举足轻重:并购交易中的数据考量与合规(一)

来源:宁人研究院

文章摘要
数据作为“新时代的石油”,一方面具有愈发珍贵的价值,另一方面也受到愈发严格的合规监管。

数据作为“新时代的石油”,一方面具有愈发珍贵的价值,另一方面也受到愈发严格的合规监管。在并购交易中,交易各方应充分了解不同交易形式给并购交易带来的不同合规要求,考量并购交易的数据合规风险,并确定恰当的交易结构,以更好地实现并购交易的目标,规避数据相关风险。
一、形式触发:不同交易形式不同合规要求
公司并购从形式上可以分为两类,分别是“并”与“购”,也即合并(Merger)与收购(Acquisition)。其中,收购依据又可以根据标的不同分为资产收购(Asset Deal)与股权收购(Share Deal)。不同的企业结构、并购需求对应着不同的交易形式,也将产生不同的合规要求。
(一)资产收购
资产收购是指取得目标企业的全部或部分资产的所有权,包括但不限于生产设备、不动产、债权、知识产权等[1]。根据收购资产的规模占收购对象资产的比重,可以将资产收购分为部分资产收购与全部资产收购。
资产收购模式下,如果收购的资产包括数据,那么业务运营者、数据处理者都将由卖方变更为买方,这将产生两个最主要的数据合规要点:
第一是数据转移,尤其是数据中的个人信息转移带来的合规要求。一方面,《个人信息保护法》和《信息安全技术-个人信息安全规范》均规定,个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息时,应告知个人接收方的名称或者姓名和联系方式等相关情况。接收方变更处理目的、处理方式的,还要重新取得同意。《工业和信息化领域数据安全管理办法(试行)(公开征求意见稿)》也规定,工业和信息化领域数据处理者因兼并、重组、破产等原因需要转移数据的,要明确数据转移方案,并通过电话、短信、邮件、公告等方式通知受影响用户。
另一方面,关键信息基础设施[2]相关的数据、重要数据以及其他可能影响国家安全或公共利益的数据,在转移时依据《网络安全审查办法》第二条的原则性规定也可能要接受网络安全审查。《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例》”)第32条规定,共享、交易重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意;第33条规定,自行或者委托数据安全服务机构进行安全评估,如果评估认为可能危害国家安全、经济发展和公共利益,则不得共享、交易重要数据。将该等数据向境外提供时,还要依据《数据出境安全评估办法》进行数据出境安全评估。
第二是运营主体变更导致资质需要变更或重新获取。例如《互联网新闻信息服务许可管理实施细则》第12条规定:互联网新闻信息服务提供者变更股权结构,或者进行上市、合并、分立,应当自变更之日起七个工作日内,向原许可机关申请办理变更手续。其他常见的互联网业务资质还包括:ICP/EDI许可证、网络文化经营许可证、互联网出版许可证、互联网药品信息服务资格证、网络视听许可证。
全部资产收购与部分资产收购的数据合规风险差异并不大,但是在全部资产收购中,较大的资产数量则可能意味着更多的数据处理场景、更加复杂的数据种类、更大的数据量,给数据合规尽职调查提出更多挑战。
(二)股权收购
股权收购是指买方从卖方处收购目标公司的股权或控制权(如投票权或一票否决权),实现对目标公司的控制。[3]根据获取目标公司股权的多少,可将股权收购分为相对控股/参股收购与绝对控股收购。在股权收购中,如果目标公司向买方转移数据或双方实现数据融合,则同样要按照数据转移的要求履行重要数据的报批、评估义务以及个人信息的通知直至征求同意的义务。此外,股权收购也有其独特的合规注意事项。
