公司并购的数据保护指南(二):数据合规的尽职调查
2018-11-02


胡峰 上海邦信阳中建中汇律师事务所 律师助理

邓平 上海邦信阳中建中汇律师事务所 律师助理


注:本文独家授权威科先行法律信息库发布, 未经许可, 不得转载。


在公司并购实践操作中,收购方对目标公司进行尽职调查的目的在于全面了解目标公司的状况,综合评断收购目标公司的风险。随着各国法制保护领域及政府监管范围的扩大,尽职调查的范围也从传统的目标公司财务、证件、治理结构与关联关系审查,扩大到劳动合规、反垄断、反洗钱、反贿赂审查等方面。而随着数据保护立法的推进与完善,企业对各种数据系统的运用以及网络经济的繁荣,收购方对目标公司数据合规的调查也应当成为其尽职调查步骤中的独立一环。


一、数据合规尽职调查的意义


从收购方的角度看,对目标公司尽职调查的范围不应无限扩大,因为这种尽职调查可能引起目标公司管理层的不愉快,破坏双方间的信任与合作机制;此外,收购方也要承担着不低的尽职调查费用。


但考虑到以上情事,我们也建议,收购方在尽职调查阶段仍应当对目标公司的数据合规状况进行调查,其原因有两点:


1.数据保护立法日益严格,不用说欧盟GDPR规定的公司全球营收的4%或2000万欧元的罚款额度,以我国立法为例,《网络安全法》的第64条第1款就规定了,对侵犯个人信息权利的网络经营者,处违法所得一倍以上十倍以下罚款,或者处一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,还可关闭网站、吊销相关业务许可证或者吊销营业执照。


2.数据保护日益成为企业的核心竞争力之一。数据泄露与滥用事件将使企业遭受巨大的信任危机与经济损失,比如因斯诺登“棱镜门”事件而促使美国-欧盟的数据安全港协议无效,这让企业付出巨大成本采取应对措施;以及今年的英国剑桥分析公司事件,该公司不正当使用脸书用户的数据,反而使得脸书公司遭受了巨大的用户信任危机。


二、数据合规尽职调查的方法


收购方对目标公司数据合规的尽职调查,仍然应当聘请专业人员来进行。虽然法律人是此类尽职调查的主力,但基于数据合规尽职调查较强的技术性,比如涉及到各种计算机、网络技术,法律人应当与各种技术类人员合作,保持有效的沟通,协作完成尽职调查。


而具体的尽职调查的方式还是以独立调查、人员访谈和目标公司文档审查为主。调查人员应通过细心的工作,发觉独立调查结果、人员访谈与目标公司文档的不一致之处,以发现隐藏的重要信息。在下文中,我们将提供一份基础版的调查问题清单,并在每个调查问题下附上相关说明,供读者参考。这份调查清单之所以称之为基础的,是因为在具体的尽职调查中,要针对特定行业增加或删减相应的调查事项。因此,针对一项具体的尽职调查案,还应咨询专业机构与人员。


三、目标公司类调查清单



1. 请列出公司现在的组织结构。

一般的公司并购尽职调查操作都要获悉目标公司的组织结构,从数据合规的角度看,此举能够使收购方总体把握目标公司的结构,这样就能知道该公司或其子公司、关联公司是否是数据控制者,或者该公司的哪个部门具体负责数据处理行为。


2. 请列出公司所有的经营地,并简要列出各经营地的主要数据处理行为。

如果目标公司有多处经营地,那么收购方可以预估不同经营地之间应该会发生员工、客户等数据的传输,其需考察该传输是否采取了周密的保护措施。如果在该经营地经营的是目标公司的子公司、关联公司,那么其与目标公司的数据传输、共享是否有具体的协议,其是否获得数据处理的合法依据,如与目标公司的数据委托处理协议,相关数据主体是否事先同意。


3. 公司是否在欧盟境有分部?如果公司在欧盟境内有分部,其与公司之间是否存在数据传输行为或者使用共同的IT资源?

