胡峰 上海邦信阳中建中汇律师事务所 律师助理
王伟 上海邦信阳中建中汇律师事务所 合伙人律师
注:本文独家授权威科先行法律信息库发布, 未经许可, 不得转载。
公司并购一般分为股权收购(share deal)和资产收购 (asset deal),前指是指收购方收购目标公司的股权或股份,比如美的集团收购德国库卡公司94.55%的股份,后者是指收购方收购目标公司的某一或某一类部门,比如联想集团收购了IBM的个人电脑部门。
对收购方来讲,在尽职调查阶段,获得目标公司的员工、客户数据具有重大意义。员工数据,尤其是目标公司员工的平均薪资、年龄结构、学历与经验等,对收购方判断目标公司的人力资本状况至关重要;而目标公司高管的个人数据,对收购方判断收购风险至关重要,比如目标公司高管的聘任协议里是否有控制权改变、黄金降落伞等条款。客户数据,尤其是目标公司的大客户、经常交易客户的构成、交易标的种类与金额等信息,对收购方判断目标公司的经营可持续性、盈利前景至关重要。相应地,目标公司提供这类数据,一方面显示了其诚意,另一方面也能显著降低双方的信息成本,有效推进并购的谈判协商。
在公司并购的前期协商阶段,双方都会签署一个覆盖员工与客户数据的保密协议,禁止收购方向他人透露或不当使用此类数据。但是,此保密协议只能覆盖双方彼此间的保密义务,很少涉及到对目标公司员工与客户(涉及自然人时)个人数据的保护义务。
此时,目标公司向收购方提供员工与客户数据,构成数据传输行为,是一种数据处理行为,这种数据处理行为是否应当事前取得员工、客户的同意?是否应当事后告知员工与客户?而一旦目标公司、收购方违反了数据保护义务,侵害了数据主体权利,不仅要承担侵权责任,如果遇到适用欧盟《通用数据保护条例》(GDPR)的情形,很可能被欧盟的数据监管部门处以巨额罚款(2000万欧元或全球营收的4%,两者取其高)。
而在尽职调查阶段之后的并购协议签订、交割等各个阶段,都会对涉及相关数据主体的数据处理行为,比如目标公司的债权人、债务人信息保护问题,目标公司向收购方的数据移交行为合法性问题,对于这些问题,目标公司与收购方的保密协议无能为力。
基于此,笔者将在本篇及以后的系列文章中,参考欧盟及我国的立法与实践,向读者讲述从公司并购的尽职调查阶段至交割后的数据保护操作要点。本篇将讨论公司并购的尽职调查阶段的数据保护操作。
在尽职调查阶段,如果目标公司想合法地向收购方传输员工个人数据,要么事先取得员工的明示同意(以下简称“明示同意”)(参见欧盟GDPR第6条第1款第a项,我国推荐国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)第5.3条、7.3条第c)项),要么具有其他的法定许可条件,尽职调查阶段的法定许可条件一般是为保护目标公司或第三方合理利益之必要(以下简称“合理利益”)(参见欧盟GDPR第6条第1款第f项;我国无直接立法规定,但可由我国《民法总则》第6、7、111条间接推导出来)。
在数据保护法里,明示同意和合理利益的条件属于数据处理的合法性基础,此两项合法性基础各有利弊,并且在实践中有不同的实现方式。
1. 以明示同意为基础的员工数据传输
在尽职调查阶段,员工的明示同意的具体操作包括:
(1)员工在与目标公司订立劳动合同时,员工明确表示同意目标公司为公司并购目的向收购方传输此数据;或者
(2)在劳动合同中没有关于此目的之约定,但是在尽职调查阶段,目标公司又分别获取了员工的明示同意。
在获取员工的明示同意时,要注意以下事项:
(1)要保证此明示同意的自愿性,目标公司不能以员工的明示同意为条件,来决定其是否与员工签订或终止劳动合同,否则此明示同意是无效的;
(2)要确保公司并购的数据传输目的被员工清楚地看到;
(3)要明确告知员工对此数据传输目的的撤回权。
在获取明示同意的操作中,最理想的是签订劳动合同时的员工明示同意,因为此时具体与目标公司协商的收购方还未确定(也无法确定),目标公司只需确定数据传输的接收者种类即可(参见欧盟GDPR第13条第1款第e项,《个人信息安全规范》第5.6条第a)4)项),通常只要写“数据传输的接收方为公司并购事宜的收购方”就足够了。这样既可以避免事后分别获取员工明示同意的麻烦,也可以保证并购交易谈判的保密性,后者显然符合目标公司与收购方的共同利益。
在数据保护法里,员工的明示同意是最为牢固的合法性基础,但是也存在如下缺陷:
