胡峰 上海邦信阳中建中汇律师事务所 律师助理
注:本文独家授权威科先行法律信息库发布, 未经许可, 不得转载。
公司并购分为股权收购和资产收购。在股权收购中,收购方只是获取目标公司的全部或部分股权,成为目标公司的股东,并在后续的目标公司经营中行使股东权利,承担股东职责;换言之,在股权收购的签约至交割阶段,收购方并不与目标公司所存贮的任何个人数据产生联系,也不存在相关的数据处理活动。因此,股权收购的签约与交割与数据合规无关。
但在资产收购中,收购的标的为目标公司的全部或部分资产,比如营业、部门,目标公司在转让这些资产时,必然也会将与之相连的个人数据转让给收购方,这种数据转让行为属于数据处理活动之一类,受到数据保护规定的规制。
因此,本文讨论的话题便是资产收购的签约至交割阶段产生的数据转让操作。
在资产收购的签约到交割阶段,当目标公司将其存贮数据转让给收购方后,收购方即变成这类数据的数据控制者。具体而言,目标公司转让的数据类型包括:
1. 债权人、债务人与合同相对方的个人数据。在资产收购中,收购方收购了目标公司的全部资产,这些资产当然包括目标公司在签约前的相关债权、债务与签订的合同,都要由收购方承接;如果收购方收购了目标公司的部分资产,如分公司、某类部门,而这类资产是目标公司实现特定债权、履行特定债务之必要,也需要将这些债权债务移转给收购方。这其中必然会产生相关债权人、债务人与合同相对方的个人数据转让。
2. 客户的个人数据。这又继续分为当前客户的个人数据与历史客户的个人数据。在订立收购协议前,目标公司仍与客户订有提供产品或服务协议,还需向其为给付行为,这样的客户是当前客户;如果双方的提供产品或服务协议已经履行完毕,则该客户是历史客户。这些客户的数据对目标公司确定经营策略相当重要,很多时候被认定是商业秘密。
3. 员工数据。如果收购方收购了目标公司的某类部门,自然地,在该类部门工作的员工的个人数据自然也会转让给收购方。
既然在资产收购的签约至交割阶段会发生个人数据的转让,就要考察这类数据转让行为是否是合法的,而其中首先应关注的是此类行为是否有合法性基础。依我们的总结,此阶段的数据转让操作有三个合法性基础:
1. 数据主体的同意。这具体包括:(1)目标公司在与客户、员工或他人订立合同时,或在数据保护声明中,明确将公司并购的数据转让操作包含在其数据处理的目的范围内;(2)在签约前后,分别从客户、员工、债权人、债务人或合同相对方获取其数据转让的明示同意。
2. 履行合同之必须(参见GDPR第6条第1款第b项,我国《个人信息安全规范》第5.5条第g项)。此处具体指,目标公司向收购方转让个人数据,是数据主体的合同,比如与客户的提供产品或服务合同、与员工的劳动合同、与其他自然人的合同等,得以履行的必要条件。
3.保护合理利益之必要,且此合理利益在重要性超越了相关数据主体的合理利益(详见本系列第一篇文章对“合理利益”的论述)。
上述以同意为合法性基础的第(2)种方式在实践中是不可行的,即使目标公司愿意花费巨资去向上述数据主体征求同意,比如发电子邮件、打电话、寄信等,但此举并不能保证所有上述数据主体收到此征求;此外,一般情况下,大家对这类征求信息都是放置不理,在opt-out模式已经被GDPR认定为违法并被我国《个人信息安全规范》排除的情况下,征求同意的方式基本实现不了。很多目标公司在实践中也未并做到以同意为合法性基础的第(1)种方式。因此,在签约至交割阶段的数据转让操作,应多参考以履行合同之必要或保护合理利益之必要为合法性基础;如果以此两项为数据转让的合法性基础,收购方在合法转让数据后只需事后告知数据主体相关信息即可。
债务人、债权人与合同主体的个人数据转让是基于债权债务关系发生的,具体包括债权转让、债务转移与合同承担。公司资产并购时的合同承担,是指目标公司作为合同一方,将其在合同中的债权、债务转移给收购方,因此以上三类个人数据转让分简化为两类情形,即债权转让与债务转移时的个人数据转让操作:
(一)债权转让的情形
公司资产并购时的债权转让,适用我国《合同法》第79条之规定;当不存在不得转让债权之情形时,目标公司可自由将其享有债权转让给收购方。当收购方成为新的债权人时,为了受领债权之必要,收购方需要知道债务人的个人信息,否则当债务人为给付时,收购方不知债务人给付之原因。因此,为收购方受领债权之必要(即为履行合同之必要),目标公司应当向收购方转让债务人的个人数据,毋需取得债务人之同意。
(二)债务转移的情形
