引言

近些年來，隨著大數(shù)據(jù)、人工智能、云計算和區(qū)塊鏈等數(shù)字技術(shù)的不斷演進和創(chuàng)新，企業(yè)逐漸開始進行數(shù)字化轉(zhuǎn)型。一方面，通過數(shù)字化手段，企業(yè)能夠?qū)崿F(xiàn)貿(mào)易成本的顯著降低，業(yè)務(wù)效率的大幅提升，以及商業(yè)主體的多元化。另一方面，數(shù)據(jù)已經(jīng)成為貿(mào)易中的一項重要資源和交易對象，業(yè)務(wù)出海、數(shù)據(jù)出境以及數(shù)據(jù)回流等剛性需求不斷增長，數(shù)據(jù)資產(chǎn)占企業(yè)總資產(chǎn)的比重越來越大，全球范圍內(nèi)的數(shù)據(jù)跨境流動已經(jīng)成為驅(qū)動經(jīng)濟運行的關(guān)鍵性因素。與此同時，數(shù)據(jù)的跨境流動也引發(fā)了全球范圍內(nèi)的監(jiān)管和治理問題，全球主要國家和地區(qū)均在積極建立、健全和強化數(shù)據(jù)跨境流動的治理和監(jiān)管，企業(yè)面臨越來越嚴格的數(shù)據(jù)合規(guī)和數(shù)據(jù)跨境流動要求，數(shù)據(jù)泄露、隱私侵犯以及知識產(chǎn)權(quán)糾紛等數(shù)據(jù)風(fēng)險均可能對企業(yè)造成重大損失。

密切關(guān)注國內(nèi)外的數(shù)據(jù)跨境規(guī)則，協(xié)助企業(yè)識別、控制和消除數(shù)據(jù)合規(guī)風(fēng)險，是開展投資并購盡調(diào)的重要內(nèi)容。本文將以投資并購交易為背景，簡要說明不同國家和地區(qū)的數(shù)據(jù)跨境流動規(guī)則，梳理我國目前關(guān)于數(shù)據(jù)安全和數(shù)據(jù)跨境流動的監(jiān)管體系，重點介紹開展數(shù)據(jù)跨境流動合規(guī)盡調(diào)的關(guān)注要點及應(yīng)對策略，為企業(yè)建立完善的數(shù)據(jù)合規(guī)治理體系提供參考思路。

一、 不同國家和地區(qū)關(guān)于數(shù)據(jù)跨境流動的監(jiān)管規(guī)則

根據(jù)國際組織、其他國家對跨境數(shù)據(jù)流動的管理制度，以及我國國家網(wǎng)信辦頒布的《數(shù)據(jù)出境安全評估申報指南（第一版）》，數(shù)據(jù)出境行為包含數(shù)據(jù)處理者向境外提供數(shù)據(jù)、境外主體從境外訪問數(shù)據(jù)和其他出境行為。不同國家和地區(qū)對于數(shù)據(jù)跨境流動的監(jiān)管態(tài)度和監(jiān)管體系不盡相同，充分了解不同國家和地區(qū)的數(shù)據(jù)跨境流動規(guī)則，是開展跨境交易盡調(diào)的重要前提。

（一）歐盟

在歐盟內(nèi)部，個人數(shù)據(jù)可以自由流動，但原則上不得向歐盟以外的第三國或者其他國際組織傳輸，除非通過“充分性認定”、“適當保障措施”或“例外豁免情形”三種合規(guī)路徑之一進行。充分性認定只能適用于“白名單”上的特定國家或地區(qū)，如數(shù)據(jù)保護水平與歐盟相當，被歐委會被列入“白名單”，個人數(shù)據(jù)即可自由地從歐盟傳輸至該國家或地區(qū)。如果需將歐盟數(shù)據(jù)傳輸至“白名單”以外的國家或地區(qū)，可對傳輸行為提供適當?shù)谋Ｕ洗胧?，主要包括制定約束性企業(yè)規(guī)則（Binding Corporate Rules, “BCRs”）、簽訂標準合同條款（Standard Contractual Clauses, “SCCs”）、遵循經(jīng)批準的行為準則（Approved Codes of Conduct, “CoC”）或者基于經(jīng)批準的認證機制（Approved Certification）進行傳輸?shù)取Ｔ诔浞中哉J定和適當保障措施均無法適用的情況下，數(shù)據(jù)傳出方可判斷數(shù)據(jù)跨境傳輸是否屬于特定情形下的豁免，如數(shù)據(jù)主體明確同意、為履行與數(shù)據(jù)主體的合同需要、為實現(xiàn)公共利益需要等等。