如果目标公司在欧盟有分部,那么目标公司也受欧盟的GDPR管辖,就要依据GDPR的高要求来做到数据合规,比如是否有完整的数据处理活动纪录(GDPR 第30条),是否需要雇佣一名数据保护官(GDPR第37条,此外要注意目标公司欧洲分部所在的具体国家,因为GDPR第37条第4款第1句为一开放性条款,允许欧盟成员国在自己的数据保护法中另外设定公司聘用数据保护官的条件)等。此外,如果欧盟分部与目标公司共用IT资源,则肯定会产生数据的跨境传输问题,此传输是否满足GDPR第45至49条之一的条件。


4. 请说出公司员工的数目;如果公司有多处经营地,请依经营地列出员工的数目。请将员工数目依全职员工、兼职员工、实习生的类别列出。

关于公司员工数目的调查,可以获知公司规模大小。目标公司规模越大,就越需要考察其数据处理系统是否完善。如果公司有多处经营地,各经营地规模有大有小,在规模小的经营地,可能一名员工要身兼数职,对其处理个人数据的行为更要有规范的控制操作。


5. 请以关键词形式列出公司现在提供的所有产品或服务。

调查目标公司提供的所有产品或服务,目的在于确定该公司可能有的客户数据处理行为,并与高管访谈、公司记录所获得的结果进行匹配,这样有可能发现目标公司未提供或有意隐瞒的数据处理行为。


6. 公司是否处理敏感的个人数据,是否处理未成年人的个人数据?如有,请列出处理这类数据的合法性依据。

当目标公司涉及处理个人敏感信息、未成年人信息时,就必须获得数据主体的明示同意。这一要求的必要性自不待言。


7. 公司是否依自动化的决策处理员工、客户等数据主体的个人数据?

在网络时代,目标公司信息系统的自动化决策十分普遍,比如公司自己的招聘系统;如果目标公司为网络型B2C企业,提供自动下单服务,比如网上订票、订保险、网上小额贷款等。对这些自动化决策,要特别考察目标公司是否提供了具体的措施保障客户的权利与自由,比如GDPR第22条第3款要求保障数据主体对此自动化决策的干预权、表达自己观点的权利和对自己决定的撤销权,我国《个人信息保护规范》第7.10条要求公司为数据主体提供具体可行的申诉方法。


四、数据处理活动类调查清单



8. 请出示公司现在的数据处理活动记录。

通过目标公司的数据处理活动记录,收购方可以对该公司的各种数据处理活动有一个概况性的了解,并与收购方自己的调查、目标公司提供的商品或服务进行对比,发现其中不一致的地方。此外,通过此数据处理活动记录,收购方也可获知其对目标公司数据合规尽职调查的重点方向。


9. 如果公司的数据处理活动记录不全或没有该记录,请告知公司处理个人数据相关的部门与流程。

一般而言,目标公司应当保存有完整的数据处理活动记录。(参见GDPR第30条以及违反该条的第83条第4款第a项的罚则;目标公司要证明自己符合《个人信息保护规范》第10条的规定,最简洁的方式也是先保存自己的数据处理活动记录。)但收购方经常会遇到目标公司没有完整的或没有数据处理活动记录,此时,收购方应当与目标公司的IT部门协作,以重建目标公司的数据处理活动记录,因为相比一般的数据处理工作人员,IT部门对目标公司的系统、程序与数据连接有较好的掌握。


10. 对于公司内具体负责处理个人数据的员工,公司是如何确保该员工在其指示下进行数据处理活动的?

