引言

近些年來，隨著大數(shù)據(jù)、人工智能、云計算和區(qū)塊鏈等數(shù)字技術的不斷演進和創(chuàng)新，企業(yè)逐漸開始進行數(shù)字化轉型。一方面，通過數(shù)字化手段，企業(yè)能夠實現(xiàn)貿易成本的顯著降低，業(yè)務效率的大幅提升，以及商業(yè)主體的多元化。另一方面，數(shù)據(jù)已經成為貿易中的一項重要資源和交易對象，業(yè)務出海、數(shù)據(jù)出境以及數(shù)據(jù)回流等剛性需求不斷增長，數(shù)據(jù)資產占企業(yè)總資產的比重越來越大，全球范圍內的數(shù)據(jù)跨境流動已經成為驅動經濟運行的關鍵性因素。與此同時，數(shù)據(jù)的跨境流動也引發(fā)了全球范圍內的監(jiān)管和治理問題，全球主要國家和地區(qū)均在積極建立、健全和強化數(shù)據(jù)跨境流動的治理和監(jiān)管，企業(yè)面臨越來越嚴格的數(shù)據(jù)合規(guī)和數(shù)據(jù)跨境流動要求，數(shù)據(jù)泄露、隱私侵犯以及知識產權糾紛等數(shù)據(jù)風險均可能對企業(yè)造成重大損失。

密切關注國內外的數(shù)據(jù)跨境規(guī)則，協(xié)助企業(yè)識別、控制和消除數(shù)據(jù)合規(guī)風險，是開展投資并購盡調的重要內容。本文將以投資并購交易為背景，簡要說明不同國家和地區(qū)的數(shù)據(jù)跨境流動規(guī)則，梳理我國目前關于數(shù)據(jù)安全和數(shù)據(jù)跨境流動的監(jiān)管體系，重點介紹開展數(shù)據(jù)跨境流動合規(guī)盡調的關注要點及應對策略，為企業(yè)建立完善的數(shù)據(jù)合規(guī)治理體系提供參考思路。

一、 不同國家和地區(qū)關于數(shù)據(jù)跨境流動的監(jiān)管規(guī)則

根據(jù)國際組織、其他國家對跨境數(shù)據(jù)流動的管理制度，以及我國國家網(wǎng)信辦頒布的《數(shù)據(jù)出境安全評估申報指南（第一版）》，數(shù)據(jù)出境行為包含數(shù)據(jù)處理者向境外提供數(shù)據(jù)、境外主體從境外訪問數(shù)據(jù)和其他出境行為。不同國家和地區(qū)對于數(shù)據(jù)跨境流動的監(jiān)管態(tài)度和監(jiān)管體系不盡相同，充分了解不同國家和地區(qū)的數(shù)據(jù)跨境流動規(guī)則，是開展跨境交易盡調的重要前提。

（一）歐盟

在歐盟內部，個人數(shù)據(jù)可以自由流動，但原則上不得向歐盟以外的第三國或者其他國際組織傳輸，除非通過“充分性認定”、“適當保障措施”或“例外豁免情形”三種合規(guī)路徑之一進行。充分性認定只能適用于“白名單”上的特定國家或地區(qū)，如數(shù)據(jù)保護水平與歐盟相當，被歐委會被列入“白名單”，個人數(shù)據(jù)即可自由地從歐盟傳輸至該國家或地區(qū)。如果需將歐盟數(shù)據(jù)傳輸至“白名單”以外的國家或地區(qū)，可對傳輸行為提供適當?shù)谋Ｕ洗胧?，主要包括制定約束性企業(yè)規(guī)則（Binding Corporate Rules, “BCRs”）、簽訂標準合同條款（Standard Contractual Clauses, “SCCs”）、遵循經批準的行為準則（Approved Codes of Conduct, “CoC”）或者基于經批準的認證機制（Approved Certification）進行傳輸?shù)?。在充分性認定和適當保障措施均無法適用的情況下，數(shù)據(jù)傳出方可判斷數(shù)據(jù)跨境傳輸是否屬于特定情形下的豁免，如數(shù)據(jù)主體明確同意、為履行與數(shù)據(jù)主體的合同需要、為實現(xiàn)公共利益需要等等。

