投资并购项目包含数字资产,尽调时有哪些注意事项?

作者:叶鹏 董晨辉

观点

随着数字经济与各行业相融合、引领新经济发展,数据的重要性也日益凸显,其蕴含的巨大商业和资产价值也被市场所认可。与此同时,数据泄露事件的频繁发生使得企业在投资并购项目中蒙受了巨大损失。例如,2015年11月万豪集团以122亿美元收购喜达屋,2018年万豪集团因为喜达屋被收购前发生的数据泄露问题,被英国数据监管部门处以9900万英镑的巨额罚款。此后,2020年3月万豪集团再次发布声明称约520万客人的信息可能遭到泄露。

因此,无论是出于评估法律风险,还是确定数据资产价值之目的,在投资并购过程中,特别是数据资产占比较高或对投资并购目的影响重大的项目,对数据资产进行审慎的尽职调查都是必不可少的。而数据资产的尽职调查具有专业性、技术性,笔者总结出该过程中的重点内容,希望可以为企业的投资并购决策和调查提供借鉴。

法律适用

《网络安全法》是确认和评估数据资产安全和合规状况的基础性法律。《民法典》也以单独设立章节的形式确立了个人信息保护的基本原则。此外,《数据安全法(草案)》已进入征求意见阶段,《个人信息保护法》也已纳入年度立法计划。除了法律之外,还有大量已经实施或制定中的行政法规、部门规章以及国家标准等,共同构成了数据安全保护的法律规范体系。此外,还有《电子商务法》《未成年人保护法》等涉及特定行业和对象的专门法律法规。

除了中国的法律法规之外,由于数据的流动性以及对象企业的业务范围等因素,在数据资产的确认和评估时,有可能需要同时适用欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法》(CCPA)等域外法律。

尽调要点

就数据资产尽职调查而言,程序上大体与普通尽职调查无异。内容上,数据资产的尽职调查应包括:确认对象企业的数据资产是否存在权利瑕疵,评估数据资产为企业带来的经济利益,确认是否存在影响数据资产价值的合规风险等。因此,考虑到数据资产的特殊性,我们建议尽职调查重点从以下角度予以把握:

关注不同数据类型全生命周期的合规状况。在数据资产尽职调查中,需要根据所涉及数据的类型,对其全生命周期各节点的合规状况进行调查,以确认对象企业对于数据资产的所有或控制权利是否存在瑕疵并评估风险。例如,对于涉及个人信息的,需要对个人信息的收集、使用、提供等全生命周期的知情同意的取得状况,以及是否符合其他法定条件等进行确认。

业务模式下应用场景中的合规分析和确认。数据处理在不同业务模式下的应用场景也有不同的需求。例如,征信公司在提供征信服务的业务模式下,会涉及对于直接用户画像的使用。跨国企业基于业务以及内部交流的需要,可能会涉及数据的跨境移动。在尽职调查中,需要在业务模式下具体应用场景中对数据处理情况进行确认,在此基础上分析评估数据资产对于对象企业的经济价值以及存在的风险。

结合所处行业的特殊规定。由于各行业的特点不同,主管部门对数据处理可能出台特殊规定,因此在尽职调查中应当结合各行业的规定予以审查。例如,金融业机构在处理个人金融信息时,应当以《个人金融信息保护技术规范》等为依据。关键信息基础设施的企业可能涉及《网络安全审查办法》规定的网络产品服务的审查要求等。

重视网络安全运行状况的调查。网络运行安全既是《网络安全法》等对于网络运营者的合规要求,又是企业对于数据安全的重要保障。大部分企业的数据泄露等都是由网络运行安全问题所导致。因此,在尽职调查中,确认对象企业是否落实网络安全等级保护制度等,并按基本要求对其网络运行安全实施保护是十分必要的。

数据作为新型生产要素,已与土地、劳动力、资本、技术等传统要素并驾齐驱,越来越多的事例证明,数据资产既能成为公司发展的助推器,如不合规也可能成为公司的绊脚石。

(原文刊载于《商法》杂志2020年第8期。)


作者

作者动态

作者其他文章

相关领域

Copyright © 1998-2018 新葡集团3522 京ICP备11012394号
Baidu
sogou
欣昌电子有限公司 凯祥电子有限公司 利仁电子有限公司 金广电子有限公司 干瑞电子有限公司 弘康电子有限公司 大鼎电子有限公司 复禄电子有限公司 万美电子有限公司 厚辉电子有限公司