并购交易中的数据合规要点（中篇）——“数据千万条，合规第一条”

近日数据合规事件此起彼伏，5月27日易到用车的官微发布核心服务器遭黑客攻击入侵的消息后，昨日又有消息称腾讯QQ浏览器因违法收集个人信息而被用户起诉。可见，与数据存储、收集、使用和处理相关的企业均应对尽快筑起数据合规的防御墙，以有效地抵御形形色色的内忧外患。而在并购交易中，由于牵涉的相关方较多、情况更为复杂多变，为实现顺利交割和平稳过渡，并购交易方更需具有忧患意识，及时识别、审查标的企业的数据合规义务和风险，做好防范和应对之策。

另一方面，继《网络安全法》（以下称“《网安法》”）实施后，数据合规相关的法律法规和规范性标准如暴风骤雨般密集出台，且大多数仍处于征求意见阶段，法律规范的不确定性给企业开展全面的数据合规工作带来相当的难度。即便如此，“数据千万条，合规第一条”，并购交易方在数据合规大势当前仍有许多可为且应为之处。以下，本文将着重对两方面的数据合规情景进行剖析和梳理。

一、“识于微时，见微知著”

在初次接触标的企业时，建议并购交易投资方首先对企业是否掌握有数据资产、数据的性质和规模以及是否属于关键信息基础设施运营者等基本概念进行初步的认识和判断。

（一） 何为数据

对于何为数据，在《网安法》中并无明确的定义。但对照2018年5月欧盟出台的《通用数据保护条例》（以下称“GDPR”）对个人数据（personal data）的明确定义，笔者发现我国目前正在实施的国家标准《信息安全技术 个人信息安全规范》（以下称“《信息规范》”）对个人信息的定义与之存在高度近似。

 个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

 个人敏感信息：在个人信息的基础上，《信息规范》还同时对个人敏感信息作出了定义，即一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下（含）儿童的个人信息等。其中，结合近日发布的《儿童个人信息网络保护规定（征求意见稿）》，笔者认为14周岁以下（含）儿童的个人信息还应当得到特别关注。

值得关注的是，与GDPR相比，我国在数据合规方面还提出了重要数据的概念。《数据安全管理办法（征求意见稿）》将个人信息和重要数据作为并列的保障对象，提出了在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动的各项要求。因此，在识别何为企业应当合规管理和保护的“数据”时，建议在识别判断个人信息和个人敏感信息的同时，还应结合重要数据的概念进行辨识。

 重要数据：一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。（《数据安全管理办法（征求意见稿）》第三十八条）

除此之外，关键信息基础设施的概念划定也是极为重要的。对此，《网安法》第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。……”并且在第三十二条至第三十九条中对关键信息基础设施的运营安全问题进行了着重关注。

（二） 识别数据所欲为何

“数据千万条，合规第一条”，为了筑起数据合规之墙，笔者认为并购交易方应当首先在千头万绪之中识别出标的企业需要承担合规之责的对象，即“数据”。这不仅能够为法律适用提供重要脉络，还将成为数据分类管理的有效依据。

1.法律适用之重要脉络：如前所述，继《网安法》实施后，数据合规相关的法律法规和规范性标准如暴风骤雨般密集出台，而今年以来已有《信息安全技术 个人信息安全规范（2019草案征求意见稿）》、《App违法违规收集使用个人信息自评估指南》、网络安全等级保护制度2.0标准、《互联网个人信息安全保护指南》、《网络安全审查办法（征求意见稿）》、《数据安全管理办法（征求意见稿）》、《儿童个人信息网络保护规定（征求意见稿）》等多项文件陆续出台，法律规范的不确定性给企业开展全面的数据合规工作带来相当的难度。而有效识别数据的性质，则能够为企业在纷繁复杂的法律规范中理清脉络，准确地找到需要遵守的法律规范，例如如果标的企业属于关键信息基础设施范围的，则应当遵守《网安法》的有关规定，并重点关注《关键信息基础设施安全保护条例（征求意见稿）》的最新动态。

 

2.分类管理的有效依据：首先，对于不同性质的数据（个人信息、个人敏感信息、重要数据等），企业在开展数据收集、存储、传输、处理、使用等活动需要注意的合规要点将会不同，例如在个人信息的各类活动中除了注意安全保护义务外还应当充分考虑用户的知情同意权等问题；其次，对于不同行业类型的数据（数据服务类、互联网金融类、电子商务类、视频类、教育类、医疗类），标的企业面临的数据合规风险点将可能截然不同，需要进行分类筛选和管理；再者，对于与业务存在不同紧密度的数据，数据合规的难度和重要性将有所不同，例如如果标的企业并不仅仅将数据作为一项静态资产进行存储，还将数据作为重要生产资料、通过不断的收集、传输、处理等活动产生收益的，由于该类数据处于动态变化之中，并且标的企业的运营与数据的紧密度也更高，合规管理的难度和风险将会明显增加；最后，数据数量和规模的识别和梳理也将为后续的合规管理提供一项极具参考价值的依据。因此，精准识别数据，辨识其中不同的性质和类别，能够为企业实施数据的分类管理和合规管控提供有效依据。

二、“以法为鉴，整饬内务”

在并购交易方已完成对标的企业数据的有效识别和评估、对其数据合规状况有了“见微知著”的初次认识后，建议可以依托目前中国法项下的各项数据合规要求着手对标的企业的数据合规“内务”等进行一一的梳理和排查，确保内在合规的健全。其中，建议并购交易方可以围绕以下三个要点进行审查：

