中国企业在跨境并购中的数据合规要点提示-以欧盟国家为例

潘宇萍

一，数据保护的趋势

在全球范围内，研究发展大数据技术、运用大数据推动经济发展、完善社会治理、提升政府服务和监管能力正成为趋势。伴随着大数据、云计算、人工智能等技术的蓬勃发展，数据已经日益成为推动传统行业与新兴行业快速发展的新型资源。对数据资源的深度挖掘与广泛应用正在深刻地改变着为数众多的商业模式和数以亿计的普通人的生活。随着技术与应用的发展，数据所蕴含的巨大商业价值被市场逐渐认可，越来越多的企业将数据视为自己最核心的资产之一。然而，随之产生的是我们的个人数据被相关机构收集，使用，因保护不利被黑客入侵盗取，甚至是有些机构为了牟利而转售我们的个人数据。针对这些问题，各国对数据的保护也是越来约重视，特别是涉及个人隐私的数据的保护，全球各国的相关法案相继出台。

在欧盟国家，2018年5月25日正式生效的欧盟《通用数据保护条例》(General Data Protection Regulation, GDPR)目前已实施三年多，作为当今数据和隐私保护领域最具影响力且最为严厉的法案，GDPR进一步明确了处理个人数据的要求、数据主体的权利、数据控制者的责任，尤其是对数据控制者和处理者在个人数据隐私保护方面的管理能力提出了更加严格的要求。

在美国，鉴于普通法和《宪法》对数据保护的局限性，美国国会颁布了一系列的数据保护联邦立法。与欧盟统一立法模式不同，美国联邦层面并没有统一的数据保护基本法，而是采取了分行业式分散立法模式，在电信、金融、健康、教育以及儿童在线隐私等领域都有专门的数据保护立法在美国州层面，各州也形成了各自的数据保护法律框架。目前，各州均已制定了应对数据泄露的立法，一些州也出台了不同类型的消费者保护立法。

在我国，2017年6月1日，《网络安全法》正式实施，针对个人信息保护明确规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。此外，《互联网交易管理办法》《移动互联网应用程序信息服务管理规定》等均对个人信息保护作出了规定。建议对APP过度搜集用户信息行为，制定专门的法律法规予以规范。在2021年7月份，“滴滴出行”APP存在严重违法违规收集使用个人信息问题，国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”APP，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题。这一事件给所有的互联网企业敲响了警钟，数据合规的必要性已经箭在弦上。

综上，数据的价值与用途得到企业的认可，但是企业不同的收集，使用，甚至投资后的共享行为可能会违反上述法律带来风险，甚至受到处罚。企业在数据驱动型的投资并购交易中必须考虑数据保护的问题，开展数据保护的尽职调查，并在交易中对数据相关的法律风险进行预先的约定和处理。

本文主要围绕中国企业在欧盟国家的投资并购中的数据合规，那么，在开始之初，我们首先要对欧盟的数据保护的法律政策现状有清晰的认识，请看下文陈述。

二，欧盟数据保护法的特点

1，长臂管辖原则

《通用数据保护条例》适用于所有处理欧盟国家居民个人数据的公司，不管公司是不是位于欧盟境内。此前，欧盟出台的数据保护的条例适用性并不明确，通常指向位于欧盟境内的组织。相较于过去的条例， GDPR的适用性就非常明确：它将适用于所有控制和处理欧盟居民相关个人数据的公司或组织，不管公司是不是位于欧盟境内。同时，GDPR也覆盖在欧盟销售或提供服务的公司，只要业务的接受方是欧盟居民，业务发生在欧盟境内，不管付款行为发生在哪里，都必须受到GDPR的监管。

2，获得当事人授权的难度增加

在过去，很多公司是用optout的方式来获得个人数据的使用授权。所谓opt out，就是指如果有人不同意自己的数据被使用，可以写信要求停用，但是企业假定大家是默认允许的，因此在开始使用的时候并不需要获得特别的认可。在特殊情况下，若需要当事人认可时，企业选择使用一些令人费解的法律术语试图迷惑大众。但是在GDPR下，这种“擦边球”将一去不复返了。第一，公司和组织必须得到书面确认才能使用个人数据；第二，书面确认的模板必须简单易懂，容易获得；第三，当事人可以在任何时间撤销其个人数据的使用权。

3，个人数据相关权利规定明确且具体

（1） 知情权。根据GDPR，若数据泄露可能导致“个人权利和自由受损”的风险，那公司或组织必须通知当事人该数据违规行为。通知必须在发现违规之后的72小时内完成。数据处理方也被要求在发现数据泄露之后通知他们的客户和数据控制方，不得有“不适当的延迟”。

