一、投资并购交易中价值与风险并存的个人信息

 

数据作为数字经济的核心生产要素，被誉为“新黄金”“新石油”，在过去的几年中，数据虽具有普遍的使用价值，但其资产属性尚未完全展现。近年来，在国务院《“十四五”数字经济发展规划》确立的“数字技术与实体经济融合取得显著成效”等发展目标的指引下，在以北京国际大数据交易所、上海数据交易所为首的数据交易场所如火如荼地展开以“交易推动数字经济新活力”的时代浪潮中，数据的资产价值将以更加具体、鲜明的“姿态”充分体现在资本市场和投资并购交易中。

 

在投资并购交易中，个人信息作为商业企业最有普遍性、最具价值潜力的数据，将成为投资者最为看重也需要重点审查的数据资产，与此同时，处理个人信息的企业可能因其不规范、不合规的个人信息处理行为引发违法违规或者侵害个人信息权益的风险，而这也将给投资者带来不容忽视的风险敞口。2021年11月正式施行的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）将个人信息保护提到了前所未有的新高度，以严厉且多样的处罚手段规范个人信息的处理行为、保护个人信息，企业一旦违法处理个人信息，不仅可能面临高额罚金、停业整顿、吊销营业执照等行政处罚，还将面临承担民事侵权责任甚至刑事责任的风险。在个人信息既有重要的投资价值但又存在较大合规风险敞口的情况下，对目标公司个人信息处理行为进行风险评估和预判的法律尽职调查便显得尤为重要。实践中，因并购交易前未对目标公司个人信息处理合法性进行充分调查而被处以高额罚款和遭受投资损失的案例在欧洲早已屡见不鲜[1]。我国《个人信息保护法》虽出台较晚，但对个人信息保护的决心和强度并不亚于被誉为“史上最严格数据保护法”的欧盟《通用数据保护条例》（GDPR）。不难预判，在《个人信息保护法》的规制下，投资者忽视对目标公司个人信息处理合规性进行调查导致在投资并购交易中遭受高额损失的情况在我国也可能陆续出现，此问题应当引起投资者注意和重视。

 

对于TMT行业（数字新媒体行业）而言，“触碰”数据和处理个人信息是比较常态化的业务场景，TMT行业领域企业在数据合规和个人信息处理合规方面走得比较早也比较快，对于数据合规以及个人信息处理合规性的重要性有比较全面和充分的了解和认识。相较TMT行业而言，传统行业领域企业对此问题的重要性认识尚显不足，而《个人信息保护法》却并未将“个人信息”和“个人信息处理”局限于“数字化”和“线上化”，因个人信息处理不合规、违反《个人信息保护法》而应受行政处罚的企业也不仅局限于TMT行业。实践中，相较于对其处理个人信息的情况已具备基本敏感度、已经或正在积极寻求建立数据合规体系的TMT行业领域企业，传统行业企业“碰触”数据较少、处理个人信息的场景并不常见，相关企业及从业人员因认识不足而对个人信息的“随意”处理反而更容易“暗藏”违反《个人信息保护法》及相关法律法规的风险。因此，不仅TMT行业领域的投资并购交易需要特别重视个人信息处理的合规性调查，在传统行业领域投资并购交易中，对传统行业领域企业在其日常生产、经营和管理中个人信息处理合规性的法律尽职调查也不容小觑。

 

二、前期探寻目标公司是否触及“个人信息”之路

 

尽调律师在进行法律尽职调查之初，首先需要分析、判断和识别目标公司的主营业务以及其日常经营管理中是否“触碰”个人信息、在哪些环节“触碰”个人信息；其次应了解目标公司是以何种深度和广度处理个人信息，在此基础上决定个人信息合规性调查的策略及方案，确定个人信息合规性调查在该次法律尽职调查中的重点和关键点。

 