（一） 责任部门与人员

无论是《网安法》第二十一条、第三十四条规定的安全保护义务，《信息规范》第10条提到的组织的管理要求，还是《互联网个人信息安全保护指南》第4.4条的管理人员规定，都对建构责任部门与人员提出了要求。对此，结合各项法律规范要求，笔者提出如下四点建议：

1.明确责任岗位的范围：为策万全，建议将范围划定为所有在收集、保存和使用等环节中可能接触到个人信息和重要数据的岗位，其中既包括《网安法》所称的“安全管理负责人”、“关键岗位的人员”、“从业人员”，也包括《数据安全管理办法（征求意见稿）》所称的“数据安全责任人”，还包括《信息规范》的“从事个人信息处理岗位”。不管是数据保护官（DPO），还是互联网数据后台、医生、银行柜台、酒店前台等因业务需要而频繁接触数据的关键岗位，均应当纳入在此列。

2.开展培训与技能考核：根据《侵权责任法》第三十四条第一款的规定“用人单位的工作人员因执行工作任务造成他人损害的，由用人单位承担侵权责任。”为避免因员工操作不当等失职行为而导致标的企业承担责任，建议定期举办法律法规、道德教育和技能培训，对数据合规制度进行充分地宣贯，同时进行技能考核，以确保责任岗位的人员均具有充分的数据安全保护能力。

3.签订保密协议和背景审查：建议并购交易方审查在责任岗位的人员是否均与标的企业签订了保密协议，且保密义务范围应当不仅涵盖惯常注明的商业秘密，还应当涵盖个人信息和重要数据，以保证数据合规责任已落实到每一位责任人；同时根据《网安法》和《信息规范》的要求，还应当对关键信息基础设施的核心人员和大量接触个人敏感信息的人员进行背景审查，通过“疑人不用”的方式将数据合规落实到位。

4.妥善做好离岗交接：对于过往离职的责任岗位人员，尤其是并购交易前新近离职的人员，应当审查其离职交接记录，包括是否已及时终止离职人员的所有访问权限；是否已取回其身份认证的配件（身份证件、钥匙、徽章以及电脑或企业提供的其他软硬件设备等）；采用生理特征进行访问控制的，是否已及时删除生理特征录入的相关信息等。

（二） 数据合规制度

结合上文对数据概念的理解，笔者认为健全的数据合规制度应当至少包括合乎要求的隐私政策和完善的数据安全保护体系。

1. 合乎要求的隐私政策

2017年支付宝用户在查阅年度账单时被默认同意隐私授权的事件曾轰动一时，至今仍记忆犹新。而在此之后相关部门陆续开展了隐私条款评审工作 以及App违法违规收集使用个人信息专项治理活动 ，成效显著。结合前述评审和治理工作的经验，根据《网安法》第二十二条、第四十一至四十五条的规定并参照《数据安全管理办法（征求意见稿）》，笔者认为并购交易中可以围绕以下常见风险点对标的企业的隐私政策进行审查：

 隐私政策是否明确具体、简单通俗、易于访问；
 是否存在以默认、捆绑、停止安装使用等手段变相强迫用户授权；
 是否因授权情况而采取歧视性待遇（包括服务质量、价格差异等）；
 是否为用户提供拒绝接收定向推送的选项；
 收集14岁以下儿童个人信息，是否将征得监护人同意设置为必备条件；
 是否为用户提供撤销同意，以及查询、更正、删除其个人信息的途径。

2.完善的数据安全保护体系

根据《网络安全法》第二十一条、第三十四条的规定并参照《互联网个人信息安全保护指南》，除上述数据合规义务外，完善的数据安全保护体系至少还应当包括：
 关于物理环境和网络通道的外部人员访问的安全措施并保留访问记录；
 防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
 监测、记录网络运行状态、网络安全事件的技术措施，留存网络日志不少于六个月；
 采取数据分类、重要数据备份和加密等措施；
 对重要系统和数据库进行容灾备份（如是关键信息基础设施的运营者）；
 网络安全事件应急预案并定期演练（如是关键信息基础设施的运营者）。

（三） 违规历史记录或潜在隐患

除了审查机构和人员建设、数据合规制度建构等方面外，还建议并购交易方关注标的企业是否存在违规历史记录或潜在隐患，其中包括：

 是否签订有违规合同而被要求提供违规的数据服务的；
 是否存在数据泄露、毁损或丢失记录；
 是否存在超越授权范围收集、使用个人信息的；
 是否存在虽为网络用户带来便利但破坏其他经营者合法权益的行为，例如屏蔽贴片广告等；
 是否存在设置“网络爬虫”程序访问收集他人网站数据而妨碍网站政策运营的行为；
 是否存在侵害他人计算机信息系统的行为。

如果标的企业在数据合规制度中存在上述明显“硬伤”的，其受到监管部门审查惩处的几率极高，而且同时也代表着其数据运营业务存在明显漏洞。因此，建议在签约或交割前做好“内务整饬”，避免发生“后顾之忧”；如果项目已完成交割的则应当将此作为投后管理的整改要务，以避免因数据合规问题让并购交易出现“滑铁卢”现象。

三、未完待续

除了以上提到的数据精准辨识以及内务整饬问题外，笔者认为，并购交易中的数据合规要点还应当包括供应商管理、跨境数据传输以及数据融合等问题。对此，笔者将在下一篇文章中进行收官阐述，敬请持续关注。