（二）美國

美國互聯(lián)網(wǎng)企業(yè)在全球市場中占據(jù)主導(dǎo)地位，具有明顯的競爭優(yōu)勢。因此美國在國際層面積極倡導(dǎo)數(shù)據(jù)跨境自由流動，反對對數(shù)據(jù)跨境施加不必要的限制，通過簽署更加開放自由的貿(mào)易協(xié)定拓展國際市場。在國內(nèi)層面，為遏制競爭對手并維護技術(shù)霸權(quán)，美國以國家安全為由，嚴格限制數(shù)據(jù)跨境，如嚴格限制新型技術(shù)和數(shù)據(jù)的出口、對涉敏感個人數(shù)據(jù)交易進行外國投資安全審查、禁止科技公司向任何特別關(guān)注國家進行直接或間接的數(shù)據(jù)傳輸?shù)取?/span>

（三）日本

在國際層面，日本積極參與多雙邊數(shù)據(jù)跨境協(xié)定，探索建立可信賴且自由的數(shù)據(jù)流動機制。在國內(nèi)層面，日本現(xiàn)行數(shù)據(jù)跨境政策具有靈活性，辦理個人信息出境以事先取得個人信息主體的同意為原則，以不需要取得同意為例外。例外情形主要包括向白名單國家出境個人信息，以及向已經(jīng)建立了符合日本法保護標準的個人信息保護機制的接收方出境個人信息。

（四）新加坡

在國際層面，新加坡尋求數(shù)據(jù)自由流動與高水平數(shù)據(jù)保護的平衡。在國內(nèi)層面，新加坡關(guān)于數(shù)據(jù)跨境的規(guī)定主要集中于《個人數(shù)據(jù)保護法》（Personal Data Protection Act，“PDPA”）和《個人數(shù)據(jù)保護條例》（Personal Data Protection Regulations，“PDPR”）。PDPA要求數(shù)據(jù)傳輸方確保數(shù)據(jù)接收方對傳輸?shù)膫€人數(shù)據(jù)提供至少與PDPA同等的保護，否則不得進行數(shù)據(jù)的跨境傳輸。

二、 我國數(shù)據(jù)安全及跨境流動監(jiān)管體系

（一）國際層面

迄今為止，在我國參與的自由貿(mào)易協(xié)定中，內(nèi)容最豐富的數(shù)字貿(mào)易規(guī)則為2020年11月15日簽署的《區(qū)域全面經(jīng)濟伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership, “RCEP”），RCEP的簽署標志著我國在個人信息保護、數(shù)據(jù)跨境流動、計算設(shè)施位置等重要問題上與各締約國達成了共識?；诟骶喖s國數(shù)字貿(mào)易發(fā)展程度的差異，RCEP在數(shù)據(jù)跨境流動規(guī)則上采取開放性制度設(shè)計，兼顧各國利益沖突的協(xié)調(diào)。原則上禁止締約國對數(shù)據(jù)跨境流動進行限制，但設(shè)置了“公共政策目標”和“基本安全利益”的例外條款。目前RCEP并未明確“公共政策目標”和“基本安全利益”的適用標準和解釋口徑，實踐中締約國是否能夠援引該條款限制數(shù)據(jù)跨境流動，存在一定的不確定性。

（二）國內(nèi)層面

我國目前已初步形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《數(shù)據(jù)出境安全評估辦法》等為補充和重點領(lǐng)域?qū)ｉT規(guī)范的規(guī)則體系，確立了數(shù)據(jù)“本地儲存+出境評估”的監(jiān)管模式，為網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息安全和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)流動提供保障。針對數(shù)據(jù)跨境流動涉及的不同主體和不同數(shù)據(jù)類型，制定不同的規(guī)制措施。

          1. 關(guān)鍵信息基礎(chǔ)設(shè)施運營者（Critical Information Infrastructures Operators,“CIIO”）

《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。關(guān)于CIIO如何認定，截至目前，有關(guān)部門暫未公布行業(yè)內(nèi)CIIO的認定規(guī)則或清單。《網(wǎng)絡(luò)安全法》第三十一條明確了關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructures, “CII”）的要素，即關(guān)乎國家安全、國計民生、公共利益等重要因素，但并未明確CIIO的范圍和認定方式。因此，實踐中企業(yè)可參考《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》中規(guī)定的CII認定要素，衡量判斷自身是否構(gòu)成CIIO：一是網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；二是網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；三是對其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

        2. 重要數(shù)據(jù)