第一,股权收购的买方需要概括承受目标公司此前的一切债务,接受目标公司因先前行为导致的刑事或行政处罚。因此,股权收购的买方不但需要关注交割时目标公司的数据合规状况,还要注意目标公司在交易前是否采取了持续的数据合规措施,以免在交易完成后遭受“池鱼之殃”。
第二,股权收购本身可能需要进行行政审批或报告。《数安条例》第13条规定,汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的,需要申报网络安全审查。虽然该规定尚未正式出台,但并购交易的参与者仍可能因《网络安全审查办法》第2条的原则性规定被发起网络安全审查。此外,《关键信息基础设施安全保护条例》第21条规定,关键信息基础设施运营者发生合并、重组、分立等情况的,应当及时报告保护工作部门;《数安条例》第14条规定,数据处理者发生此类情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告。并购交易各方应根据目标公司的具体情况,判断应否申报审查或报告。与此同时,《经营者集中审查规定(征求意见稿)》第33条也明确在进行经营者集中审查时,可以考虑经营者通过控制数据影响市场进入的情况,这意味着我国反垄断机关已将数据垄断纳入视线。即使经营者集中未达到申报的法定标准,国务院反垄断执法机构仍然可能认为有证据证明其具有或者可能具有排除、限制竞争效果的,并要求经营者申报。
第三,如目标公司涉及数据出境,则已申报的数据出境安全评估需要重新申报。《数据出境安全评估办法》第十四条规定,数据处理者或者境外接收方实际控制权发生变化的,数据处理者应当重新申报评估。标的公司如已进行数据出境安全评估且在有效期内,并购交易的买方在交易完成后应注意重新申报数据出境安全评估。
第四,在股权收购后,买方经常会对目标公司进行管理层甚至管理体制的变更。此时应注意更新此前制定的网络安全、数据安全以及个人信息保护相关制度,及时与公司最新的管理和人事体制相衔接,确保数据合规制度管理能够落到实处。
(三)公司合并
1.吸收合并
《公司法》第一百七十二条规定,公司合并可以采取吸收合并或者新设合并。其中,一个公司吸收其他公司为吸收合并,被吸收的公司解散。无论是正向吸收合并(买方吸收目标公司)还是反向吸收合并(目标公司吸收买方),此时都会导致被吸收方解散,其业务运营者、数据处理者变更为吸收方,也就会产生相应的合规风险和要求,这与资产收购存在相通之处,在此不再赘述。
2.新设合并
《公司法》第一百七十二条规定,两个以上公司合并设立一个新的公司为新设合并,合并各方解散。在新设合并中,交易的买方和目标公司均告解散,双方此前获取的资质都将需要重新获取,因此新设合并在对于资质要求较高的行业中是不常见的。在数据合规的角度,新设合并中同样涉及业务运营者、数据处理者变更的问题。
不管是吸收合并,还是新设合并,被合并的一方都会涉及数据转移或者数据销毁的问题。无论采用何种方式处理旧有数据,吸收方或者新设方均应继续履行相关法定义务和约定义务。
二、风险提示:并购交易引发的数据合规风险
(一)业务模式与数据的合规关系
1.主营数据业务模式下的合规关系
主营数据业务模式,是指企业经营的主要产品就是数据或数据生产的产品或服务,例如向企业提供数据的数据供应商和征信业务公司等。该种业务模式下的企业数据合规要求最高,因为其业务生命周期与数据处理生命周期高度重合,具有处理量大、处理频次高、频繁进行数据交流等特点。该种业务模式尤其要注意的两个合规要点是:
第一,在收集环节,企业数据来源的合规性风险较强。如果是直接从用户处收集,则存在未能依法告知用户、未能依法获取同意等风险。如果是采用爬虫等技术手段收集,则存在破坏信息系统涉嫌犯罪、收集竞争对手信息涉嫌不正当竞争等风险。如果是从上游的数据供应商间接收集,则存在数据来源不合规风险传导的可能性。
第二,在对外提供环节,企业向第三方提供数据也可能存在较强的合规风险。企业将个人信息提供给第三方,未经个人同意,则违反《个人信息保护法》的规定,尤其是此种为牟取利益而进行的提供可能构成侵犯公民个人信息罪,带来刑事风险。