对于公司资产并购时的债务转移,依照我国《合同法》第84条之规定,目标公司作为债务人,其转移债务给收购方时应取得债权人之同意。在取得同意后,目标公司便从原有的债务关系中解放出来,而为了收购方给付之必要,目标公司应当向收购方告知债权人的个人信息,否则收购方不知向谁为给付。因此,为收购方给付之必要(即为履行合同之必要),当债权人同意转移债务时,目标公司可向收购方转让债权人的个人数据。
但在实践中,经常是目标公司与收购方达成收购协议后,目标公司再就债务移转事宜取得债权人之同意。因债权人此时并未同意债务转移,目标公司与收购方只能在收购协议中约定债务加入(详情将在本系列第四篇文章中讨论)。但即使收购方作为新加入的债务人,目标公司仍然是债务人,仍然负有向债权人为给付的义务,对债权人实现债权来讲,目标公司转让债权人个人数据并不是必要的;换言之,此时目标公司向收购方转让债权人个人数据的行为,并非为履行合同之必要。但是,当目标公司将其全部或部分资产转让给收购方时,其很可能再无经济能力或组织能力履行对债权人的债务。虽然当目标公司无能力履行义务而违约时,债权人可向目标公司请求违约损害赔偿,但债权人更大的利益显然在于其债权能够有效实现,如果收购方以债务加入的形式成为债务人,承担给付义务,此举显然有助于保障债权人实现债权。因此,目标公司与收购方在签订收购协议时,如果约定了债务加入条款,目标公司可以用实现合理利益之必要为理由,转让债权人的个人数据,毋需取得债权人的事先同意。
无论是当前的还是历史的客户个人数据,目标公司都会存入自己的数据管理系统,并成为自己资产的一部分。对于当前客户个人数据的转让,因为其与目标公司成立债权债务关系,可以参考上节的论述;对于历史客户数据,因为其不再与目标公司产生合同关系,自然不能以履行合同之必要为理由,向收购方转让。对客户个人数据转让的相关问题,在此以收购方全部还是部分收购目标公司的资产来分别论述。
(一)收购全部资产的情形
如果收购方以资产收购方式收购目标公司的全部资产,目标公司所保存的客户数据自然也在收购之列。此时,目标公司向收购方转让客户数据,一般不需要再取得这些客户的同意,理由如下:
1. 资产收购应与股权收购获得同等对待。当收购标的是目标公司的全部资产时,且在资产收购与股权收购的方式都可行的情况下,目标公司与收购方选择资产收购方式,一般是为持续目标公司的营业,这与股权收购的目的相同;换言之,客户的个人数据因资产并购所遭遇的风险并不比在股权收购时高。而在股权收购时,并不产生任何客户对其个人数据处理活动的同意问题,相对应地,在资产收购时,目标公司向收购方转让客户个人数据也不应当以客户的同意为条件。
2. 历史客户对与企业保持联系的需要。通常来讲,虽然历史客户现时与企业无合同关系,但是在一般情况下,这些历史客户仍然希望能与企业保持联系,这样当其又希望企业向其提供产品或服务时,相关交易能够更顺畅地进行,而这依赖于企业对其个人数据的保存。在目标公司全部资产被收购的情况下,基本只有收购方有能力在将来继续为历史客户提供相应的产品或服务,因此,为历史客户利益考虑,应减少目标公司转让历史客户数据的阻碍。
基于以上两点理由,目标公司与收购方可以以保护合理利益之必要为合法性基础,客户的个人数据转让不需要再获得数据主体的同意。当然,在目标公司转让个人数据后,基于数据最小化与目标约束原则,在处理这些数据的原有目的范围内,其自身保留这些数据也缺乏合法性基础,因而需要在收购协议里约定目标公司删除数据之事宜。
(二)收购部分资产的情形
在收购方只是收购了目标公司部分资产的情况下,目标公司是否需要向收购方转让其收集的客户数据,或者转让客户数据是否需要取得其同意,都应当依个案情况而定。在此,可参考以下步骤来判断客户数据的转让是否需取得其同意:
1. 被收购的资产是否包括客户数据。如果收购方收购的资产与客户数据无关,比如收购的是目标公司的技术研发部门,则目标公司向收购方转让客户数据时,应当取得客户之同意。当收购的资产包括或涉及客户数据时,比如收购的是目标公司的销售、服务部门等,则需进一步考察
2. 被收购资产是否独立控制这些客户数据。这里的独立控制是指被收购资产(比如目标公司的某一部门)独立管理这些客户数据,且在收集客户数据的目的范围内处理数据。如果被收购资产独立控制这些客户数据,为实现客户的利益,目标公司可以保护合理利益之必要为理由,自行向收购方转让客户数据;反之,则需进一步考察