（二）美國

美國互聯(lián)網(wǎng)企業(yè)在全球市場中占據(jù)主導地位，具有明顯的競爭優(yōu)勢。因此美國在國際層面積極倡導數(shù)據(jù)跨境自由流動，反對對數(shù)據(jù)跨境施加不必要的限制，通過簽署更加開放自由的貿易協(xié)定拓展國際市場。在國內層面，為遏制競爭對手并維護技術霸權，美國以國家安全為由，嚴格限制數(shù)據(jù)跨境，如嚴格限制新型技術和數(shù)據(jù)的出口、對涉敏感個人數(shù)據(jù)交易進行外國投資安全審查、禁止科技公司向任何特別關注國家進行直接或間接的數(shù)據(jù)傳輸?shù)取?/span>

（三）日本

在國際層面，日本積極參與多雙邊數(shù)據(jù)跨境協(xié)定，探索建立可信賴且自由的數(shù)據(jù)流動機制。在國內層面，日本現(xiàn)行數(shù)據(jù)跨境政策具有靈活性，辦理個人信息出境以事先取得個人信息主體的同意為原則，以不需要取得同意為例外。例外情形主要包括向白名單國家出境個人信息，以及向已經建立了符合日本法保護標準的個人信息保護機制的接收方出境個人信息。

（四）新加坡

在國際層面，新加坡尋求數(shù)據(jù)自由流動與高水平數(shù)據(jù)保護的平衡。在國內層面，新加坡關于數(shù)據(jù)跨境的規(guī)定主要集中于《個人數(shù)據(jù)保護法》（Personal Data Protection Act，“PDPA”）和《個人數(shù)據(jù)保護條例》（Personal Data Protection Regulations，“PDPR”）。PDPA要求數(shù)據(jù)傳輸方確保數(shù)據(jù)接收方對傳輸?shù)膫€人數(shù)據(jù)提供至少與PDPA同等的保護，否則不得進行數(shù)據(jù)的跨境傳輸。

二、 我國數(shù)據(jù)安全及跨境流動監(jiān)管體系

（一）國際層面

迄今為止，在我國參與的自由貿易協(xié)定中，內容最豐富的數(shù)字貿易規(guī)則為2020年11月15日簽署的《區(qū)域全面經濟伙伴關系協(xié)定》（Regional Comprehensive Economic Partnership, “RCEP”），RCEP的簽署標志著我國在個人信息保護、數(shù)據(jù)跨境流動、計算設施位置等重要問題上與各締約國達成了共識。基于各締約國數(shù)字貿易發(fā)展程度的差異，RCEP在數(shù)據(jù)跨境流動規(guī)則上采取開放性制度設計，兼顧各國利益沖突的協(xié)調。原則上禁止締約國對數(shù)據(jù)跨境流動進行限制，但設置了“公共政策目標”和“基本安全利益”的例外條款。目前RCEP并未明確“公共政策目標”和“基本安全利益”的適用標準和解釋口徑，實踐中締約國是否能夠援引該條款限制數(shù)據(jù)跨境流動，存在一定的不確定性。

（二）國內層面

我國目前已初步形成了以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心，《關鍵信息基礎設施安全保護條例》《數(shù)據(jù)出境安全評估辦法》等為補充和重點領域專門規(guī)范的規(guī)則體系，確立了數(shù)據(jù)“本地儲存+出境評估”的監(jiān)管模式，為網(wǎng)絡安全、數(shù)據(jù)安全、個人信息安全和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)流動提供保障。針對數(shù)據(jù)跨境流動涉及的不同主體和不同數(shù)據(jù)類型，制定不同的規(guī)制措施。

          1. 關鍵信息基礎設施運營者（Critical Information Infrastructures Operators,“CIIO”）

《網(wǎng)絡安全法》第三十七條規(guī)定，“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定”。關于CIIO如何認定，截至目前，有關部門暫未公布行業(yè)內CIIO的認定規(guī)則或清單?！毒W(wǎng)絡安全法》第三十一條明確了關鍵信息基礎設施（Critical Information Infrastructures, “CII”）的要素，即關乎國家安全、國計民生、公共利益等重要因素，但并未明確CIIO的范圍和認定方式。因此，實踐中企業(yè)可參考《網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例》中規(guī)定的CII認定要素，衡量判斷自身是否構成CIIO：一是網(wǎng)絡設施、信息系統(tǒng)等對于本行業(yè)、本領域關鍵核心業(yè)務的重要程度；二是網(wǎng)絡設施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；三是對其他行業(yè)和領域的關聯(lián)性影響。

        2. 重要數(shù)據(jù)

