随着数字技术的不断演进和创新,数据已经成为一项重要资源和交易对象,业务出海、数据出境以及数据回流等刚性需求不断增长,全球范围内的数据跨境流动已经成为驱动经济运行的关键性因素。与此同时,数据的跨境流动也引发了全球数据跨境制度建设,我国也在不断加强数据跨境流动的监管和规制,积极搭建发展与安全相兼顾的数据跨境流动监管体系。目前,初步形成了以《网络安全法》《数据安全法》《个人信息保护法》为核心,《关键信息基础设施安全保护条例》《数据出境安全评估办法》等为补充、重点领域专门规范的规则体系。
2024年3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称“《新规》”),同时配套发布了《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》,系列文件的出台为数据跨境流动提供了更加明确的指引,也对涉及数据跨境的投资并购项目的尽职调查提出了新的要求。本文将结合《新规》亮点,对投资并购项目中的数据跨境尽调要点的变化和相关交易文件的条款设置进行分析。
一、《新规》亮点简析
基于对《新规》的理解和把握,结合《数据出境安全评估办法》等数据跨境领域相关立法,就数据跨境流动是否需进行数据出境安全评估,或个人信息出境标准合同/个人信息保护认证,简要梳理思维导图如下。
二、《新规》下投资并购项目数据合规尽职调查关注要点
在跨国投资并购中,数据跨境传输是不可避免的环节,实践中目标公司和收购方因数据风险遭受处罚和经济损失的情形频频发生。此次《新规》的出台,一定程度上减轻了部分企业数据出境申报的负担,也对投资并购项目数据合规尽职调查要点提出了新要求。
(一)数据出境行为的认定
《数据出境安全评估申报指南(第二版)》《个人信息出境标准合同备案指南(第二版)》在之前发布的第一版基础上,对“数据出境”的认定标准进行了更新,新增“符合《中华人民共和国个人信息保护法》第三条第二款,在境外处理境内自然人个人信息等其他个人信息处理活动”的情形,具体包括(1)以向境内自然人提供产品或者服务为目的;(2)分析、评估境内自然人的行为。因此,数据出境行为除数据主动出境和数据被动出境的场景外,还将数据处理者直接在境外处理境内自然人个人信息的行为也纳入数据出境的范畴。故参考《新规》及相关配套文件和指南,了解目标公司业务模式和主营业务,排查、识别和梳理目标公司业务中的数据跨境场景,是开展数据合规尽职调查的重要前提。
(二)重要数据的识别
重要数据的识别涉及目标公司是否应进行数据出境安全评估,与交易项目的交割先决条件或交割后义务等约定具有重要关联。根据《数据安全法》规定,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,各地区、各部门应当按照数据分类分级保护标准,确定本地区、本部门以及相关行业、领域的重要数据目录。一般而言,尽调时应关注:
1. 目标公司所在行业。如所处行业有可适用的识别规则,可以根据相关规则识别重要数据。例如汽车行业的重要数据可参考《汽车数据安全管理若干规定(试行)》中列明的内容进行识别;金融行业的重要数据可参考《金融数据安全 数据安全分级指南》《证券期货业数据安全风险防控 数据分类分级指引》等进行综合判断。
2. 目标公司所在区域。鉴于《新规》设立了自贸区负面清单制度,对目标公司重要数据的识别应当“因地制宜”,关注目标公司所在地是否为自贸区,如是,该自贸区是否发布了负面清单,是否对纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据做了明确规定。以上海自贸区临港新片区为例,其于2024年2月8日发布施行《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》,对数据跨境分类分级管理、重要数据目录管理、一般数据清单管理等内容作出了规定,在对临港新片区有关目标公司进行尽调时应重点关注当地的特别规定。
3. 目标公司是否收到相关部门关于重要数据的通知或告知。《新规》第二条明确了“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,故,如无行业规则,所处地区未发布重要数据目录,若目标公司未接到有关部门的通知、告知或公开发布,无需考虑是否涉及重要数据以及是否因此需要履行数据出境安全评估的问题。
(三)个人信息的识别
除需申报数据出境安全评估的情形外,识别个人信息还涉及目标公司是否可能触发个人信息出境标准合同备案。根据《个人信息出境标准合同办法》第四条的规定,个人信息通过订立标准合同方式出境的适用通常需同时符合以下情形:
(1)非关键信息基础设施运营者;
(2)处理个人信息不满100万人的;
(3)自上年1月1日起累计向境外提供个人信息不满10万人的;
