引言

近些年來，隨著大數(shù)據(jù)、人工智能、云計(jì)算和區(qū)塊鏈等數(shù)字技術(shù)的不斷演進(jìn)和創(chuàng)新，企業(yè)逐漸開始進(jìn)行數(shù)字化轉(zhuǎn)型。一方面，通過數(shù)字化手段，企業(yè)能夠?qū)崿F(xiàn)貿(mào)易成本的顯著降低，業(yè)務(wù)效率的大幅提升，以及商業(yè)主體的多元化。另一方面，數(shù)據(jù)已經(jīng)成為貿(mào)易中的一項(xiàng)重要資源和交易對(duì)象，業(yè)務(wù)出海、數(shù)據(jù)出境以及數(shù)據(jù)回流等剛性需求不斷增長(zhǎng)，數(shù)據(jù)資產(chǎn)占企業(yè)總資產(chǎn)的比重越來越大，全球范圍內(nèi)的數(shù)據(jù)跨境流動(dòng)已經(jīng)成為驅(qū)動(dòng)經(jīng)濟(jì)運(yùn)行的關(guān)鍵性因素。與此同時(shí)，數(shù)據(jù)的跨境流動(dòng)也引發(fā)了全球范圍內(nèi)的監(jiān)管和治理問題，全球主要國(guó)家和地區(qū)均在積極建立、健全和強(qiáng)化數(shù)據(jù)跨境流動(dòng)的治理和監(jiān)管，企業(yè)面臨越來越嚴(yán)格的數(shù)據(jù)合規(guī)和數(shù)據(jù)跨境流動(dòng)要求，數(shù)據(jù)泄露、隱私侵犯以及知識(shí)產(chǎn)權(quán)糾紛等數(shù)據(jù)風(fēng)險(xiǎn)均可能對(duì)企業(yè)造成重大損失。

密切關(guān)注國(guó)內(nèi)外的數(shù)據(jù)跨境規(guī)則，協(xié)助企業(yè)識(shí)別、控制和消除數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，是開展投資并購(gòu)盡調(diào)的重要內(nèi)容。本文將以投資并購(gòu)交易為背景，簡(jiǎn)要說明不同國(guó)家和地區(qū)的數(shù)據(jù)跨境流動(dòng)規(guī)則，梳理我國(guó)目前關(guān)于數(shù)據(jù)安全和數(shù)據(jù)跨境流動(dòng)的監(jiān)管體系，重點(diǎn)介紹開展數(shù)據(jù)跨境流動(dòng)合規(guī)盡調(diào)的關(guān)注要點(diǎn)及應(yīng)對(duì)策略，為企業(yè)建立完善的數(shù)據(jù)合規(guī)治理體系提供參考思路。

一、 不同國(guó)家和地區(qū)關(guān)于數(shù)據(jù)跨境流動(dòng)的監(jiān)管規(guī)則

根據(jù)國(guó)際組織、其他國(guó)家對(duì)跨境數(shù)據(jù)流動(dòng)的管理制度，以及我國(guó)國(guó)家網(wǎng)信辦頒布的《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第一版）》，數(shù)據(jù)出境行為包含數(shù)據(jù)處理者向境外提供數(shù)據(jù)、境外主體從境外訪問數(shù)據(jù)和其他出境行為。不同國(guó)家和地區(qū)對(duì)于數(shù)據(jù)跨境流動(dòng)的監(jiān)管態(tài)度和監(jiān)管體系不盡相同，充分了解不同國(guó)家和地區(qū)的數(shù)據(jù)跨境流動(dòng)規(guī)則，是開展跨境交易盡調(diào)的重要前提。

（一）歐盟

在歐盟內(nèi)部，個(gè)人數(shù)據(jù)可以自由流動(dòng)，但原則上不得向歐盟以外的第三國(guó)或者其他國(guó)際組織傳輸，除非通過“充分性認(rèn)定”、“適當(dāng)保障措施”或“例外豁免情形”三種合規(guī)路徑之一進(jìn)行。充分性認(rèn)定只能適用于“白名單”上的特定國(guó)家或地區(qū)，如數(shù)據(jù)保護(hù)水平與歐盟相當(dāng)，被歐委會(huì)被列入“白名單”，個(gè)人數(shù)據(jù)即可自由地從歐盟傳輸至該國(guó)家或地區(qū)。如果需將歐盟數(shù)據(jù)傳輸至“白名單”以外的國(guó)家或地區(qū)，可對(duì)傳輸行為提供適當(dāng)?shù)谋Ｕ洗胧?，主要包括制定約束性企業(yè)規(guī)則（Binding Corporate Rules, “BCRs”）、簽訂標(biāo)準(zhǔn)合同條款（Standard Contractual Clauses, “SCCs”）、遵循經(jīng)批準(zhǔn)的行為準(zhǔn)則（Approved Codes of Conduct, “CoC”）或者基于經(jīng)批準(zhǔn)的認(rèn)證機(jī)制（Approved Certification）進(jìn)行傳輸?shù)取Ｔ诔浞中哉J(rèn)定和適當(dāng)保障措施均無(wú)法適用的情況下，數(shù)據(jù)傳出方可判斷數(shù)據(jù)跨境傳輸是否屬于特定情形下的豁免，如數(shù)據(jù)主體明確同意、為履行與數(shù)據(jù)主體的合同需要、為實(shí)現(xiàn)公共利益需要等等。

（二）美國(guó)

