多数个人用户/客户的单独同意作为交割条件、设置宽限期等),以及明确未能顺利获得多数个人用户/客户单独同意时的风险承担问题。

(2)  重要数据或核心数据

如果前述目标资产或业务中涉及重要数据或核心数据,则需要考虑提供该等重要数据或核心数据是否受到法律上的限制或禁止,或必须履行的必要审批或备案手续。

国家互联网信息办公室于2021年11月发布的《网络数据安全管理条例(征求意见稿)》(“《数安条例草案》”)中规定,数据处理者共享、交易重要数据应满足以下规定:

(a)  征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意[2]。

(b)  自行或者委托数据安全服务机构进行安全评估,如果评估认为可能危害国家安全、经济发展和公共利益,则不得共享、交易重要数据[3]。

另外,2022年2月工信部发布的《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)(“《工信数安管理办法草案》”)规定:

(a) 工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。

(b) 涉及重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案[4]。

当然前述草案规定的情形是否完全适用于资产交易中数据流动的情形以及后续正式出台的法律法规是否会有变化尚不明确,但可以确定的是,考虑到国家对重要数据和核心数据的合规要求,重要数据或核心数据的流动会受到较严格的监管。

从交易结构设计的角度,如果资产交易中重要数据或核心数据的流动受到限制,则买方需要考虑资产交易方式是否合适且是否有替代性方案。如涉及审批或备案手续,该等事项应在交易文件中(例如作为交割条件等)体现。

上述分析主要涉及的是数据合规对传统资产交易中涉及个人信息、重要数据/核心数据的影响。随着数据资产价值日益凸显,在某些交易中获取相关数据资产是买方的一个核心商业诉求。这就涉及到数据资产本身的交易问题。

资产可进行交易的前提是其权属明确。由于数据可能涉及个人隐私、人格性权益保护、国家安全、公共利益并且具有易被复制、可被多个主体同时控制等特性,能否以及如何界定数据的权属是一个高度复杂的问题。当前理论界和实务界在现有法律基础上尚未就如何进一步界定数据权属提出基本方案、形成基本共识,还需进一步探索实践[5]。

尽管如此,部分地方性法规在确认数据相关的财产性权益方面已有突破[6]。此外,数据的可交易性也需要被重点关注。如《上海市数据条例》规定,以下数据不得交易:

(i)  危害国家安全、公共利益,侵害个人隐私的;

(ii) 未经合法权利人授权同意的;

(iii) 法律、法规规定禁止交易的其他情形。

从前述规定来看,个人信息、重要数据或核心数据,除非满足法律法规的要求,通常并不属于可以交易的数据。根据公开信息,目前在各地成立的数据交易所挂牌交易的数据产品主要包括公共数据、行业相关数据等。 鉴于此,在本文中,我们讨论的资产交易主要指传统意义上的资产交易而非特定的数据资产的交易。

2.      股权交易

股权收购是指买方通过收购目标公司的股权从而间接获得目标资产及相关资质、人员等。相对资产交易而言,股权交易过户简单、流程便捷。但是,股权交易中的买方需要继承目标公司历史风险,例如诉讼、环境责任、员工责任等。股权收购仅导致目标公司股东的变更,而不涉及资产在不同主体之间的转移。

如果目标公司持有个人信息、重要数据或核心数据,或者目标公司具有特殊身份(如系关键信息基础设施运营者(“CIIO”)),股权收购可能触发通知个人信息主体或征得其同意、以及向政府部门报告或获得审批等义务。

(1)目标公司持有个人信息

如果目标公司持有个人信息,其自身股权被收购时,目标公司作为数据处理者是需要向个人信息主体作出通知还是取得同意?以下表格总结了目前现行法律、国家标准以及相关法规征求意见稿的相关内容:

本文的重要数据或核心数据是指《中华人民共和国数据安全法》及相关法律法规或国家标准中提及或界定的数据,并非由企业根据自身业务数据的重要性而作的分类和界定。

《网络数据安全管理条例(征求意见稿)》第33条。

《网络数据安全管理条例(征求意见稿)》第32条。

《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)第22条。

例如2022年1月1日起实施的《上海市数据条例》第十二条相关规定以及同日实施的《深圳经济特区数据条例》第四条规定。

从《个保法》的前述规定来看,相关条款内容并未明确该条款是否适用于股权收购。《个保法》的相关规定如何适用于股权交易中个人信息流动的不同情形,有待进一步厘清和思考:

