上一篇文章（《投资并购中的数据合规尽职调查（上）》）我们分析了并购交易中数据合规尽职调查的必要性、强需求领域以及常见问题等。随着数据合规问题日益突出，并购交易中面临的一个新问题是如何确保并购交易尽调过程本身的数据合规。

这个问题产生的主要原因在于并购交易尽调过程中，买方需要了解卖方的股权/资产、业务、员工、知识产权、财务等多方面信息。为了满足买方的要求，卖方需要将这些信息和相关数据提供给买方及买方外部顾问。这个过程中往往伴有大量的信息和数据被披露、传输给买方及买方外部顾问。如果这些数据涉及个人信息、重要数据甚至核心数据，则该等披露、传输是否符合数据合规的要求就成了一个需要重点关注的问题。

一、个人信息

1. 员工个人信息的披露与传输

在投资并购过程中，买方一般会要求卖方提供目标公司劳动用工相关材料，用以了解目标公司员工的整体情况、员工的薪酬架构、劳动用工合规性（如薪酬、社保公积金与个人所得税的缴纳情况，劳动合同与保密协议的签署情况）、劳动争议情况等。目标公司的劳动用工材料中将不可避免地包含目标公司员工的个人信息。

这些员工的个人信息在尽调过程中能否被提供给买方？就国内并购交易而言，几年前这似乎主要是个商业问题，但随着《个人信息保护法》等法律法规的出台，这已经成为一个不容忽视的法律问题。

根据《个人信息保护法》的规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意[1]。

《个人信息保护法》为特定情形下的个人信息转移提供了解决方案，比如规定个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，需向个人告知（非取得同意）接收方的名称或者姓名和联系方式且接收方应当继续履行个人信息处理者的义务[2]。

另外，近几年（尤其在《个人信息保护法》出台前）被广泛适用的国家推荐性标准《信息安全技术 个人信息安全规范》（GB/T35273-2020）[3]亦有类似要求，即当个人信息控制者[4]发生收购、兼并、重组、破产等变更时，个人信息控制者需向个人信息主体告知有关情况且变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务。

根据以上法律和国家标准的规定，若卖方因买方对目标公司完成兼并收购而向买方转移目标公司的员工个人信息，卖方无需取得员工的单独同意，只需告知员工即可。但是，由于在尽调（或其他交割之前的）阶段，兼并收购尚未实际发生或完成，若卖方在尽调阶段披露目标公司员工的个人信息，严格来说并不能适用兼并收购场景下的特殊规则。

因此，在尽调阶段，如果卖方将目标公司员工个人信息提供给买方，理论上仍需取得员工的单独同意。在目标公司股东通过股权转让方式进行的股权交易中，严格来说，目标公司股东作为卖方本身可能并没有权利将目标公司的员工个人信息披露或提供给买方，因为目标公司股东通常并没有直接收集、存储和处理目标公司员工的个人信息，因而也无权进行前述提供。这种情形下，通常只能由目标公司进行提供，但仍需取得员工的同意。

若目标公司的规模较大，分别取得所有相关员工的单独同意时间成本高、难度大。此外，在尽调阶段，由于交易最终是否能完成仍存在不确定性，买卖双方可能希望对交易信息保密，但在向员工征得单独同意的过程中不可避免地需要向员工披露卖方的名称以及处理的目的是为了投资并购尽调所需，不利于投资并购交易的保密性。

为了解决前述问题，可考虑以下解决方案：

（1）匿名化提供相关个人信息

根据《个人信息保护法》，个人信息不包含匿名化处理后的信息。匿名化处理指个人信息经过处理无法识别特定自然人且不能复原的过程，如在劳动合同、保密合同及竞业限制协议、员工花名册等文件中涂黑/删除可以识别到特定自然人的信息，或是提供抽象统计后的员工数据，如总员工数量、核心员工数量、待退休员工数量、实习生及兼职人员数量、外籍员工数量、不同职能部门各自员工数量、各类型员工的平均工资、年龄结构、不同教育水平占比、性别比例等。

在尽调初期，匿名化的操作方式通常可满足买方了解目标公司劳动用工基本情况的需求，但是在尽调中后期，匿名化操作处理后的数据可能已不能满足买方的商业需求，因为尽调中后期往往要求颗粒度更高的数据来核查目标公司劳动用工情况。如针对核心员工，一般买方都会要求提供核心员工所有劳动用工相关的签署版协议，用以确认核心员工的岗位、任职期限、工资、是否受到保密义务和竞业限制业务的约束等信息，而匿名化处理后的数据可能无法满足买方的要求。