美國(guó)互聯(lián)網(wǎng)企業(yè)在全球市場(chǎng)中占據(jù)主導(dǎo)地位，具有明顯的競(jìng)爭(zhēng)優(yōu)勢(shì)。因此美國(guó)在國(guó)際層面積極倡導(dǎo)數(shù)據(jù)跨境自由流動(dòng)，反對(duì)對(duì)數(shù)據(jù)跨境施加不必要的限制，通過簽署更加開放自由的貿(mào)易協(xié)定拓展國(guó)際市場(chǎng)。在國(guó)內(nèi)層面，為遏制競(jìng)爭(zhēng)對(duì)手并維護(hù)技術(shù)霸權(quán)，美國(guó)以國(guó)家安全為由，嚴(yán)格限制數(shù)據(jù)跨境，如嚴(yán)格限制新型技術(shù)和數(shù)據(jù)的出口、對(duì)涉敏感個(gè)人數(shù)據(jù)交易進(jìn)行外國(guó)投資安全審查、禁止科技公司向任何特別關(guān)注國(guó)家進(jìn)行直接或間接的數(shù)據(jù)傳輸?shù)取?/span>

（三）日本

在國(guó)際層面，日本積極參與多雙邊數(shù)據(jù)跨境協(xié)定，探索建立可信賴且自由的數(shù)據(jù)流動(dòng)機(jī)制。在國(guó)內(nèi)層面，日本現(xiàn)行數(shù)據(jù)跨境政策具有靈活性，辦理個(gè)人信息出境以事先取得個(gè)人信息主體的同意為原則，以不需要取得同意為例外。例外情形主要包括向白名單國(guó)家出境個(gè)人信息，以及向已經(jīng)建立了符合日本法保護(hù)標(biāo)準(zhǔn)的個(gè)人信息保護(hù)機(jī)制的接收方出境個(gè)人信息。

（四）新加坡

在國(guó)際層面，新加坡尋求數(shù)據(jù)自由流動(dòng)與高水平數(shù)據(jù)保護(hù)的平衡。在國(guó)內(nèi)層面，新加坡關(guān)于數(shù)據(jù)跨境的規(guī)定主要集中于《個(gè)人數(shù)據(jù)保護(hù)法》（Personal Data Protection Act，“PDPA”）和《個(gè)人數(shù)據(jù)保護(hù)條例》（Personal Data Protection Regulations，“PDPR”）。PDPA要求數(shù)據(jù)傳輸方確保數(shù)據(jù)接收方對(duì)傳輸?shù)膫€(gè)人數(shù)據(jù)提供至少與PDPA同等的保護(hù)，否則不得進(jìn)行數(shù)據(jù)的跨境傳輸。

二、 我國(guó)數(shù)據(jù)安全及跨境流動(dòng)監(jiān)管體系

（一）國(guó)際層面

迄今為止，在我國(guó)參與的自由貿(mào)易協(xié)定中，內(nèi)容最豐富的數(shù)字貿(mào)易規(guī)則為2020年11月15日簽署的《區(qū)域全面經(jīng)濟(jì)伙伴關(guān)系協(xié)定》（Regional Comprehensive Economic Partnership, “RCEP”），RCEP的簽署標(biāo)志著我國(guó)在個(gè)人信息保護(hù)、數(shù)據(jù)跨境流動(dòng)、計(jì)算設(shè)施位置等重要問題上與各締約國(guó)達(dá)成了共識(shí)?；诟骶喖s國(guó)數(shù)字貿(mào)易發(fā)展程度的差異，RCEP在數(shù)據(jù)跨境流動(dòng)規(guī)則上采取開放性制度設(shè)計(jì)，兼顧各國(guó)利益沖突的協(xié)調(diào)。原則上禁止締約國(guó)對(duì)數(shù)據(jù)跨境流動(dòng)進(jìn)行限制，但設(shè)置了“公共政策目標(biāo)”和“基本安全利益”的例外條款。目前RCEP并未明確“公共政策目標(biāo)”和“基本安全利益”的適用標(biāo)準(zhǔn)和解釋口徑，實(shí)踐中締約國(guó)是否能夠援引該條款限制數(shù)據(jù)跨境流動(dòng)，存在一定的不確定性。

（二）國(guó)內(nèi)層面

我國(guó)目前已初步形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為核心，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)出境安全評(píng)估辦法》等為補(bǔ)充和重點(diǎn)領(lǐng)域?qū)ｉT規(guī)范的規(guī)則體系，確立了數(shù)據(jù)“本地儲(chǔ)存+出境評(píng)估”的監(jiān)管模式，為網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息安全和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)流動(dòng)提供保障。針對(duì)數(shù)據(jù)跨境流動(dòng)涉及的不同主體和不同數(shù)據(jù)類型，制定不同的規(guī)制措施。

          1. 關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（Critical Information Infrastructures Operators,“CIIO”）

《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。關(guān)于CIIO如何認(rèn)定，截至目前，有關(guān)部門暫未公布行業(yè)內(nèi)CIIO的認(rèn)定規(guī)則或清單?！毒W(wǎng)絡(luò)安全法》第三十一條明確了關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructures, “CII”）的要素，即關(guān)乎國(guó)家安全、國(guó)計(jì)民生、公共利益等重要因素，但并未明確CIIO的范圍和認(rèn)定方式。因此，實(shí)踐中企業(yè)可參考《網(wǎng)絡(luò)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》中規(guī)定的CII認(rèn)定要素，衡量判斷自身是否構(gòu)成CIIO：一是網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；二是網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；三是對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。

        2. 重要數(shù)據(jù)