(1)在实践中,公司基本很少在劳动合同里就公司收购谈判时的员工数据传输做出规定,因此只能在收购协商前在分别取得员工的明示同意。在目标公司规模较大时,目标公司为获得此明示同意的负担较重,且不利于并购交易的保密性。
(2)员工可以事后撤回此同意(参见欧盟GDPR第7条第3款,《个人信息安全规范》第7.7条第a)项),因为在尽职调查阶段,员工对此数据传输同意与否,不是其履行劳动合同的必要条件,所以员工当然事后有权撤回此同意,但这明显不利于并购协商的连续性。
基于以上考虑,我们认为,除非目标公司在与签订劳动合同时已经获取为实现并购目的的员工明示同意,否则,以员工明示同意的数据传输方式很少具有实践意义。
2. 以合理利益为基础的员工数据传输
此项合法性基础具体指,目标公司向收购方传输员工数据,是为保护目标公司或收购方之合理利益所必要的,且此合理利益在重要性上超越了员工基于其个人数据的合理利益。在此,目标公司或收购方之合理利益是公司并购之自由与利益。这一合法性基础的优点在于,目标公司向收购方传输员工数据不需要取得员工的同意,目标公司对数据传输与否有完全的自主权,且有利于保障收购协商的保密性。因此,我们建议,目标公司采取此合法基础传输员工数据。
但是,以合理利益为基础的员工数据传输,对目标公司传输员工数据的行为有较高的要求;依一般的数据保护立法,有以下两项要求:
(1)目标公司传输员工数据的合理利益要求
它要求目标公司在向收购方传输员工个人数据时,既要确保其传输的数据种类对并购来讲是必要的,没有其他可替代的措施,也要保证此数据传输不至于严重干涉到员工的数据权利。在实践当中,目标公司要达到此要求,需要做到几下几点:
a.目标公司应当建立员工数据传输的梯度模式,即以并购协商的进度与必要性来确定数据传输的方式、种类。在尽职调查阶段初期,匿名化的操作方式一般可满足收购方的数据需求,具体方式为在文件上涂黑个人信息,或只提供抽象-统计的数据(比如员工数量、各种类型员工的平均薪资、年龄结构、待退休人员的数量);但在尽职调查阶段末期,尤其是即将订立并购协议时,匿名化的操作就不足够了。
b.依目标公司规模的不同,目标公司传输员工数据种类也应不同:对于一家只雇佣了少量员工的目标公司来讲,人力资本是收购方判断其价值的重要来源,因此,收购方与目标公司有合理利益知道更具体的员工数据,匿名化的措施就不是必要的。而对于大规模的公司,只需要提供匿名化的或统计类的数据即可。
c.目标公司的高管、专业人士、重要部门负责人的个人数据,对收购方判断收购风险至关重要,因此,目标公司可例外性地向收购方传输这些人员的个人数据。
d.当涉及个人敏感数据时,必须取得员工、客户的明示同意。
(2) 目标公司传输员工数据的目的一致性要求
目标公司向收购方传输员工数据,此举毕竟不属于目标公司收集员工数据时的处理目的,因此,依照规定(参见欧盟GDPR第6条第4款,《个人信息安全规范》第7.3条第c)项),只有当此数据传输目的与数据收集时的处理目的相一致时,才不需要取得数据主体另外的明示同意。
关于此目的一致性的衡量标准,欧盟的GDPR第6条第4款提供了5项衡量标准:
a.原目的与变化后目的的关联性;
b.数据主体与控制者之间的关系;
c.被处理数据的种类(尤其是是否涉及个人敏感数据);
d.继续处理的可预见的可能后果;
e.是否有合理的保障措施,比如假名化或加密措施。
在目标公司决定向收购方传输员工数据时,上述5项衡量标准的前3项已经确定下来,所以目标公司应当在后2项衡量标准上下功夫,即数据传输时采取加密措施,并约定在收购谈判失败时收购方的数据保密与删除义务。
对于目标公司来讲,只有自然人客户的数据传输涉及到数据保护的问题;对于非自然人客户,比如公司客户,一般不产生数据保护问题,除非公司客户向目标公司提供了具体联系人的个人数据,比如姓名、地址、邮箱等,对此个人数据,要适用数据保护规定。
与员工数据传输非常类似,目标公司向收购方传输客户数据也有两项合法性基础,即客户的明示同意和目标公司对传输客户数据的合理利益,其具体操作方式也与传输员工数据非常类似。
1. 以明示同意为基础的客户数据传输
在尽职调查阶段,客户的明示同意的具体操作包括:
(1)客户在与目标公司订立服务协议时,在服务协议里,或者在一般交易条款里,或者在目标公司的隐私保护声明里,目标公司明确表达其为公司并购向收购方传输此数据的目的,以取得客户的明示同意;或者