与匿名化处理容易混淆的另一个概念是去标识化处理。根据《个人信息保护法》，去标识化指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。原则上，去标识化的个人信息有可能仍然是个人信息，因为借助“额外”的信息，仍可识别特定自然人。当然如果在尽调过程中，卖方或目标公司可以确保买方无法从其他渠道获得该等“额外”的信息，该去标识化的信息对买方来说可能并不会构成个人信息，在这种情况下也就无需取得员工的个人同意。

（2）设置梯度化的员工数据提供方式

（a）尽调阶段梯度

建议以投资并购协商的进度与必要性来确定员工个人信息披露或提供的方式和范围。尽调初期，可采取匿名化的操作，而尽调中后期，可适度披露买方要求的员工个人信息，如核心员工的个人信息。由于核心员工的数量有限，取得核心员工的单独同意的时间成本尚在可控范围，并且考虑到核心员工对目标公司的重要性，通常目标公司的投资并购活动都会不同程度的披露给核心员工，这往往不会造成对投资并购交易保密性的不利影响。

（b）员工属性梯度

对核心员工，可考虑取得单独同意，而对其他员工，可考虑仅提供匿名化处理后的信息。此外，应买方要求，核心员工可能需提供更多的个人信息，如是否有行业资格准入限制，是否受到前雇主竞业限制等。无论是核心员工还是其他员工，都应仅提供为尽调目的必要的个人信息，比如在尽调过程中，员工的家庭住址、身份证号/护照号、婚姻情况等通常并非必要，无需提供。

2. 客户个人信息的披露与传输

针对自然人客户及企业客户雇员或代表（联系人）的个人信息的处理，与前述员工个人信息处理的思路类似，若卖方需向买方提供目标公司客户的个人信息，需取得客户的单独同意。但同样的，在客户数量较多且出于投资并购交易保密的需求，取得所有相关客户的单独同意可能并不是一个现实的办法，除了交易保密这个原因外，相对于“员工”，取得自然人客户或企业客户雇员或代表的个人同意的难度可能更大。

相对来说，从买方的角度来看，买方通常并不看重目标公司客户的个人信息，除非目标公司的客户以自然人消费者或用户为主。

相应的解决办法也可参考处理员工个人信息时的思路：

(1)  匿名化提供相关个人信息

由于匿名化的个人信息不再属于个人信息，卖方可考虑在尽调阶段匿名化传输目标公司客户的个人信息。如在业务合同中涂黑/删除可以识别到特定自然人的信息，或是提供抽象统计后的客户数据，如客户群体年龄段、消费或服务种类、金额等标准的统计数据。考虑到客户对个人信息一般会提出保密要求，匿名化处理应是主要考虑的方向。

(2)  设置梯度化的客户数据提供模式

尽调初期，可多采取匿名化的操作提供客户的个人信息，而尽调中后期，可适度披露买方要求的重要客户的个人信息，如出于第三方核查、抽调的目的需获取对收入贡献较大的重要客户的信息。对于该等重要客户，可考虑取得相关个人的单独同意，而对其他客户，可仅提供匿名化处理后的信息。无论是重要客户还是普通客户，都应仅提供为尽调目的必要的个人信息，如针对一般企业客户，其联络人的个人信息等可能并非必要，无需提供。

此外，无论是目标公司的员工个人信息还是客户的个人信息，卖方在向买方提供前都需注意遵守适用法律法规对个人信息的处理的其他要求，包括但不限于需事先进行个人信息保护影响评估，并对处理情况进行记录，为个人信息主体提供便捷的撤回同意的方式等。

二、重要数据/核心数据的提供

由于重要数据和核心数据的重要性和更严格的监管要求，其一旦泄露即可能会危害国家安全或公共利益，因此其对外提供需要格外谨慎。

建议卖方在向买方提供目标公司的核心数据/重要数据前：

判断拟提供的数据是否属于重要数据或核心数据，如初步判定该等数据可能属于重要数据或核心数据，则应考虑向买方提供的必要性；

在必要且可提供的前提下，应确保符合其他相关的法律法规的要求，如使用加密手段对重要数据和核心数据进行保护；事先开展安全评估、履行其他向政府部门报备的手续等[5]；

与卖方签署数据分享协议，要求卖方确保相关重要数据或核心数据安全性和保密性，明确该等数据的提供目的、范围、处理方式，且需在卖方要求后及时删除、销毁相关重要数据或核心数据。对此如果相关法律法规有明确规定数据协议内容的，则应遵守该等规定。