根據(jù)《數(shù)據(jù)安全法》第三十一條，結(jié)合《網(wǎng)絡(luò)安全法》《數(shù)據(jù)出境安全評(píng)估辦法》等規(guī)定，數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)以及CIIO在我國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)，應(yīng)按規(guī)定申報(bào)出境安全評(píng)估。基于此，我國(guó)建立了對(duì)特定行業(yè)進(jìn)行差異化管理的數(shù)據(jù)跨境流動(dòng)規(guī)則體系，在汽車、金融、醫(yī)療等行業(yè)分別對(duì)特定數(shù)據(jù)的跨境傳輸提出了不同要求。如目標(biāo)公司所屬行業(yè)暫未頒布重要數(shù)據(jù)的識(shí)別標(biāo)準(zhǔn)，可參考《數(shù)據(jù)出境安全評(píng)估辦法》第十九條和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別指南》（征求意見稿）等識(shí)別重要數(shù)據(jù)。

        3. 個(gè)人信息

2021年8月公布的《個(gè)人信息保護(hù)法》第三章專章規(guī)定了個(gè)人信息跨境提供的規(guī)則。該法第三十八條至第四十條確立了不同個(gè)人信息處理主體的分類監(jiān)管模式，即區(qū)分普通的個(gè)人信息處理者、CIIO和處理個(gè)人信息達(dá)到一定數(shù)量的個(gè)人信息運(yùn)營(yíng)者。對(duì)于普通的個(gè)人信息處理者，應(yīng)當(dāng)具備安全評(píng)估/專業(yè)機(jī)構(gòu)認(rèn)證/標(biāo)準(zhǔn)合同條件之一。對(duì)于CIIO和處理個(gè)人信息達(dá)到一定數(shù)量的個(gè)人信息運(yùn)營(yíng)者，均應(yīng)當(dāng)遵循“本地儲(chǔ)存+出境評(píng)估”的要求。

三、 投資并購(gòu)中數(shù)據(jù)跨境的盡調(diào)關(guān)注要點(diǎn)及應(yīng)對(duì)策略

（一）投資并購(gòu)中開展數(shù)據(jù)合規(guī)盡調(diào)的重要性

在跨國(guó)投資并購(gòu)中，數(shù)據(jù)跨境傳輸是不可避免的環(huán)節(jié)，實(shí)踐中目標(biāo)公司和收購(gòu)方因數(shù)據(jù)風(fēng)險(xiǎn)遭受處罰和經(jīng)濟(jì)損失的情形頻頻發(fā)生，如某知名酒店在對(duì)目標(biāo)公司進(jìn)行盡職調(diào)查的過程中并未發(fā)現(xiàn)目標(biāo)公司已經(jīng)存在的系統(tǒng)漏洞，導(dǎo)致其在收購(gòu)?fù)瓿珊笠蚰繕?biāo)公司的信息泄露事件受到數(shù)億元的罰款。

從收購(gòu)方角度看，在盡職調(diào)查階段識(shí)別和發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，將有助于收購(gòu)方對(duì)目標(biāo)公司的股權(quán)或者資產(chǎn)價(jià)值作出準(zhǔn)確的估值，進(jìn)而調(diào)整收購(gòu)價(jià)格和并購(gòu)交易的結(jié)構(gòu)。目標(biāo)公司的主營(yíng)業(yè)務(wù)與數(shù)據(jù)的關(guān)聯(lián)性越強(qiáng)，或者目標(biāo)公司的數(shù)據(jù)資產(chǎn)占總資產(chǎn)的比重越大，目標(biāo)公司股權(quán)或資產(chǎn)的價(jià)值受到數(shù)據(jù)合規(guī)問題的影響就越大。如果數(shù)據(jù)資產(chǎn)的風(fēng)險(xiǎn)敞口過大，可以選擇提前剝離此部分?jǐn)?shù)據(jù)資產(chǎn)，或者及時(shí)調(diào)整交易安排，提出更加嚴(yán)苛的收購(gòu)條件，壓低收購(gòu)價(jià)格，甚至終止交易。

從目標(biāo)公司角度看，在并購(gòu)開始前委托專業(yè)的外部機(jī)構(gòu)開展數(shù)據(jù)合規(guī)盡職調(diào)查，有利于提前發(fā)現(xiàn)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)，及時(shí)采取整改措施降低或者封閉風(fēng)險(xiǎn)敞口，提升股權(quán)或資產(chǎn)估值，爭(zhēng)取到更加優(yōu)厚的出售條件。避免在并購(gòu)進(jìn)入實(shí)質(zhì)性接觸階段發(fā)生數(shù)據(jù)安全“暴雷”，使得目標(biāo)公司處于不利地位。同時(shí)在后續(xù)的經(jīng)營(yíng)過程中，也可以規(guī)避可能由數(shù)據(jù)合規(guī)問題引發(fā)的一系列連鎖反應(yīng)，如因數(shù)據(jù)泄露面臨的民事賠償、行政處罰、刑事責(zé)任或者影響目標(biāo)公司上市進(jìn)程等。

（二）投資并購(gòu)中開展數(shù)據(jù)合規(guī)盡調(diào)的關(guān)注要點(diǎn)