（2）访问权。根据GDPR，若有人的个人数据在被处理，数据管理员必须通知当事人相关信息，包括处理数据的地点以及用途。此外，数据控制方必须以电子格式免费提供个人数据的副本。这一变化提高了数据使用的透明度。

（3）  删除权。根据GDPR，当事人有权要求删除他/她的个人数据，停止传播该数据，并要求第三方停止处理该数据。 这可以适用于与初始使用目的不符的数据或被当事人撤销使用权的数据。当然，在接受到删除请求的时候，数据管理人员必须先将该请求与公众利益进行权衡，再采取相关行动。

（4）  迁移权。根据GDPR，当事人有权接收与他们有关的个人数据。数据的格式需已常见并可读的方式提供给当事人，同时当事人有权将数据提供给其他的数据控制方。

（5）   隐私设计。隐私设计作为一个概念已经存在多年，现在它成为GDPR法律要求的一部分。在其核心上，隐私设计要求将数据保护做成一个完成的体系，而不是某类附加件。更具体地说，公司或组织应当采取有效的方式和组织架构来满足法律上对数据保护的要求，并维护当事人的相关权益。公司或组织只能最小化的保留必要的个人数据，并限制对这些数据的访问权限（只有相关业务人员才能访问）。

4，设立数据保护执行官

目前，各公司或组织的数据管理人员必须将他们处理数据的活动汇报给当地的数据保护机构。因为每个国家对汇报的要求有所不同，如果是跨国公司或组织的话，将面临噩梦。根据GDPR，处理数据的相关活动可以不向当地的数据保护机构汇报，而是要公司或组织内部有相关的记录。如果公司或组织在处理数据时需要大范围系统性的监控，或涉及到某特殊类别的数据，那就需要有自己的数据保护执行官。数据保护执行官必须有相应的专业素质，特别是关于数据保护法律和惯例的专业知识，可能是工作人员或外部服务提供者，他们的联系方式必须提供给相关的数据保护机构，必须被提供适当的资源来执行他们的任务并保持他们的专业知识，必须直接向最高级别的管理层报告，不得执行其他可能导致利益冲突的任务。

5，罚款额度增加

根据GDPR，违反GDPR的组织可能会遭受巨额罚款，高达全球年营业额的4％或2000万欧元（以较高者为准）。同时，侵犯个人数据的控制者和处理者将同时受到惩罚。这样大的罚款力度在过去是没有的。

在惩罚企业时，该法律采取的是阶梯惩罚策略，即当企业没有按序保留处理个人数据的日志、对违反数据隐私的行为没有及时汇报相关监管机构并告知当事人、没有对违反数据隐私的行为进行后果评估的话，将会被处以2%全球年营业额的罚款。对于更加严重的违法行为，罚款将逐步提高。值得注意的是，GDPR对数据的控制方（Data controller）和处理方 (Data processor)同时生效，也就是说若有多人参与在一例违规案件中的话，数据控制方和处理方都必须受到制裁，谁都逃不掉。

三，GDPR经典执法案例介绍

1，万豪数据泄露被被ICO处以1.1亿欧元的巨额罚款

万豪国际集团（简称“万豪集团”）于2016年9月收购了喜达屋酒店。2018年11月，万豪集团公开披露旗下喜达屋酒店客房预订系统发生了大规模数据泄露。该事件导致3.39亿的酒店客户信息被窃取，涉及来自31个欧洲经济区国家的居民，其中包括700万英国居民。而英国数据保护监管机构（Information Commissioner's Office，ICO）的调查结果显示，喜达屋酒店客房预订系统的数据漏洞自2014年7月起便一直存续，却始终未得到公司的重视。最终，针对该事件，万豪集团被ICO处以1.1亿欧元的巨额罚款。

尽管万豪集团向ICO作出了解释说明，即在收购过程中喜达屋的管理层曾向其保证“多重身份验证系统”的防护措施全面覆盖了整个酒店客房预订系统，同时，支付卡行业数据安全标准（“PCI DSS”）的独立评估人员于2016年4月29日（收购前）和2017年5月23日（收购后）发布的两份合规报告也证实了上述防护措施已到位。但是，ICO的判定认为，万豪集团未能履行GDPR第5(1)(f)条和第32条下应当承担的义务，即“在处理过程中确保个人数据的安全”和“采取适当的保障信息安全的技术和组织措施”。ICO从以下四个方面进一步对其系统的安全性问题提出了质疑意见：   

