最嚴數據法GDPR來襲,中國企業在歐盟的收購準備好了嗎?
作者:王清華 施珵 沈曉禹 2020-02-182018年5月25日,被稱為最嚴數據法保護法的歐盟《一般數據保護條例》( General Data Protection Regulation,以下簡稱“GDPR”)正式生效,其旨在通過對個人數據的處理與流動進行規范與約束,從而保護自然人的個人數據權利。GDPR將直接約束歐盟境內相關主體,無需通過歐盟成員國的國內立法予以轉化。
隨著該條例的頒布,數據方面的合規性得到各方的重視。然而,GDPR不僅僅在合規性方面對企業提出了要求,在并購方面也對收購方的并購活動產生重大影響。這是因為GDPR第3條確立了非常寬泛的管轄范圍。GDPR第3條第2款規定:“本條例適用于如下相關活動中的個人數據處理,即使數據控制者或處理者不在歐盟設立:(a)為歐盟內的數據主體提供商品或服務——不論此項商品或服務是否要求數據主體支付對價;或(b)對發生在歐洲范圍內的數據主體的活動進行監控。”據此,即使中國企業在歐盟境內沒有任何商業存在,也依然可能受到GDPR的約束。這是因為中國企業在海外收購過程中往往需要展開盡職調查以了解目標公司的基本情況,尤其是展開人力資源相關的盡職調查。此外,GDPR第3條第1款規定:“本例適用于在歐盟內部設立的數據控制者或處理者對個人數據的處理,不論其實際數據處理行為是否在歐盟內進行。”由此,如果中國企業在歐盟任一成員國內完成新設子公司或者辦事處、分公司,或者是在歐盟任一成員國內完成收購,則其在歐盟成員國內的子公司、辦事處、分公司處理個人數據的行為都將會受到GDPR的調整。
鑒于GDPR寬泛的管轄范圍,其對于中國企業在歐盟成員國內的并購活動將產生顯著影響,中國企業需要非常謹慎待之。本文將思考GDPR如何適用于中國企業在歐盟成員國內的收購,淺析GDPR對中國投資者在歐盟收購活動的影響。考慮到國際投自流程一般包括盡職調查、估值、交易文件起草與談判、簽署、交割,本文將著重圍繞該些方面展開討論。
一、GDPR對盡職調查的影響 1、GDPR對盡調數據庫(data room)設立的影響 盡職調查往往涉及對個人數據尤其是員工數據和客戶數據的調查。因此收購方在建立盡調數據庫時需要非常謹慎。一般而言,轉讓方習慣于非常謹慎對待上傳至數據庫的公司資料,尤其是要避免包含個人數據(主要是雇員數據)的信息上傳至數據庫。盡調資料數據庫的提供商會被視為“數據處理者”,并與同樣作為數據處理者的轉讓方簽署相關協議,以明確強行法規定的保密義務、保護數據安全義務以及交割完成后刪除義務。這也就要求轉讓方盡可能使用可靠的盡調數據庫提供商。 中國企業需要注意的是,除了數據庫提供商和轉讓方會被視為是“數據處理者”外,收購方也可能被視為是數據處理者,甚至是數據控制者。在此情形下,收購方也需要與轉讓方或數據庫提供商簽署協議明確約定保密義務、保護數據安全義務以及交割完成后刪除義務。因此,盡調過程中,中國企業必須確保已經采取了相應的充分保護措施。 如果發生任何違反GDPR規定的情形(主要是指個人數據泄露情形),則數據控制者必須立即向監管機關作出報告,而且應當盡快且最遲自知道該泄露之時起72小時內通知監管機構,除非該個人數據的泄露不太可能對數據主體權利和自由造成風險。數據處理者必須自個人信息泄露后盡快通知數據控制者。此外,如果個人數據泄露可能對自然人的權利和自由造成高風險,則數據控制者應當立即就個人數據泄露與數據主體交流。 2、GDPR對盡職調查資料披露范圍的影響 收購過程中,目標公司的雇員數據以及客戶數據往往是收購方關注重點。但是,GDPR規定了非常廣泛的個人數據定義,即個人數據包括任何指向一個已識別或可識別的自然人(數據主體)的信息。可識別的自然人信息是指可以通過參照如姓名、身份證號碼、定位數據、地點、瀏覽歷史、在線識別信息等,或通過一個或多個具體的物理的、生理的、基因的、精神的、經濟的、文化的或社會的特征,直接或間接的識別自然人的信息。因此,隨著GDPR的生效,將雇員數據以及客戶數據提供給收購方和收購方的顧問都必須符合GDPR規定。 (1) 員工數據 交易過程中,收購方往往會關注員工的基本情況,尤其是員工的年齡、健康情況、工齡、教育程度、宗教信仰,以估算員工成本、了解員工構成情況。