數(shù)據(jù)合規(guī)盡職調(diào)查除公開方式核查、文件審閱和人員訪談等常規(guī)方法外還涉及技術(shù)調(diào)查，如開展“網(wǎng)絡(luò)平臺(tái)穿行測(cè)試”等特別手段。除常規(guī)法律盡職調(diào)查所關(guān)注的內(nèi)容外，進(jìn)行數(shù)據(jù)合規(guī)盡調(diào)主要關(guān)注以下三個(gè)方面的內(nèi)容：（1）數(shù)據(jù)處理全生命周期的合法合規(guī)性；（2）數(shù)據(jù)安全和網(wǎng)絡(luò)安全的內(nèi)控制度；（3）網(wǎng)絡(luò)和數(shù)據(jù)安全事件、事故和漏洞及合規(guī)問題引發(fā)的爭(zhēng)議、行政處罰、訴訟等。

1.  目標(biāo)公司的基本情況

了解目標(biāo)公司的業(yè)務(wù)模式，核查公司運(yùn)營(yíng)過程中可能涉及數(shù)據(jù)安全、數(shù)據(jù)跨境流動(dòng)的環(huán)節(jié)，是進(jìn)行數(shù)據(jù)合規(guī)盡職調(diào)查的前提條件。

1.1  目標(biāo)公司業(yè)務(wù)模式和主營(yíng)業(yè)務(wù)：判斷所屬行業(yè)，識(shí)別業(yè)務(wù)中的數(shù)據(jù)跨境場(chǎng)景和數(shù)據(jù)處理者角色，確定目標(biāo)公司是否可能構(gòu)成CIIO或處理個(gè)人信息達(dá)到一定數(shù)量的運(yùn)營(yíng)者，并進(jìn)一步確定該行業(yè)是否涉及特殊數(shù)據(jù)監(jiān)管規(guī)則，是否具有特殊的數(shù)據(jù)出境要求。

以汽車行業(yè)為例，《汽車數(shù)據(jù)安全管理若干規(guī)定》對(duì)汽車數(shù)據(jù)進(jìn)行了列舉。《信息安全技術(shù) 網(wǎng)絡(luò)預(yù)約汽車服務(wù)數(shù)據(jù)安全要求》要求，網(wǎng)約車服務(wù)提供者的數(shù)據(jù)出境應(yīng)對(duì)出境行為進(jìn)行監(jiān)測(cè)，如對(duì)租用的網(wǎng)絡(luò)鏈路進(jìn)行出境流量分析、對(duì)服務(wù)APP與境外網(wǎng)絡(luò)通信行為進(jìn)行檢測(cè)分析等，以及根據(jù)發(fā)展運(yùn)營(yíng)情況，每年應(yīng)自行或委托第三方機(jī)構(gòu)至少進(jìn)行一次數(shù)據(jù)出境風(fēng)險(xiǎn)評(píng)估等。

1.2  目標(biāo)公司內(nèi)部系統(tǒng)的使用情況：內(nèi)部系統(tǒng)的運(yùn)維主體，服務(wù)器所在地，設(shè)立目的和功能，使用人及訪問人等。

1.3  目標(biāo)公司相關(guān)平臺(tái)網(wǎng)站（包括APP、小程序、公眾號(hào)、網(wǎng)站等）：平臺(tái)網(wǎng)站的設(shè)立目的和功能，數(shù)據(jù)收集的目的、范圍、使用等，隱私政策和用戶協(xié)議等。

2. 數(shù)據(jù)處理全生命周期的合法合規(guī)性

2.1  數(shù)據(jù)的收集

核查數(shù)據(jù)的類型、來源、數(shù)量、敏感程度、方式等，是否屬于個(gè)人信息、敏感個(gè)人信息、未成年人個(gè)人信息、重要數(shù)據(jù)或核心數(shù)據(jù)，是否為從第三方處獲取的數(shù)據(jù)。

2.1.1  對(duì)目標(biāo)公司直接收集的數(shù)據(jù)，需核查數(shù)據(jù)獲取方式的合法性和正當(dāng)性。如是否涉及用爬蟲技術(shù)獲取相關(guān)數(shù)據(jù)、是否取得個(gè)人信息主體的同意或授權(quán)、是否超出必要限度收集與提供的服務(wù)/產(chǎn)品無(wú)關(guān)的個(gè)人信息等。

2.1.2  對(duì)目標(biāo)公司從第三方處獲取的數(shù)據(jù)，需核查第三方獲取及轉(zhuǎn)讓數(shù)據(jù)的合法合規(guī)性。如目標(biāo)公司的數(shù)據(jù)采購(gòu)、第三方的數(shù)據(jù)來源、獲取和使用方式是否合規(guī)等。

2.1.3  如果目標(biāo)公司涉及個(gè)人信息的收集，需重點(diǎn)核查是否遵循“同意、合理、最小化”三原則，如目標(biāo)公司是否明確告知、是否已經(jīng)取得個(gè)人的明確同意、是否在個(gè)人授權(quán)的范圍內(nèi)收集、是否限于實(shí)現(xiàn)處理目的之最小范圍收集、是否提供撤回同意的渠道、是否向個(gè)人提供查詢/更正/補(bǔ)充/刪除個(gè)人信息的渠道、是否告知個(gè)人信息的保存期限等。

2.2  數(shù)據(jù)的存儲(chǔ)

2.2.1  目標(biāo)公司存儲(chǔ)數(shù)據(jù)的方式（自行存儲(chǔ)/委托第三方存儲(chǔ)）、存儲(chǔ)數(shù)據(jù)的位置（境內(nèi)存儲(chǔ)/境外存儲(chǔ)）、存儲(chǔ)期限屆滿后的處理方式、收集到的數(shù)據(jù)能否境外存儲(chǔ)。

