最严数据法GDPR来袭,中国企业在欧盟的收购准备好了吗?
作者:王清华 施珵 沈晓禹 2020-02-182018年5月25日,被称为最严数据法保护法的欧盟《一般数据保护条例》( General Data Protection Regulation,以下简称“GDPR”)正式生效,其旨在通过对个人数据的处理与流动进行规范与约束,从而保护自然人的个人数据权利。GDPR将直接约束欧盟境内相关主体,无需通过欧盟成员国的国内立法予以转化。
随着该条例的颁布,数据方面的合规性得到各方的重视。然而,GDPR不仅仅在合规性方面对企业提出了要求,在并购方面也对收购方的并购活动产生重大影响。这是因为GDPR第3条确立了非常宽泛的管辖范围。GDPR第3条第2款规定:“本条例适用于如下相关活动中的个人数据处理,即使数据控制者或处理者不在欧盟设立:(a)为欧盟内的数据主体提供商品或服务——不论此项商品或服务是否要求数据主体支付对价;或(b)对发生在欧洲范围内的数据主体的活动进行监控。”据此,即使中国企业在欧盟境内没有任何商业存在,也依然可能受到GDPR的约束。这是因为中国企业在海外收购过程中往往需要展开尽职调查以了解目标公司的基本情况,尤其是展开人力资源相关的尽职调查。此外,GDPR第3条第1款规定:“本例适用于在欧盟内部设立的数据控制者或处理者对个人数据的处理,不论其实际数据处理行为是否在欧盟内进行。”由此,如果中国企业在欧盟任一成员国内完成新设子公司或者办事处、分公司,或者是在欧盟任一成员国内完成收购,则其在欧盟成员国内的子公司、办事处、分公司处理个人数据的行为都将会受到GDPR的调整。
鉴于GDPR宽泛的管辖范围,其对于中国企业在欧盟成员国内的并购活动将产生显著影响,中国企业需要非常谨慎待之。本文将思考GDPR如何适用于中国企业在欧盟成员国内的收购,浅析GDPR对中国投资者在欧盟收购活动的影响。考虑到国际投自流程一般包括尽职调查、估值、交易文件起草与谈判、签署、交割,本文将着重围绕该些方面展开讨论。
一、GDPR对尽职调查的影响 1、GDPR对尽调数据库(data room)设立的影响 尽职调查往往涉及对个人数据尤其是员工数据和客户数据的调查。因此收购方在建立尽调数据库时需要非常谨慎。一般而言,转让方习惯于非常谨慎对待上传至数据库的公司资料,尤其是要避免包含个人数据(主要是雇员数据)的信息上传至数据库。尽调资料数据库的提供商会被视为“数据处理者”,并与同样作为数据处理者的转让方签署相关协议,以明确强行法规定的保密义务、保护数据安全义务以及交割完成后删除义务。这也就要求转让方尽可能使用可靠的尽调数据库提供商。 中国企业需要注意的是,除了数据库提供商和转让方会被视为是“数据处理者”外,收购方也可能被视为是数据处理者,甚至是数据控制者。在此情形下,收购方也需要与转让方或数据库提供商签署协议明确约定保密义务、保护数据安全义务以及交割完成后删除义务。因此,尽调过程中,中国企业必须确保已经采取了相应的充分保护措施。 如果发生任何违反GDPR规定的情形(主要是指个人数据泄露情形),则数据控制者必须立即向监管机关作出报告,而且应当尽快且最迟自知道该泄露之时起72小时内通知监管机构,除非该个人数据的泄露不太可能对数据主体权利和自由造成风险。数据处理者必须自个人信息泄露后尽快通知数据控制者。此外,如果个人数据泄露可能对自然人的权利和自由造成高风险,则数据控制者应当立即就个人数据泄露与数据主体交流。 2、GDPR对尽职调查资料披露范围的影响 收购过程中,目标公司的雇员数据以及客户数据往往是收购方关注重点。但是,GDPR规定了非常广泛的个人数据定义,即个人数据包括任何指向一个已识别或可识别的自然人(数据主体)的信息。可识别的自然人信息是指可以通过参照如姓名、身份证号码、定位数据、地点、浏览历史、在线识别信息等,或通过一个或多个具体的物理的、生理的、基因的、精神的、经济的、文化的或社会的特征,直接或间接的识别自然人的信息。因此,随着GDPR的生效,将雇员数据以及客户数据提供给收购方和收购方的顾问都必须符合GDPR规定。 (1) 员工数据 交易过程中,收购方往往会关注员工的基本情况,尤其是员工的年龄、健康情况、工龄、教育程度、宗教信仰,以估算员工成本、了解员工构成情况。