(2)在前述服务协议、一般交易条款、隐私保护声明里无此目的之约定,但是在并购协商阶段,目标公司又专门获取了客户的明示同意。
在获取客户的明示同意时,要注意以下事项:
(1)要保证此明示同意的自愿性,目标公司不能以客户的明示同意为条件,来决定其是否与客户签订或终止服务协议,否则此明示同意是无效的;
(2)要确保公司并购的数据传输目的被客户清楚地看到;
(3)要确保此明示同意确实属于客户的真实意思表示,如果目标公司是电子商务类企业,则推荐采取双层opt-in模式获取客户的明示同意;
(4)要明确告知客户对此数据传输目的的撤回权。
与获取员工明示同意一样,目标公司获取客户的明示同意,最理想的方式是在与客户订立服务协议就获取,也只需要在服务协议、一般交易条款或隐私保护声明中指出数据接收者的种类即可,即写明“数据传输的接收方为公司并购事宜的收购方”即可。
但获取客户的明示同意也有如下缺陷:
(1)很少有公司在服务协议、一般交易条款或隐私保护声明里写此目的;
(2)很多重要的客户本身都与目标公司订有保密协议,不允许目标公司透露其个人信息;
(3)客户的个人数据并不是其与目标公司订立服务协议的必要条件,因此,即使客户同意目标公司为并购事宜的数据传输目的,客户也可事后撤回此同意。
由此观之,除非目标公司在与客户订立服务协议时就已经取得客户的明示同意,否则,以客户明示同意为基础的客户数据传输几无实践意义。
2. 以合理利益为基础的客户数据传输
此项合法性基础指目标公司向收购方传输客户数据,是为保护目标公司或收购方之合理利益所必要的,且此合理利益在重要性上超越了客户基于其个人数据的合理利益。与员工数据传输一样,以合理利益为基础的客户数据传输不需要取得客户的同意,因此,也需要符合合理利益要求和目的一致性要求。
(1)目标公司传输客户数据的合理利益要求
该要求指目标公司为实现并购目的,没有传输客户数据之外的其他可替代措施,且传输客户数据不会严重侵犯客户的数据权利。与员工数据传输类似,为达到合理要求,目标公司在实践中要注意以下几点:
a.在尽职调查初期,目标公司只可向收购方传输匿名化的数据,或者传输统计类的数据,比如客户群依年龄段、消费或服务种类、金额等标准的统计数据。因为在并购初期,收购能否继续进行都无法确定,所以不能传输具有身份可识别性的客户数据,并且在并购初期,统计类的客户数据就能满足收购方的需求。
b.在尽职调查末期,尤其是并购协议即将签订时,而之前匿名化的客户数据对交易变得十分关键,此时,目标公司可例外地向收购方提供与重要客户订立的合同数据,一般为前十大客户。
c.对属于敏感的客户数据,必须取得客户的明示同意,尤其当目标公司是医疗、生物与保险行业的公司时。
(2)目标公司传输客户数据的目的一致性要求
在此,可以参照上节目标公司传输员工数据时的做法,即目标公司传输客户数据时采取加密措施,并约定在收购谈判失败时收购方的数据保密与删除义务。
在尽职调查阶段,目标公司将员工、客户的个人数据提供给收购方,增加了其数据被泄露或不当使用的风险;为有效降低此风险,保护员工、客户的数据,目标公司应当做到几下几点:
1.与收购方订立保密协议,明确将收购方查看员工、客户数据的目的限制在并购交易的目的内,以及具体描述查看的方式;
2.采取有效的技术和组织措施保护数据安全,实践当中的做法是专门设立一个独立的、虚拟的(电子化的)或实体化的数据室,只允许收购方的特定人员进入此数据室查看员工、客户数据,不准其复制或存贮数据;
3.限制收购方人员查看员工、客户数据,尤其是对收购方聘请的中立服务机构人员,如会计师、律师,要施加另外的限制;
4.与收购方明确约定,当并购交易失败时,收购方必须立即删除其知悉的员工、客户数据,并将删除的证据提供给目标公司;
5.如有可能,就以上4点与收购方约定合同罚金。
在尽职调查阶段,无论目标公司以员工、客户的明示同意为合法性基础,还是以保护目标公司或第三方的合理利益之必要为合法性基础,其向收购方传输员工、客户数据都应当遵守数据最小化要求(参见欧盟GDPR第5条第1款第c项,《个人信息安全规范》第4条第d项),即仅向收购方传输能保障收购谈判顺利的最小数据。在尽职调查阶段的数据传输实践中,目标公司应依具体情况对每一项数据传输行为进行如下审查:
1.一个匿名化的或假名化的数据传输是否已经足够;