2.2.2  目標(biāo)公司是否對(duì)數(shù)據(jù)進(jìn)行了分類分級(jí)，是否備份，是否對(duì)特殊數(shù)據(jù)采取了充分的安全保護(hù)措施。對(duì)重要數(shù)據(jù)和個(gè)人信息是否脫密或加密處理，是否設(shè)置了數(shù)據(jù)隔離、訪問限制和權(quán)限管理。

2.2.3  是否取得數(shù)據(jù)主體的同意，存儲(chǔ)是否超過必要限度。

2.3  數(shù)據(jù)的使用、加工、傳輸、提供、公開

2.3.1  數(shù)據(jù)的使用方式、使用范圍：是否符合數(shù)據(jù)主體的授權(quán)范圍。

2.3.2  數(shù)據(jù)的出境：是否因業(yè)務(wù)需要等正當(dāng)理由向境外第三方提供、共享或委托處理數(shù)據(jù)。如存在相關(guān)情形，應(yīng)當(dāng)關(guān)注以下內(nèi)容。

（1） 擬出境數(shù)據(jù)的情況：屬于何種數(shù)據(jù)類型（重要數(shù)據(jù)/核心數(shù)據(jù)、個(gè)人信息及敏感信息），數(shù)據(jù)出境的規(guī)模和范圍，評(píng)估數(shù)據(jù)是否達(dá)到需申報(bào)安全評(píng)估的數(shù)量要求；目標(biāo)公司內(nèi)部是否已就數(shù)據(jù)出境等行為進(jìn)行了審批，是否已經(jīng)過監(jiān)管機(jī)關(guān)備案或授權(quán)、是否滿足所涉行業(yè)的特殊監(jiān)管規(guī)則；是否對(duì)境外主體訪問境內(nèi)數(shù)據(jù)設(shè)有隔離、限制和權(quán)限管理等措施。涉及個(gè)人信息的，是否已向個(gè)人告知接收方的名稱或姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，是否已征得個(gè)人的單獨(dú)同意。

（2） 境外接收方的情況：境外接收方所在的國(guó)家或地區(qū)相關(guān)數(shù)據(jù)安全保護(hù)規(guī)定和網(wǎng)絡(luò)安全環(huán)境；境外接收方的數(shù)據(jù)安全責(zé)任人和數(shù)據(jù)安全保護(hù)責(zé)任義務(wù)內(nèi)容，其履行責(zé)任義務(wù)的管理、技術(shù)措施和能力等能否保障數(shù)據(jù)跨境的安全，以充分評(píng)估其數(shù)據(jù)安全的保護(hù)水平是否符合我國(guó)相關(guān)法律規(guī)定和強(qiáng)制性標(biāo)準(zhǔn)；境外接收方是否具備數(shù)據(jù)跨境傳輸和處理的相關(guān)經(jīng)驗(yàn)，是否曾發(fā)生數(shù)據(jù)安全和網(wǎng)絡(luò)安全相關(guān)事件，以及其是否進(jìn)行了及時(shí)有效的處置、是否曾收到所在國(guó)家或地區(qū)要求其提供數(shù)據(jù)的請(qǐng)求及其應(yīng)對(duì)情況。

需注意，未經(jīng)我國(guó)主管機(jī)關(guān)批準(zhǔn)，企業(yè)不得向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供存儲(chǔ)于我國(guó)境內(nèi)的數(shù)據(jù)，向外國(guó)司法或執(zhí)法機(jī)構(gòu)傳輸數(shù)據(jù)，并不屬于數(shù)據(jù)安全義務(wù)豁免的情形。

（3） 數(shù)據(jù)出境涉及的相關(guān)法律文件：是否簽署數(shù)據(jù)跨境轉(zhuǎn)移協(xié)議、告知書等，通過核查相關(guān)法律文件的條款，判斷數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當(dāng)性、必要性。如數(shù)據(jù)境外保存地點(diǎn)、期限；達(dá)到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；境外接收方將出境數(shù)據(jù)再轉(zhuǎn)移給其他組織、個(gè)人的約束性要求。

（4） 數(shù)據(jù)出境應(yīng)當(dāng)履行的必要程序：符合法律規(guī)定的重要數(shù)據(jù)或個(gè)人信息出境是否履行了自評(píng)估（數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估、個(gè)人信息保護(hù)影響評(píng)估）、安全評(píng)估申報(bào)等程序；目標(biāo)公司及境外接收方是否留存了相應(yīng)的日志記錄。

（5） 數(shù)據(jù)出境中和出境后到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等的風(fēng)險(xiǎn)，個(gè)人信息權(quán)益維護(hù)的渠道是否通暢等。

3. 數(shù)據(jù)安全和網(wǎng)絡(luò)安全的內(nèi)控制度

核查目標(biāo)公司是否建立了網(wǎng)絡(luò)和數(shù)據(jù)安全管理制度、個(gè)人信息安全和保護(hù)制度、合作方管理制度，是否配備了相關(guān)組織人員，是否對(duì)可能發(fā)生的數(shù)據(jù)安全事件設(shè)置了應(yīng)急預(yù)案和應(yīng)對(duì)措施等。