根據(jù)《數(shù)據(jù)安全法》第三十一條，結(jié)合《網(wǎng)絡(luò)安全法》《數(shù)據(jù)出境安全評估辦法》等規(guī)定，數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)以及CIIO在我國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)，應(yīng)按規(guī)定申報出境安全評估。基于此，我國建立了對特定行業(yè)進行差異化管理的數(shù)據(jù)跨境流動規(guī)則體系，在汽車、金融、醫(yī)療等行業(yè)分別對特定數(shù)據(jù)的跨境傳輸提出了不同要求。如目標公司所屬行業(yè)暫未頒布重要數(shù)據(jù)的識別標準，可參考《數(shù)據(jù)出境安全評估辦法》第十九條和全國信息安全標準化技術(shù)委員會發(fā)布的《信息安全技術(shù) 重要數(shù)據(jù)識別指南》（征求意見稿）等識別重要數(shù)據(jù)。

        3. 個人信息

2021年8月公布的《個人信息保護法》第三章專章規(guī)定了個人信息跨境提供的規(guī)則。該法第三十八條至第四十條確立了不同個人信息處理主體的分類監(jiān)管模式，即區(qū)分普通的個人信息處理者、CIIO和處理個人信息達到一定數(shù)量的個人信息運營者。對于普通的個人信息處理者，應(yīng)當具備安全評估/專業(yè)機構(gòu)認證/標準合同條件之一。對于CIIO和處理個人信息達到一定數(shù)量的個人信息運營者，均應(yīng)當遵循“本地儲存+出境評估”的要求。

三、 投資并購中數(shù)據(jù)跨境的盡調(diào)關(guān)注要點及應(yīng)對策略

（一）投資并購中開展數(shù)據(jù)合規(guī)盡調(diào)的重要性

在跨國投資并購中，數(shù)據(jù)跨境傳輸是不可避免的環(huán)節(jié)，實踐中目標公司和收購方因數(shù)據(jù)風(fēng)險遭受處罰和經(jīng)濟損失的情形頻頻發(fā)生，如某知名酒店在對目標公司進行盡職調(diào)查的過程中并未發(fā)現(xiàn)目標公司已經(jīng)存在的系統(tǒng)漏洞，導(dǎo)致其在收購?fù)瓿珊笠蚰繕斯镜男畔⑿孤妒录艿綌?shù)億元的罰款。

從收購方角度看，在盡職調(diào)查階段識別和發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)風(fēng)險，將有助于收購方對目標公司的股權(quán)或者資產(chǎn)價值作出準確的估值，進而調(diào)整收購價格和并購交易的結(jié)構(gòu)。目標公司的主營業(yè)務(wù)與數(shù)據(jù)的關(guān)聯(lián)性越強，或者目標公司的數(shù)據(jù)資產(chǎn)占總資產(chǎn)的比重越大，目標公司股權(quán)或資產(chǎn)的價值受到數(shù)據(jù)合規(guī)問題的影響就越大。如果數(shù)據(jù)資產(chǎn)的風(fēng)險敞口過大，可以選擇提前剝離此部分數(shù)據(jù)資產(chǎn)，或者及時調(diào)整交易安排，提出更加嚴苛的收購條件，壓低收購價格，甚至終止交易。

從目標公司角度看，在并購開始前委托專業(yè)的外部機構(gòu)開展數(shù)據(jù)合規(guī)盡職調(diào)查，有利于提前發(fā)現(xiàn)數(shù)據(jù)合規(guī)風(fēng)險，及時采取整改措施降低或者封閉風(fēng)險敞口，提升股權(quán)或資產(chǎn)估值，爭取到更加優(yōu)厚的出售條件。避免在并購進入實質(zhì)性接觸階段發(fā)生數(shù)據(jù)安全“暴雷”，使得目標公司處于不利地位。同時在后續(xù)的經(jīng)營過程中，也可以規(guī)避可能由數(shù)據(jù)合規(guī)問題引發(fā)的一系列連鎖反應(yīng)，如因數(shù)據(jù)泄露面臨的民事賠償、行政處罰、刑事責(zé)任或者影響目標公司上市進程等。

（二）投資并購中開展數(shù)據(jù)合規(guī)盡調(diào)的關(guān)注要點

數(shù)據(jù)合規(guī)盡職調(diào)查除公開方式核查、文件審閱和人員訪談等常規(guī)方法外還涉及技術(shù)調(diào)查，如開展“網(wǎng)絡(luò)平臺穿行測試”等特別手段。除常規(guī)法律盡職調(diào)查所關(guān)注的內(nèi)容外，進行數(shù)據(jù)合規(guī)盡調(diào)主要關(guān)注以下三個方面的內(nèi)容：（1）數(shù)據(jù)處理全生命周期的合法合規(guī)性；（2）數(shù)據(jù)安全和網(wǎng)絡(luò)安全的內(nèi)控制度；（3）網(wǎng)絡(luò)和數(shù)據(jù)安全事件、事故和漏洞及合規(guī)問題引發(fā)的爭議、行政處罰、訴訟等。

