法评 | 投融资中的数据合规
01
引言
投融资涉及到企业的生存和发展,也关系到投资者的利益和风险。在进行投融资决策时,除了需要充分考虑各种传统因素,例如市场需求、风险水平、投资回报测算等,也要聚焦时代的发展趋势,将有限的资源投入到更能呼应时代主题的行业中。这也是近年来人工智能、物流、大数据、云计算、智能制造等硬科技领域广受资本追捧的原因。但与科技发展相伴而生的是,数据的合规与安全日益受到挑战。
近年来,我国相继颁布了《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规、部门规章及规范性文件,制定了一系列国家及行业标准,细分行业内也形成了特定的行业规范,这些规定对网络安全和数据合规提出了严格的监管要求。
合规是企业发展的生命线,也是投融资活动的基石。知己知彼,百战不殆。投融资决策的成功与否取决于对企业的尽职调查是否全面、客观、真实。法律尽职调查是投融资交易中不可或缺的一环,此过程旨在识别并评估融资方潜在的法律风险,并据此判断这些风险对其未来商业发展的影响,从而帮助投资方作出是否投资及投资策略的决策。
随着数字化科技化时代的到来,科技类公司成为投融资活动的发力阵地,对科技类公司的法律尽职调查不能拘泥于传统尽调关注的风险,而是应关注被投企业的核心业务模式、科技成果转化、以及企业持有数据的产生来源、传输过程、使用方式与销毁手段全过程是否均符合数据合规与网络安全的要求。
02
数据合规在投融资中的重要性
盖天下之事,不难于立法,而难于法之必行。若询事而不考其终,兴事而不加屡省,亦恐难以底绩而有成也。法治是人类文明进步的重要标志,而合规则是遵循法治原则的具体实践。近年来,强化数据合规管理、防范数据合规风险已经成为监管趋势。
重视数据合规,对于融资方而言,实现数据合规有助于企业降低法律风险,打造品牌形象,提升企业信誉度,进而增强企业的稳定性和可持续发展能力,赢得投资者的信任和青睐;对于投资方而言,了解融资方的数据合规情况能够降低投资风险,确保投资的安全性和收益性。反之,企业忽视数据合规管理的制度建设,不仅影响其后续的发展及资本运作,还可能被监管部门判处罚款,甚至企业的相关责任主体也将被判处刑事处罚,进而导致整个企业的数据违法行为在社会中造成恶劣影响,这无疑将会动摇融资方的企业信誉和投资方的投资决策。
同时,证监会近年来对多家企业数据合规问题的询问,也表明了监管部门在收集使用个人信息等数据合规问题上的监管趋严的倾向,为上市企业的数据合规治理敲响警钟。
举例而言,2018年,证监会便在对深信服科技股份有限企业(以下简称“深信服”)的询问问题中,要求深信服说明其开展业务、日常运营过程中是否获取或有可能获取国家秘密、个人信息,是否存在泄露的情况,是否已建立完善的防泄密和保障网络安全的内部管理制度,该等制度的执行是否有效。同期,在审核北京博睿宏远数据科技股份有限企业(以下简称“博睿宏远”)而提出的询问问题中,证监会指出博睿宏远开展应用性能管理等业务,部分业务需要在APP或服务器安装SDK及探针,故而要求博睿宏远说明与客户所签署业务合同、所开展业务中是否存在可能侵犯第三方商业秘密或个人信息安全的条款、情况;与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。
2019年10月,中国证券监督管理委员会发布公告称,北京墨迹风云科技股份有限企业(以下简称“墨迹天气”)首发申请被否,数据合规更是成为其中焦点问题。
在证监会对墨迹天气提出的询问问题中指出,墨迹天气通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,其于2019年7月16日收到App专项治理组发出的《关于App收集使用个人信息相关问题的通知》,要求其就收集使用个人信息中存在的问题进行整改。
证监会要求墨迹天气做出五点说明,包括获取用户数据及标签的过程和方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,获取用户数据的手段及方式是否合法合规。在数据使用方面,证监会还要求墨迹天气重点说明商业化变现的合规性,以及报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险。证监会还提及,墨迹天气需说明数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。此外,证监会还要求墨迹天气说明针对App治理工作组提出问题的整改情况和整改效果,是否获得主管部门的认可或面临被处罚的风险。