考虑到重要数据和核心数据的重要性和严格的监管要求，建议卖方在尽调阶段应避免向买方提供目标公司的核心数据和/或重要数据（如涉及）。

三、数据跨境传输

如果在尽调过程中，卖方可能将相关个人信息、重要数据或核心数据向境外提供（包括提供至境外机构、境外自然人或上传至境外服务器等），则构成数据跨境传输，需遵守数据跨境传输相关的法律法规：

1. 关键信息基础设施运营者

如果目标公司属于关键信息基础设施运营者，其在境内运营中收集和产生的个人信息和重要数据应本地化存储，如果需要向境外提供的，需通过国家网信部门组织的数据出境安全评估[6]。

因此，如果目标公司属于关键信息基础设施运营者，在尽调阶段，卖方应该考虑不向境外买方提供任何目标公司的个人信息和重要数据。否则仅通过网信部门组织的安全评估一项就可能让并购交易整个流程变得不可控。

2. 个人信息

如果目标公司需要将其个人信息提供给境外的买方，这就会触发《个人信息保护法》规定的数据出境的相关规定，包括但不限于：

目标公司需向个人告知境外买方的名称或姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外买方行使《个人信息保护法》下规定权利的方式和程序等事项；

取得个人的单独同意；

通过网信部门的安全评估或按照网信部门的规定经专业机构进行个人信息保护论证或签署网信部门制定的标准合同；

目标公司需事前进行个人信息保护影响评估，并对处理情况进行记录[7]。

考虑到以上个人信息的出境要求，我们建议卖方应考虑避免将目标公司的个人信息提供给境外买方。

3. 重要数据或核心数据

如前所述，对于重要数据或核心数据，国家有着更严格的监管，这也同样体现在跨境的管理上。

根据现有的规定及相关法规规章草案[8]，跨境传输重要数据将会触发网信部门组织的安全评估。对核心数据则要求会更加严格，甚至可能不允许出境。如果尽调阶段触发了国家网信部门安全评估流程，需待该等流程完成后才能开展或进一步推进尽调，这必然会影响交易时间表并增加额外的经济成本。此外，该等国家网信部门安全评估是否能顺利通过存在不确定性，如无法通过可能会导致交易最终无法顺利进行。

综上，为了尽快推进交易，降低交易成本，且提升交易的确定性，尽调阶段建议卖方原则上应避免跨境传输数据，尤其是个人信息（除非对个人信息进行匿名化处理）和重要数据/核心数据。

在跨境交易中，如买方为境外主体，建议买方安排其境内关联方的中国籍员工和/或境内律师事务所的中国籍律师核查目标公司存储在境内的数据并相应准备尽调报告。如果尽调报告需传输至买方境外团队审阅，则买方应确保尽调报告中不包含个人信息和重要数据/核心数据。

四、使用虚拟数据室（“VDR”）的合规问题

VDR是在投资并购交易中常用的提供资料供买方审阅目标公司资料文件的网络工具。通常由VDR服务提供商（例如Intralinks、Venue、Merrill Datasite、iDeals等）提供，由卖方将目标公司包括法律、财务、业务在内的各类资料分别整理上传至VDR服务供应商的网络平台，同时VDR服务提供商会向买方和/或买方的外部顾问（一般包括律师、会计师、财务顾问等）提供登录和访问这些资料的专门账号，以便进行查阅并开展尽调。

目前投资并购交易中对VDR的使用已较为普遍，特别是在疫情时期通过VDR开展尽调相较于传统的现场尽调而言更为高效，且专业的VDR服务提供商一般能提供安全的网络空间并可以通过设置买方及买方外部顾问对VDR的使用规则来确保卖方提供的数据的安全性和可追溯性（如可设置文件查看、打印、下载权限及下载后的查阅权限，可设置水印以保护文件不被复制等）。

在享受VDR给投资并购交易带来便利的同时，还需要从数据合规角度关注VDR使用过程中的以下问题：

1. 明确VDR服务提供商的权利与义务

《个人信息保护法》对委托处理个人信息规定了基本的规则：(a) 个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督；以及 (b) 受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息[9]。

