一、背景

 

近年来，随着互联网技术的高速发展和更新，数字经济[1]越来越成为人们讨论的重点和热点，国务院在2021年12月12日就数字经济发展规划专门印发的《“十四五”数字经济发展规划的通知》中指出“数字化转型已经成为大势所趋”，且数字经济是“推动生产方式、生活方式和治理方式深刻变革，成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量”。习近平总书记在党的二十大报告中也提出，要加快建设网络强国、数字中国。与此相对应的，我国近年来陆续颁布了《网络安全法》《数据安全法》《个人信息保护法》等法律和配套法规，深圳市、上海市、广州市、北京市也先后颁布了《深圳经济特区数据条例》《上海市数据条例》《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》《北京市数字经济促进条例（征求意见稿）》，这些法律法规和地方文件的颁布释放出一个重要的信号：数据合规已经不再局限于某些大众所熟知的高新技术行业或者互联网、物联网行业及电信通讯行业，事实上随着数字经济发展的加速和深化，几乎所有行业、领域的企业在日常经营、管理和发展中都可能触碰到“数据”，企业数据合规的重要性也日益凸显。在此背景下，投资并购交易中对数据合规性的调查将不再是新技术行业、互联网、物联网、电信通讯行业的专属，而将遍及各行各业，对投资者而言，数据合规调查将在投资并购交易的法律尽职调查中占据越来越重要的地位。

 

那么在投资并购交易中，投资者对数据合规问题进行调查时应如何入手，调查的重点和要点是什么呢？根据相关法律法规的规定，数据合规主要包括两个方面的内容，即数据处理和数据安全，其中数据处理是指“数据的收集、存储、使用、加工、传输、提供、公开等”[2]；数据安全是指“通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”[3]。因此，就投资并购交易而言，数据处理和数据安全这两方面的内容应当是投资者以及尽调律师对目标公司进行数据合规法律尽职调查的重点内容。

 

本文中，笔者将结合从事投资并购法律尽职调查的相关实务经验和数据合规调查中遇到的相关问题，初步探讨和分析投资并购交易中关于数据处理和数据安全之合规性法律尽职调查的重点和要点。

 

二、数据合规调查的重点内容之数据处理

 

根据数据的生命周期，笔者认为数据处理大概可被分为三个大的阶段：数据的收集、数据的存储和数据的使用，本文将就法律尽职调查中这三个阶段应重点关注的问题做一个初步的阐述。

 

（一）数据的收集：

数据的收集合规是企业数据合规要求中的第一环，同时也是最重要的一环，如果数据的收集都是不合规的，那后续数据的存储、使用很可能也是不合规的，同时很可能存在损害他人利益的情形和其它各种各样的瑕疵。在法律尽职调查中，如果投资者看中的是目标公司数据资产的价值或潜在价值，那么目标公司数据收集行为合规性问题就是法律尽职调查的重点。根据《数据安全法》的规定，数据收集应当采取“合法、正当的方式，不得窃取或者以其他非法方式获取数据”；《深圳经济特区数据条例》《上海市数据条例》进一步细化规定，数据的收集应由“自然人、法人和非法人组织合法取得”。根据上述规定，律师在尽调中应重点审查目标公司收集数据是否合法、正当，其中应重点关注目标公司是否存在未经他人允许通过爬虫技术等其他新兴技术收集他人数据、是否存在超过授权范围收集数据等违反合法性、正当性原则的情形。如果目标公司收集的数据并非来一手数据，还需要着重审查目标公司就该等数据的收集是否与其他源头数据提供方签署过在先协议，并具体审查在先协议的内容，在此基础上对目标公司数据收集行为是否合规做出初步判断。

 

（二）数据的存储：

数据的存储主要涉及四个方面的问题：第一是目标公司在收集数据时是否告知数据提供者其会存储所收集的数据、是否取得相应的授权问题；第二是相关数据是由目标公司自行存储还是委托第三方存储的问题；第三是数据能否存储于境外或跨境存储的问题；第四是数据存储的要求问题。第一个问题其实就是数据的存储是否已经取得数据提供者许可的问题，第二个问题一般发生在目标公司没有存储数据的硬件设施设备和能力的情况下，这时需要调查和审查目标公司和数据存储商之间签署的协议以及数据存储商是否具有存储相关数据的资质、授权和存储地点。

 

实践中，针对第一个和第二个问题的调查相对比较明确，调查方法也比较成熟。相比之下，第三个问题——关于收集到的数据能否存储于境外或跨境存储，以及第四个问题——关于数据存储的要求，较为重要和敏感，在实践中存在较多的模糊地带，也是法律尽职调查的难点和重点，本文将对这两个问题进行重点探讨和分析。