(i)       目标公司未将其持有的个人信息提供给买方

在不少并购交易当中,买方拟维持目标公司原有的经营,交割后并不会要求将目标公司个人信息提供给买方或其关联方。在数据合规的语境下,该等情形中个人信息处理者的主体身份并未发生变化,目标公司通常应无需通知个人信息主体或取得个人信息主体同意。

(ii)   目标公司将其持有的个人信息共享给买方

《个保法》前述条款中的用语是“转移”,该规定适用的前提似乎是原数据处理者(如目标公司)不再持有相关个人信息。但是,在较多情形下(如不同类型电商平台之间的并购、买方将目标公司的用户数据用于用户画像和精准营销、或买方出于人力资源管理的需要,要求目标公司将其员工的个人信息提供给买方或总部,以实现集团的整体人力资源管理等),目标公司除向买方或其指定方共享个人信息外,其仍然继续持有相关个人信息。该等行为或安排更贴近《个保法》有关“提供”(共享)的规定[7],从而需取得个人信息主体的单独同意。

(iii)        目标公司将其持有的个人信息转移给买方

这种情况在股权交易中并不常见。其发生的情形如买方在股权交易后逐渐缩减目标公司的业务或将目标公司业务合并到买方集团业务当中,在此情形下,目标公司可能需要将其持有的个人信息转移给买方或其关联方,其自身不再持有相关个人信息。该等情形适用上述《个保法》第22条规定(即目标公司只需要向个人信息主体告知接收方的名称或者姓名和联系方式即可)的可能性较高,但这仍有待主管部门的进一步解释和确认。

上述《个人信息安全规范》包含了“收购”和“兼并”情形下的制度设计。根据其内容,只要发生了“收购”或“兼并”,则数据处理者就需要向个人信息主体告知相关变更情况,也就是说无论数据处理者(即目标公司)是否将个人信息转移或共享给买方,都需要目标公司告知个人信息主体。新的个人信息处理者(如买方)如果变更先前的使用目的,需要重新取得个人信息主体的同意。但考虑到《个人信息安全规范》只是推荐性国家标准,并不具有法律强制效力,因此相关内容仅供参考。

上述《数安条例草案》中的相关条款,亦未明确是否包括并购。其适用的情形似乎是以发生数据“转移”为前提的。特别是目标公司转移的个人信息涉及的主体数量达到一百万人以上的,须向市级主管部门报告。假设《数安条例草案》规定的情形适用于并购并且目标公司向买方“转移”或“提供”了前述数量的个人主体的个人信息,则将触发向主管部门的报告义务(当然前提是《数安条例草案》正式生效且未对该条款做出改变)。

实践中,我们注意到不少“数据驱动型”股权交易涉及较多数据融合的安排。例如2014年美国知名社交平台F公司收购即时通讯软件公司W公司,以及2018年4月中国M公司收购某单车出行公司( “B公司”),被收购的目标公司均持有大量的用户个人信息。F公司与M公司案例均涉及在交割之后与买方数据融合/变更个人信息用途、需要取得用户同意:

  • 2014年F公司收购W公司时承诺不会在两个服务之间链接用户数据。但在2016年8月,W公司宣布了更新后的隐私政策,其中包括将用户电话号码与F公司用户身份关联的可能性。2021年初,W公司进一步更新隐私政策,将与其F公司共享更多数据,并且用户无法选择不同意;用户需要接受这些更新后的条款才能继续正常使用W公司。F公司上述做法涉及提供误导性信息以及侵犯个人信息主体的权利,已陆续遭到欧洲多国反垄断机构以及数据保护机构的处罚或禁令。另外部分W公司用户因不满该等做法转而使用其他通讯软件。
  • 2019年4月(股权收购后约1年),B公司客户端显示《账号融合用户确认函》,其中表示为了提供更便捷的用户体验,拟在征得用户同意的前提下,打通B公司和M公司平台的账号、使M公司平台共享B公司端的数据。但如果用户不同意,不影响继续使用B公司App骑行单车,同时不会进行数据共享、对应的用户也因而无法享受账号融合后的相关服务。

结合上述案例,如果买方并不需要于交割后立即转移或共享个人信息或变更用途、而是在交割后一段时间内根据业务计划进行数据融合,买方也可以在交割后择机取得个人信息主体同意。对于具有数据融合商业预期或安排的股权交易,也可在交易结构设计时即考虑是否以及取得个人信息主体同意的时机。

(2)目标公司持有重要数据或核心数据,或者属于CIIO或具有其他特定身份

如果目标公司持有重要数据或核心数据,或者属于CIIO或具有其他特定身份,股权收购可能会涉及相关的报备或审批:

