×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评|数据交易合规系列研究之十二——企业并购获取数据的合法性探析

汉盛法评|数据交易合规系列研究之十二——企业并购获取数据的合法性探析

2022-06-09   李旻、刘曦

本系列文章曾将数据合法来源区分为数据公开收集、自行生产、直接采集及间接获取,并对其常见类型、范围外延、审查要点予以讨论。伴随数据经济迅速发展,数据来源更加多元,本文另行分析基于企业并购方式获取数据来源的合法性,欢迎各位同行批评指正。

一、通过企业并购获得数据本质上是一次数据交易

企业并购的结果是不同企业间的优势叠加,使企业间的竞争转为合作关系,有利于形成规模效应、整合行业资源,提升企业在研发、销售、运营等多方面的竞争优势。

从数据角度来看,企业意味着不同个人信息处理者、数据处理者、网络运营者之间拥有的个人信息、数据等发生共享、流转、合并,并有机会挖掘出新的信息内涵和数据价值。因此,企业若希望借助并购获得数据源或者数据产品,在尽调时就应当具备数据交易合规意识,并以此作为并购活动中数据合规审查的指引。

以面向未来的数据产品挂牌上市目的为出发点,企业若在并购过程中存在获取个人信息、相关数据的可能性,企业应当按照数据交易合规审查思路,分别对标的公司的公司主体、数据资产、用户授权等全方面予以审查,以便设计交易架构、提升并购活动的价值,例如:(1)未来用于形成数据产品的基础数据来源是否存在合规问题,此类审查可参考本系列有关数据来源合规审查文章;(2)双方用于经营管理的个人信息、或用于生产经营的数据资产是否存在违规风险,例如是否缺少员工的个人信息同意,公司研发、营销所使用的数据是否具备合规来源;(3)企业主体是否具备数据共享、交易的主体能力,例如数据安全保障能力、第三方供应商准入规则等;(4)企业并购行为中涉及数据部分是否满足国家对于个人信息保护、数据安全保障、网络安全保障等相关规范性文件的要求、是否违反禁止性规定,等等。

二、企业通过并购获得相关数据的形式要件

(一) 自然人用户的个人信息同意

若被收购方持有大量个人信息,且此类信息系企业原本业务所必需或未来业务方向的开展基础,则应当审查自然人用户同意情况,包括获取用户同意的方式、已获得用户同意的比率、用户同意的范畴、个人用户同意的留存情况、特殊个人信息的单独同意情况等。

根据《个人信息保护法》第二十二条,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的,应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的,应当依照《个人信息保护法》的相关规定重新取得个人同意。

我国现行的推荐性标准《个人信息安全规范》9.3规定了企业收购、兼并、重组、破产时情况下涉及个人信息转让时对个人信息控制者的要求,即:a)向个人信息主体告知有关情况;b) 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意;c) 如破产且无承接方的,对数据做删除处理。

因此收购方对收购涉及的个人信息,还应当注意受影响用户的通知、原本个人授权的有效继受、以及个人同意的重新取得,以便合规开展并购后业务。

(二) 重要数据或者核心数据

如果目标资产或业务中涉及数据等级高、敏感度高、量级大,足以被认定为重要数据或核心数据,并购时应当审查数据资产的合并、共享、交换等行为是否会存在法律上的限制或禁止,例如是否需要告知受影响用户、是否需要向相关部门更新备案或者审批等。

例如《工业和信息化领域数据安全管理办法(试行)》(征求意见稿)第二十二条规定:工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,应当明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。涉及重要数据和核心数据的,应当及时向地方工业和信息化主管部门(工业领域)或通信管理局(电信领域)或无线电管理机构(无线电领域)更新备案。

(三) 企业并购背景下数据的“善意取得”适度适用

大数据时代的特征之一是数据的信息碎片化、量级巨大,即使收购方穷尽能力很可能也无法穷尽对数据来源的合规调查。笔者认为,若收购方已履行合理收购义务,例如对标的公司进行了合理尽调、履行了必要的谈话或审查,交易过程合法、交易对价合理,且数据内容确属被收购方正常业务活动可以获取的数据,收购方确实亦无法发现数据的来源缺陷,可以参照“善意取得”制度、使得收购方对相关数据具备合理来源。

(四) 关键基础设施运营者

若并购主体依照国家相关认定规则被认定为关键信息基础设施运营者,则根据《关键信息基础设施安全保护条例》第二十一条,运营者发生合并、分立、解散等情况,应当及时报告保护工作部门,并按照保护工作部门的要求对关键信息基础设施进行处置,确保安全。相对于《数据安全法》《个人信息保护法》及相关行政法规、部门规章的合规要求,《网络安全法》及《关键信息基础设施安全保护条例》等网络安全保护规范虽然不直接与数据业务相关,但必须得到企业主体重视。经济活动需要以不危害国家安全为前提,企业主体必须保持高度的安全自觉,以免对企业经营活动带来难以磨灭的影响。

三、总结

在企业并购活动中,由于被收购方的数据资产治理水平不一,数据质量参差不齐,数据敏感性、量级、所属行业、标注程度、合规程度等各种性质不同,收购方可以结合业务方向、投资规划、并购目的等方面因素灵活选择股权收购或资产收购,并配合以恰当的通知方式、审批或备案程序,以降低企业并购中可能引发的数据获取合规风险。


相关研究