 

1、关于收集到的数据能否存储于境外或跨境存储的问题

《数据安全法》第三十一条要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定”，第三十六条要求“非经我国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”；《网络安全法》第三十七条要求“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”；《个人信息保护法》第三十六条要求“国家机关处理的个人信息应当在中华人民共和国境内存储；确需向境外提供的，应当进行安全评估。安全评估可以要求有关部门提供支持与协助”，第四十条要求“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过国家网信部门组织的安全评估；法律、行政法规和国家网信部门规定可以不进行安全评估的，从其规定”，第四十一条要求“非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”。《数据出境安全评估办法》第四条要求“数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：（1）数据处理者向境外提供重要数据；（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（3）自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；（4）国家网信部门规定的其他需要申报数据出境安全评估的情形”。工业和信息化部在2022年2月10日发布的《工业和信息化领域数据安全管理办法（试行）（再次公开征求意见稿）》中规定，工业和信息化领域数据处理者[4]在中华人民共和国境内收集和产生的重要数据和核心数据，法律、行政法规有境内存储要求的，应当在境内存储，确需向境外提供的，应当依法依规进行数据出境安全评估，未经工业和信息化部批准不得向外国工业、电信、无线电执法机构提供存储于中华人民共和国境内的工业和信息化领域数据[5]。《汽车数据安全管理若干规定（试行）》规定，重要数据应当在境内存储[6]。

 

根据前述《数据安全法》《网络安全法》《个人信息保护法》《数据出境安全评估办法》的规定，我国对于数据跨境提供和存储是比较谨慎的，其中对于重要数据和需要更严格保护的核心数据，“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生”的重要数据和核心数据应当在境内存储。我国目前尚未对其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据和核心数据如何存储作出明确的规定，但参考《工业和信息化领域数据安全管理办法（试行）（再次公开征求意见稿）》和《汽车数据安全管理若干规定（试行）》，只要是重要数据和核心数据原则上就应当在境内存储，确需向境外提供的应当进行数据出境安全评估。对于个人信息，“国家机关处理的个人信息”和“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者在中华人民共和国境内收集和产生的个人信息”也需要以境内存储为原则，确需向境外提供的应当进行数据出境安全评估。

 

根据上述分析，在数据合规法律尽职调查的过程中，尽调律师应首先判断目标公司存储的数据是否为重要数据和核心数据、是否涉及个人信息。若涉及个人信息，则需要进一步调查和判断目标公司是否为关键信息基础设施运营者[7]，如果目标公司非关键信息基础设施运营者，还需要调查和判断目标公司处理的个人信息是否达到国家网信部门规定的数量[8]。根据前述调查结果进一步审查和判断目标公司的数据存储是否符合相关法律法规的规定，特别是在涉及数据“出海”的情况下，更需要予以重点关注和审慎调查。

 

2、关于数据存储的要求

 我国《数据安全法》要求对数据建立分级分类保护制度，尽调律师在对数据存储的调查中需要对以下几个方面的内容进行重点调查和核实：

（1）是否对所存储的数据按照分级分类的原则，选择安全性能、防护级别与安全等级相匹配的存储载体对数据进行存储和管理；

（2）是否对所收集的个人数据进行去标识化和/或匿名化处理，并与可用于恢复识别特定自然人的数据分开存储；

（3）对于敏感个人数据和国家规定的重要数据、核心数据是否采取加密存储、授权访问或者其他更加严格的安全保护措施等。

 

（三）数据的使用：

本文对于数据的使用的界定和讨论主要依据《数据安全法》规定的对数据“使用、加工、传输、提供、公开”的条款。针对数据使用的法律尽职调查，首先要关注和查清目标公司是否涉及对重要数据、核心数据和个人信息的使用。

 

《数据安全法》规定应对数据建立分类分级保护制度，国家数据安全工作协调机制将统筹协调有关部门制定重要数据、核心数据目录，加强对重要数据的保护、对核心数据实行更加严格的管理制度。与此相配套，《上海市数据条例》对此作出了具体规定，上海市的重要数据目录由“市政府办公厅会同市网信等部门编制，并按照规定报送国家有关部门”；《深圳经济特区数据条例》也作出细化规定：“市网信部门应当统筹协调相关主管部门和行业主管部门按照国家数据分类分级保护制度制定本部门、本行业的重要数据具体目录”。虽然《数据安全法》只规定对重要数据、核心数据应加强保护、严格管理，未明令禁止或明确规定禁止使用这类数据的各类情形，但参考《工业和信息化领域数据安全管理办法（试行）（再次公开征求意见稿）》[9]，从谨慎角度和“交易必要性”角度出发，目标公司应考虑减少重要数据和核心数据的传输，在数据不转移的情况下提供针对性的技术服务，并采取更加严格的安全保护措施，以降低数据合规风险。在投资并购交易的数据合规尽调中，尽调律师也应当从这两方面入手调查目标企业在数据传输和使用上是否做到合乎规范。

