并购交易中的数据合规要点（上篇） —— 数据制胜，合规避“雷”

近年来，大数据已成为推动经济转型发展的新动力 。而重要数据，作为企业的一项日益重要的无形资产，其经济效益在并购交易中也日益得到重视，甚至成为并购交易的核心目标资产。而另一方面，国家互联网信息办公室于2019年5月28日发布了《数据安全管理办法（征求意见稿）》（以下称“《征求意见稿》”），这是继《网络安全法》（以下称“《网安法》”）、《信息安全技术 个人信息安全规范》、网络安全等级保护制度2.0标准陆续出台以来的又一重大举措，意味着以《网安法》为核心的数据合规之“网”正日渐织就。

在此风云将变之际，数据合规的风险管控情况将直接决定企业资产的价值。企业如要开展并购交易的，无论是在投前尽调、投资协议签署还是投后管理阶段，都应当注意数据合规之边界，慎防触“雷”。以下，笔者将通过本文对数据合规之“雷区”进行一一分析和梳理。

雷区一：事不关己，危堂高坐

《网安法》第二条 对其适用范围有明确规定，即：凡在中华人民共和国境内建设、运营、维护和使用网络的，均受其规制。由此解读到的信息有二：其一，数据合规的义务覆盖至每一个掌握和运营数据的主体，绝大多数企业均需要考虑数据合规问题，而并非只有百度、阿里巴巴、腾讯等互联网公司才负有数据合规之责的。除了对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等涉及关键信息基础设施的行业和领域提出了更为严格的要求外，数据合规对每一位网络运营者一视同仁；其二，即使企业在中国境内不设有运营机构、不设有服务器，只要使用中国的网络面向中国境内的数据主体提供商品或服务的，其收集、运营、管理和使用数据的行为均需要符合中国的数据合规要求。所谓“境外避险”的绕道方式并不切实可行。

 

由上可见，企业在并购交易中应当正确识别数据合规的义务和风险，在开展并购交易时做好完善的尽职调查、资产估值和协议安排，在交割后做好妥善的数据整合和投后管理，避免因误以为事不关己、一时大意而踩上“雷”区。

雷区二：民事索偿，官司缠身

数据合规已成为大势所趋，如企业未能在并购交易中做好风险防范措施，将可能被迫面临形形色色的民事索赔案件。根据笔者对案例的分析和归纳，涉及数据合规的民事纠纷主要包括合同纠纷、侵权纠纷以及不正当竞争纠纷。

(一) 合同纠纷

在数据运营过程中企业将可能与各类相关方缔结合同，如未能勤勉谨慎地合规运营，保障数据安全，则将承担违约责任。例如：

 

• 在(2014)海民初字第15264号案中，服务器出租方因未能切实履行对出租服务器的日常维护和监控责任导致租用方的数据丢失的，需根据双方订立的服务合同承担损失赔偿责任。
• 在(2016)沪01民终5263号案中，交通运输企业在与旅客订立运输合同过程中收集旅客的个人信息的，则应对其负有严格保密防止个人信息泄露、丢失的合同附随义务，如未能证明已经采取必要的防止数据泄露的技术措施、已经尽到合理范围内的合同附随义务的，将因此承担违约责任。

(二) 侵权责任纠纷

1、侵犯人身权益：《民法总则》第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”从而明确了个人信息是受法律保护的合法权益，企业如未经授权收集、使用个人信息的，则需依法承担侵权责任。其中，移动互联网应用程序（App）强制授权、过度索权、超范围收集个人信息的现象已引起了广泛的关注。
2、未尽安全保障义务：笔者留意到在(2018)京0105民初36658号案中，北京市朝阳区人民法院明确提出了网络运营者还应尽到《侵权责任法》第三十七条 规定的安全保障义务，否则因此造成他人损害的，应当承担侵权责任。而且，法院还明确提到了在企业利用个人信息进行经营活动产生的纠纷中企业将承担更多的举证责任。在携程仅提交了隐私政策而未针对内部员工授权进行访问涉案订单的人员范围、访问敏感信息的授权记录、监控情况、操作记录、内外部传输审批情况进行举证的情形下，法院认定其在信息安全管理的落实方面存在漏洞，从而对个人信息泄露事件承担侵权责任。

 

(三) 不正当竞争纠纷

《反不正当竞争法（2019修正）》第十二条第二款 规定“经营者不得利用技术手段，通过影响用户选择或者其他方式，实施下列妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为……”，如有违反则需按照《反不正当竞争法（2019修正）》第十七条 向因不正当竞争行为受到损害的经营者承担赔偿责任。在(2018)沪0104民初243号、(2018)京73民终558号案中，浏览器服务商均因为向用户提供视频广告屏蔽服务，损害视频网站经营者通过贴片广告获取的合法商业利益而被认定为不正当竞争行为，从而需要承担高额的赔偿金。

 

雷区三：行政监管，处罚严厉

根据《网安法》和新近发布的《征求意见稿》，目前中国数据安全保护工作由国家网信部门统筹协调、指导监督，同时参与监管的机构还有公安部、工信部以及各行业监管机构（中国人民银行、国家市场监督管理总局、中国银行保险监督管理委员会、国家卫生健康委员会和教育部等）。如企业未能在并购交易中做好风险防范措施，将可能面临各级监管机构的严格监管和行政处罚。