(4)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。
《新规》放宽了标准合同备案的要求,并非任何个人信息出境都会触发标准合同备案,而是结合一定的数量阈值和个人信息属性(即是否包括敏感个人信息)进行判断。结合《个人信息出境标准合同备案指南(第二版)》来看,此后个人信息通过订立标准合同方式出境的需同时符合以下情形:
(1)非关键信息基础设施运营者;
(2)自当年1月1日起累计向境外提供个人信息(不含敏感信息)10万人以上、不满100万人的;
(3)自当年1月1日起累计向境外提供敏感个人信息不满1万人的。
符合《新规》第三条、第四条、第五条、第六条规定情形的,从其规定。也就是说,当个人信息属于《新规》豁免情形、且不属于自贸区负面清单的规定时,免于订立个人信息出境标准合同,无需进行标准合同备案;其他个人信息只有达到一定数量才需进行标准合同备案。
因而,除豁免情形外,在不涉及敏感个人信息的数据出境场景下,个人信息传输规模被划分为三个等级:
(1)传输不满10万人个人信息的,无需履行标准合同备案义务;
(2)当年1月1日起累计传输10万人以上、不满100万人的,需履行标准合同备案义务;
(3)当年1月1日起累计传输100万人以上的,需申报数据出境安全评估。
涉及敏感个人信息的数据出境场景下,敏感个人信息传输规模被划分为两个等级:
(1)当年1月1日起累计传输不满1万人的,需履行标准合同备案义务;
(2)当年1月1日起累计传输1万人以上的,需申报数据出境安全评估。
尤其是汽车、金融、医疗等行业,包含行踪轨迹信息、金融账户信息、生物识别信息、医疗健康信息等敏感个人信息,尽调时应予重点关注。同时,数量统计节点由“上年”改为“当年”,对个人信息的数量要求与《个人信息出境标准合同办法》相比已大为降低,使得部分企业的备案/申报义务得以减轻,在核查时应当注意。
(四)豁免类型的判断
关于向境外提供个人信息的豁免类型,根据《新规》第五条,在(1)为订立、履行个人作为一方当事人的合同;(2)依照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理;(3)紧急情况下为保护自然人的生命健康和财产安全;(4)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人个人信息(不含敏感个人信息)等四种情形下,可以免除数据出境相关申报/备案/认证义务,但并不包括重要数据。即,前述四种情形下的个人信息一旦落入相关部门、地区告知或公开发布为重要数据的范畴,就无法豁免安全评估、订立标准合同和个人信息保护认证义务。
因此,在尽调时应依法依规核查、论证目标公司涉及的个人信息出境是否符合豁免类型,并需结合重要数据的识别要点对豁免类型进行进一步判断,通过识别目标公司的相关义务做好相应交易安排。例如,部分跨境电商企业可基于《新规》第五条对跨境购物、跨境寄递等情形的豁免而免除个人信息申报/备案/认证义务,在进行相关交易项目的尽调时就可通过判断是否属于豁免类型,进而免除或要求目标公司/卖方履行必要义务或作相关陈述保证。
(五)数据安全和网络安全的内控制度
尽管《新规》放宽了数据出境安全评估、订立个人信息出境标准合同和个人信息保护认证的条件,此后部分企业的数据出境申报/备案/认证义务将得到一定程度的豁免,但申报/备案/认证义务的免除并不代表整体数据合规义务的免除,目标公司在从事数据跨境活动时,即使依据《新规》豁免了部分申报/备案/认证手续,依然需严格遵守数据合规义务。
《新规》第十条对数据处理者应当依法履行告知、取得个人单独同意、进行个人信息保护影响评估等义务进行了强调。尽职调查时,仍应关注目标公司在数据处理全生命周期的合法合规性,是否建立、完善了网络和数据安全管理制度、个人信息安全和保护制度以及合作方管理制度等内控制度,重视目标公司获取、处理数据的合法性和正当性。例如,仍需关注目标公司是否取得个人信息主体的同意或授权、是否超出必要限度收集与提供的服务/产品无关的个人信息、是否提供撤回同意的渠道、是否向个人提供查询/更正/补充/删除个人信息的渠道、是否告知个人信息的保存期限、是否对可能发生的数据安全事件设置了应急预案和应对措施等,以避免除数据跨境流动合规风险以外的其他数据合规风险。
三、《新规》对投资并购交易文件条款设置的影响
如前所述,《新规》发布后,投资并购项目就数据跨境合规方面的尽调侧重点将有所调整,相应地,投资并购交易文件作为尽调结论的具体落实,其条款设置也将有所变更。