1.  目標公司的基本情況

了解目標公司的業(yè)務(wù)模式，核查公司運營過程中可能涉及數(shù)據(jù)安全、數(shù)據(jù)跨境流動的環(huán)節(jié)，是進行數(shù)據(jù)合規(guī)盡職調(diào)查的前提條件。

1.1  目標公司業(yè)務(wù)模式和主營業(yè)務(wù)：判斷所屬行業(yè)，識別業(yè)務(wù)中的數(shù)據(jù)跨境場景和數(shù)據(jù)處理者角色，確定目標公司是否可能構(gòu)成CIIO或處理個人信息達到一定數(shù)量的運營者，并進一步確定該行業(yè)是否涉及特殊數(shù)據(jù)監(jiān)管規(guī)則，是否具有特殊的數(shù)據(jù)出境要求。

以汽車行業(yè)為例，《汽車數(shù)據(jù)安全管理若干規(guī)定》對汽車數(shù)據(jù)進行了列舉。《信息安全技術(shù) 網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)安全要求》要求，網(wǎng)約車服務(wù)提供者的數(shù)據(jù)出境應(yīng)對出境行為進行監(jiān)測，如對租用的網(wǎng)絡(luò)鏈路進行出境流量分析、對服務(wù)APP與境外網(wǎng)絡(luò)通信行為進行檢測分析等，以及根據(jù)發(fā)展運營情況，每年應(yīng)自行或委托第三方機構(gòu)至少進行一次數(shù)據(jù)出境風(fēng)險評估等。

1.2  目標公司內(nèi)部系統(tǒng)的使用情況：內(nèi)部系統(tǒng)的運維主體，服務(wù)器所在地，設(shè)立目的和功能，使用人及訪問人等。

1.3  目標公司相關(guān)平臺網(wǎng)站（包括APP、小程序、公眾號、網(wǎng)站等）：平臺網(wǎng)站的設(shè)立目的和功能，數(shù)據(jù)收集的目的、范圍、使用等，隱私政策和用戶協(xié)議等。

2. 數(shù)據(jù)處理全生命周期的合法合規(guī)性

2.1  數(shù)據(jù)的收集

核查數(shù)據(jù)的類型、來源、數(shù)量、敏感程度、方式等，是否屬于個人信息、敏感個人信息、未成年人個人信息、重要數(shù)據(jù)或核心數(shù)據(jù)，是否為從第三方處獲取的數(shù)據(jù)。

2.1.1  對目標公司直接收集的數(shù)據(jù)，需核查數(shù)據(jù)獲取方式的合法性和正當性。如是否涉及用爬蟲技術(shù)獲取相關(guān)數(shù)據(jù)、是否取得個人信息主體的同意或授權(quán)、是否超出必要限度收集與提供的服務(wù)/產(chǎn)品無關(guān)的個人信息等。

2.1.2  對目標公司從第三方處獲取的數(shù)據(jù)，需核查第三方獲取及轉(zhuǎn)讓數(shù)據(jù)的合法合規(guī)性。如目標公司的數(shù)據(jù)采購、第三方的數(shù)據(jù)來源、獲取和使用方式是否合規(guī)等。

2.1.3  如果目標公司涉及個人信息的收集，需重點核查是否遵循“同意、合理、最小化”三原則，如目標公司是否明確告知、是否已經(jīng)取得個人的明確同意、是否在個人授權(quán)的范圍內(nèi)收集、是否限于實現(xiàn)處理目的之最小范圍收集、是否提供撤回同意的渠道、是否向個人提供查詢/更正/補充/刪除個人信息的渠道、是否告知個人信息的保存期限等。

2.2  數(shù)據(jù)的存儲

2.2.1  目標公司存儲數(shù)據(jù)的方式（自行存儲/委托第三方存儲）、存儲數(shù)據(jù)的位置（境內(nèi)存儲/境外存儲）、存儲期限屆滿后的處理方式、收集到的數(shù)據(jù)能否境外存儲。

2.2.2  目標公司是否對數(shù)據(jù)進行了分類分級，是否備份，是否對特殊數(shù)據(jù)采取了充分的安全保護措施。對重要數(shù)據(jù)和個人信息是否脫密或加密處理，是否設(shè)置了數(shù)據(jù)隔離、訪問限制和權(quán)限管理。