2.只传输员工、客户的合同范本,或只传输被抽查的员工、客户数据是否足够;
3.只传输对收购方的尽职调查必要的数据,且数据主体对此数据的保护利益较小,比如传输员工、客户的姓名、地址、出生年月;相反,传输其电话号码、电子邮箱、银行账户信息、客户的购买历史等都是不允许的。
数据主体的信息权是指,数据控制者在收集数据主体的个人数据时,应当主动向数据主体告知其收集数据的种类、处理目的、存贮时间、接收者、数据主体权利等信息 (具体内容可参见欧盟GDPR第13、14条,我国《个人信息安全规范》第5.6条a)项);数据主体的信息权本来只在数据控制者收集其个人数据时才享有,但欧盟GDPR第13条第3款规定了,当数据控制者以其他目的事后处理个人数据时,数据主体同样享有信息权。数据主体的访问权是指,数据控制者应数据主体的要求,向其提供其数据被处理的种类、方式、接收者等信息(具体内容可参见欧盟GDPR第15条,我国《个人信息安全规范》第7.4条)。
在公司并购的尽职调查阶段,即使目标公司以合理利益为由,向收购方传输了员工、客户数据,但因员工、客户享有数据信息权和访问权,其依然获知了收购谈判的事宜,尤其是知道了收购方信息,这对收购谈判的保密是十分不利的。比如,当收购方或目标公司是一上市公司时,员工、客户利用此收购谈判讯息进行股票交易,会大大影响收购方与目标公司双方的利益。
要应对员工、客户的数据信息权与访问权,就必须找到合法理由限制其数据信息权与访问权。欧盟GDPR第23条规定了若干情形,在这些情形下,欧盟成员国可通过立法限制数据主体的信息权与访问权。针对公司并购,可能适用的情形包括:基于保护其他数据主体或他人的权利与自由之需要;为维护公共安全和公共秩序之需要;相应地,在欧盟各国的数据保护立法中,以德国为例,德国新《数据保护法》第32条第1款规定了为保护他人利益之必要,可排除数据主体的信息权;第29条规定了为了数据控制者的保密利益需要,可排除数据主体的访问权。
同样地,我国《个人信息安全规范》虽然只是国家推荐标准,但其中的规定值得参考;其中第7.11条d)项的第2)、5)、6)目分别规定了,数据控制者可以基于重大公共利益、保护其他数据主体或其他个人或组织的利益、保护商业秘密,排除数据主体的访问权。
基于以上分析,我们建议,目标公司拒绝员工、客户的数据信息权与访问权时,应注意以下几点:
1.满足员工、客户不影响并购交易目的的数据信息权与访问权要求,即除了不告知将其数据传输给收购方之外,对其数据处理的其他事项应当详细告知;
2.依据现有规定,就员工、客户就并购交易数据传输行使信息权或访问权,详细论证拒绝的理由,以备员工、客户之质疑。
在公司并购的尽职调查阶段,收购方能否从目标公司处了解到其需要的员工、客户数据,对收购方判断交易风险、交易谈判能否顺利进行具有重要意义;目标公司为保证尽职调查的顺利进行而向收购方提供员工、客户数据时,要确保自己做到数据保护合规。
作者介绍:
专注领域:国际商事仲裁、跨境投资和并购、跨国企业合规、复杂商事合同设计、消费者权益和个人信息保护。
华东政法大学法律硕士,本所国际业务团队合伙人,长期为国际知名企业提供企业并购、合规、商事合同设计和信息保护等法律服务,并作为主办律师为多个外商投资企业设立和并购项目提供全程法律服务。工作语言为中文、英文。
专注领域:复杂民商事争议解决、跨境投资和并购、数据保护和反垄断法(经济分析)。
毕业于中南财经政法大学、山东大学和德国柏林洪堡大学,获得德国法学博士学位。曾在德国一家律所兼职从事法律咨询工作,为中国企业或个人在德国成立公司、股权收购和投资不动产提供法律服务,现为本所国际业务团队律师助理。工作语言为中文、德文和英文。
上海邦信阳中建中汇国际业务团队由法学博士徐国建律师、袁颖律师领衔,团队成员均毕业于海内外知名法律院校,多数律师拥有海外国际知名院校的法律硕士、博士学位,此外部分律师拥有美国、澳大利亚等国家的法律执业资格。本团队从上世纪90年代伊始便专注于涉外法律服务,团队的传统优势领域为国际商事仲裁、跨境投资和并购、数据与隐私保护、国际知识产权保护、企业合规与反不正当竞争。在数据与隐私保护领域,本团队拥有专门的数据保护项目组,能根据中国企业的组织结构、行业和技术特性,为中国企业定制合适的数据保护方案,提供优质的数据保护法律服务。
【本文仅作为交流学习之目的使用,文中观点不代表本所立场,亦非作者的正式法律意见。】