另外，网信办发布的《网络数据安全管理条例（征求意见稿）》将数据委托处理定义为“数据处理者委托第三方按照约定的目的和方式开展的数据处理活动”，并将数据处理者定义为“在数据处理活动中自主决定处理目的和处理方式的个人和组织”。参考该等定义，就较为常见的VDR功能而言，VDR服务提供商受卖方委托在尽调期间存储卖方上传的尽调所需相关数据，并根据卖方的指示向买方和/或买方外部顾问提供相关数据的法律关系中，卖方属于数据处理者，其对上传的尽调数据拥有自主决定权，可委托第三方对数据进行处理，而VDR服务提供商属于数据受托处理者，受卖方委托为尽调之目处理（含存储、提供等）相关数据。

数据受托处理者在数据受托处理的情境下无法自主决定数据的处理方式，不属于数据处理者，因此数据处理者通常无需就委托处理取得个人信息主体的单独同意。但若因数据受托处理者原因导致个人信息的泄露、篡改等后果，数据处理者作为委托方需向个人信息主体承担责任。

VDR服务提供商一般都会有标准的隐私政策和数据处理的格式合同，该等格式合同会更倾向于保护VDR服务提供商的利益，建议卖方在使用VDR服务提供商的相关服务前与VDR服务提供商协商签署定制化的数据委托处理协议，明确约定委托处理的目的、期限、处理方式、提供数据的种类、保护措施以及双方的权利义务（包括在VDR服务提供商违约的情况下，卖方有权向VDR服务提供商追究违约责任、尽调结束后VDR服务提供商应根据卖方要求返还或删除相关数据等）。

如果VDR服务提供商对数据存在其他权限（如自主修改、披露、利用、转移等），则VDR服务提供商的身份属性将不仅限于数据受托处理者，而可能进一步构成独立的数据处理者。在该等情形下，建议逐案分析，并将相关数据归属、权责划分等问题明确于协议中。

2. 避免数据跨境传输

目前较为成熟的VDR多源自境外，若卖方直接与境外VDR服务提供商达成数据处理协议或卖方虽与境外VDR服务提供商的境内关联方达成数据处理协议但相关数据传输至境外服务器，均有可能构成数据跨境传输。即使服务器在境内，但在买方为境外主体的情况下若允许其境外员工登录或接入VDR，亦可能构成数据跨境传输。

如上文分析，数据跨境传输（特别是涉及个人信息、重要数据/核心数据）通常会触发较为复杂的合规要求，从而存在增加交易时间和经济成本及交易不确定性的问题。为了尽量避免VDR使用过程中存在数据跨境传输，建议卖方与中国境内VDR服务提供商或境外VDR服务提供商的境内关联方达成数据处理协议，相关数据（特别是如果涉及个人信息和重要数据/核心数据）上传至中国境内服务器（可在数据处理协议中明确该要求），且在买方为境外主体的情况下限制其境外员工登录VDR查看、下载或处理相关数据。

结 语

并购交易尽调过程中卖方通常会向买方提供大量的信息和数据，这些数据中可能会包含个人信息和重要数据/核心数据。随着数据合规要求日趋严格，并购交易尽调过程中要确保数据提供活动本身符合相关数据合规的要求。

对于员工或客户的个人信息而言，虽然卖方/目标公司取得该等个人信息主体的单独同意是较合规的做法，但考虑到交易本身的保密性和时间要求，匿名化处理和/或设置梯度化的提供方式可能更现实一些。

考虑到重要数据和核心数据的重要性和更严格的监管要求，建议卖方在尽调阶段应避免向买方提供重要数据和/或核心数据。同样，由于跨境传输个人信息或重要数据会触发安全评估等在内的监管要求，我们也建议卖方在尽调阶段应避免跨境传输个人信息和重要数据/核心数据。

此外，并购交易尽调过程中普遍使用的VDR也需要从数据合规的角度进行新的审视，以确保合规。

脚注：

[1] 《个人信息保护法》第23条

[2] 《个人信息保护法》第22条

[3] 《信息安全技术 个人信息安全规范》（GB/T35273-2020）第9.3条

[4] 个人信息控制者指有能力决定个人信息处理目的、方式等的组织或个人，与《个人信息保护法》下的个人信息处理者的概念一致。

[5] 可参考网信办2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》，以及工信部2022年2月10日再次发布的《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》。

[6] 《网络安全法》第37条，《数据安全法》第31条，《个人信息保护法》第40条。

[7] 《个人信息保护法》第55条。

[8] 如《网络安全法》第37条，《数据安全法》第31条，网信办2021年10月29日发布的《数据出境安全评估办法（征求意见稿）》以及2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》。

[9] 《个人信息保护法》第21条。