2.主营业务数据驱动型模式下的合规关系
主营业务数据驱动型模式,是指经营实体业务,并将数据作为驱动实体业务发展的重要生产要素,例如腾讯、淘宝、京东、滴滴、美团等大部分互联网企业。此种业务模式下,数据合规尽职调查主要关注两个部分,第一是业务侧,第二是数据侧。
在业务侧,主要关注企业的经营行为是否符合互联网相关法律法规的规定。例如,开展法律法规要求进行行政许可、行政备案的业务、使用算法工具,是否依法进行了许可或备案;是否发布违法违规的内容,是否对平台内违法违规的内容进行管理;企业提供的产品或服务是否符合相关的质量规范或强制性标准(如有)。
在数据侧,主要关注企业的数据处理情况是否符合法律法规的规定。一方面仍然要按照数据处理生命周期把握企业从收集到删除的合规性;另一方面,此类企业数据处理活动的特点是处理的数据量极大,并且时常涉及敏感个人信息、重要数据,要着重把握数据的安全性,避免产生数据泄露等安全事件。
3.主营业务数据辅助型模式下的合规关系
主营业务数据辅助型模式,是指主要经营实体业务,数据仅用于辅助实体业务,例如传统行业的制造业企业、零售企业等。此种业务模式下,对企业的数据合规尽职调查应围绕其生产经营涉及的重要数据、个人信息等数据,按照处理场景分别展开。
(二)并购目标公司数据不合规风险
在并购中,如目标公司数据不合规,将给双方带来各类风险。
1.经济风险
经济风险是指交易各方受到经济损失的风险,可细分为以下四种:
第一是交易不成功的风险。根据《数安条例》,部分并购交易可能需要进行网络安全审查(详情见下文);根据《反垄断法》及相关配套规定,国务院反垄断执法机构亦可能要求企业申报经营者集中审查。如未能通过前述审查,则交易将无法开展。
第二是交易目的无法实现的风险。当目标公司因数据不合规被处以吊销行政许可、吊销营业执照等处罚时,目标公司将无法再开展业务,买方的交易目的亦将无法实现。
第三是价款受影响的风险。在交易合同有完备的价款调整机制或双方尚未就价款达成一致时,目标公司出现的数据合规问题可能导致价款下挫,影响买卖双方的收益。
第四是舆情风险和股价下跌的风险。如果双方因数据合规问题未能成交,或成交后爆出数据合规问题,则可能导致交易相关方的商誉下降,涉及上市公司的还可能造成股价下跌。
2.法律风险
法律风险是指因数据不合规产生的刑事、行政、民事等三种风险:
第一,在并购交易中不注重数据合规,首先存在刑事风险。在标的公司业务的合规性方面,我国《刑法》第285286287条规定了非法侵入计算机信息系统罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪、破坏计算机信息系统罪、非法利用信息网络罪和帮助信息网络犯罪活动罪;在网络安全义务方面,《刑法》第286条规定了拒不履行信息网络安全管理义务罪;在个人信息保护方面,《刑法》第253条规定了侵犯公民个人信息罪。并购交易的买方及标的公司如不注意数据合规,则可能因涉嫌上述罪名,承担刑事责任。
第二,行政责任风险是并购交易中最常见的数据合规风险之一。随着《网络安全法》《数据安全法》《个人信息保护法》及其配套法律法规的逐渐出台,我国已逐渐建立了数据合规的规范体系,对于常见的违法行为设立了行政处罚,买卖双方和标的公司均可能因并购交易前和并购交易中的数据不合规行为受到行政处罚。尤其是上市公司,如在并购交易中的未能聘请第三方中介机构进行充分的尽职调查并完善披露风险,则涉嫌违反《上市公司重大资产重组管理办法》第17条的规定,上市公司及其高管、中介机构均可能受到行政处罚。