4. 網(wǎng)絡(luò)和數(shù)據(jù)安全事件、事故和漏洞及合規(guī)問題引發(fā)的爭(zhēng)議、行政處罰、訴訟等

關(guān)注目標(biāo)公司歷史上發(fā)生的數(shù)據(jù)安全和網(wǎng)絡(luò)安全問題，是否曾因違反《數(shù)據(jù)安全法》等遭受調(diào)查、行政處罰、訴訟、仲裁等，是否及時(shí)采取了相應(yīng)整改措施，進(jìn)一步分析相關(guān)事件可能引發(fā)的法律風(fēng)險(xiǎn)和經(jīng)濟(jì)損失。關(guān)注目標(biāo)公司目前是否仍存在導(dǎo)致同類爭(zhēng)議、行政處罰、訴訟、仲裁等事件發(fā)生的情況。

此外，在進(jìn)行數(shù)據(jù)跨境合規(guī)盡職調(diào)查時(shí)，目標(biāo)公司向律師提供的材料文件等的傳輸，也可能涉及數(shù)據(jù)的跨境流動(dòng)問題，交易各方可通過簽署數(shù)據(jù)分享協(xié)議，確保相關(guān)數(shù)據(jù)的安全性和保密性，明確提供該等數(shù)據(jù)的目的、范圍和處理方式等，并約定在交易的相應(yīng)階段有關(guān)方按照目標(biāo)公司要求及時(shí)刪除、銷毀該等數(shù)據(jù)。

（三）如何規(guī)避投資并購(gòu)交易中的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)

1.  陳述與保證條款

在制作交易文件時(shí)，可以基于對(duì)目標(biāo)公司數(shù)據(jù)跨境的盡調(diào)情況，設(shè)置如下陳述與保證條款。

1.1  目標(biāo)公司已遵守關(guān)于數(shù)據(jù)安全、網(wǎng)絡(luò)安全和個(gè)人信息保護(hù)的全部法律法規(guī)（包括但不限于中國(guó)法律規(guī)定、境外接收地法律規(guī)定）、合同義務(wù)。

1.2  目標(biāo)公司處理數(shù)據(jù)的全生命周期（包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等）均合法合規(guī)，包括但不限于告知、獲取必要的同意及完成必要的審批、備案、評(píng)估。

1.3  目標(biāo)公司已依照監(jiān)管要求建立相關(guān)內(nèi)控制度并采取相應(yīng)保護(hù)措施，以確保數(shù)據(jù)和網(wǎng)絡(luò)安全，防止數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉(zhuǎn)移或者被非法獲取、非法利用等風(fēng)險(xiǎn)。

1.4  目標(biāo)公司不存在/已披露與數(shù)據(jù)合規(guī)相關(guān)的現(xiàn)有和潛在的爭(zhēng)議、訴訟、索賠、政府調(diào)查以及數(shù)據(jù)安全事件。

1.5  著重強(qiáng)調(diào)與目標(biāo)公司所涉行業(yè)相關(guān)的數(shù)據(jù)合規(guī)要點(diǎn)。以汽車行業(yè)為例，可要求目標(biāo)公司、實(shí)控人承諾就汽車重要數(shù)據(jù)的處理，已遵循汽車數(shù)據(jù)處理者相關(guān)原則，已通過適當(dāng)方式向個(gè)人信息主體告知相關(guān)事項(xiàng)，已按照規(guī)定開展風(fēng)險(xiǎn)評(píng)估，并向網(wǎng)信部門和有關(guān)部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告和年度汽車數(shù)據(jù)安全管理情況等。

2. 交割先決條件或交割義務(wù)

2.1  個(gè)人信息方面。在針對(duì)目標(biāo)數(shù)據(jù)的資產(chǎn)收購(gòu)中，如果目標(biāo)數(shù)據(jù)中包含個(gè)人信息（例如賣方將相關(guān)業(yè)務(wù)整體出售并將相關(guān)員工轉(zhuǎn)移給買方，或賣方從事酒店、電商等面向個(gè)體消費(fèi)者的行業(yè)等情形），買方可要求將賣方取得員工/用戶/客戶等個(gè)人信息主體的同意作為交割先決條件或交割后義務(wù)，雙方可通過與個(gè)人信息主體的交互界面設(shè)計(jì)、相關(guān)告知文案通知以及溝通釋疑渠道設(shè)置等，促使個(gè)人信息主體同意。在股權(quán)收購(gòu)當(dāng)中，因兼并、重組等原因需要轉(zhuǎn)移數(shù)據(jù)的，企業(yè)也應(yīng)當(dāng)以合適的方式通知受影響的個(gè)人。因業(yè)務(wù)需要等正當(dāng)原因確需改變數(shù)據(jù)處理目的、范圍和方式的，應(yīng)重新征得個(gè)人同意。

例如，2019年美團(tuán)全資收購(gòu)摩拜，并將摩拜全面接入美團(tuán)APP。在數(shù)據(jù)融合實(shí)施前，美團(tuán)和摩拜通過彈窗發(fā)布“賬號(hào)融合用戶確認(rèn)函”的方式，明確告知用戶將實(shí)現(xiàn)賬號(hào)互通并獲得用戶同意。

2.2  重要數(shù)據(jù)、核心數(shù)據(jù)或特定身份方面。如果目標(biāo)公司涉及核心數(shù)據(jù)或重要數(shù)據(jù)處理，或目標(biāo)公司具有特定身份（如CIIO等），可將完成特定的審批、備案或評(píng)估手續(xù)作為交割先決條件或交割后義務(wù)。