 

对于个人信息的使用，《个人信息保护法》规定个人信息（特别是敏感个人信息）的使用应当遵循“同意、合理、最小化”三原则，在尽职调查中尽调律师需要重点调查目标公司在使用个人信息，特别是敏感个人信息时是否已获得个人充分授权。如果调查发现目标公司使用个人信息存在不符合“同意、合理、最小化”三原则的情形，则需要进一步调查目标公司对这些个人信息是否已经做了匿名化处理，且经过处理的个人信息是否已经达到在不借助额外信息的情况下已无法识别特定自然人且不能复原的效果。若目标公司利用个人信息进行自动化决策[10]，还需要重点调查自动化决策的透明度和结果是否公平、公正，是否存在“大数据杀熟”等在交易条件上实行不合理差别待遇的情形，目标公司是否给予个人拒绝仅通过自动化决策的方式作出决定的权利等。

 

需重点强调的是，根据《个人信息保护法》的规定，如果目标公司存在向其他个人信息处理者提供个人信息的情况，在对外提供个人信息之前应逐一取得个人信息主体的充分授权，如前所述，因为个人信息的处理需要遵循“同意、合理、最小化”三原则，目标公司在收集、使用个人信息时应具有明确、合理的目的；如果个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。由于《个人信息保护法》颁布施行时间较短，实践中可能存在相关政府部门发布的规范性文件与《个人信息保护法》规定不一致的情况，在此情况下，相关政府部门发布的相关规定不应成为豁免适用《个人信息保护法》的理由，仍应当以《个人信息保护法》的规定为准。例如，在不良贷款转让Kok全站官网登录-中欧体育 ，根据《银行业信贷资产登记流转中心不良贷款转让业务信息披露细则（试行）》（银登字[2021]2号）的规定，不良贷款转让业务的出让方应通过银登网向市场发布转让公告并通过银登中心业务系统向合格意向受让方充分披露已登记的全部不良贷款信息及有关文本材料（包括但不限于项目详情、贷款基本信息、借款人基本信息、贷款发放机构信息、债权材料、担保材料、诉讼材料等）；对于不良贷款转让业务过程中知悉、获取的个人信息应依法予以保密，不得非法复制、非法存储、非法使用、向他人出售或者以其他非法形式泄露个人信息，不得用于其他非法目的。笔者认为，在不良贷款转让Kok全站官网登录-中欧体育 中，转让人提供和披露批量转让个人贷款过程中涉及的个人信息时，不仅应当遵守行业主管部门的相关规定，还应当遵守《个人信息保护法》的相关规定，行业主管部门的规定不应也不能成为豁免适用《个人信息保护法》相关规定的理由。

 

三、数据合规调查的重点内容之个人信息收集

 

（一）目标公司是否遵守“同意、合理、最小化”三原则收集个人信息[11]：

根据《个人信息保护法》的规定，个人信息处理者对个人信息的处理应遵循“同意、合理、最小化”三原则[12]。针对目标公司个人信息收集合规性的调查，应重点从以下几个方面着手：（1）目标公司是否明确告知个人其相关的个人信息将被目标公司收集；（2）目标公司是否已经取得个人的明确同意；（3）目标公司是否在个人授权的范围内收集个人信息；（4）目标公司是否限于实现处理目的之最小范围收集个人信息；（5）目标公司是否向个人提供了撤回同意的渠道；（6）目标公司是否向个人提供了查询/更正/补充/删除个人信息的渠道；（7）目标公司是否向个人告知了其个人信息的保存期限。

 

（二）实践中的难点之一：实现处理目的之最小范围

在对个人信息收集进行合规性调查和核实的过程中，一般可以通过目标公司提供的其与个人签订的在先协议或者在先发布的隐私政策、隐私政策的更新时间和频率、隐私政策的发布地点和发布方式等途径进行核实，但涉及到需结合处理目的对个人信息收集合规性进行判断的时候，如何界定实现处理目的之最小范围是实践中争议较大、也具有一定难度的问题。

 

关于“最小范围”的界定，《个人信息保护法》没有明确的规定，但结合中央网信办、工信部、公安部、市场监管总局在先发布的《App违法违规收集使用个人信息行为认定方法》[13]《常见类型移动互联网应用程序必要个人信息范围规定》和《信息安全技术个人信息安全规范》（GB/T 35273-2020）等相关规定及规范性文件，笔者认为，在调查过程中应参考和遵循如下原则来考察和判断目标公司收集的个人信息是否符合“最小范围”：