2.2.3  是否取得數(shù)據(jù)主體的同意，存儲是否超過必要限度。

2.3  數(shù)據(jù)的使用、加工、傳輸、提供、公開

2.3.1  數(shù)據(jù)的使用方式、使用范圍：是否符合數(shù)據(jù)主體的授權(quán)范圍。

2.3.2  數(shù)據(jù)的出境：是否因業(yè)務(wù)需要等正當理由向境外第三方提供、共享或委托處理數(shù)據(jù)。如存在相關(guān)情形，應(yīng)當關(guān)注以下內(nèi)容。

（1） 擬出境數(shù)據(jù)的情況：屬于何種數(shù)據(jù)類型（重要數(shù)據(jù)/核心數(shù)據(jù)、個人信息及敏感信息），數(shù)據(jù)出境的規(guī)模和范圍，評估數(shù)據(jù)是否達到需申報安全評估的數(shù)量要求；目標公司內(nèi)部是否已就數(shù)據(jù)出境等行為進行了審批，是否已經(jīng)過監(jiān)管機關(guān)備案或授權(quán)、是否滿足所涉行業(yè)的特殊監(jiān)管規(guī)則；是否對境外主體訪問境內(nèi)數(shù)據(jù)設(shè)有隔離、限制和權(quán)限管理等措施。涉及個人信息的，是否已向個人告知接收方的名稱或姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，是否已征得個人的單獨同意。

（2） 境外接收方的情況：境外接收方所在的國家或地區(qū)相關(guān)數(shù)據(jù)安全保護規(guī)定和網(wǎng)絡(luò)安全環(huán)境；境外接收方的數(shù)據(jù)安全責(zé)任人和數(shù)據(jù)安全保護責(zé)任義務(wù)內(nèi)容，其履行責(zé)任義務(wù)的管理、技術(shù)措施和能力等能否保障數(shù)據(jù)跨境的安全，以充分評估其數(shù)據(jù)安全的保護水平是否符合我國相關(guān)法律規(guī)定和強制性標準；境外接收方是否具備數(shù)據(jù)跨境傳輸和處理的相關(guān)經(jīng)驗，是否曾發(fā)生數(shù)據(jù)安全和網(wǎng)絡(luò)安全相關(guān)事件，以及其是否進行了及時有效的處置、是否曾收到所在國家或地區(qū)要求其提供數(shù)據(jù)的請求及其應(yīng)對情況。

需注意，未經(jīng)我國主管機關(guān)批準，企業(yè)不得向外國司法或執(zhí)法機構(gòu)提供存儲于我國境內(nèi)的數(shù)據(jù)，向外國司法或執(zhí)法機構(gòu)傳輸數(shù)據(jù)，并不屬于數(shù)據(jù)安全義務(wù)豁免的情形。

（3） 數(shù)據(jù)出境涉及的相關(guān)法律文件：是否簽署數(shù)據(jù)跨境轉(zhuǎn)移協(xié)議、告知書等，通過核查相關(guān)法律文件的條款，判斷數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當性、必要性。如數(shù)據(jù)境外保存地點、期限；達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個人的約束性要求。

（4） 數(shù)據(jù)出境應(yīng)當履行的必要程序：符合法律規(guī)定的重要數(shù)據(jù)或個人信息出境是否履行了自評估（數(shù)據(jù)出境風(fēng)險自評估、個人信息保護影響評估）、安全評估申報等程序；目標公司及境外接收方是否留存了相應(yīng)的日志記錄。

（5） 數(shù)據(jù)出境中和出境后到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險，個人信息權(quán)益維護的渠道是否通暢等。

3. 數(shù)據(jù)安全和網(wǎng)絡(luò)安全的內(nèi)控制度

核查目標公司是否建立了網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度、個人信息安全和保護制度、合作方管理制度，是否配備了相關(guān)組織人員，是否對可能發(fā)生的數(shù)據(jù)安全事件設(shè)置了應(yīng)急預(yù)案和應(yīng)對措施等。

4. 網(wǎng)絡(luò)和數(shù)據(jù)安全事件、事故和漏洞及合規(guī)問題引發(fā)的爭議、行政處罰、訴訟等

關(guān)注目標公司歷史上發(fā)生的數(shù)據(jù)安全和網(wǎng)絡(luò)安全問題，是否曾因違反《數(shù)據(jù)安全法》等遭受調(diào)查、行政處罰、訴訟、仲裁等，是否及時采取了相應(yīng)整改措施，進一步分析相關(guān)事件可能引發(fā)的法律風(fēng)險和經(jīng)濟損失。關(guān)注目標公司目前是否仍存在導(dǎo)致同類爭議、行政處罰、訴訟、仲裁等事件發(fā)生的情況。