公司做为数据控制者,其员工只有在接受公司指示时才能处理个人数据(参见GDPR第27条);如果员工擅自处理个人数据,则说明该公司存在较高的数据泄露风险。在实践中,公司证明相关员工是受其指示才处理个人数据的常用方式便是约定员工的保密义务(参见GDPR第28条第3款第b项;《个人信息安全规范》第10.4条)。


11. 如果目标公司是一集团公司,且将数据处理活动委托给其一子公司或关联公司,请列出具体的数据委托处理协议或该公司对此数据传输的合法性基础。

在一个集团公司内部,各子公司、关联公司之间传输员工、客户数据是平常之事,集团公司作为数据控制者为了经营效率考虑,也可能将其所有的数据处理活动委托给一个特定的子公司(数据处理者),此时在集团公司与该子公司之间就成立数据委托处理关系。按相关规定,数据控制者与数据处理者应当订立数据委托处理协议,明确规定数据处理者在控制者指示的目的与范围内处理数据,采取必要的技术和组织措施等保护个人数据,承担保密义务,保障数据主体的权利等(参见GDPR第28条第1、3款;《个人信息安全规范》第8.1条a、 c项)。此外,数据控制者与数据处理者还应制作相应的数据处理活动记录(参见GDPR第30条第1、2款;《个人信息安全规范》第8.1条第e项)。


12. 公司是否有自己的数据保护管理系统,是否有效使用该系统?

如果公司有且正在使用数据保护管理系统,则是对其数据合规的初步证据。


13. 如果目标公司委托第三方进行数据处理活动,请列出各数据处理者及其数据委托处理协议的名单。如果此名单是不完全的或没有,请目标公司明确告知各实际的委托处理数据的第三方。

当公司委托第三方进行个人数据处理活动时,两者便形成数据控制者与处理者的关系。收购方明确获知各处理者名单及数据处理协议的意义,见问题11.评论中的相关论述。


14. 请列出详细的证据,以证明数据处理者的委托处理数据活动是合法的,包括详细描述该处理者的数据处理过程,其采取的技术与组织措施。

虽然存在着数据委托处理关系以及完备的数据处理协议,但此举并不能保证数据处理活动的合规。因此,需要由公司、委托人提供证据来证明相关的数据保护措施是有效的,比如向收购方提供其已进行的数据安全评估的相关材料、自己公司的数据保护纲领等(参见GDPR第28条第2款第h项、第32条第1款第d项;《个人信息安全规范》第8.1条第b、d项)。


15. 公司是否获得数据保护类的资质认证?

各种数据保护类的资质认证是目标公司数据合规的有力证据。须注意的是,随着GDPR的生效,各种资质认证公司纷纷设立,但法律或监管机关并没有明确认可哪类资质认证;换言之,资质认证是目标公司数据合规的有力证据,但并不能完全证明合规,因此,相关的调查仍然是必要的。


五、数据保护结构类调查清单



16. 公司是否聘用了数据保护官(DPO)?

数据保护官的职位被世人广泛知道,当归功于GDPR。依GDPR第37条第1款第b、c项,当企业的核心业务是数据处理,且依数据处理的种类、范围和/或目的需常规性地和系统性地监控数据主体时,或数据处理的种类涉及个人敏感数据时,企业有义务聘用数据保护官。数据保护官的职责依GDPR第39条第1款,包括为企业的数据处理活动提供培训和建议,监控企业的数据处理活动是否合规,为企业的数据保护影响评估提供建议并监控该评估的实施。因此,当目标公司聘用数据保护官时,收购方可与数据保护官联系。虽然数据保护官没有义务向收购方提供任何信息,但基于其职位的独立性(目标公司无权向其发出任何指示),一旦其愿意提供目标公司数据处理方面的信息,该信息的客观度与真实性很大,有利于收购方衡量目标公司的数据合规状况。我国《个人信息安全规范》第10.1条第b项指明企业应当任命一名个人信息保护负责人,但从该条第d项对个人信息保护负责人的职责规定来看,该负责人除了培训、咨询职责之外,还负责决定、组织、实施个人信息安全工作,更接近于首席隐私官(Chief Privacy Officer)的功能;换言之,该负责人职位不是独立的,其行为会受目标公司的指示,因此,收购方对其进行访谈调查时,要注意衡量其提供信息的真实度。