从近年来的问询问题看,对于数据合规的关注在不断提升,合规关注点在范围和深度上同时呈现增加趋势。同时,在实务中常见公司在受到相应数据领域处罚、调查等后再寻求我们协助进行数据合规体系建设的情况。但是,一旦已经受到了相关处罚等,即使针对处罚事项完成了整改,也可能会残留合规瑕疵。举例而言,若公司运营的App因违法处理个人信息受到了下架及限期整改的通知,公司一般难以在所通知的整改期限内完成整改,而即使在期限内已完成整改,实务中也一般不会收到确认已整改完成的文件等,常会被口头通知可以重新上架App。在该种情况下,公司难以证明此次整改已适当完成,对于被认为未按期整改时是否存在潜在的法律责任也难以自证。因此,在发生相关数据合规风险之前完成合规体系建设极为重要。
03
数据合规专项尽调基础流程
介绍与作用分析
(一)数据合规专项尽调流程
数据合规专项尽调以尽调问卷清单为基础,结合企业内部访谈、资料收集及文件审阅、网络核查、现场体验及第三方技术机构合作,对目标公司进行全面深入的尽职调查并出具报告。根据数据相关监管要求及实务经验,数据合规尽调需重点关注网络安全、个人信息处理及重要数据处理三方面。以下将从投资方与融资方委托的两个角度,进行具体介绍。
1.投资方委托的工作流程与工作要点
(1)准备阶段:了解目标公司的主营业务、产品和/或平台的具体情况。针对目标公司的主体性质和行业属性及数据相关监管要求,确定其应承担的特殊法律义务与责任,委托制定详细的尽调问卷清单。
(2)实施阶段:通过企业内部访谈、资料收集及文件审阅、网络核查、现场体验及第三方技术机构合作等方法,委托调查数据全生命周期合规性,即包括数据的收集、存储、使用、加工、传输、提供、公开、删除等各个环节的合法与合规性。同时,委托调查企业数据管理组织建设、数据合规制度及执行情况。具体而言,需检查目标公司是否设立专门负责网络安全、数据合规、个人信息保护等工作的组织机构,并制定相应的内部制度文件及执行情况,包括但不限于管理制度、操作规范、流程文件、行为准则、考核标准等。另外,还应关注数据安全风险披露,了解目标公司历史上是否发生过网络或数据安全事件,是否因以及是否采取了妥善的整改措施。
(3)报告撰写阶段:根据尽调结果,委托分析、评估目标公司的数据合规现状与存在的问题。并针对发现的问题,做出合规性评估,提出具体的解决建议与整改措施。
2.融资方委托的工作流程与工作要点
(1)准备阶段:目标公司应首先根据自身主体性质和行业属性,对现有数据管理现状进行自查与评估,识别、评估合规风险与问题。同时也应主动披露历史数据安全事件,分析原因与整改措施。
(2)整改实施阶段:完善内部数据管理制度文件(如管理制度、操作规范、流程文件、行为准则、考核标准等),改进数据管理技术措施(如加密传输、数据备份等),优化数据收集、存储、使用、传输、删除等各环节的流程,并制定未来防范措施与改进计划,以确保数据安全和合规性,完善数据管理组织建设及数据合规制度。
(3)反馈阶段:定期进行内部核查,评估整改措施的实施效果。必要时,邀请第三方机构进行合规性评估,确保整改到位。同时,持续改进数据管理措施,保持合规状态。
通过以上数据合规专项尽调的工作流程与工作要点,投资方可以全面了解目标公司的数据合规情况,提出有效的整改建议,最终进行投资决策;而融资方可以在专业指导下进行合规整改,确保其数据管理与处理流程符合相关法规要求,以吸引更多投资。
(二)尽调作用
对于投资方而言,数据合规尽职调查的目的不仅在于识别潜在的法律风险,更在于将这些风险转化为具体的合同条款,以确保交易的合规性和安全性。基于尽调结果的差异,投融资交易可能会朝两个方向发展:
其一,交易终止或回溯。若尽调发现目标公司存在重大且无法修正的数据合规问题,且缺乏交易的必要性,投资人可以选择终止或回溯交易。这一决策旨在避免潜在的法律风险,并保护投资方的利益不受损害。
其二,交易继续。若尽调发现目标公司存在一定程度的数据合规问题,那么投资方可以根据问题的性质和重要性,在交易文件中将相应问题纳入交割先决条件、交割后义务等不同条款以进行修正和解决,从而推动交易继续进行:
对于影响重大或可简单快速解决的问题,可将其设定为交割先决条件,要求目标公司在交割前进行修正;对于相对不重要或修正难度大、耗时长的问题,投资人可将其设定为交割后义务,要求目标公司在交割后的一定时间内完成修正。为了充分保障投资人的权益,投资人还可在交易文件中设定特殊赔偿条款,若目标公司违反其数据合规相关的陈述与保证、交割后义务或其他合同责任,投资人能够依据合同条款进行索赔。另外,若目标公司历史上存在网络或数据事件,投资人可将这些事件作为回购条款的触发条件。一旦触发回购条款,投资人可要求目标公司回购其持有的股份或资产,以充分保护投资人的利益。