（一）“识别说”与“关联说”结合认定个人信息

从法律角度而言，《民法典》规定的“识别说”[2]和《个人信息保护法》规定的“关联说”[3]，均是判断和识别个人信息的标准。识别，是指由特定的信息识别到特定的自然人（如身份证号、经实名认证的手机号）；关联，是指已知某个特定自然人，记录该特定自然人在活动中产生与自然人存在关联的信息（如个人位置信息、个人通话记录、个人浏览记录等）。实践中无论符合上述何种标准，均有被认定为个人信息的可能，从审慎的角度考虑，笔者建议在法律尽职调查中对个人信息判断可采用“识别”与“关联”两种路径相结合的方式判断目标公司“触碰”的数据和信息是否属于个人信息。当然也有例外，对于符合前述标准的个人信息，若在匿名化处理后达到《个人信息保护法》第73条规定的“无法识别特定自然人”并且“不能复原”的效果，便不会再构成个人信息。

 

（二）探寻目标公司是否涉及“个人信息处理”

“个人信息处理”囊括个人信息全生命周期的各项活动和各个环节，即收集、存储、使用、加工、传输、提供、公开、删除，因此无论目标公司从事的是对个人信息处理的某一项或多项活动，均应当受到《个人信息保护法》的规制。结合法律的规定，在法律尽职调查初期，尽调律师应对目标公司是否存在个人信息“处理”行为进行初步判断，建立对目标公司所处的行业特征、目标公司的实际业务范围以及服务对象的框架性认识和初步画像，并结合了解到的目标公司所处行业特点、目标公司业务范围和服务对象等实际情况，在设计法律尽职调查清单和调查问卷时将涉及个人信息处理的相关问题预先考虑在内。

 

在法律尽职调查时，可以通过以下几种方式多方面探究目标公司是否存在处理个人信息的场景，继而对个人信息处理行为进行准确定位和深入判断。首先，通过查阅目标公司的业务合同、财务报表、公司运营结构等相关书面文件或记录，以期全面深入地了解目标公司的业务模式，对公司运营结构、业务方向有整体性的认识，通过查阅相关材料判断目标公司运营中哪一环节可能会涉及到对个人信息的处理，目标公司哪个或哪些部门或人员涉及对个人信息的处理，该等人员在个人信息处理活动中扮演何种角色。其次，通过对企业管理者、重点部门或重要人员进行访谈，对目标公司所涉及的个人信息处理情况进行了解，对个人信息处理的尽调方向进行定位。再次，通过公开途径和资料收集等方式，了解目标公司在过往经营过程中，是否有过因个人信息处理不合规而被行政处罚、因个人信息侵权行为被提起诉讼或仲裁、抑或是因处理个人信息违法行为被记入企业信用档案[4]等情况，若存在上述情况，也可反向说明目标公司在过往的经营活动中存在个人信息的处理活动，而对于已产生处罚或纠纷的个人信息，应进一步了解目标公司是否仍在继续处理该个人信息、是否采取了相应的合规措施、合规措施的实际落实情况等。最后，重点审查目标公司在劳动用工方面的个人信息采集，审查目标公司对员工的个人信息采集是否满足《个人信息保护法》第十三条第二款关于“为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需”之规定的同时，也应当将是否存在对员工敏感个人信息的采集和应用考虑在内。

 

在法律尽职调查初期，通过上述手段和方式，能够对目标公司是否存在个人信息处理进行判断，对可能存在个人信息处理的具体部门、具体人员和具体环节进行定位，对个人信息处理的深度和广度进行针对性的了解。简而言之，在此阶段重点应解决的是目标公司有没有处理个人信息、处理多少个人信息的问题，为下一阶段重点开展个人信息处理合规性调查做好准备工作。

 

三、重点审查目标公司个人信息处理的合法合规性

 

在基本掌握目标公司有没有处理、处理多少个人信息等问题的基础上，下一步便是对目标公司处理个人信息的合法性、合规性进行重点调查。笔者认为判断目标公司个人信息处理行为是否合法合规，应着重从两个方面入手：其一应判断是否具备处理个人信息的合法性基础，其二应审查对个人信息的处理是否符合《个人信息保护法》规定的处理原则、处理规则等。

 

（一）审查是否具备处理个人信息的合法性前提

获得“同意”是具备处理个人信息合法性的重要前提之一，因此审查目标公司个人信息处理的合法性前提，主要就是审查是否取得信息主体的明确“同意”。根据《个人信息保护法》规定，只有目标公司符合下列情形之一时，处理个人信息时方无需取得个人同意：（1）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（2）为履行法定职责或者法定义务所必需；（3）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（4）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（5）在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（6）法律、行政法规规定的其他情形。另外，处理的信息若属于敏感个人信息[5]，还需要取得个人的单独同意甚至书面同意。