《网安法》作为数据合规问题的最为重要的处罚依据，值得关注。《网安法》项下的处罚形式包括：

(一) 对企业和负责人处以罚款

存在以下违法情形的，监管机构将依法对企业和负责人处以罚款，最高处罚为对企业处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款：

1. 不履行网络安全保护义务；
2. 设置恶意程序的；
3. 对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施，或者未按照规定及时告知用户并向有关主管部门报告的；
4. 擅自终止为其产品、服务提供安全维护的；
5. 不按有关部门要求对禁止发布或者传输的信息，采取停止传输、消除等处置措施的；拒绝、阻碍有关部门依法实施的监督检查的；拒不向公安机关、国家安全机关提供技术支持和协助的。

 

(二) 对企业和负责人处以罚款+停业甚至吊销证照

存在以下违法情形的，监管机构将依法对企业和负责人处以罚款，并责令企业暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照：

1. 违法开展网络安全认证、检测、风险评估等活动，或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息；
2. 未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务；
3. 关键信息基础设施的运营者未依法进行安全评估而在境外存储网络数据，或者向境外提供网络数据；
4. 对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的；电子信息发送服务提供者和应用软件下载服务提供者未对前述行为履行安全管理义务；
5. 网络产品、服务提供者和网络运营者侵害用户的个人信息权利的；窃取或者以其他非法方式获取个人信息，非法出售或者非法向他人提供个人信息。

(三) 对企业和责任人员处以罚款+拘留

存在以下违法情形的，监管机构将依法对企业最高处以十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员最高处以五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款：

1. 设立用于实施违法犯罪活动的网站、通讯群组，或者利用网络发布涉及实施违法犯罪活动的信息，尚不构成犯罪的；
2. 从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的。

 

雷区四：刑事制裁，镣铐加身

涉及数据或网络业务的，在并购交易中还应关注数据合规方面的刑事违法风险。如数据运营和管理行为超出法律边界，很可能会导致企业、负责人或者员工承担刑事责任，相关案例屡见不鲜。司法实践中，与网络安全和数据合规相关的常见刑事罪名如下：

 

(一) 计算机信息系统类罪

大数据时代，数据的收集、处理和使用离不开计算机系统构成的网络环境，商业模式先天缺陷或者实际操作的不合规很容易导致公共秩序的混乱，从而触犯刑法罪名，其中包括：非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、提供侵入、非法控制计算机信息系统程序、工具罪、破坏计算机信息系统罪。

在(2018)苏0507刑初239号案中，车当（深圳）网络科技有限公司及其负责人林某通过远程控制、自动抓取等方式，非法获取大众、丰田、保时捷等多家汽车商家专用的计算机信息系统中的客户汽车维修和保养记录数据，并将数据销售给他人牟利。最终被认定构成非法获取计算机信息系统数据、非法控制计算机信息系统罪，车当（深圳）网络科技有限公司被判处罚金十万元，公司负责人林某被判处有期徒刑三年，缓刑三年，并处罚金人民币三万元。

(二) 侵犯著作权罪

如果被侵犯的他人服务器中的数据属于著作权法意义上的作品的，则还可能构成侵犯著作权罪。例如，在(2016)苏1102刑初244号案中，计算机信息系统数据被认定为作品。两被告以营利为目的，未经著作权人许可，复制发行非法获取的计算机信息系统数据，非法经营数额达120000余元，被法院认定构成侵犯著作权罪，最终被判处有期徒刑一年，缓刑一年，并处罚金人民币六万元。

(三) 侵犯公民个人信息罪

大数据作为现代企业的重要资源的同时携带着大量的个人信息、涉及每个人的隐私，如企业没有采取合规的数据操作甚至采用了不当的商业模式均可能导致企业被认定侵犯公民个人信息罪。在(2018)渝0107刑初917号案中，重庆庆展房地产经纪有限公司非法获取包括公民姓名、电话号码、楼盘名称、房屋门牌号码、房屋面积等可能影响人身、财产安全的公民个人信息26000余条，构成侵犯公民个人信息罪，被判处罚金人民币一万五千元。蓝某作为公司直接负责的主管人员，亦构成侵犯公民个人信息罪，被判处有期徒刑三年，缓刑三年，并处罚金人民币一万元。

 

(四) 拒不履行信息网络安全管理义务罪

网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，导致违法信息大量传播、用户信息泄露、刑事案件证据灭失等严重后果的，将构成拒不履行信息网络安全管理义务罪。在(2018)沪0115刑初2974号案中，被告因制作并出租“土行孙”、“四十二”翻墙软件，擅自为境内2000余名网络用户非法提供境外互联网接入服务，且经公安机关处罚拒不改正，最终被判令构成拒不履行信息网络安全管理义务罪，判处拘役六个月，缓刑六个月，罚金人民币三万元。

 

结语

综上所述，一旦对数据合规问题轻忽大意，很可能掉进形形色色的“雷区”之中，面临着来自于民法、行政法和刑法的追责和惩罚。因此，建议企业从源头抓起，在并购交易中做好数据合规审查和风险管控。笔者将在下一篇文章里结合昨日发布的《征求意见稿》对并购交易中数据合规的措施和建议进行阐述。敬请期待！