见《个保法》第23条的规定。

上述规定中,目前已正式生效的是《关基条例》,其中提及CIIO的“合并、分立、解散等情况”需要向关键信息基础设施保护工作部门进行报告,但股权收购是否包括在其中,目前尚不明确。从谨慎的角度,如果目标公司属于CIIO的,建议在收购前与其所在行业的主管部门(即保护工作部门)进行沟通和咨询。

上述其他法规或规定的征求意见稿中分别规定了目标公司如果持有重要数据或核心数据,和/或属于掌握特定数据资源的互联网平台运营者、工业和信息化领域数据处理者等情形,其合并、分立、兼并、重组等需要取得相关政府审批或履行报备程序。前述表述中并未明确包含“并购”或“收购”情形,股权收购有可能会落入“兼并”或“重组”的范畴,前述规定正式发布后需要关注其表述及具体适用范围。

由此,在交易结构设计阶段,如果交易双方选择股权交易,则需要考虑该交易是否因重要数据、核心数据或因目标公司具有特殊身份而需取得政府部门的审批或履行相关报备程序。

二、   交易结构设计时的主要考量因素

根据前述有关数据合规对交易结构设计的影响分析,我们建议在进行交易结构设计时考虑以下因素:

1.    买方对数据的预期利用是否可行

在有些交易中,买方本身并不需要直接获取和使用数据,交割后数据仍留在目标公司。例如,买方为财务投资人,主要看重目标公司的持续盈利能力或业绩增长潜力,并不需要与目标公司共享数据。在另一些情形中,买方可能希望将目标公司数据与自身数据进行融合,从而深度挖掘数据价值、发挥出协同效应。

在前述两种情形下,股权交易都可能是更为常见的选择。但在后一种交易中,买方希望对目标公司的数据进行融合,则其要考虑取得个人信息主体同意的可行性。如果相关的数据中还涉及重要数据,甚或核心数据,则要考虑取得相关政府部门批准的难易程度或完成相关报备的流程和时限。

另外,对于并购交易涉及的数据,买方还应确保其不属于特定限制或禁止类的数据,例如:

   国家秘密。根据《保守国家秘密法》 “任何组织和个人不得有下列行为:(二)买卖、转送或者私自销毁国家秘密载体”;“禁止非法复制、记录、存储国家秘密。禁止在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密” [8]。

   人类遗传资源。《人类遗传资源管理条例》规定:“外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源” 以及“禁止买卖人类遗传资源” [9]。外国组织、个人及其设立或者实际控制的机构的认定可参考《人类遗传资源管理条例实施细则(征求意见稿)》[10]

2.    目标公司/资产所涉及的数据类型

如果目标公司持有的或者目标资产中包括的数据并未落入受监管的数据类型范围,现行法规对其转移或共享不存在限制或特别要求,则在交易结构和交易主体选择上的灵活性更大。

如果目标资产或业务中包括个人信息、重要数据/核心数据等数据,则将受到较多监管限制。相比较而言,就数据合规要求,股权交易受到的监管限制似比资产交易少,因为股权交易本身通常不需要目标公司将相关数据转移或共享给买方或其关联方。例如涉及个人信息的场景中,如果股权交易中目标公司并不需要将个人信息转移或共享给买方或其关联公司,则股权交易可能并不会触发告知个人信息主体或取得其同意,但在资产交易中则通常需要取得个人信息主体的同意,因为资产交易一般都会涉及数据的流动。

3.    目标公司/资产是否有重大数据合规问题

交易结构设计通常与买方对目标公司的尽职调查同步进行,或者在尽调前先有初步的交易结构、待尽调完成后再进一步细化完善。如果在尽调过程中发现目标公司或目标资产存在重大的数据合规问题,也可能会影响到具体交易结构安排。

例如,如果目标公司存在违法收集个人信息的情况,可能会面临行政处罚等法律风险。如果这部分数据对业务运营的重要性较低,买方可以考虑将该部分业务排除出收购范围,比如直接通过资产交易的方式购买其选择的其他资产;或者通过混合收购的方式将拟购买的其他资产装入新公司、并购买新公司股权,从而将有合规问题的数据相关的业务留在原目标公司以避免承担历史风险。

4.    交易是否跨境

如果境外买方直接收购境内含有数据的资产、或者收购目标公司股权之后将数据转移或共享给境外买方或其境外关联方,则构成数据出境。如果涉及个人信息或重要数据,除了前文所分析的合规限制之外,还需要遵守数据跨境的特殊要求[11], 包括但不限于:(i) 对于重要数据、以及CIIO和处理个人信息达到法定数量的个人信息处理者所收集的个人信息,需要依法进行本地化存储,出境需要通过国家网信部门组织的安全评估;(ii)对于其他个人信息,出境需要满足《个保法》规定的个人信息保护认证或者签订国家网信部门制定的标准合同等。