根據(jù)《數(shù)據(jù)安全法》第三十一條，結合《網(wǎng)絡安全法》《數(shù)據(jù)出境安全評估辦法》等規(guī)定，數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)以及CIIO在我國境內運營中收集和產生的重要數(shù)據(jù)，應按規(guī)定申報出境安全評估。基于此，我國建立了對特定行業(yè)進行差異化管理的數(shù)據(jù)跨境流動規(guī)則體系，在汽車、金融、醫(yī)療等行業(yè)分別對特定數(shù)據(jù)的跨境傳輸提出了不同要求。如目標公司所屬行業(yè)暫未頒布重要數(shù)據(jù)的識別標準，可參考《數(shù)據(jù)出境安全評估辦法》第十九條和全國信息安全標準化技術委員會發(fā)布的《信息安全技術 重要數(shù)據(jù)識別指南》（征求意見稿）等識別重要數(shù)據(jù)。

        3. 個人信息

2021年8月公布的《個人信息保護法》第三章專章規(guī)定了個人信息跨境提供的規(guī)則。該法第三十八條至第四十條確立了不同個人信息處理主體的分類監(jiān)管模式，即區(qū)分普通的個人信息處理者、CIIO和處理個人信息達到一定數(shù)量的個人信息運營者。對于普通的個人信息處理者，應當具備安全評估/專業(yè)機構認證/標準合同條件之一。對于CIIO和處理個人信息達到一定數(shù)量的個人信息運營者，均應當遵循“本地儲存+出境評估”的要求。

三、 投資并購中數(shù)據(jù)跨境的盡調關注要點及應對策略

（一）投資并購中開展數(shù)據(jù)合規(guī)盡調的重要性

在跨國投資并購中，數(shù)據(jù)跨境傳輸是不可避免的環(huán)節(jié)，實踐中目標公司和收購方因數(shù)據(jù)風險遭受處罰和經濟損失的情形頻頻發(fā)生，如某知名酒店在對目標公司進行盡職調查的過程中并未發(fā)現(xiàn)目標公司已經存在的系統(tǒng)漏洞，導致其在收購完成后因目標公司的信息泄露事件受到數(shù)億元的罰款。

從收購方角度看，在盡職調查階段識別和發(fā)現(xiàn)潛在的網(wǎng)絡安全和數(shù)據(jù)合規(guī)風險，將有助于收購方對目標公司的股權或者資產價值作出準確的估值，進而調整收購價格和并購交易的結構。目標公司的主營業(yè)務與數(shù)據(jù)的關聯(lián)性越強，或者目標公司的數(shù)據(jù)資產占總資產的比重越大，目標公司股權或資產的價值受到數(shù)據(jù)合規(guī)問題的影響就越大。如果數(shù)據(jù)資產的風險敞口過大，可以選擇提前剝離此部分數(shù)據(jù)資產，或者及時調整交易安排，提出更加嚴苛的收購條件，壓低收購價格，甚至終止交易。

從目標公司角度看，在并購開始前委托專業(yè)的外部機構開展數(shù)據(jù)合規(guī)盡職調查，有利于提前發(fā)現(xiàn)數(shù)據(jù)合規(guī)風險，及時采取整改措施降低或者封閉風險敞口，提升股權或資產估值，爭取到更加優(yōu)厚的出售條件。避免在并購進入實質性接觸階段發(fā)生數(shù)據(jù)安全“暴雷”，使得目標公司處于不利地位。同時在后續(xù)的經營過程中，也可以規(guī)避可能由數(shù)據(jù)合規(guī)問題引發(fā)的一系列連鎖反應，如因數(shù)據(jù)泄露面臨的民事賠償、行政處罰、刑事責任或者影響目標公司上市進程等。

（二）投資并購中開展數(shù)據(jù)合規(guī)盡調的關注要點

數(shù)據(jù)合規(guī)盡職調查除公開方式核查、文件審閱和人員訪談等常規(guī)方法外還涉及技術調查，如開展“網(wǎng)絡平臺穿行測試”等特別手段。除常規(guī)法律盡職調查所關注的內容外，進行數(shù)據(jù)合規(guī)盡調主要關注以下三個方面的內容：（1）數(shù)據(jù)處理全生命周期的合法合規(guī)性；（2）數(shù)據(jù)安全和網(wǎng)絡安全的內控制度；（3）網(wǎng)絡和數(shù)據(jù)安全事件、事故和漏洞及合規(guī)問題引發(fā)的爭議、行政處罰、訴訟等。