但是受限于GDPR的规定,这些员工信息可能都无法被收购方在尽职调查过程中获取。转让方必须尽可能将员工个人数据加以匿名化或掩盖,因此,实践中的做法往往是:(i)针对非核心员工,转让方往往是将空白劳动合同模板上传至尽调数据库中,或者是上传一些体现公司员工平均情况的表格,比如各部门的平均工资;(ii)针对核心员工,从合同中删除姓名和护照细节可能是不够的,因为他们在目标公司中的位置很容易识别。因此,实践中较妥的做法是,转让方在披露前通知核心员工,告知披露数据的目的,并征得每个核心员工的明确同意;同时根据尽职调查的目的尽最大可能编辑任何个人数据,并避免提供有关雇员的种族、政治立场、宗教信仰、社团成员、健康情况的相关个人敏感信息。实践中并不需要担心向核心员工披露潜在的并购交易事项,因为该些人员往往会参与到目标公司转让交易过程中。 (2) 自然人客户数据 如果目标公司开展B2C业务,则针对自然人客户的个人数据诸如年龄情况、所处地理位置以及偏爱产品类型或服务等信息都不得披露在尽调数据中。如必须披露客户个人数据,则往往取决于目标公司与客户之间达成的隐私政策是否包含在并购情况下允许披露的内容。实践中更多的做法是提供分析表等形式的标准合同和汇总数据,以避免披露客户数据。 如果实践中面临必须披露个人数据情况,还需要额外采取妥当的保护措施必须采取以显著减少任何不利影响,实践中主要的保护措施包括:仅允许特定人士取得相关个人数据的途径,确保相关的保密协议在披露前已经妥为签署。 3、增加尽职调查的内容——调查目标公司是否符合GDPR规定 GDPR要求企业必须审查数据处理的方式,建立保护数据的流程,包括报告数据泄露的情况,同时确保在保护个人数据时遵守相关法律要求。如被欧盟认定违反GDPR规定,则最高处罚金额可至2000万欧元或企业全球年营业额的4%,以较高者为准。这导致收购过程中,收购方需要调整其尽职调查的内容,深入尽调目标公司在GDPR方面是否存在合规风险。 中国企业在收购过程中应当对目标公司是否遵守GDPR作出充分的尽职调查,包括全面评估目标公司遵守GDPR的合规情况,了解目标公司如何收集、存储、使用和传输个人数据,以及任何个人数据泄露的详细历史情况,调查目标公司的经营是否依赖于对欧盟个人数据的不当使用,审阅目标公司的当前隐私政策或类似文件。尤其是,针对目标公司是否符合GDPR规定的尽职调查的内容应当包括如下几方面: (1) 目标公司是否任命了数据保护专员。 根据GDPR规定,如果数据处理由政府机关进行、控制者或处理者的核心活动是数据处理操作,或者是对特殊类别个人数据以及对有关刑事定罪和罪行的个人数据进行大规模处理的,则必须任命一名数据保护专员(Data protection officer)。 据此,银行、医院和保险公司很可能有义务任命一名数据保护专员。因此,在收购这些目标公司的交易过程中,需要尽调其是否指定数据保护专员。如果未能按照法律要求指定数据保护专员,可能会导致高达1000万欧元的行政罚款,或高达上一财年全球年营业额总额的2%,二者以较高者为准。 (2) 目标公司是否留存了数据处理记录 根据GDPR规定,各数据控制者、处理者以及数据控制代表有义务留存数据处理活动的记录,且应当包含:数据控制者、数据保护专员、控制者代表、数据处理者的姓名和联络信息,处理的目的、关于数据主体的信息、个人数据的类别、接收者的类别、向第三国的数据传输,以及保护数据的技术和组织安全措施的一般说明。 虽然GDPR规定,针对雇佣人数少于250人的企业或组织则不是必然承担相关留存数据处理记录,除非其进行的处理可能会对数据主体的权利和自由造成风险。然而,该等例外表述非常的模糊不清,因此,实践中建议无论是否可能适用例外情形,都应留存数据处理活动的记录。 (3) 目标公司是否采取了数据保护影响评估 此外,如果存在数据处理可能导致自然人权利和自由高风险的情形,则数据控制者需要在处理前开展数据评估影响。尤其是针对自然人个人情况进行系统而广泛的评估,对特殊种类数据或与刑事定罪和犯罪相关的个人数据进行大规模处理,以及对公共进行大范围系统监控的处理。因此,在收购银行、生物技术和生物识别领域的目标公司时,必须尽调相关目标公司是否开展了数据保护影响评估。 