此外，在進行數(shù)據(jù)跨境合規(guī)盡職調(diào)查時，目標公司向律師提供的材料文件等的傳輸，也可能涉及數(shù)據(jù)的跨境流動問題，交易各方可通過簽署數(shù)據(jù)分享協(xié)議，確保相關(guān)數(shù)據(jù)的安全性和保密性，明確提供該等數(shù)據(jù)的目的、范圍和處理方式等，并約定在交易的相應(yīng)階段有關(guān)方按照目標公司要求及時刪除、銷毀該等數(shù)據(jù)。

（三）如何規(guī)避投資并購交易中的數(shù)據(jù)合規(guī)風(fēng)險

1.  陳述與保證條款

在制作交易文件時，可以基于對目標公司數(shù)據(jù)跨境的盡調(diào)情況，設(shè)置如下陳述與保證條款。

1.1  目標公司已遵守關(guān)于數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個人信息保護的全部法律法規(guī)（包括但不限于中國法律規(guī)定、境外接收地法律規(guī)定）、合同義務(wù)。

1.2  目標公司處理數(shù)據(jù)的全生命周期（包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等）均合法合規(guī)，包括但不限于告知、獲取必要的同意及完成必要的審批、備案、評估。

1.3  目標公司已依照監(jiān)管要求建立相關(guān)內(nèi)控制度并采取相應(yīng)保護措施，以確保數(shù)據(jù)和網(wǎng)絡(luò)安全，防止數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險。

1.4  目標公司不存在/已披露與數(shù)據(jù)合規(guī)相關(guān)的現(xiàn)有和潛在的爭議、訴訟、索賠、政府調(diào)查以及數(shù)據(jù)安全事件。

1.5  著重強調(diào)與目標公司所涉行業(yè)相關(guān)的數(shù)據(jù)合規(guī)要點。以汽車行業(yè)為例，可要求目標公司、實控人承諾就汽車重要數(shù)據(jù)的處理，已遵循汽車數(shù)據(jù)處理者相關(guān)原則，已通過適當方式向個人信息主體告知相關(guān)事項，已按照規(guī)定開展風(fēng)險評估，并向網(wǎng)信部門和有關(guān)部門報送風(fēng)險評估報告和年度汽車數(shù)據(jù)安全管理情況等。

2. 交割先決條件或交割義務(wù)

2.1  個人信息方面。在針對目標數(shù)據(jù)的資產(chǎn)收購中，如果目標數(shù)據(jù)中包含個人信息（例如賣方將相關(guān)業(yè)務(wù)整體出售并將相關(guān)員工轉(zhuǎn)移給買方，或賣方從事酒店、電商等面向個體消費者的行業(yè)等情形），買方可要求將賣方取得員工/用戶/客戶等個人信息主體的同意作為交割先決條件或交割后義務(wù)，雙方可通過與個人信息主體的交互界面設(shè)計、相關(guān)告知文案通知以及溝通釋疑渠道設(shè)置等，促使個人信息主體同意。在股權(quán)收購當中，因兼并、重組等原因需要轉(zhuǎn)移數(shù)據(jù)的，企業(yè)也應(yīng)當以合適的方式通知受影響的個人。因業(yè)務(wù)需要等正當原因確需改變數(shù)據(jù)處理目的、范圍和方式的，應(yīng)重新征得個人同意。

例如，2019年美團全資收購摩拜，并將摩拜全面接入美團APP。在數(shù)據(jù)融合實施前，美團和摩拜通過彈窗發(fā)布“賬號融合用戶確認函”的方式，明確告知用戶將實現(xiàn)賬號互通并獲得用戶同意。

2.2  重要數(shù)據(jù)、核心數(shù)據(jù)或特定身份方面。如果目標公司涉及核心數(shù)據(jù)或重要數(shù)據(jù)處理，或目標公司具有特定身份（如CIIO等），可將完成特定的審批、備案或評估手續(xù)作為交割先決條件或交割后義務(wù)。