第三,并购交易中不注重数据合规,可能承担民事风险。交易参与人可能要对三类主体承担民事责任,第一是卖方可能因违反交易协议中的数据合规义务,或陈述与保证条款(Representations and Warranties)不真实而向买方承担违约责任;第二是目标公司或资产交易的买方可能因数据不合规侵犯第三方权利,向第三方承担侵权责任;第三是目标公司或资产交易的买方可能因处理个人信息不合规,被人民检察院、法律规定的消费者组织和由国家网信部门确定的组织提起公益诉讼,承担民事责任。
3.政治风险
政治风险是指并购交易存在的危害国家安全和公共利益的风险。当并购交易涉及外资时,就常常触发此类风险。例如,涉外买方并购境内关键信息基础设施,或并购涉及重要数据的,就存在涉外买方利用关键信息基础设施和重要数据危害国家安全的风险。再如,《人类遗传资源管理条例》规定利用含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料产生的数据等信息资料也属于人类遗传资源。如果在并购交易中违反该条例第七条规定向境外提供我国人类遗传资源,则存在遗传资源被外国利用的政治风险。
(三)并购交易与数据合规的案例
1.马斯克收购Twitter案
根据最新消息,亿万富翁埃隆·马斯克已经通知承诺帮助他收购Twitter的共同投资方,他打算最晚于当地时间28日完成这笔交易。[4]此前数个月,马斯克一直表示将放弃对Twitter的收购。马斯克的律师于2022年7月8日向Twitter发出了《终止函》,提出由于Twitter未能依据协议约定,按照马斯克的要求提供信息,违反了双方间的合并协议,因此主张终止收购。[5]2022年8月,马斯克再次提交通知,引用了一份由推特前安全主管发布的备忘录,该备忘录指控推特滥用用户数据,缺乏对网站核心系统的控制。[6]尽管该交易一波三折的命运似乎已落下帷幕,但这场长达数月的交易仍然不断提示我们数据合规在并购交易中的重要性。
2.人人网并购案例
2018年11月14日,人人公司宣布以2000万美元现金对价将人人网社交平台业务相关资产出售给北京多牛互动传媒股份有限公司。北京多牛互动传媒股份有限公司在接受媒体采访时表示,公司将承担起人人网的运营责任,一如既往地高度重视和妥善处理人人网用户数据的保密和信息安全管理工作[7]。
3.美团并购摩拜案例
2019年1月,美团全资收购摩拜并将摩拜全面接入美团APP,实现了将摩拜的超短途出行市场数据与美团的生活场景数据融合,发挥业务协同效应。而在数据融合实施前,美团和摩拜通过弹窗发布“账号融合用户确认函”的方式,“旗帜鲜明”地告知用户将实现账号互通并获得用户同意。[8]这体现了交易双方在进行个人信息转移时,遵循《个人信息安全规范》的合规努力。
4.Verizon收购雅虎网站案例
2016年,美国电信业巨头Verizon宣布拟以48.3亿美收购互联网门户网站Yahoo。然而,Yahoo数据安全频频“暴雷”:2016年9月,Yahoo被指泄露了至少5亿个账户信息;2016年12月,Yahoo首席信息安全官承认,他们发现三年前的一次泄露可能波及10亿用户。最终,Verizon以44.8亿美元的价格完成了收购,数据安全事件的发生导致Yahoo的收购价格重挫了3.5亿美元。按照修改后的交易条款,雅虎和Verizon将分摊与黑客攻击相关的政府调查和第三方诉讼相关现金支出费用。
三、数据合规与交易结构的选择
在确定交易结构时,应考虑如何更好地实现并购交易的目的、如何兼顾数据合规的要求。
(一)交易结构的选择
进行并购交易前,并购交易的买方(通常也是交易模式的选择者)应明确自己要通过并购交易达成的目的是什么,该目的直接决定着并购交易的结构。是需要获取目标企业特定的资源或能力(如商标、资质、市场、技术等),还是要获取目标企业的整体市场地位?一般而言,如果是前者,则采取资产收购的方式更具性价比;如果是后者,则采取合并或股权收购的方式更易达到目标。
还有一些因素也将在决策中起到重要作用。这些因素如下表所示,应注意下表的内容仅是就大多数情形而言,具体的情况还需要由专业人士进行个案分析:

考量

优劣比较

承担先前债务/责任的风险

资产收购的风险最小,合并和股权收购的风险较大

税务

合并在税收上最具优势,股权收购次之,资产收购税负最重

目标企业资质的重新取得

股权收购不需重新取得资质,合并和资产收购则需要

交易所需的行政审批程序

由行业及适用法个案判断

目标企业的组织形式

合伙企业采用资产收购较佳

注册地及适用法律

根据当地法律对于各模式的规定、便利性及风险决定

对涉及的员工的处理

部分资产收购一般不负责处理员工,合并和股权收购需要继续聘用或支付经济补偿金解除劳动合同


(二)交易模式可行性分析
在初步确定交易结构后,还应确定交易模式的可行性。在数据合规的角度,需要考量以下两点:
第一,是与法律法规的符合性以及通过相关行政审批的可能性。商务部、国家发改委依据《外商投资法》第四条发布的《外商投资准入特别管理措施(负面清单)》规定了禁止外资投资的行业和领域,因此在这些领域外资如欲采取股权投资和合并的交易结构则违反《外商投资法》第二十八条的规定,具有极强的法律风险。如前所述,《数安条例》第13条规定,汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的,需要申报网络安全审查。此时如有关部门认为可能影响国家安全的,则可能不予通过,并导致交易失败。因此,如果预判初步确定的交易结构存在违反法律法规的情形,或可能无法通过相关行政审批,则应采用其他交易结构进行交易。例如,境内企业A是一家领先生物医药企业,主要经营药品生产、基因诊断与治疗技术等业务。某外商投资企业B欲并购A企业的药品生产业务,该商业目的本身不影响国家安全,但由于A企业的基因诊断与治疗技术系外资禁入领域,因此B企业无法以股权收购或合并的方式并购A企业,而只能以资产收购的方式购买A企业与药品生产相关的厂房、设备、知识产权等。
第二,综合考虑资产或数据转移的便利性。前文已经提及在资产收购模式下,转移数据尤其是个人信息有复杂的合规要求。在数据量尤其庞大难以履行合规义务或合规成本过高,或无法获取个人同意可能导致数据资产价值减损的情况下,采取资产收购的方式则不具现实性。此时采取股权收购或合并的方式则成为更优的选择。
(三)合规的时间安排
根据交易结构以及涉及数据的种类和数量,双方在签订交易合同时,应合理安排卖方所负的合规义务及履行义务的时间。
首先,在交易结构的角度,就资产收购而言,其负担的数据合规风险相对较小,数据资产来源如果存在不合规的问题,则应要求卖方在交割前补正,并将之作为交割的一项条件之一。对于股权收购和合并,由于买方在交割后仍然存在由于交割前事由受到处罚的风险,在合同签订后应限定卖方和目标公司在最短时间内完成合规整改,并要求卖方对因交割前的违法行为产生的风险负责。如果数据合规风险极为严重,且该业务板块与并购交易关联性不强,也可要求卖方剥离该部分业务,以维护交易的安全性。
其次,涉及数据的种类和数量对于确定合规时间安排也具有重要意义。如果交易涉及矿产信息、基因数据等重要数据,或涉及大量个人信息,则应要求卖方尽快完成合规工作,避免给交易带来不必要的风险。
[注释]
[1] Lutz-Chrisitan Wolff, The Law of Cross-border Business Transactions, 2nd edn. (Alphen aan den Rijn: Kluwer Law International, 2017)
[2] 《关键信息基础设施安全保护条例》第二条本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
[3] 同[1]
[4] 参见胡若愚:《马斯克拟本周完成收购推特》,载于澎湃新闻https://mp.weixin.qq.com/s/KWd8XBATG32Efqa2ryEDFQ
[5] 参见推特向美国证监会提交的《终止函》,https://www.sec.gov/Archives/edgar/data/0001418091/000110465922078413/tm2220599d1_ex99-p.htm。
[ 6] 参见环球市场播报:《马斯克再次公告取消收购Twitter,理由是对数据隐私保护的担忧》,载于新浪财经https://baijiahao.baidu.com/s?id=1742602284337792215&wfr=spider&for=pc
[7] 参见单鸽:《人人网被卖激起千层浪互联网上的回忆是否会被清零》,载于中国日报网https://baijiahao.baidu.com/s?id=1621057260472642375&wfr=spider&for=pc
[8] 参见谢敏茹:《并购交易中的数据合规要点(下篇)——“铁索连船,不能无问西东”》,https://mp.weixin.qq.com/s/U0Vzeeh_dAWZUr9PeD5ntQ

技术驱动法律,专业成就未来