 

若在法律尽职调查过程中了解到，目标公司所处理的个人信息是基于其他个人信息者的委托所获得，尽调律师还应进一步审查目标公司与该委托方之间是否已明确就委托处理的目的、期限、处理方式以及双方权利义务等达成合意并签订书面合同，目标公司在日常经营活动中是否在该合同约定的处理目的、处理方式范围内处理个人信息，目标公司有无再次转委托的行为等[6]，以此来判断目标公司在该委托关系下可能面临或存在的法律风险点。

 

（二）审查个人信息的处理是否遵循相应的处理原则与处理规则

1、目标公司应当遵循的主要处理原则

对目标公司进行法律尽职调查时，首先应审查其所处理的个人信息是否遵循合法、正当、必要和诚信原则，探究目标公司的个人信息处理行为是否符合法律、行政法规、地方性法规、司法解释、部门规章、地方政府规章、强制性标准等，是否存在非法买卖、提供或者公开个人信息等问题，是否存在通过误导、欺诈、胁迫等方式处理个人信息的行为，是否严格遵守其向个人信息权益人作出的承诺等。

 

其次，应当审查处理的个人信息是否遵循目的限制原则，即处理个人信息应具备明确、合理的目的，个人信息处理活动与处理目的直接相关，并采取对个人权益影响最小的方式。举例来讲，若在法律尽职调查过程中获知目标公司是基于发货目的收集客户的个人信息，但实际在收集自然人的家庭住址、电话等信息外，还对其性别、喜好、家庭人员构成等信息进行收集，这样的情况就明显超过了基于“发货”目的的必要限度，不符合目的限制原则的规定。

 

2、分场景讨论目标公司应遵循的处理规则与审查要点

（1）目标公司应遵循的基本规则

根据《个人信息保护法》的规定，目标公司应当采取相应措施确保个人信息处理合法合规，防止未经授权的访问以及个人信息的泄露、篡改或丢失。目标公司采取的措施应当与其个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险相符合，应当采取的措施包括但不限于：1）制定内部管理制度和操作规程；2）对个人信息实行分类管理；3）采取相应的加密、去标识化等安全技术措施；4）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；5）制定并组织实施个人信息安全事件应急预案；6）定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。

 

目标公司处理个人信息达到国家网信部门规定数量时，应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督，还应当将该个人信息保护负责人的联系方式公开，将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。

 

目标公司若属于境外的个人信息处理者[7]，应当在境内设立专门机构或者指定代表负责处理个人信息保护相关事务，并将有关机构的名称或者代表的姓名、联系方式等报送履行个人信息保护职责的部门。

 

（2）目标公司基于“同意”处理个人信息时的审查要点

目标公司若在基于同意的前提下处理个人信息时，该“同意”应当由个人在充分知情的前提下自愿、明确作出。若目标公司处理的是不满十四周岁未成年人的个人信息，还应当取得未成年人的父母或者其他监护人的同意，并且制定专门的个人信息处理规则。基于同意处理的个人信息，目标公司应提供查阅、复制、更正、补充、删除信息的渠道以及撤回同意的方式等。

 

另外须注意的是，在下列情形下，目标公司应重新取得个人同意：1）因向其他个人信息处理者提供其处理的个人信息，或因合并、分立、解散、被宣告破产等原因需要转移个人信息的，个人信息的接收方变更原先的处理目的、处理方式；2）个人信息的处理目的、处理方式和处理的个人信息种类发生变更。在下列情形下，目标公司还应取得个人的单独同意：1）向其他个人信息处理者提供其处理的个人信息；2）公开其处理的个人信息；3）非基于维护安全的目的在公共场所安装图像采集、个人身份识别设备；4）处理敏感个人信息；5）向中华人民共和国境外提供个人信息。如果目标公司处理敏感个人信息，还应具有特定的目的和充分的必要性，并采取严格的保护措施，这些都是律师尽职调查的重点。

 

（3）目标公司系基于委托处理个人信息或对外委托第三方处理个人信息的审查要点

若目标公司系基于其他个人信息处理者的委托而获取的个人信息，如前所述，应当审查目标公司是否按照合同的约定进行个人信息的处理行为，不应有超过合同约定的处理目的、处理方式处理个人信息的行为。此外，目标公司也需采取必要措施保障所处理的个人信息的安全。