例如，在新能源收并購項目中，電力行業(yè)企業(yè)因能源行業(yè)的特性，被能源主管部門認定CIIO的可能性較大，但電力行業(yè)尚未出臺有關(guān)本行業(yè)的重要數(shù)據(jù)目錄，在盡調(diào)過程中可協(xié)同企業(yè)技術(shù)人員研判相關(guān)氣象數(shù)據(jù)、電站運營技術(shù)數(shù)據(jù)等是否屬于重要數(shù)據(jù)或核心數(shù)據(jù)，從而確定是否需要申報數(shù)據(jù)出境安全評估等等。站在投資方角度，若通過盡調(diào)發(fā)現(xiàn)目標公司確需進行數(shù)據(jù)出境安全評估的，建議將該等評估的完成作為交割先決條件，以確保實現(xiàn)并購目的，避免被處罰的風(fēng)險。

2.3  數(shù)據(jù)安全事件、訴訟處罰方面。如果買方在盡職調(diào)查過程中發(fā)現(xiàn)了數(shù)據(jù)安全事件或漏洞、相關(guān)重大訴訟、監(jiān)管問詢、行政處罰等，可將賣方或目標公司完成對數(shù)據(jù)安全問題的處理、整改作為交割先決條件，或者要求賣方在交割前將具有重大數(shù)據(jù)安全問題或隱患的相關(guān)資產(chǎn)剝離出目標公司。

2.4  如果盡調(diào)中發(fā)現(xiàn)目標公司內(nèi)控制度瑕疵等其他重要數(shù)據(jù)合規(guī)問題，買方如認為有必要要求賣方或目標公司在交割前進行整改，則可將有關(guān)數(shù)據(jù)合規(guī)義務(wù)作為交割先決條件。

應(yīng)當注意，前文提到的與數(shù)據(jù)合規(guī)相關(guān)的義務(wù)具體作為交割先決條件還是交割后義務(wù)，需要結(jié)合實現(xiàn)相關(guān)數(shù)據(jù)合規(guī)義務(wù)的預(yù)估時間和難度、相關(guān)數(shù)據(jù)合規(guī)義務(wù)的重要性等因素綜合考慮。

3. 賠償責(zé)任

如果目標公司違反數(shù)據(jù)合規(guī)相關(guān)的陳述與保證、交割義務(wù)或其他合同責(zé)任，目標公司可能會承擔民事責(zé)任（侵權(quán)之訴或違約之訴）、行政責(zé)任（尤其是上市公司）、甚至是刑事責(zé)任（例如拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、侵犯公民個人信息罪等）。為了避免該等風(fēng)險，買方可要求在交易文件中約定數(shù)據(jù)合規(guī)相關(guān)的賠償責(zé)任條款。一旦賣方或目標公司違反其數(shù)據(jù)合規(guī)相關(guān)的陳述與保證、交割義務(wù)或其他合同責(zé)任致使買方遭受任何損失，買方可基于該等賠償責(zé)任條款向賣方或目標公司索賠。

對于賣方來說，可以對買方要求的賠償責(zé)任設(shè)置一些限制，例如只對買方的直接損失負責(zé)、設(shè)置賠償額上限、設(shè)置起賠額、設(shè)置索賠期限等，以避免賠償責(zé)任的無限放大。

四、 企業(yè)建立內(nèi)部數(shù)據(jù)合規(guī)治理體系的思路

對企業(yè)而言，不僅是投資并購的盡調(diào)階段，在完成投資并購交易后的整合階段以及后續(xù)的日常經(jīng)營活動中，均不能忽視數(shù)據(jù)跨境的合規(guī)性。企業(yè)有必要建立內(nèi)部數(shù)據(jù)合規(guī)治理體系，定期或不定期開展內(nèi)部數(shù)據(jù)合規(guī)情況調(diào)研。本文以跨國汽車企業(yè)為例，對其數(shù)據(jù)跨境提出一些具有參考性的合規(guī)建議。

第一，結(jié)合企業(yè)的實際運營模式，識別企業(yè)數(shù)據(jù)跨境傳輸場景和活動，明確數(shù)據(jù)監(jiān)管要點。跨國車企收集到的數(shù)據(jù)包括但不限于車輛自身的數(shù)據(jù)、用戶數(shù)據(jù)和外部環(huán)境數(shù)據(jù)，數(shù)據(jù)跨境的典型場景包括但不限于將車內(nèi)傳感器、車載及手機APP等收集到的數(shù)據(jù)傳輸并存儲至境外或通過云端進行境外遠程訪問。