17. 如果公司没有聘用数据保护官,请说明未雇佣的原因;如果聘用了,请告知数据保护官的联系方式及其相关资质,并说明公司如何保证该数据保护官能够获悉公司的所有数据处理活动。

当目标公司依其业务应当聘用数据保护官、但未聘用时,这说明目标公司不希望其数据处理活动被中立的数据保护官知悉,这是否就暗示着其数据处理不是那么合规?遇此情形,收购方应要求目标公司明确告知未聘用数据保护官的原因。而如果目标公司聘用了数据保护官,但隐瞒向其提供各种更新的信息,这是否也暗示其数据处理活动有违规之举?因此,收购方应要求目标公司提供详细说明,其是如何保障数据保护官获得公司数据处理活动的各种变化的,并最好能与数据保护官核实。


18. 公司在进行每项数据处理行为之前,是否有常态措施以确保其计划中的数据处理行为是合规的?公司是否定期进行数据保护影响评估?并请详述该评估的详细流程。

公司对每项数据处理活动的事前评估与影响评估制度,是其数据合规的证据之一。但对收购方来讲,其需要考察事前评估和影响评估的具体实施流程、各种文档,以衡量事前评估和影响评估的真实度。


19. 公司是如何履行其对数据主体的信息义务的?

关于信息权事项,我们建议目标公司最好在其数据处理活动记录中就详细描述其如何履行对数据主体的信息义务的;而收购方也可依GDPR第13条第1、2款或《个人信息安全规范》第5.6条第a项所列的事项,一一考察目标公司的实行情况。


20. 公司是否有设计隐私保护(privacy-by-design)和默认隐私保护(privacy-by-default)措施,如果有,这些措施是如何运行的?

设计隐私保护和默认隐私保护是指,数据控制者在处理个人数据时,应当考虑到技术和组织措施对数据最小化原则和数据保护的支持,并依其成本在确定数据处理目的时采取相应的技术和组织措施;在实施数据处理行为时,依其成本和技术进展更新技术和组织措施(参见GDPR第25条及序言第78条)。目标公司采纳并实施了设计隐私保护和默认隐私保护概念,是表明其数据合规的一个方面;收购方则应具体考察目标公司是如何实施这两个概念的。


21. 公司是否有针对员工数据处理的职责机制?当员工职位调动时,其会获得和失去哪些获取数据的权利?公司数据保护的组织与技术措施是否是可分的?如果员工利用这些措施,其具体获得哪些保护措施?

员工数据处理的职责机制是指,负责数据处理的员工依其职位与职责,各自享有不同的访问数据权利(参见《个人信息安全规范》第7.1条第b、c、d、e项)。如果目标公司使用了IT系统,其应当利用此IT系统为负责数据处理的员工按其职位设置不同的数据获取权限。而对个人数据被公司处理的员工来讲,应确定其获得了哪些具体的数据保护技术或组织措施。


22. 公司是否有处理员工辞职的标准流程?对员工因私使用公司的互联网、电子邮箱、办公电话及其他办公设施,公司是否有具体的章程?公司是否有对员工违反章程行为的控制机制?

在员工辞职时,尤其是负责数据处理的员工辞职时,一个标准流程应当包括数据存贮工具(如智能手机、笔记本等)的归还,辞职员工私人工具上存贮工作类信息的删除(如电子邮件、文档等),门禁的撤回,数据向继任者的移交,电子邮箱的注销,可能还包括工作手机号的注销,向外公布辞职信息等。员工因私使用工作手机、电脑时,必然会在工作手机、电脑上留下个人数据,这对公司带来巨大的挑战:当个人数据与工作数据混在一起时,公司有权一起删除吗?当个人数据发生泄露时,公司要承担责任吗?因此,应对此事宜的最佳方式是制订具体的公司操作规章,并严格执行。


23. 公司是否有明确的流程以应对数据主体的访问权、可携权、纠正权、擦除权和数据处理限制权?如果有,请详细描述此流程。如果数据主体的个人数据被公开,公司是否有完整的程序来确保数据主体行使遗忘权?