若尽调未发现目标公司任何数据合规问题,投资人仍应在投资协议中要求目标公司作出数据合规相关的保证并约定违约条款。这一措施旨在确保目标公司在未来继续遵守数据合规要求,避免因数据合规问题给投资人带来损失。
对于融资方而言,数据合规尽调同样具有积极的意义。通过专项尽职调查,企业可以全面了解自身在数据合规方面的优势和不足,并制定相应的整改计划和措施。这些措施可能包括更新数据处理政策和程序、加强数据保护措施、提供员工培训和意识教育等。实施这些措施将有助于企业提升数据合规能力,降低法律风险,并增强投资者的信心,从而为企业获得融资创造有利条件。
04
特别提醒:
基于行业等的特殊数据合规要求
随着企业数据总量及流动性的高速发展,各类场景化方案逐步落地,数据安全市场已走上了发展的快车道,数据安全体系化、制度化建设均在蓬勃发展。但在我们享受数据高效处理、利用带来的便利的同时,也面临着许多风险挑战。例如,人工智能技术在与客户对话过程中可能会收集大量个人隐私信息,如果这些信息被滥用或泄露,将严重侵犯用户的隐私权,产生严重的负面影响;数据跨境流动越发频繁,中国企业因数据安全违规问题被国外处罚的事件屡见不鲜。全球对重要数据保护立法不断加强与收紧,如何在国与国之间平衡数据流通与安全问题、数据保护边界问题、数据主权问题等。
同时,对于汽车、医疗、金融等特殊行业,由于其业务特性,它们不仅是数据密集型行业的代表,更是敏感数据的汇聚之地。这些行业不仅承载了大量用户的核心信息,还涉及国家安全、个人隐私和企业商业机密等关键要素。因此,针对这些行业,特别制定了一系列严格的数据合规规定,以确保数据的合法、安全、有效使用。相关企业必须高度重视这些规定,不仅要在日常运营中严格遵守,还需不断加强数据保护意识,通过技术创新和管理优化,确保数据使用的合规性,为用户和社会创造更大的价值。下表中整理了适用于汽车、医疗、金融行业的部分相关法律法规,以供参考。
05
结语
随着数据合规监管力度不断加强,企业应充分认识到数据合规对于公司长期发展的重要性,并加强数据合规意识和能力建设,尤其对于主营业务与数据处理有关的公司而言,建立并执行相关数据合规制度,将数据合规纳入日常管理工作已变得至关重要。而在投融资交易中,建议投资方重视数据合规尽职调查,摸清目标公司的数据处理情况,并在交易文件中对发现的问题进行反馈;目标公司也应根据数据合规尽职调查结果及时整改所发现的问题,以确保经营的合规性并实现未来经营目标,最终实现投融资双方的共赢。
···作者简介···
王祺
合伙人律师
wangqi@zlwd.com
王祺律师,庆应义塾大学法学修士、北京交通大学法学学士,中伦文德律师事务所上海办公室合伙人,上海办公室网络安全与数据合规部负责人,九三学社社员,多地数据交易所合规评估服务登记律师,高级网络与信息安全工程师。
王祺律师多年来深耕数据合规、网络安全、电信、车联网及自动驾驶等先端法律领域,并在企业反腐败及合规调查、国际投资与贸易、公司日常法律服务等领域积累了丰富经验。
王祺律师曾为众多国内外知名企业提供法律服务,主要项目经验包括:在湖南省首例数据资产增信融资案件中提供合规评估服务(LegalOne Merits 评级案例)、在黑龙江首例国有企业数据资产挂牌上市和数据资产入表项目中提供合规评估服务、为某国外知名汽车供应商在中国开展自动驾驶、互联网服务等业务设计业务模式、提供合规建议;为多家大型国际集团公司提供数据合规梳理、整改、制度创设、数据出境支持等一站式服务;对多家大型企业的内部舞弊、公司失控等问题进行内部合规调查等。
王祺律师的工作语言是中文、日文及英文。
艾文婧
合伙人律师
艾文婧律师,香港大学社会学硕士、北京交通大学法学学士,北京市中伦文德律师事务所合伙人,2022年度LEGALBAND中国律界俊杰榜30强,中伦文德网络安全与数据合规专业委员会秘书长。
艾文婧律师擅长在传统企业投融资与数据合规交叉领域提供法律服务,为多家企业进行过数据合规培训、数据产品入市指导规划及数据合规尽职调查服务。主要项目经验有:在黑龙江首例国有企业数据资产挂牌上市和数据资产入表项目中提供合规评估服务、为国内知名数据产品运营公司提供合规建议;为某知名外资企业提供关于合规梳理、整改、制度创设、数据出境支持等一站式服务。
艾文婧律师的工作语言是中文、英文及粤语。
感谢实习生刘燕颖和吴蕙对本文的贡献。
推荐阅读
法评 | 数据出境系列文章之四——中国版标准合同规则与实操要点简析
法评 | 数据新纪元:数据资产化浪潮下的新篇章
法评 | 数据出境系列文章之三——《促进和规范数据跨境流动规定》要点解读与合规建议