《新规》发布前,在《数据出境安全评估办法》《个人信息出境标准合同办法》等形成的规则体系下,数据出境安全评估及个人信息出境标准合同备案的适用范围较大,数据出境活动的复杂性和不确定性较高,导致在涉及数据跨境的投资并购项目中,普遍需要目标公司实施数据跨境相关评估、审批、备案程序。体现在交易文件上,投资人一般要求目标公司作出相关陈述与保证,并将目标公司完成数据出境安全评估、个人信息出境标准合同备案等程序作为交割先决条件或交割后义务。这很大程度上增大了目标公司数据出境的合规压力,提高了其数据出境的合规成本,从而可能延缓了投资并购项目的整体进程(个人信息出境标准合同备案自个人信息处理者提交备案材料之日起15个工作日内完成;数据出境安全评估自向数据处理者发出书面受理通知书之日起45个工作日内完成评估,实践中还要考虑准备材料、补充材料等情况,持续时长普遍更久),增大交易的不确定性,甚至可能降低了双方的交易意愿。
《新规》在制度规则层面适当放宽了数据跨境流动条件,适度收窄了数据出境安全评估及个人信息出境标准合同备案的适用范围,那么对于投资并购项目双方而言,也要充分利用《新规》释放的数据跨境流动便利条件,判断目标公司所涉数据跨境情形是否属于豁免类型,考虑减少不必要的行政性程序,保证交易的顺利推进。例如,在新能源收并购项目中,我们以往出于审慎性角度和对规则制度的从严解释,一般认为电力行业企业因能源行业的特性,被能源主管部门认定为关键信息基础设施运营者的可能性较大,相关气象数据、电站运营技术数据等可能属于重要数据,因此一般要求新能源企业完成数据出境安全评估作为交割先决条件,以确保实现并购目的,避免被处罚的风险。而在《新规》背景下,对于未被相关部门、地区告知或者公开发布为重要数据的,无需申报数据出境安全评估,故在电力行业尚未出台有关本行业的重要数据目录的情况下,可不要求目标公司就此进行数据出境安全评估,不将此作为交割先决条件,有效推进交易进程。
值得注意的是,在判断目标公司是否需要进行数据出境安全评估/个人信息出境标准合同备案时,一方面,目标公司对其自身是否属于法定豁免情形可能存在误判,另一方面,各行业和地区的重要数据目录可能持续发布或更新,则对于交易阶段未要求目标公司进行数据出境相关合规申报的,建议投资人要求目标公司作出如下陈述与保证:(1)保证其截至交割日前实施的数据跨境流动行为不需要进行数据出境安全评估或个人信息出境标准合同备案/个人信息保护认证;(2)承诺当其依据法律法规、规范性文件,或被主管部门要求应当进行数据出境安全评估或个人信息出境标准合同备案/个人信息保护认证时,按照投资人要求在规定期限内履行相关申报/备案/认证义务。针对上述陈述与保证,投资人可要求在交易文件中约定相关的赔偿责任条款。一旦卖方或目标公司违反其数据合规相关的陈述与保证、交割义务或其他合同责任致使买方遭受任何损失,投资人可基于该等赔偿责任条款向卖方或目标公司索赔。
此外,如尽调关注要点中所述,《新规》虽规定了免予数据出境安全评估申报及个人信息出境标准合同备案/个人信息保护认证的相关情形,但仍不可省略个人信息主体的单独同意或授权。故,在个人信息方面,对于目标数据的资产收购,如果目标数据中包含个人信息(例如卖方将相关业务整体出售并将相关员工转移给买方,或卖方从事酒店、电商等面向个体消费者的行业等情形),投资人可要求将卖方取得员工/用户/客户等个人信息主体的同意作为交割先决条件或交割后义务,双方可通过与个人信息主体的交互界面设计、相关告知文案通知以及沟通释疑渠道设置等,促使个人信息主体同意。对于涉及数据跨境的股权收购,因兼并、重组等原因需要转移数据的,目标公司也应当以通过弹窗发布“账号融合用户确认函”等合适的方式通知受影响的个人。因业务需要等正当原因确需改变数据处理目的、范围和方式的,应重新征得个人同意。即,《新规》并未豁免取得个人信息主体同意的必要性,故在交易文件的条款设置中亦不应忽略此方面。
结语
《新规》延续了促进数据跨境流动的整体趋势,在对个人信息和重要数据保持审慎态度的同时,进一步放宽了数据跨境流动的条件,调高了数据出境安全评估/个人信息出境标准合同/个人信息保护认证的触发阈值。《新规》是对《数据出境安全评估办法》等的完善细化,而非完全替代,企业仍应遵循相关立法制度要求,做好数据出境合规建设。在涉及数据出境的投资并购项目中,仍建议目标公司进行数据出境风险自评估、个人信息保护影响评估等相关工作,并形成备查报告,及时发现可能需要进行数据出境合规申报的情况;投资人也应保持前沿的数据合规意识,在商业层面和法律层面进行平衡,以高效安全地推进交易进程。
来源:金诚同达
作者:
- 巴赋敏,高级合伙人,上海办公室;业务领域:并购与重组,证券与资本市场,私募与风险投资,房地产与基础设施建设;联系方式:bafumin@jtn.com
- 李晓璐,上海办公室;业务领域:并购与重组,证券与资本市场,私募与风险投资,房地产与基础设施建设
特别声明:以上文章仅代表作者本人观点,不代表北京金诚同达律师事务所或其律师出具的任何形式之法律意见或建议。