首先，ICO真正关注的问题，也是万豪集团被调查处罚的原因之一，是一旦黑客获得了系统的访问权限，公司是否能够采取相应措施识别漏洞并防止进一步未经授权的数据处理活动，而不仅仅是黑客攻击并获得系统访问权限这一事实。然而，正是由于万豪集团对用户账户的不正常登录行为、网络流量异常等情况疏于持续监控，以及未设置多层安全措施来充分保护个人数据，才导致了大规模用户数据泄露事件的发生。   

其次，ICO指出了万豪集团对数据库监控不力的问题，主要包括数据库安全警报的缺陷、缺少集合日志的功能及无法记录系统上的执行操作（例如创建文件和导出数据库表）。   

除了未对其安全系统采取适当的监控，万豪也未能设计“服务器强化”（server hardening）功能作为预防措施，以阻止黑客访问管理员账户进行事先侦查。为此，ICO还特别论证了“白名单”（whitelisting）功能的可操作性。   

最后，ICO的调查专员特别表达了对万豪集团个人数据加密系统的全面性和完整性的担忧，并敦促公司开展对该系统的风险评估，完善加密功能。

2，Facebook在欧洲被连续罚款

2016年底，据德国相关法务机构称，如果Facebook以及其它社交网络未能删除包含仇视言论和虚假新闻在内的有问题信息，那么德国方面将按照每条50万欧元（约合52.332万美元）向这些社交网络征收罚款。

2017年5月，据华尔街日报消息，欧盟反垄断监管部门18日对Facebook处以1.1亿欧元(约合1.227亿美元)罚款，理由是该公司在收购即时通讯公司WhatsApp的过程中误导有关部门。

2017年5月，法国数据保护机构“国家信息与自由委员会CNIL将对Facebook处以15万欧元(约合16.6万美元)的罚款，原因是Facebook未能阻止广告主获取其用户数据。

2017年9月12日，西班牙数据保护监管部门AEPD周一宣布，由于收集西班牙用户的个人信息并用于广告，Facebook已被罚款120万欧元（约合140万美元）。AEPD表示，该部门发现，在3起事件中，Facebook收集了西班牙数百万用户的个人信息，包括性别、宗教信仰、个人品味以及浏览历史，但没有告知用户这些信息将被如何使用。

2018年10月消息，因“剑桥分析”公司泄露个人信息丑闻，英国信息专员办公室(ICO)25日对Facebook处以50万英镑(约合64.4万美元)罚款，这是该英国信息监管机构目前罚款的最高限额。

2018年12月，由于违反国家商业法律，意大利竞争管理局周五对Facebook处以两项总计1000万欧元（1140万美元）的罚款。意大利认为，Facebook在劝说用户在其平台上注册过程中并未告知其可能会被收集数据，并用于商业目的，此为第一笔罚款。第二笔罚款则是因为Facebook将数据提供给第三方。意大利竞争局表示，Facebook须要向所有用户发表“纠错声明”。

随着欧洲国家对于GDPR更多审查和要求的落实，Facebook在欧洲所遭遇的一切，都将引发全球互联公司进入欧洲市场带来更多的深思。

3，Twitter因数据泄露被罚款

爱尔兰数据保护委员会（DPC）官网披露，将因2019年1月披露的数据泄露事件对Twitter处以45万欧元罚款。据了解，该公司未能在发现违规的72小时内及时通知监管机构，并对数据泄露的情况进行充分记录。从开始到结束，爱尔兰DPC耗时近两年时间才对Twitter的这一案件作出决定。而DPC主张较小的罚款额度，是因为其认为Twitter的数据泄露事件是过失，而非主观故意或系统性问题。在此次的声明中，爱尔兰DPC表示此次罚款是合理且有告诫作用的。

4，家乐福及其银行部门多次违反GDPR被罚款

法国国家信息自由委员会（CNIL）因家乐福及其银行部门多次违反GDPR，对法国家乐福处以225万欧元的罚款，家乐福银行被处以80万欧元罚款。据报道，家乐福违规内容包括：其提供给公司网站用户的信息不容易访问或理解，而且未能包含有关数据保留期限的完整信息；违规使用cookie；未遵守其设定的数据保存期限；要求提供身份证明，以行使数据权等。CNIL表示，自从发现问题以来，家乐福已投入大量资源来确保合规，CNIL因此决定不发布禁令。