但是受限于GDPR的規定,這些員工信息可能都無法被收購方在盡職調查過程中獲取。轉讓方必須盡可能將員工個人數據加以匿名化或掩蓋,因此,實踐中的做法往往是:(i)針對非核心員工,轉讓方往往是將空白勞動合同模板上傳至盡調數據庫中,或者是上傳一些體現公司員工平均情況的表格,比如各部門的平均工資;(ii)針對核心員工,從合同中刪除姓名和護照細節可能是不夠的,因為他們在目標公司中的位置很容易識別。因此,實踐中較妥的做法是,轉讓方在披露前通知核心員工,告知披露數據的目的,并征得每個核心員工的明確同意;同時根據盡職調查的目的盡最大可能編輯任何個人數據,并避免提供有關雇員的種族、政治立場、宗教信仰、社團成員、健康情況的相關個人敏感信息。實踐中并不需要擔心向核心員工披露潛在的并購交易事項,因為該些人員往往會參與到目標公司轉讓交易過程中。 (2) 自然人客戶數據 如果目標公司開展B2C業務,則針對自然人客戶的個人數據諸如年齡情況、所處地理位置以及偏愛產品類型或服務等信息都不得披露在盡調數據中。如必須披露客戶個人數據,則往往取決于目標公司與客戶之間達成的隱私政策是否包含在并購情況下允許披露的內容。實踐中更多的做法是提供分析表等形式的標準合同和匯總數據,以避免披露客戶數據。 如果實踐中面臨必須披露個人數據情況,還需要額外采取妥當的保護措施必須采取以顯著減少任何不利影響,實踐中主要的保護措施包括:僅允許特定人士取得相關個人數據的途徑,確保相關的保密協議在披露前已經妥為簽署。 3、增加盡職調查的內容——調查目標公司是否符合GDPR規定 GDPR要求企業必須審查數據處理的方式,建立保護數據的流程,包括報告數據泄露的情況,同時確保在保護個人數據時遵守相關法律要求。如被歐盟認定違反GDPR規定,則最高處罰金額可至2000萬歐元或企業全球年營業額的4%,以較高者為準。這導致收購過程中,收購方需要調整其盡職調查的內容,深入盡調目標公司在GDPR方面是否存在合規風險。 中國企業在收購過程中應當對目標公司是否遵守GDPR作出充分的盡職調查,包括全面評估目標公司遵守GDPR的合規情況,了解目標公司如何收集、存儲、使用和傳輸個人數據,以及任何個人數據泄露的詳細歷史情況,調查目標公司的經營是否依賴于對歐盟個人數據的不當使用,審閱目標公司的當前隱私政策或類似文件。尤其是,針對目標公司是否符合GDPR規定的盡職調查的內容應當包括如下幾方面: (1) 目標公司是否任命了數據保護專員。 根據GDPR規定,如果數據處理由政府機關進行、控制者或處理者的核心活動是數據處理操作,或者是對特殊類別個人數據以及對有關刑事定罪和罪行的個人數據進行大規模處理的,則必須任命一名數據保護專員(Data protection officer)。 據此,銀行、醫院和保險公司很可能有義務任命一名數據保護專員。因此,在收購這些目標公司的交易過程中,需要盡調其是否指定數據保護專員。如果未能按照法律要求指定數據保護專員,可能會導致高達1000萬歐元的行政罰款,或高達上一財年全球年營業額總額的2%,二者以較高者為準。 (2) 目標公司是否留存了數據處理記錄 根據GDPR規定,各數據控制者、處理者以及數據控制代表有義務留存數據處理活動的記錄,且應當包含:數據控制者、數據保護專員、控制者代表、數據處理者的姓名和聯絡信息,處理的目的、關于數據主體的信息、個人數據的類別、接收者的類別、向第三國的數據傳輸,以及保護數據的技術和組織安全措施的一般說明。 雖然GDPR規定,針對雇傭人數少于250人的企業或組織則不是必然承擔相關留存數據處理記錄,除非其進行的處理可能會對數據主體的權利和自由造成風險。然而,該等例外表述非常的模糊不清,因此,實踐中建議無論是否可能適用例外情形,都應留存數據處理活動的記錄。 (3) 目標公司是否采取了數據保護影響評估 此外,如果存在數據處理可能導致自然人權利和自由高風險的情形,則數據控制者需要在處理前開展數據評估影響。尤其是針對自然人個人情況進行系統而廣泛的評估,對特殊種類數據或與刑事定罪和犯罪相關的個人數據進行大規模處理,以及對公共進行大范圍系統監控的處理。因此,在收購銀行、生物技術和生物識別領域的目標公司時,必須盡調相關目標公司是否開展了數據保護影響評估。 