1.  目標公司的基本情況

了解目標公司的業(yè)務模式，核查公司運營過程中可能涉及數(shù)據(jù)安全、數(shù)據(jù)跨境流動的環(huán)節(jié)，是進行數(shù)據(jù)合規(guī)盡職調查的前提條件。

1.1  目標公司業(yè)務模式和主營業(yè)務：判斷所屬行業(yè)，識別業(yè)務中的數(shù)據(jù)跨境場景和數(shù)據(jù)處理者角色，確定目標公司是否可能構成CIIO或處理個人信息達到一定數(shù)量的運營者，并進一步確定該行業(yè)是否涉及特殊數(shù)據(jù)監(jiān)管規(guī)則，是否具有特殊的數(shù)據(jù)出境要求。

以汽車行業(yè)為例，《汽車數(shù)據(jù)安全管理若干規(guī)定》對汽車數(shù)據(jù)進行了列舉。《信息安全技術 網(wǎng)絡預約汽車服務數(shù)據(jù)安全要求》要求，網(wǎng)約車服務提供者的數(shù)據(jù)出境應對出境行為進行監(jiān)測，如對租用的網(wǎng)絡鏈路進行出境流量分析、對服務APP與境外網(wǎng)絡通信行為進行檢測分析等，以及根據(jù)發(fā)展運營情況，每年應自行或委托第三方機構至少進行一次數(shù)據(jù)出境風險評估等。

1.2  目標公司內部系統(tǒng)的使用情況：內部系統(tǒng)的運維主體，服務器所在地，設立目的和功能，使用人及訪問人等。

1.3  目標公司相關平臺網(wǎng)站（包括APP、小程序、公眾號、網(wǎng)站等）：平臺網(wǎng)站的設立目的和功能，數(shù)據(jù)收集的目的、范圍、使用等，隱私政策和用戶協(xié)議等。

2. 數(shù)據(jù)處理全生命周期的合法合規(guī)性

2.1  數(shù)據(jù)的收集

核查數(shù)據(jù)的類型、來源、數(shù)量、敏感程度、方式等，是否屬于個人信息、敏感個人信息、未成年人個人信息、重要數(shù)據(jù)或核心數(shù)據(jù)，是否為從第三方處獲取的數(shù)據(jù)。

2.1.1  對目標公司直接收集的數(shù)據(jù)，需核查數(shù)據(jù)獲取方式的合法性和正當性。如是否涉及用爬蟲技術獲取相關數(shù)據(jù)、是否取得個人信息主體的同意或授權、是否超出必要限度收集與提供的服務/產品無關的個人信息等。

2.1.2  對目標公司從第三方處獲取的數(shù)據(jù)，需核查第三方獲取及轉讓數(shù)據(jù)的合法合規(guī)性。如目標公司的數(shù)據(jù)采購、第三方的數(shù)據(jù)來源、獲取和使用方式是否合規(guī)等。

2.1.3  如果目標公司涉及個人信息的收集，需重點核查是否遵循“同意、合理、最小化”三原則，如目標公司是否明確告知、是否已經取得個人的明確同意、是否在個人授權的范圍內收集、是否限于實現(xiàn)處理目的之最小范圍收集、是否提供撤回同意的渠道、是否向個人提供查詢/更正/補充/刪除個人信息的渠道、是否告知個人信息的保存期限等。

2.2  數(shù)據(jù)的存儲

2.2.1  目標公司存儲數(shù)據(jù)的方式（自行存儲/委托第三方存儲）、存儲數(shù)據(jù)的位置（境內存儲/境外存儲）、存儲期限屆滿后的處理方式、收集到的數(shù)據(jù)能否境外存儲。

2.2.2  目標公司是否對數(shù)據(jù)進行了分類分級，是否備份，是否對特殊數(shù)據(jù)采取了充分的安全保護措施。對重要數(shù)據(jù)和個人信息是否脫密或加密處理，是否設置了數(shù)據(jù)隔離、訪問限制和權限管理。

2.2.3  是否取得數(shù)據(jù)主體的同意，存儲是否超過必要限度。

2.3  數(shù)據(jù)的使用、加工、傳輸、提供、公開

2.3.1  數(shù)據(jù)的使用方式、使用范圍：是否符合數(shù)據(jù)主體的授權范圍。

2.3.2  數(shù)據(jù)的出境：是否因業(yè)務需要等正當理由向境外第三方提供、共享或委托處理數(shù)據(jù)。如存在相關情形，應當關注以下內容。