需要注意的是,与指定数据保护专员不同,企业规模不构成进行数据保护影响评估的例外。 (4) 目标公司是否采取了技术和组织措施 收购过程中,还应当对目标公司是否采取了恰当的技术和组织措施展开尽职调查。控制者和处理者应当实施恰当的技术和组织措施以确保处理行为符合GDPR要求。但是技术措施和组织措施是否妥当都只能基于个案分析做出判断。因此,尽职调查过程中往往需要IT专业人员参与,以展开彻底有效的尽职调查活动。 4、跨境数据转移 根据GDPR规定,除非相关个人的权利和自由得到充分保护,否则不得在欧洲经济区以外转移、存储或访问个人数据。据此,在收购过程中,如果尽调所用之虚拟数据库的服务器位于欧洲经济区之外或者潜在收购方位于欧洲经济区之外,则将面临跨境数据转移的问题。 尽职调查过程中,中国企业如注册在欧洲经济区之外,且作为收购方如期待取得与收购相关的个人数据,则转让方向其提供相关个人数据时,可能面临GDPR规定的数据跨境转移的问题,除非控制者和数据处理者已经根据GDPR第46条规定采取适当保障措施以保证个人权利和自由得到充分保护。 目前,在针对中国企业作为收购方的情形时,大多数转让方主要依靠以下方式来证明采取适当保障措施——转让是根据欧洲联盟委员会通过的示范合同进行的,这些合同为向欧洲经济区以外设立的实体转让数据提供了标准数据保护条款,而且必须逐字使用。同时建议收购过程中,收购方应当要求转让方采取可靠的虚拟数据库平台以上传资料。 二、GDPR对估值的影响 目前欧洲实践认为,对于具有GDPR合规性的公司可以期待取得额外的估值溢价。这是因为,整合数据保护规则以及重新设计处理流程以确保企业合规是非常琐碎和复杂的事情。如果目标公司改善了合规体系并采取了性价比高的实施计划,则可以获得估值溢价。 另一方面,GDPR的合规成本非常高。如果目标公司并未妥善采取措施以符合GDPR的合规要求,或者合规情况不好,或者在交割后目标公司将取得欧盟个人数据,则意味着收购方将面临潜在的GDPR合规风险,包括直到交易后才发现的网络安全漏洞可能会产生重大的财务影响,或者通过补救风险所需的额外投资,或者通过监管机构因客户、员工、供应商或其他敏感数据丢失而被执行罚款。收购方就需要在收购之后投入更多未知的成本(包括经济和时间成本)和措施以实现GDPR合规——企业需要从数据处理的各个环节入手进行合规自查与弥补,并构建起一套符合法律法规要求的数据合规体系。此外,对数据保护不合规的目标公司做出收购,可能会导致收购方承担责任,并引起收购方承担交割后违反GDPR的责任。所以,面对目标公司存在GDPR不合规情形,需要收购方在估值中加以考虑,并最终通过谈判反映在收购对价中。 再者,严格的GDPR规定还会对收购方再次使用数据的权利作出限制,这也就要求收购方在尽职调查过程中调查目标公司的经营是否依赖于对欧盟个人数据的使用。欧盟成员国比如德国最近的司法实践禁止在资产交易情形下,收购方不得使用转让方客户的邮件地址和电话号码,除非取得相关客户的同意。这种对个人数据的限制使用将显著影响目标资产的价值,因此在资产交易时,收购方应当在估值中予以考虑。 三、GDPR对交易文件起草的影响 1、GDPR对股权收购协议的影响 鉴于GDPR的高额处罚金,中国企业在收购过程中必须对隐私和数据安全相关的交易文件内容采取非常谨慎的措辞。起草交易文件过程中,收购方需要关注在交易文件中,转让方针对数据安全和隐私是如何做出陈述保证条款的,并且依据尽职调查结果予以一一核对。 一般而言,收购方需要转让方的陈述保证涵盖如下几点: (i). 目标公司的数据系依法收集; (ii). 不存在潜在的或未决数据安全事件; (iii). IT工具的使用可确保数据保护并确保数据主体的安全访问; (iv). 与目标公司自身数据安全及其处理者(如果目标公司是控制者的情况下)数据安全相关的审计和检查措施已妥为采取; (v). 采取了GDPR以及其他可适用的隐私和数据安全保护法规定的合规手段; (vi). 采取了适当措施确保数据主体得以有效行使GDPR规定的权利; (vii). 目标公司与第三方共享数据或由第三方向目标公司共享数据的安排君已经充分完整披露。 