第二，結(jié)合業(yè)務(wù)分布情況，梳理所涉國家或地區(qū)的數(shù)據(jù)跨境法律規(guī)則，識別禁止出境的數(shù)據(jù)類型、限制出境的數(shù)據(jù)類型以及可以傳輸?shù)臄?shù)據(jù)類型，制定企業(yè)數(shù)據(jù)分類分級清單，進一步確認適用的數(shù)據(jù)出境路徑。就我國跨境數(shù)據(jù)監(jiān)管規(guī)則而言，個人信息和重要數(shù)據(jù)面臨不同的出境合規(guī)要求，汽車行業(yè)是較早明確了重要數(shù)據(jù)范圍的行業(yè)之一。在識別數(shù)據(jù)性質(zhì)的同時，判定境內(nèi)數(shù)據(jù)處理者是否存在特定身份，是否為CIIO或處理100萬人以上個人信息；是否自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息。在完成上述數(shù)據(jù)性質(zhì)識別、數(shù)據(jù)處理者身份識別的基礎(chǔ)上，汽車企業(yè)可進一步判斷適用的數(shù)據(jù)出境路徑。如果數(shù)據(jù)性質(zhì)或數(shù)據(jù)處理者身份存在以上任一情形，則應(yīng)當適用官方評估路徑；如果不存在上述情形，但出境數(shù)據(jù)中包含個人信息，則應(yīng)當適用認證路徑或標準合同路徑。

第三，對標監(jiān)管要求對企業(yè)全跨境場景進行風(fēng)險評估，參考監(jiān)管規(guī)則、國際標準和同行業(yè)實踐，進行企業(yè)內(nèi)部數(shù)據(jù)跨境合規(guī)體系建設(shè)。通過制定內(nèi)部數(shù)據(jù)跨境安全評估制度、組織專業(yè)數(shù)據(jù)跨境安全評估人員和建立數(shù)據(jù)跨境內(nèi)部自評估工具等，對企業(yè)的數(shù)據(jù)跨境行為進行動態(tài)評估。動態(tài)評估還應(yīng)當關(guān)注可能存在的非典型數(shù)據(jù)出境情形并設(shè)置相應(yīng)的規(guī)制流程，如車企員工在境外差旅/休假期間，通過該車企內(nèi)網(wǎng)鏈接查詢、調(diào)取、下載、導(dǎo)出重要數(shù)據(jù)或個人信息，是否違反“境內(nèi)儲存，出境評估”的規(guī)定。若出現(xiàn)企業(yè)無法預(yù)判的非典型數(shù)據(jù)出境場景，及時主動與主管部門溝通，尋求主管部門對該等事件的處理方案。

第四，提前為數(shù)據(jù)出境準備好相關(guān)法律文件等合規(guī)準備。建議企業(yè)以標準合同為基礎(chǔ)制定法律文件，以減少程序性負擔。如果出境數(shù)據(jù)包括個人信息和重要數(shù)據(jù)，建議在法律文件中將個人信息與重要數(shù)據(jù)進行拆分處理：個人信息相關(guān)條款參照標準合同，重要數(shù)據(jù)部分則通過單獨章節(jié)進行約定。此外，根據(jù)《網(wǎng)絡(luò)安全標準實踐指南 個人信息跨境處理活動安全認證規(guī)范》，建議車企在與境外數(shù)據(jù)接收方簽署的數(shù)據(jù)跨境合同或標準合同中，規(guī)定境外接收方應(yīng)指定個人信息保護負責(zé)人和設(shè)立個人信息保護機構(gòu)，并把包含上述合同文本作為申報數(shù)據(jù)出境安全評估（如需）的附件。

結(jié)語

包括數(shù)據(jù)跨境流動在內(nèi)的一系列數(shù)據(jù)合規(guī)問題在投資并購交易中的重要性日趨凸顯，在數(shù)據(jù)合規(guī)盡職調(diào)查和交易結(jié)構(gòu)設(shè)計的基礎(chǔ)上，如何將已識別的數(shù)據(jù)合規(guī)風(fēng)險在交易文件中加以體現(xiàn)和明確，對交易活動的開展和完成至關(guān)重要。作為律師，在盡調(diào)過程中和盡調(diào)完成后應(yīng)當在交易文件中明確各方有關(guān)數(shù)據(jù)合規(guī)問題的權(quán)利和義務(wù)，協(xié)助雙方落實陳述與保證、交割先決條件或交割后義務(wù)、賠償責(zé)任等條款，妥善處理數(shù)據(jù)合規(guī)問題，以便降低交易風(fēng)險，確保交易順利完成。作為企業(yè)，應(yīng)當關(guān)注數(shù)據(jù)全生命周期的合法合規(guī)性，根據(jù)監(jiān)管要求識別不同的數(shù)據(jù)類型，以建立完善的內(nèi)部數(shù)據(jù)合規(guī)體系，盡可能避免數(shù)據(jù)安全等事件給企業(yè)帶來的潛在風(fēng)險。