（1）收集的个人信息的类型与实现产品或服务的业务功能是否有直接关联。笔者看来，这里的“直接关联”是指如果没有该个人信息，那么目标公司提供对应产品或服务的功能将无法实现。需要注意的是，实践中目标公司往往在收集个人信息时将各类个人信息打包一起寻求个人的授权，并告知个人收集的个人信息仅用于“改善服务质量、提升用户体验”，但所谓的“改善服务质量、提升用户体验”是一个很笼统的说法，实际上目标公司所要求收集的个人信息很有可能超过了“直接关联”的范围，比如地图类APP收集用户的通信录信息、语音信息等。

 

（2）自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。笔者认为，事实上大部分的产品和服务是不需要自动采集个人信息的，比如收集通讯录、人脸、指纹、短信、通话记录等信息正常来说是不存在需要自动收集的使用场景，但是对于使用地理位置用于展示周边可用服务、骑行、导航、位置追踪等存在自动收集个人地理位置之必须的场景，则应就实现前述功能所必须的最低频率自动采集个人地理位置信息，具体的频率可以参考国家发布并不时更新的国家标准[14]、行业标准或者行业惯例。

 

（3）间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。一般间接获取个人信息的情况有两种，一种是同一集团公司就其旗下不同公司或相同公司所开发的不同产品之间所收集的个人信息进行关联、整合，另一种是目标公司与第三方合作机构签署相关协议获取个人授权共享的信息。值得一提的是，这种间接获取个人信息的行为除了要求目标公司在取得相关信息时应通过合法正当的手段，还应同时满足相关信息仅限于实现产品或服务的业务功能所必需。换言之，即使目标公司和第三方合作机构或者同一集团旗下的不同公司签署了相关协议，但如果相关个人信息并不是目标公司提供产品或服务所必需的，那么目标公司也不能收集这些个人信息；即使目标公司通过自身开发的其他产品直接向个人申请授权取得了相关个人信息，这些个人信息也不能用于目标公司别的不相关产品或服务的使用。

 

（4）不得以强制用户同意的方式要求个人提供不必要的授权。实践中有不少流氓软件、APP会将多个产品和服务捆绑在一起，一揽子索取个人信息授权，用户如果拒绝授权就无法使用该软件、App的其他基本功能服务，这种变相强制用户授权的行为已经超出了“最小范围”的要求，违反了法律规定的合法、正当、必要的收集个人信息的规定。

 

四、数据合规调查的重点内容之数据安全

 

相较于数据处理，笔者认为数据安全主要体现在企业对数据合规相关制度的建设和技术保护层面，因此在法律尽职调查中律师对于数据安全的调查应重点关注以下几个方面：

1、目标公司是否建立了数据安全管理制度、明确数据安全责任人和管理机构，对数据处理所涉及的各环节（包括但不限于风险监测、风险评估、风险报告、风险预警、安全教育、应急处理等）是否均建立了相应的管理制度，相关管理制度是否有配套的组织架构和人员配备进行落实；

2、目标公司是否按照相关法律法规的规定对数据进行分类分级管理，是否针对不同类型和级别的数据建立并实施了与其相匹配的保护措施；

3、前述数据安全管理制度的执行情况；

4、目标公司是否与担任个人信息处理岗位的相关人员签署保密协议，是否建立相应的奖惩制度；

5、目标公司是否定期对数据处理的相关人员开展专业化培训与考核；

6、目标公司是否在风险监测活动中对发现的数据安全缺陷、漏洞等问题及时采取补救措施，是否及时对实施的个人信息保护制度的影响进行评估并根据实际情况进行调整；

7、目标公司是重要数据处理者的，是否有按照相关规定定期对数据处理活动开展风险评估，并依法向有关主管部门报送风险评估报告等。

 

五、小结

 

随着数字经济的发展，数据要素已成为我国要素市场的五大生产要素之一[15]，社会的发展和人们的生活已经越来越离不开数据，数据已和其他要素一起成为社会生产力的重要组成部分。然而，由于数据经济的发展方兴未艾，在目前的商业实践中大多数企业对于如何做好数据合规还处在摸索和逐步规范的阶段，不同行业、不同领域、甚至同一行业不同的企业对于数据合规的认识、数据应用和保护水平还参差不齐。在投资并购交易中，对目标公司进行法律尽职调查的过程中摸清目标公司对数据的实际处理情况、数据安全的实施情况，对确定合作模式、评估合作风险，对目标公司和标的数据的价值进行评估、对交易进度和关键点进行把控均具有重要意义。