例如，在新能源收并購(gòu)項(xiàng)目中，電力行業(yè)企業(yè)因能源行業(yè)的特性，被能源主管部門認(rèn)定CIIO的可能性較大，但電力行業(yè)尚未出臺(tái)有關(guān)本行業(yè)的重要數(shù)據(jù)目錄，在盡調(diào)過程中可協(xié)同企業(yè)技術(shù)人員研判相關(guān)氣象數(shù)據(jù)、電站運(yùn)營(yíng)技術(shù)數(shù)據(jù)等是否屬于重要數(shù)據(jù)或核心數(shù)據(jù)，從而確定是否需要申報(bào)數(shù)據(jù)出境安全評(píng)估等等。站在投資方角度，若通過盡調(diào)發(fā)現(xiàn)目標(biāo)公司確需進(jìn)行數(shù)據(jù)出境安全評(píng)估的，建議將該等評(píng)估的完成作為交割先決條件，以確保實(shí)現(xiàn)并購(gòu)目的，避免被處罰的風(fēng)險(xiǎn)。

2.3  數(shù)據(jù)安全事件、訴訟處罰方面。如果買方在盡職調(diào)查過程中發(fā)現(xiàn)了數(shù)據(jù)安全事件或漏洞、相關(guān)重大訴訟、監(jiān)管問詢、行政處罰等，可將賣方或目標(biāo)公司完成對(duì)數(shù)據(jù)安全問題的處理、整改作為交割先決條件，或者要求賣方在交割前將具有重大數(shù)據(jù)安全問題或隱患的相關(guān)資產(chǎn)剝離出目標(biāo)公司。

2.4  如果盡調(diào)中發(fā)現(xiàn)目標(biāo)公司內(nèi)控制度瑕疵等其他重要數(shù)據(jù)合規(guī)問題，買方如認(rèn)為有必要要求賣方或目標(biāo)公司在交割前進(jìn)行整改，則可將有關(guān)數(shù)據(jù)合規(guī)義務(wù)作為交割先決條件。

應(yīng)當(dāng)注意，前文提到的與數(shù)據(jù)合規(guī)相關(guān)的義務(wù)具體作為交割先決條件還是交割后義務(wù)，需要結(jié)合實(shí)現(xiàn)相關(guān)數(shù)據(jù)合規(guī)義務(wù)的預(yù)估時(shí)間和難度、相關(guān)數(shù)據(jù)合規(guī)義務(wù)的重要性等因素綜合考慮。

3. 賠償責(zé)任

如果目標(biāo)公司違反數(shù)據(jù)合規(guī)相關(guān)的陳述與保證、交割義務(wù)或其他合同責(zé)任，目標(biāo)公司可能會(huì)承擔(dān)民事責(zé)任（侵權(quán)之訴或違約之訴）、行政責(zé)任（尤其是上市公司）、甚至是刑事責(zé)任（例如拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪、侵犯公民個(gè)人信息罪等）。為了避免該等風(fēng)險(xiǎn)，買方可要求在交易文件中約定數(shù)據(jù)合規(guī)相關(guān)的賠償責(zé)任條款。一旦賣方或目標(biāo)公司違反其數(shù)據(jù)合規(guī)相關(guān)的陳述與保證、交割義務(wù)或其他合同責(zé)任致使買方遭受任何損失，買方可基于該等賠償責(zé)任條款向賣方或目標(biāo)公司索賠。

對(duì)于賣方來說，可以對(duì)買方要求的賠償責(zé)任設(shè)置一些限制，例如只對(duì)買方的直接損失負(fù)責(zé)、設(shè)置賠償額上限、設(shè)置起賠額、設(shè)置索賠期限等，以避免賠償責(zé)任的無(wú)限放大。

四、 企業(yè)建立內(nèi)部數(shù)據(jù)合規(guī)治理體系的思路

對(duì)企業(yè)而言，不僅是投資并購(gòu)的盡調(diào)階段，在完成投資并購(gòu)交易后的整合階段以及后續(xù)的日常經(jīng)營(yíng)活動(dòng)中，均不能忽視數(shù)據(jù)跨境的合規(guī)性。企業(yè)有必要建立內(nèi)部數(shù)據(jù)合規(guī)治理體系，定期或不定期開展內(nèi)部數(shù)據(jù)合規(guī)情況調(diào)研。本文以跨國(guó)汽車企業(yè)為例，對(duì)其數(shù)據(jù)跨境提出一些具有參考性的合規(guī)建議。

第一，結(jié)合企業(yè)的實(shí)際運(yùn)營(yíng)模式，識(shí)別企業(yè)數(shù)據(jù)跨境傳輸場(chǎng)景和活動(dòng)，明確數(shù)據(jù)監(jiān)管要點(diǎn)。跨國(guó)車企收集到的數(shù)據(jù)包括但不限于車輛自身的數(shù)據(jù)、用戶數(shù)據(jù)和外部環(huán)境數(shù)據(jù)，數(shù)據(jù)跨境的典型場(chǎng)景包括但不限于將車內(nèi)傳感器、車載及手機(jī)APP等收集到的數(shù)據(jù)傳輸并存儲(chǔ)至境外或通過云端進(jìn)行境外遠(yuǎn)程訪問。