3. 目标公司对这些客户数据的处理目的是否可分。如果客户数据的处理目的是不可分的,比如需要由目标公司的相关部门共同协作才能完成数据处理之目的,比如收购方收购了目标公司的销售部门,该部门定期会向客户电子邮箱发送产品广告,而目标部门的技术部门会对客户进行数据画像,帮助销售部门向不同客户推送不同产品广告,在此,推送广告与数据画像两者并不可分,所以除非取得这些客户的同意,否则目标公司不应当向收购方转让数据;反之,如果客户数据的处理目的是可分的,则需进一步考察
4. 这些客户数据对实现收购目的的必要性。若这些客户数据对实现收购目的没有必要性,则在未取得客户同意之前,目标公司不得向收购方转让数据。如果转让数据对实现收购目的有必要性,比如目标公司有智能手机部门与电脑部门,两部门共用客户数据,收购方只收购了智能手机部门。对客户来讲,其安装智能手机程序更新对其正常使用智能手机十分必要;从收购方的角度看,其向手机客户提供服务也需要客户数据,因此,在此例中,为保护手机客户利益之必要,目标公司可自行向收购方转让个人数据,但这里仍需要注意下一个限制性条件
5. 收购方处理这些客户数据是否在原有目的范围内。如果收购方改变或增加了对这些客户数据的处理目的,对改变或增加的目的要单独取得客户之同意。这一点尤其体现在单独的客户数据买卖中。设想一下,当一家电商平台公司(目标公司)申请破产,且其除了客户数据外没有其他资产时,为维护这些客户之利益,也为了保障目标公司及相关债权人的利益,该平台公司与另一家电商平台公司(作为收购方)可单独约定转让客户数据事宜,但收购方使用这些数据只能在原有目的范围内,比如某客户曾经只同意目标公司向其邮箱发送电子产品类广告,则收购方在购买这些数据后,只可向该客户发送电子产品类广告,如要发送日常消费品类广告,依我国《广告法》第43条,需另行取得该客户的同意。
此外需注意的是,在部分资产收购情形下,如果目标公司基于同意之外的合法性基础向收购方转让客户数据,且两者无另外的客户数据委托处理协议,目标公司应当在转让客户数据后删除此类数据。
对资产收购时的员工个人数据转让问题,可参照我国《劳动合同法》第34条之规定。依此规定,用人单位发生合并或者分立等情况,原劳动合同继续有效,劳动合同由承继其权利和义务的用人单位继续履行。基于合并或分立与资产收购的类似性(集团公司内的合并很多时候就是资产收购情形),应当认定由收购方继承目标公司的雇主地位。因此,基于继续履行劳动合同之必要,目标公司可自行向收购方转让被收购部门的员工个人数据,毋需再取得员工之同意;但是需注意的是,目标公司应当仅在继续履行劳动合同的必要范围内转让员工数据,比如员工的医疗、健康数据虽然对订立劳动合同关系是必要的,但对延续此合同劳动关系就很可能不是必要的,对此类型数据,目标公司不应转让,而应在收购交割后删除。
以上讨论针对的只是普遍情形,但在实践中,存在着特定的行业,比如存在对客户个人数据法定保密业务的情形,主要是医疗机构存贮的患者数据(参见我国《侵权责任法》第62条、《执业医师法》第22条第3项),银行收集的客户数据(参见我国《商业银行法》第29、30条);也存在着特殊的合同类型,比如建立在信任关系上的劳动合同、当事人约定不得转让的债权或依性质不得转让或转移的债权债务(参见我国《合同法》第79、86条),与此相关的数据转让操作要依个案而定,需要具体咨询专业人士。
更多阅读:
《公司并购的数据保护指南(一):尽职调查阶段的数据合规操作》
作者介绍:
专注领域:复杂民商事争议解决、跨境投资和并购、数据保护和反垄断法(经济分析)
毕业于中南财经政法大学、山东大学和德国柏林洪堡大学,获得德国法学博士学位。曾在德国一家律所兼职从事法律咨询工作,为中国企业或个人在德国成立公司、股权收购和投资不动产提供法律服务,现为本所国际业务团队律师助理。工作语言为中文、德文和英文。
上海邦信阳中建中汇国际业务团队由法学博士徐国建律师、袁颖律师领衔,团队成员均毕业于海内外知名法律院校,多数律师拥有海外国际知名院校的法律硕士、博士学位,此外部分律师拥有美国、澳大利亚等国家的法律执业资格。本团队从上世纪90年代伊始便专注于涉外法律服务,团队的传统优势领域为国际商事仲裁、跨境投资和并购、数据与隐私保护、国际知识产权保护、企业合规与反不正当竞争。在数据与隐私保护领域,本团队拥有专门的数据保护项目组,能根据中国企业的组织结构、行业和技术特性,为中国企业定制合适的数据保护方案,提供优质的数据保护法律服务。
【本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。】