关于目标公司对数据主体的这些权利的应对,收购方调查的重点在于,如果数据主体提出权利要求,该要求能够迅速地转达给具体负责的工作人员,并且公司有标准的操作流程来实现数据主体的这些权利。对于数据主体遗忘权的行使,目标公司还应当说明其保障数据主体该项权利的具体技术措施,并说明为什么放弃其他技术措施的原因。


24. 公司是否有合理的利益来抗辩数据主体的数据处理撤回权?

对于数据主体的撤回权(参见GDPR第7条第3款,《个人信息安全规范》第7.7条第a项),如果目标公司处理数据是基于同意而为,那么其无对抗数据主体行使撤回权的可能;如果目标公司是基于合理利益来处理数据,其可以此理由对抗数据主体的撤回权,在此种情况下,收购方应审查目标公司的合理利益是否必要。


25. 公司如何确保其遵守了数据的归档与删除期限?

收购方应要求目标公司提供数据归档和删除的相关证据,以此来侧面调查目标公司在应对数据主体的删除权、纠正权、撤回权时是否合规。


26. 公司是否有明确的措施来应对违反数据保护的情形?

在发生数据违规情形时,GDPR规定了数据控制者的72小时内报告制度;我国《网络安全法》第42条第2款第2句规定了,在发生或者可能发生信息泄露、毁损、丢失的情况时,网络经营者应当按照规定及时告知用户并向有关主管部门报告,《个人信息安全规范》第9.1条第c项规定的具体报告方式则可供参考。收购方应考察目标公司过去5年内是否有数据违规或数据安全事件,并是否保存有此事件的完整记录。


27. 公司是否有定期的对员工进行数据保护培训?是否有具体的培训计划?

要保障公司各种数据保护规章制度的运行,需要对员工进行定期培训。此培训任务由数据保护官或个人信息安全负责人承担。收购方可询问或查看培训记录,来了解相关情况。


六、公司IT系统类调查清单



28. 请列出公司进行个人数据处理的IT设施和IT系统。如果有不在前述设施和系统的数据处理行为,请列出此数据处理行为的各经营地及其主要任务。IT系统是否进行定期的安全审查?如果有,请列出各安全审查报告。

收购方获取目标公司的IT设施和IT系统概况,是后面事项考察的基础。公司一旦使用IT系统来管理各种个人数据,IT系统的安全性很大程度上决定了公司数据合规的程度。因此,公司的IT系统应当定期进行安全审查;收购方应当通过这些安全审查报告来评估自己对IT系统安全审查的重点方向。


29. 企业是否安装有中心企业级软件(ERP管理系统)?如果有,该软件是由公司自己,还是第三方服务商运营(比如采取SaaS模式运营)?

如果目标公司装有企业资源计划(ERP)系统,比如SAP、Oracle公司提供的ERP系统,收购方应当仔细考察各自系统在数据保护方面措施的功能与不足。当然,这一任务仅靠律师是完成不了的,它需要律师与技术人员的有效沟通与合作。此外,还应明确该ERP系统是自己运营,还是交由专门第三方服务商运营的;如果是交由第三方服务商运营的,则目标公司与第三方服务商之间成立数据委托处理关系,要考察问题11.与14.的评论。


30. 是否能从外部访问公司的单个或全部网络系统(比如office软件、电子邮件访问或远程服务)?请列出哪些用户群能访问哪些系统,以及是如何确保这类访问的?

如果目标公司员工能以远程访问的方式访问公司的某个或某些IT系统,那么目标公司就应确保此访问方式是加密的。一般的加密方式是采取两层认证方式,即在输入账号与密码外再加上另外一项独立的安全措施(比如采取token认证)。此外,目标公司应当确保,员工以远程访问方式登入公司IT系统所获得的权限不比网络内登陆所获得的权限要高。


31. 公司员工能在客户机、工作笔记本电脑或平板电脑上自行安装软件吗?员工办公用的移动存贮是否有加密措施?