第二，結(jié)合業(yè)務(wù)分布情況，梳理所涉國(guó)家或地區(qū)的數(shù)據(jù)跨境法律規(guī)則，識(shí)別禁止出境的數(shù)據(jù)類型、限制出境的數(shù)據(jù)類型以及可以傳輸?shù)臄?shù)據(jù)類型，制定企業(yè)數(shù)據(jù)分類分級(jí)清單，進(jìn)一步確認(rèn)適用的數(shù)據(jù)出境路徑。就我國(guó)跨境數(shù)據(jù)監(jiān)管規(guī)則而言，個(gè)人信息和重要數(shù)據(jù)面臨不同的出境合規(guī)要求，汽車行業(yè)是較早明確了重要數(shù)據(jù)范圍的行業(yè)之一。在識(shí)別數(shù)據(jù)性質(zhì)的同時(shí)，判定境內(nèi)數(shù)據(jù)處理者是否存在特定身份，是否為CIIO或處理100萬(wàn)人以上個(gè)人信息；是否自上年1月1日起累計(jì)向境外提供10萬(wàn)人個(gè)人信息或者1萬(wàn)人敏感個(gè)人信息。在完成上述數(shù)據(jù)性質(zhì)識(shí)別、數(shù)據(jù)處理者身份識(shí)別的基礎(chǔ)上，汽車企業(yè)可進(jìn)一步判斷適用的數(shù)據(jù)出境路徑。如果數(shù)據(jù)性質(zhì)或數(shù)據(jù)處理者身份存在以上任一情形，則應(yīng)當(dāng)適用官方評(píng)估路徑；如果不存在上述情形，但出境數(shù)據(jù)中包含個(gè)人信息，則應(yīng)當(dāng)適用認(rèn)證路徑或標(biāo)準(zhǔn)合同路徑。

第三，對(duì)標(biāo)監(jiān)管要求對(duì)企業(yè)全跨境場(chǎng)景進(jìn)行風(fēng)險(xiǎn)評(píng)估，參考監(jiān)管規(guī)則、國(guó)際標(biāo)準(zhǔn)和同行業(yè)實(shí)踐，進(jìn)行企業(yè)內(nèi)部數(shù)據(jù)跨境合規(guī)體系建設(shè)。通過制定內(nèi)部數(shù)據(jù)跨境安全評(píng)估制度、組織專業(yè)數(shù)據(jù)跨境安全評(píng)估人員和建立數(shù)據(jù)跨境內(nèi)部自評(píng)估工具等，對(duì)企業(yè)的數(shù)據(jù)跨境行為進(jìn)行動(dòng)態(tài)評(píng)估。動(dòng)態(tài)評(píng)估還應(yīng)當(dāng)關(guān)注可能存在的非典型數(shù)據(jù)出境情形并設(shè)置相應(yīng)的規(guī)制流程，如車企員工在境外差旅/休假期間，通過該車企內(nèi)網(wǎng)鏈接查詢、調(diào)取、下載、導(dǎo)出重要數(shù)據(jù)或個(gè)人信息，是否違反“境內(nèi)儲(chǔ)存，出境評(píng)估”的規(guī)定。若出現(xiàn)企業(yè)無(wú)法預(yù)判的非典型數(shù)據(jù)出境場(chǎng)景，及時(shí)主動(dòng)與主管部門溝通，尋求主管部門對(duì)該等事件的處理方案。

第四，提前為數(shù)據(jù)出境準(zhǔn)備好相關(guān)法律文件等合規(guī)準(zhǔn)備。建議企業(yè)以標(biāo)準(zhǔn)合同為基礎(chǔ)制定法律文件，以減少程序性負(fù)擔(dān)。如果出境數(shù)據(jù)包括個(gè)人信息和重要數(shù)據(jù)，建議在法律文件中將個(gè)人信息與重要數(shù)據(jù)進(jìn)行拆分處理：個(gè)人信息相關(guān)條款參照標(biāo)準(zhǔn)合同，重要數(shù)據(jù)部分則通過單獨(dú)章節(jié)進(jìn)行約定。此外，根據(jù)《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南 個(gè)人信息跨境處理活動(dòng)安全認(rèn)證規(guī)范》，建議車企在與境外數(shù)據(jù)接收方簽署的數(shù)據(jù)跨境合同或標(biāo)準(zhǔn)合同中，規(guī)定境外接收方應(yīng)指定個(gè)人信息保護(hù)負(fù)責(zé)人和設(shè)立個(gè)人信息保護(hù)機(jī)構(gòu)，并把包含上述合同文本作為申報(bào)數(shù)據(jù)出境安全評(píng)估（如需）的附件。

結(jié)語(yǔ)

包括數(shù)據(jù)跨境流動(dòng)在內(nèi)的一系列數(shù)據(jù)合規(guī)問題在投資并購(gòu)交易中的重要性日趨凸顯，在數(shù)據(jù)合規(guī)盡職調(diào)查和交易結(jié)構(gòu)設(shè)計(jì)的基礎(chǔ)上，如何將已識(shí)別的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)在交易文件中加以體現(xiàn)和明確，對(duì)交易活動(dòng)的開展和完成至關(guān)重要。作為律師，在盡調(diào)過程中和盡調(diào)完成后應(yīng)當(dāng)在交易文件中明確各方有關(guān)數(shù)據(jù)合規(guī)問題的權(quán)利和義務(wù)，協(xié)助雙方落實(shí)陳述與保證、交割先決條件或交割后義務(wù)、賠償責(zé)任等條款，妥善處理數(shù)據(jù)合規(guī)問題，以便降低交易風(fēng)險(xiǎn)，確保交易順利完成。作為企業(yè)，應(yīng)當(dāng)關(guān)注數(shù)據(jù)全生命周期的合法合規(guī)性，根據(jù)監(jiān)管要求識(shí)別不同的數(shù)據(jù)類型，以建立完善的內(nèi)部數(shù)據(jù)合規(guī)體系，盡可能避免數(shù)據(jù)安全等事件給企業(yè)帶來的潛在風(fēng)險(xiǎn)。