需要注意的是,與指定數據保護專員不同,企業規模不構成進行數據保護影響評估的例外。 (4) 目標公司是否采取了技術和組織措施 收購過程中,還應當對目標公司是否采取了恰當的技術和組織措施展開盡職調查。控制者和處理者應當實施恰當的技術和組織措施以確保處理行為符合GDPR要求。但是技術措施和組織措施是否妥當都只能基于個案分析做出判斷。因此,盡職調查過程中往往需要IT專業人員參與,以展開徹底有效的盡職調查活動。 4、跨境數據轉移 根據GDPR規定,除非相關個人的權利和自由得到充分保護,否則不得在歐洲經濟區以外轉移、存儲或訪問個人數據。據此,在收購過程中,如果盡調所用之虛擬數據庫的服務器位于歐洲經濟區之外或者潛在收購方位于歐洲經濟區之外,則將面臨跨境數據轉移的問題。 盡職調查過程中,中國企業如注冊在歐洲經濟區之外,且作為收購方如期待取得與收購相關的個人數據,則轉讓方向其提供相關個人數據時,可能面臨GDPR規定的數據跨境轉移的問題,除非控制者和數據處理者已經根據GDPR第46條規定采取適當保障措施以保證個人權利和自由得到充分保護。 目前,在針對中國企業作為收購方的情形時,大多數轉讓方主要依靠以下方式來證明采取適當保障措施——轉讓是根據歐洲聯盟委員會通過的示范合同進行的,這些合同為向歐洲經濟區以外設立的實體轉讓數據提供了標準數據保護條款,而且必須逐字使用。同時建議收購過程中,收購方應當要求轉讓方采取可靠的虛擬數據庫平臺以上傳資料。 二、GDPR對估值的影響 目前歐洲實踐認為,對于具有GDPR合規性的公司可以期待取得額外的估值溢價。這是因為,整合數據保護規則以及重新設計處理流程以確保企業合規是非常瑣碎和復雜的事情。如果目標公司改善了合規體系并采取了性價比高的實施計劃,則可以獲得估值溢價。 另一方面,GDPR的合規成本非常高。如果目標公司并未妥善采取措施以符合GDPR的合規要求,或者合規情況不好,或者在交割后目標公司將取得歐盟個人數據,則意味著收購方將面臨潛在的GDPR合規風險,包括直到交易后才發現的網絡安全漏洞可能會產生重大的財務影響,或者通過補救風險所需的額外投資,或者通過監管機構因客戶、員工、供應商或其他敏感數據丟失而被執行罰款。收購方就需要在收購之后投入更多未知的成本(包括經濟和時間成本)和措施以實現GDPR合規——企業需要從數據處理的各個環節入手進行合規自查與彌補,并構建起一套符合法律法規要求的數據合規體系。此外,對數據保護不合規的目標公司做出收購,可能會導致收購方承擔責任,并引起收購方承擔交割后違反GDPR的責任。所以,面對目標公司存在GDPR不合規情形,需要收購方在估值中加以考慮,并最終通過談判反映在收購對價中。 再者,嚴格的GDPR規定還會對收購方再次使用數據的權利作出限制,這也就要求收購方在盡職調查過程中調查目標公司的經營是否依賴于對歐盟個人數據的使用。歐盟成員國比如德國最近的司法實踐禁止在資產交易情形下,收購方不得使用轉讓方客戶的郵件地址和電話號碼,除非取得相關客戶的同意。這種對個人數據的限制使用將顯著影響目標資產的價值,因此在資產交易時,收購方應當在估值中予以考慮。 三、GDPR對交易文件起草的影響 1、GDPR對股權收購協議的影響 鑒于GDPR的高額處罰金,中國企業在收購過程中必須對隱私和數據安全相關的交易文件內容采取非常謹慎的措辭。起草交易文件過程中,收購方需要關注在交易文件中,轉讓方針對數據安全和隱私是如何做出陳述保證條款的,并且依據盡職調查結果予以一一核對。 一般而言,收購方需要轉讓方的陳述保證涵蓋如下幾點: (i). 目標公司的數據系依法收集; (ii). 不存在潛在的或未決數據安全事件; (iii). IT工具的使用可確保數據保護并確保數據主體的安全訪問; (iv). 與目標公司自身數據安全及其處理者(如果目標公司是控制者的情況下)數據安全相關的審計和檢查措施已妥為采取; (v). 采取了GDPR以及其他可適用的隱私和數據安全保護法規定的合規手段; (vi). 采取了適當措施確保數據主體得以有效行使GDPR規定的權利; (vii). 目標公司與第三方共享數據或由第三方向目標公司共享數據的安排君已經充分完整披露。 