其次,交易文件中,针对尽调中发现的需要在交割前解决的数据安全风险,需要列入交割先决条件或者承诺条款中,比如可以要求转让方在交割前取得待转让个人数据的数据主体(比如员工、上游供应商、下游消费者)同意或发出征询函列为交割先决条件。 此外,收购方也应当注意数据相关的赔偿条款包括责任上限、延长数据保护相关的诉讼时效期间、数据处理者或其他第三方数据处理者的潜在责任,以及交割前承诺,以尽力促使或确保目标公司在交割时处于合规状态。 2、GDPR对附属协议的影响 对于有些主要涉及个人数据业务的目标公司,除了股权收购协议外,收购方还需要准备有关个人数据处理的附属协议,其中最重要的是交割后数据整合相关的过渡期服务协议。 过渡期服务协议一般由转让方与收购方签署。转让方作为数据控制者,收购方作为数据处理者,以要求转让方协议收购方进行数据整合和迁移工作。针对过渡期服务协议的内容,主要需要注意如下几点:一是,由于中国投资者的收购活动往往会涉及到数据的跨境转移,因此,在过渡期服务协议中还需要规定相应的数据安全保障措施;二是,过渡期服务协议需要规定收购方承担数据控制者的权利与义务。这是因为可能会出现收购方代表转让方处理个人数据的情况。比如收购完成后目标公司收到产品销售相关消费者的投诉,虽然这些消费者购买产品的行为是在收购完成前发生的,但是相关投诉却需要收购方来处理;三是,过渡期服务协议需要规定在过渡期结束时转让方应如何处理相关的个人数据。 四、GDPR对交割后的影响 收购完成后,中国企业需要重视GDPR合规要求,加强对数据保护违规行为的防范措施,尤其是在交割后应优先考虑内控机制、风险管理和治理、技术网络安全强化和网络防御规划等领域,包括但不限于针对尽调中发现的合规风险采取补救措施、定期进行数据审计与风险评估、设计数据安全权限制度、对员工进行合规培训。 此外,中国企业作为收购方还需要注意两点:一是收购方在交割完成后处理目标公司数据时,需要继续按照收购前目标公司的隐私政策处理数据。如果收购方希望实施任何新的处理方式,则必须更新隐私政策并征得目标公司新的同意包括目标公司客户、员工等等数据主体同意;二是将目标公司的员工和信息系统整合至收购方集团组织中,尤其是在资产交易中,这往往引起大量个人数据向第三方转移的问题。由于中国企业作为收购方,相关的个人数据转移至中国的话,则可能面临合规风险。因此,中国企业必须证明其采取了充分的保障措施。 五、小结 考虑到在欧盟的并购中交易双方所涉及的行业领域和区域范围甚广,其相关数据处理行为很有可能会触发GDPR的管辖规定,尤其是针对收购B2C企业、互联网科技企业、游戏公司、银行保险等金融企业、卫生医疗企业、酒店旅游业企业、零售业的情况。 一是,要充分重视目标公司GDPR合规性的尽职调查。鉴于不遵守数据法律带来的更大风险和更高的罚款,实现和维护GDPR合规性的合规成本也变得非常高,因此,中国企业在整个并购交易过程中以及并购后的重组运营中都需要时刻关注个人数据保护的合规性问题。鉴于此,充分展开尽职调查非常关键。部分中国企业可能会考虑到尽调费用,而不愿意就GDPR的合规情况聘请顾问展开尽调。但是,如果对GDPR的合规情况不采取全面尽调,则可能在交易中面临重大风险,进而可能导致巨额罚款——即全球营业额的4%或2000万欧元中的较高者。所以,对于中国企业在欧盟收购活动而言,澄清目标企业是否遵守GDPR应当构成尽职调查的重要部分,因为GDPR的实施将加重企业的合规义务,这直接的后果反映在合规成本上。 此外,收购方也可要求转让方使用安全、信誉良好的且服务器在欧洲经济区境内的尽调资料数据库提供商。 二是要尽早聘请专业顾问团队。考虑到GDPR对并购方的影响,建议中国企业应当尽早聘请专业顾问团队以确保并购活动的合规性,同时发现目标公司存在的合规风险。通过品质专业团队展开尽职调查,起草交易文件,以实现发现不合规的风险,并通过交易文件起草与谈判预防或减少相关风险,或在交易文件中要求赔偿机制。 如果发现目标公司不满足合规要求,则中国企业应当在专业团队的辅助下寻求解决方案,至少应当包括:(i)评估合规成本,通过谈判尽力从交易对价中扣除;(ii)作为交割先决条件;(iii)要求收购方在陈述保证条款中作出已经采取适当措施保护个人数据免收泄露以及遵守了GDPR规定;(iv)交易文件中应包含与数据保护违规相关的具体赔偿条款,以补偿因目标公司违反GDPR规定导致的损失。