5，Østfold HF医院被挪威数据保护机构罚款

挪威数据保护机构决定向Østfold HF医院罚款75万挪威克朗的行政罚款。据悉，在2013-2019年期间，该医院将患者记录中的报告摘要（准备出院的病人名单，包括患者的敏感信息等特殊种类的个人数据）存储在安全区之外。存储报告摘要的文件夹未开展访问控制，也未对该院员工对前述数据的处理活动予以记录。在Østfold HF医院无需使用前述患者名单后，该等报告摘要仍被长期存储。Østfold HF医院的118名员工可获得这些个人信息，但大多数员工并没有正式和合理的理由需要获得这些信息。

四，数据合规的应对举措

就数据保护尽职调查的流程而言，和一般的尽职调查没有太大不同，基本包括准备阶段、文件审查阶段、访谈和沟通、尽职调查报告的撰写及协助目标公司整改（如需要）五个步骤。和其他的尽职调查相比，数据尽调中的访谈和沟通是非常重要的一个环节，因为数据尽调的问题技术性比较强，没有专业背景的人士理解消化相关问题并做出准确的回复不是一件容易的事情，需要通过访谈对问题进行一定的解释。此外，由于数据资产的流动性，数据的收集、存储、使用往往涉及目标公司内部法律、IT、研发、运营、产品、营销等多个部门，需要结合目标公司产品和运营的实际情况和涉及处理数据的各个业务部门进行访谈才能对公司数据收集和处理的现状有一个较为清晰的了解。

1，收购前的注意事项

首先需明确的是，不同的收购目标可能意味着不同程度的数据合规注

意义务。如果被收购公司的合规状况不佳，可能会出现重大的风险敞

口，就需要采取更多的修复措施。目标公司在过往运营管理中如何收

集、存储、使用和转移个人数据，以及是否发生过数据泄露事件，对于理解目标公司的估值和风险至关重要。因此，对于收购方而言，当评估目标公司的合规水平与风险时，不仅需要关注不合规本身存在的风险，还要兼顾因系统性修复更改而带来的后期成本，如此，才能帮助公司正确估值，并深入了解完成收购后需要进行哪些工作，使公司的数据安全符合GDPR标准。   

其次，交易对方的类型也会影响收购方的合规注意义务程度。例如，相较于处理敏感健康数据的公司，只做B2B销售的公司仅需满足较低级别的合规性标准。与此同时，公司类型还关系到是否有必要在公司内部指定数据保护官（Data Protection Officer, DPO）。根据 GDPR第37条规定，只有当企业的核心活动包含了特殊类型的数据（又称敏感数据，包括种族、民族、政治信仰、刑事犯罪等）处理，或者构成对个人数据进行定期、系统的大规模监视或处理时，DPO的设置才是强制性的。所以当收购活动涉及银行、医院和保险公司这些行业的目标公司时，DPO的指定对GDPR合规将有重要意义。 

2，收购中的尽职调查

不同的交易根据买方的交易目的及交易架构的选择，尽调的范围可能

会有较大不同。但无论是资产并购还是股权并购，从数据保护的角度，

买方和投资人都需要特别关注数据的收集与使用阶段的法律合规问

题。

 作为开展数据保护尽职调查的第一步，买方需要通过目标公司对尽

调问卷的反馈初步了解以下基本情况：(1)目标公司所处行业是否涉及

关键信息基础设施、是否收集重要数据或个人信息、是否属于受到特

别监管的行业、是否在中国以外的境外地区开展业务；(2)通过其产品

和服务或为其产品或服务收集的主要数据类型、来源及合法依据；(3)

数据存储地、存储时是否有采用技术保护措施、存储时限、对个人信

息访问的控制措施；(4)运营过程中使用数据的目的及方式；(5)数据

与业务发展的关系；(6)有无集团内部或外部数据转移或共享的情况；

(7)有无委托其他公司收集和处理数据的情况、有无受其他公司委

托收集和处理数据的情况；(8)是否涉及数据的跨境传输；(9)有无因

数据合规问题受到政府部门的调查或处罚、有无发生过数据泄露事、

件、有无因数据问题被起诉；(10)有无网络安全与数据保护负责人和

工作机构、是否落实数据保护制度、隐私政策等。

买方需要审阅目标公司数据收集、使用及合规的相关文件及政策，包

括但不限于信息安全等级保护备案证明、隐私政策、用户协议、保密

协议、数据共享协议、内部数据管理制度（授权访问制度、网络安全

和个人信息安全事件应急预案等）、云服务协议（如有）、数据委托

处理协议、数据跨境传输协议等。问卷的反馈和访谈的结果需要结合

具体的文件、协议和政策进行核实和分析。

在数据收集阶段的常见问题包括：(1)数据来源不合规、存在采用非法

手段获取或爬取数据或超越授权范围收集数据的情况；(2)对直接收集

的个人信息未合法取得个人信息主体的同意；(3)收集的个人信息不符

合最小必要原则；(4)隐私政策和用户协议不完善或不符合法律和国家

标准的要求；(5)对从第三方间接获取的数据来源合法性未做核实等。

在数据使用阶段的常见问题包括：(1)超越授权范围和期限使用数(2)