其次,交易文件中,針對盡調中發現的需要在交割前解決的數據安全風險,需要列入交割先決條件或者承諾條款中,比如可以要求轉讓方在交割前取得待轉讓個人數據的數據主體(比如員工、上游供應商、下游消費者)同意或發出征詢函列為交割先決條件。 此外,收購方也應當注意數據相關的賠償條款包括責任上限、延長數據保護相關的訴訟時效期間、數據處理者或其他第三方數據處理者的潛在責任,以及交割前承諾,以盡力促使或確保目標公司在交割時處于合規狀態。 2、GDPR對附屬協議的影響 對于有些主要涉及個人數據業務的目標公司,除了股權收購協議外,收購方還需要準備有關個人數據處理的附屬協議,其中最重要的是交割后數據整合相關的過渡期服務協議。 過渡期服務協議一般由轉讓方與收購方簽署。轉讓方作為數據控制者,收購方作為數據處理者,以要求轉讓方協議收購方進行數據整合和遷移工作。針對過渡期服務協議的內容,主要需要注意如下幾點:一是,由于中國投資者的收購活動往往會涉及到數據的跨境轉移,因此,在過渡期服務協議中還需要規定相應的數據安全保障措施;二是,過渡期服務協議需要規定收購方承擔數據控制者的權利與義務。這是因為可能會出現收購方代表轉讓方處理個人數據的情況。比如收購完成后目標公司收到產品銷售相關消費者的投訴,雖然這些消費者購買產品的行為是在收購完成前發生的,但是相關投訴卻需要收購方來處理;三是,過渡期服務協議需要規定在過渡期結束時轉讓方應如何處理相關的個人數據。 四、GDPR對交割后的影響 收購完成后,中國企業需要重視GDPR合規要求,加強對數據保護違規行為的防范措施,尤其是在交割后應優先考慮內控機制、風險管理和治理、技術網絡安全強化和網絡防御規劃等領域,包括但不限于針對盡調中發現的合規風險采取補救措施、定期進行數據審計與風險評估、設計數據安全權限制度、對員工進行合規培訓。 此外,中國企業作為收購方還需要注意兩點:一是收購方在交割完成后處理目標公司數據時,需要繼續按照收購前目標公司的隱私政策處理數據。如果收購方希望實施任何新的處理方式,則必須更新隱私政策并征得目標公司新的同意包括目標公司客戶、員工等等數據主體同意;二是將目標公司的員工和信息系統整合至收購方集團組織中,尤其是在資產交易中,這往往引起大量個人數據向第三方轉移的問題。由于中國企業作為收購方,相關的個人數據轉移至中國的話,則可能面臨合規風險。因此,中國企業必須證明其采取了充分的保障措施。 五、小結 考慮到在歐盟的并購中交易雙方所涉及的行業領域和區域范圍甚廣,其相關數據處理行為很有可能會觸發GDPR的管轄規定,尤其是針對收購B2C企業、互聯網科技企業、游戲公司、銀行保險等金融企業、衛生醫療企業、酒店旅游業企業、零售業的情況。 一是,要充分重視目標公司GDPR合規性的盡職調查。鑒于不遵守數據法律帶來的更大風險和更高的罰款,實現和維護GDPR合規性的合規成本也變得非常高,因此,中國企業在整個并購交易過程中以及并購后的重組運營中都需要時刻關注個人數據保護的合規性問題。鑒于此,充分展開盡職調查非常關鍵。部分中國企業可能會考慮到盡調費用,而不愿意就GDPR的合規情況聘請顧問展開盡調。但是,如果對GDPR的合規情況不采取全面盡調,則可能在交易中面臨重大風險,進而可能導致巨額罰款——即全球營業額的4%或2000萬歐元中的較高者。所以,對于中國企業在歐盟收購活動而言,澄清目標企業是否遵守GDPR應當構成盡職調查的重要部分,因為GDPR的實施將加重企業的合規義務,這直接的后果反映在合規成本上。 此外,收購方也可要求轉讓方使用安全、信譽良好的且服務器在歐洲經濟區境內的盡調資料數據庫提供商。 二是要盡早聘請專業顧問團隊。考慮到GDPR對并購方的影響,建議中國企業應當盡早聘請專業顧問團隊以確保并購活動的合規性,同時發現目標公司存在的合規風險。通過品質專業團隊展開盡職調查,起草交易文件,以實現發現不合規的風險,并通過交易文件起草與談判預防或減少相關風險,或在交易文件中要求賠償機制。 如果發現目標公司不滿足合規要求,則中國企業應當在專業團隊的輔助下尋求解決方案,至少應當包括:(i)評估合規成本,通過談判盡力從交易對價中扣除;(ii)作為交割先決條件;(iii)要求收購方在陳述保證條款中作出已經采取適當措施保護個人數據免收泄露以及遵守了GDPR規定;(iv)交易文件中應包含與數據保護違規相關的具體賠償條款,以補償因目標公司違反GDPR規定導致的損失。