如果目标公司员工对其使用的工作电脑获得了管理者权限,这就意味着他/她可以任意安装软件,包括含病毒、木马程序的软件。这对目标公司是较大的安全漏洞,因为第三方可能任意访问、非法使用数据,而收购方也有合理理由怀疑目标公司是否能够保障数据安全。此外,各种移动设备存在被偷的风险,而如果这些移动设备没有加密,第三方就很容易获取这些移动设备中的数据,因此,应当对这些移动设备采取加密措施。


32. 公司是否有移动设备管理制度(MDM, Mobile Device Management)?如果有,请列举。

目标公司通过建立一个中心化的移动设备管理(MDM)制度,能使管理人员能够在必要时锁定设备,并对在移动设备上安装应用设定限制(比如确定安装应用的白名单与黑名单)。目标公司应当向收购方说明,其MDM软件是安装在企业里,还是由云服务商提供(比如以SaaS模式提供),如果是后者则存在数据委托处理的情形。


33. 公司或公司员工、部门是否使用云存贮服务,比如Dropbox,Microsoft OneDrive, Google Drive?公司是否使用云服务,如Alibaba Cloud, Data Analytics?

因云存贮服务的高效便捷,许多公司甚至员工个人都会购买云存贮服务,以作数据存贮、交流使用。许多公司还会购买由云服务商提供的应用服务。作为云服务商的企业级用户,公司与云服务商之间成立数据委托处理关系,而此时单单的一纸数据委托处理协议是不够的,云服务商还应采取一定的数据保护措施,收购方则需调查此数据委托处理状况(参见问题11.与14.的评论)。此外,收购方还应向目标公司确认,其使用云服务是否会涉及数据的跨境传输。


更多阅读:

《公司并购的数据保护指南(一):尽职调查阶段的数据合规操作》


作者介绍:



胡峰  律师助理

专注领域:复杂民商事争议解决、跨境投资和并购、数据保护和反垄断法(经济分析)


毕业于中南财经政法大学、山东大学和德国柏林洪堡大学,获得德国法学博士学位。曾在德国一家律所兼职从事法律咨询工作,为中国企业或个人在德国成立公司、股权收购和投资不动产提供法律服务,现为本所国际业务团队律师助理。工作语言为中文、德文和英文。



邓平 律师助理

专注领域:国际商事仲裁、跨境投资与并购、跨国企业合规和数据保护。


毕业于荷兰鹿特丹伊拉斯姆斯大学,获得国际商法硕士。曾在国内知名律所和欧洲律所实习,协助为中国及外国客户提供法律咨询服务;在加入上海邦信阳中建中汇律师事务所后,参与为中外知名企业提供合规、商事仲裁和诉讼等法律服务。工作语言为中文和英文。



上海邦信阳中建中汇律师事务所国际业务团队

上海邦信阳中建中汇国际业务团队由法学博士徐国建律师、袁颖律师领衔,团队成员均毕业于海内外知名法律院校,多数律师拥有海外国际知名院校的法律硕士、博士学位,此外部分律师拥有美国、澳大利亚等国家的法律执业资格。本团队从上世纪90年代伊始便专注于涉外法律服务,团队的传统优势领域为国际商事仲裁、跨境投资和并购、数据与隐私保护、国际知识产权保护、企业合规与反不正当竞争。在数据与隐私保护领域,本团队拥有专门的数据保护项目组,能根据中国企业的组织结构、行业和技术特性,为中国企业定制合适的数据保护方案,提供优质的数据保护法律服务。

本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。】


相关新闻 MORE

2025-08-01

房地产投资及REIT基金

2025-08-01

2025 荣获 ALB CHINA 中国法律大奖最佳上海律师事务所提名

2025-08-01

公司调查/反腐败