未区分个人敏感信息以加强保护；(3)内部人员数据访问及使用权限设置不合理、内部数据安全管理制度不健全或未完全落实，可能导致数据被泄露或被篡改；(4)保存或使用个人信息时未做去标识化处理；(5)未确认受委托数据处理的第三方是否具有足够的数据安全保护能力；(6)将应在本地存储的数据在境外存储；(7)没有制度和相应的人员保障数据安全及数据主体的删除权、更正权等权利；(8)未与共享个人信息的内部关联公司或外部第三方签署保密协议，要求其按照隐私政策中的内容保护个人信息，或未能以其他方式进行监督。

3，数据合规问题的买方保护措施

有别于为企业搭建和完善合规体系而开展的数据保护合规审查、差距分析和整改项目，投资并购项目中的数据保护尽职调查通常需要在相对较短的时间内确定对并购交易可能产生实质影响的关键数据法律问题，并从保护买方利益的角度提出可在交易前后解决数据合规问题或降低相关风险的解决方案。为此目的，可以在交易文件中从下述角度对这些风险做出处理：

(1) 要求卖方在交易文件中对目标公司的网络安全和数据保护方面的问题作出全面的陈述和保证。取决于违反的严重程度及发现的时间，买方有权不交割或对违反该等陈述和保证造成的买方损失要求卖方承担赔偿责任，甚至按照约定的价格退出。为了避免承担赔偿责任，卖方也会更有动力对潜在的网络安全和数据保护的法律问题进行披露；

(2) 考虑将尽调过程中发现的对某些重大合规问题的补救作为交易交割的前提条件。例如完成等保的评估和备案，与数据共享者和处理者签订书面协议，要求其按照目标公司的要求和隐私政策的规定来处理个人信息；

(3) 对在尽调过程中发现的潜在合规问题和法律风险用明确的特定补偿条款要求卖方承担责任。根据现有案例来看，系统漏洞和数据合规的问题可能要交割后很长一段时间才会被发现，买方应尽可能地要求按照法定诉讼时效来限定提出赔偿请求的时间限制；

(4) 暂扣部分交易对价，满足一定期限或条件后方能释放给卖方。在交割后的一定时间内如发生网络安全和数据合规问题导致买方遭受损失，买方有权从暂扣的交易对价中直接获得赔偿；

(5) 调整交易价格或按照事先约定的价格退出。如果卖方根本性地违反陈述保证和承诺，例如发生数据造假的事件，按事先约定的价格经由创始人或老股东回购退出。如果愿意继续成为其股东但公司估值减损，按照重新调整的估值，按照原先投资比例从创始人或原股东处无偿获得额外的股份。

4，突发事件应对措施

本段的上述两部分旨在为企业在跨境并购中避免GDPR数据保护

违规事件提供一揽子防范思路，然而一旦不慎出现违规情形，企业仍然需要及时采取恰当的应对措施，来减轻处罚并减少公司的商誉损失。   

我们认为，在数据泄露等突发事件发生后，若企业积极寻求与监管机构的合作，能够更有效地管理声誉影响。在此方面，德国社交聊天平台Knuddels公司与监管机构的合作经验值得我们借鉴。   

2018年7月，在数据违规事件爆发后，Knuddels公司立即以全面透明的方式向用户告知黑客攻击情况，并向德国巴登符腾堡州数据保护委员会（LfDI）报告了该数据泄露事件，披露了其数据处理、公司结构和安全漏洞情况，特别说明公司已将用户密码以明文形式保存（未加密更改）。在随后几周内，Knuddels公司综合实施了一系列补救措施，包括改善IT安全体系结构、将最新技术应用于用户数据安全保障，并承诺配合LfDI采取其他方法以进一步提高其数据安全水平。最终，LfDI按照较低标准、以2万欧元的罚款终结此案。此案例说明，企业通过及时履行通知义务，与监管机构保持合作，能有效地减轻处罚，并体现企业良好的危机应对意识。

*附件列表(点击下载)

责任编辑：李娟




南京市律师协会微信公众账号