上述监管要求(尤其是国家网信部门组织的安全评估)会增加交易的复杂性及交割的不确定性。如果希望避免,则在业务架构允许的前提下,可考虑用买方的境内子公司或新设SPV作为收购主体,收购后仍在本地存储相关数据。

如果境外买方仅收购境内目标公司股权,交割后数据仍由目标公司存储和处理,则不涉及数据出境问题。

三、   小结

在并购交易中,每个交易的具体情况不同、各方的主要诉求也不尽相同,交易结构设计的过程往往也是各方面取舍和权衡的过程,比如为节约税费而采用更复杂的股权架构、或是为避免触发监管审批而改变控制权结构等。

数据合规通常可能并不是直接左右交易结构的那个决定性因素。但是在进行交易结构设计时,仍需要考虑数据合规对交易结构的影响,尤其是数据资产在交易标的中所占比重较大或重要性程度较高的并购交易。

《人类遗传资源管理条例》第7条和第10条。

《人类遗传资源管理条例实施细则(征求意见稿)》第12条。

参见《个保法》第三十八条至第四十条、《数据安全法》第三十一条、数安条例(征求意见稿)第三十五条至第三十七条的规定。

《保守国家秘密法》第25条和第26条。 

参考资料

  • [1]

    本文的重要数据或核心数据是指《中华人民共和国数据安全法》及相关法律法规或国家标准中提及或界定的数据,并非由企业根据自身业务数据的重要性而作的分类和界定。

  • [2]

    《网络数据安全管理条例(征求意见稿)》第33条。

  • [3]

    《网络数据安全管理条例(征求意见稿)》第32条。

  • [4]

    《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)第22条。

  • [6]

    例如2022年1月1日起实施的《上海市数据条例》第十二条相关规定以及同日实施的《深圳经济特区数据条例》第四条规定。

  • [7]

    见《个保法》第23条的规定。

  • [8]

    《保守国家秘密法》第25条和第26条。 

  • [9]

    《人类遗传资源管理条例》第7条和第10条。

  • [10]

    《人类遗传资源管理条例实施细则(征求意见稿)》第12条。

  • [11]

    参见《个保法》第三十八条至第四十条、《数据安全法》第三十一条、数安条例(征求意见稿)第三十五条至第三十七条的规定。

  • 展开
最新文章
前沿观察
本篇为本系列第三篇文章。争议解决与诉讼-金融纠纷,私募股权与基金

2025/01/09

前沿观察
2025年1月9日,商务部发布公告,认定欧盟依据《外国补贴条例》(“FSR”)及其实施细则对于中国企业调查中采取的相关做法构成《对外贸易壁垒调查规则》(“《调查规则》”)第三条项下的贸易投资壁垒(“贸易壁垒”)。 该项调查于2024年7月10日启动,持续近6个月。根据《调查规则》第三十三条规定,商务部后续可以采取的措施包括:与欧盟进行双边磋商、启动WTO争端解决机制和/或采取其他适当措施(例如,反制措施)。公司与并购-反垄断与竞争法,一带一路国际法律业务-跨境商事纠纷解决

2025/01/09

前沿观察
近年来,各国政府对企业供应链责任的监督力度逐渐增强,企业是否以可持续和负责任的方式运营,也已成为投资者与消费者在选择时不可回避的核心考量。在此背景下,企业因供应链中曝光的劳工权益等严重社会责任问题而频遭指控与舆论批评的现象屡见不鲜。 中国企业乘风出海,持续推进全球化步伐,已成为全球跨国公司群体的重要一员。随着各国环境与社会责任立法的日益严格,中国企业同样面临着替其供应商不当行为承担责任的风险。2024年6月,某知名品牌在美国当地法院受到了某声称来自其代工厂、参与了其产品加工的劳动者起诉。该起诉指控该品牌的代工厂存在强迫劳动行为。而一旦指控被确认,该品牌及其母公司将赔偿原告相关的全部损失并面临惩罚性和儆戒性赔偿(punitive and exemplary damages)。相应地,该品牌代工厂也收到了美国海关和边境保护局(U.S. Customs and Border Protection)发出的暂不放行令(Withhold Release Order),对企业的业务造成重大影响。这一系列连锁反应,无疑为企业敲响警钟:要更加关注来自供应商侵犯劳工权益等来自供应链端的社会责任风险。争议解决与诉讼-合规调查及公司治理,劳动,汽车、制造业及工业

2025/01/09