 

若目标公司有委托第三方处理个人信息的情形，还需审查目标公司是否对第三方的处理活动进行监督，判断是否有因第三方违法而导致目标公司承担相应连带责任的可能性。

 

（4）目标公司向境外提供个人信息的审查要点

我国对数据及个人信息的跨境提供有较为严格的规定和限制，对于跨国公司、外资企业或具有境外业务的目标公司，应重点审查该类公司个人信息跨境提供的合规性。

 

对于个人信息的跨境提供而言，确需向境外提供个人信息的，一般情况下，个人信息处理者应当按照国家网信部门的规定经专业机构进行个人信息保护认证，或按照国家网信部门制定的标准合同与境外接收方订立合同约定双方的权利和义务，或满足法律、行政法规或者国家网信部门规定的其他条件。若目标公司属于关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量[8]的个人信息处理者，则应当通过国家网信部门组织的数据出境安全评估。2022年8月31日，国家互联网信息办公室发布并实施的《数据出境安全评估申报指南（第一版）》对于数据出境的行为进行了明确，数据出境不仅包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外，还应包括数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出等。

 

对于符合跨境提供个人信息要求的个人信息处理者，应当向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使权利的方式和程序等事项，并取得个人的单独同意。除此之外，还应当采取必要措施，保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准。

 

（5）目标公司应事前进行个人信息保护影响评估的场景

对于目标公司存在处理敏感个人信息、利用个人信息进行自动化决策、委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息、向境外提供个人信息等对个人权益有重大影响的个人信息处理活动，按照《个人信息保护法》的规定，个人信息处理者应当事前进行个人信息保护影响评估并对处理情况进行记录，并应当至少保存三年。按照规定，企业所做的个人信息保护影响评估应当包括以下内容：1）个人信息的处理目的、处理方式等是否合法、正当、必要；2）对个人权益的影响及安全风险；3）所采取的保护措施是否合法、有效并与风险程度相适应。

 

四、投资者开展个人信息处理合规性调查时的自我保护

 

在投资并购交易中，投资者以及投资者聘请的专业中介机构对目标公司个人信息处理的合规性进行调查时，投资者及尽调中介机构自身也是有可能触碰到个人信息的，在某些情形下还不可避免地要对目标公司的个人信息进行收集和分析，在该过程中投资者及尽调中介机构很可能成为《个人信息保护法》规定的个人信息处理者，在此情况下，投资者及尽调中介机构不仅要承担《个人信息保护法》规定的个人信息处理者所应履行的各项义务，如果调查和处理个人信息过程中存在违反《个人信息保护法》的行为或者侵害个人合法权益的行为，也同样会面临被处罚或被追责的风险。

 

对此，笔者建议，在法律尽职调查过程中，首先应尽量避免成为个人信息处理者并处理个人信息，在进行法律尽职调查前应要求目标公司对其所提供的信息按照《个人信息保护法》规定的标准进行匿名化处理，达到无法识别特定自然人且不能复原的程度；其次，若目标公司提供的个人信息并未进行匿名化处理，应要求目标公司提供其已告知个人并取得单独同意的证据或出具相应的书面声明文件；最后，对于已经收集到的个人信息，投资者及尽调中介机构还需履行《个人信息保护法》规定的基本义务，保证个人信息的安全性，防止个人信息泄露、篡改或丢失。

 

五、结语

 

《个人信息保护法》颁布施行时日尚短，相关的司法案例和执法案例较为欠缺，具体司法解释等相应配套文件尚未出台，因此，本文主要根据《个人信息保护法》的相关规定，以及笔者作为并购律师在以往投资并购交易的法律尽职调查过程中积累的相关经验，对投资并购交易中针对目标公司个人信息处理合规问题法律尽职调查的重点、要点及相关建议作出初步梳理与总结。随着我国个人信息保护法律体系的不断完善和健全，笔者也将持续关注和跟进这一问题，并在提供投资并购法律服务的实践中不断积累、完善和总结相关实务经验，为投资者在其投资并购交易中对目标公司个人信息处理活动的合法性审查、风险预警和价值判断提供法律支持。