（1） 擬出境數(shù)據(jù)的情況：屬于何種數(shù)據(jù)類型（重要數(shù)據(jù)/核心數(shù)據(jù)、個人信息及敏感信息），數(shù)據(jù)出境的規(guī)模和范圍，評估數(shù)據(jù)是否達到需申報安全評估的數(shù)量要求；目標公司內部是否已就數(shù)據(jù)出境等行為進行了審批，是否已經過監(jiān)管機關備案或授權、是否滿足所涉行業(yè)的特殊監(jiān)管規(guī)則；是否對境外主體訪問境內數(shù)據(jù)設有隔離、限制和權限管理等措施。涉及個人信息的，是否已向個人告知接收方的名稱或姓名、聯(lián)系方式、處理目的、處理方式和個人信息的種類，是否已征得個人的單獨同意。

（2） 境外接收方的情況：境外接收方所在的國家或地區(qū)相關數(shù)據(jù)安全保護規(guī)定和網(wǎng)絡安全環(huán)境；境外接收方的數(shù)據(jù)安全責任人和數(shù)據(jù)安全保護責任義務內容，其履行責任義務的管理、技術措施和能力等能否保障數(shù)據(jù)跨境的安全，以充分評估其數(shù)據(jù)安全的保護水平是否符合我國相關法律規(guī)定和強制性標準；境外接收方是否具備數(shù)據(jù)跨境傳輸和處理的相關經驗，是否曾發(fā)生數(shù)據(jù)安全和網(wǎng)絡安全相關事件，以及其是否進行了及時有效的處置、是否曾收到所在國家或地區(qū)要求其提供數(shù)據(jù)的請求及其應對情況。

需注意，未經我國主管機關批準，企業(yè)不得向外國司法或執(zhí)法機構提供存儲于我國境內的數(shù)據(jù)，向外國司法或執(zhí)法機構傳輸數(shù)據(jù)，并不屬于數(shù)據(jù)安全義務豁免的情形。

（3） 數(shù)據(jù)出境涉及的相關法律文件：是否簽署數(shù)據(jù)跨境轉移協(xié)議、告知書等，通過核查相關法律文件的條款，判斷數(shù)據(jù)出境的目的、范圍、方式等的合法性、正當性、必要性。如數(shù)據(jù)境外保存地點、期限；達到保存期限、完成約定目的或者法律文件終止后出境數(shù)據(jù)的處理措施；境外接收方將出境數(shù)據(jù)再轉移給其他組織、個人的約束性要求。

（4） 數(shù)據(jù)出境應當履行的必要程序：符合法律規(guī)定的重要數(shù)據(jù)或個人信息出境是否履行了自評估（數(shù)據(jù)出境風險自評估、個人信息保護影響評估）、安全評估申報等程序；目標公司及境外接收方是否留存了相應的日志記錄。

（5） 數(shù)據(jù)出境中和出境后到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等的風險，個人信息權益維護的渠道是否通暢等。

3. 數(shù)據(jù)安全和網(wǎng)絡安全的內控制度

核查目標公司是否建立了網(wǎng)絡和數(shù)據(jù)安全管理制度、個人信息安全和保護制度、合作方管理制度，是否配備了相關組織人員，是否對可能發(fā)生的數(shù)據(jù)安全事件設置了應急預案和應對措施等。

4. 網(wǎng)絡和數(shù)據(jù)安全事件、事故和漏洞及合規(guī)問題引發(fā)的爭議、行政處罰、訴訟等

關注目標公司歷史上發(fā)生的數(shù)據(jù)安全和網(wǎng)絡安全問題，是否曾因違反《數(shù)據(jù)安全法》等遭受調查、行政處罰、訴訟、仲裁等，是否及時采取了相應整改措施，進一步分析相關事件可能引發(fā)的法律風險和經濟損失。關注目標公司目前是否仍存在導致同類爭議、行政處罰、訴訟、仲裁等事件發(fā)生的情況。

此外，在進行數(shù)據(jù)跨境合規(guī)盡職調查時，目標公司向律師提供的材料文件等的傳輸，也可能涉及數(shù)據(jù)的跨境流動問題，交易各方可通過簽署數(shù)據(jù)分享協(xié)議，確保相關數(shù)據(jù)的安全性和保密性，明確提供該等數(shù)據(jù)的目的、范圍和處理方式等，并約定在交易的相應階段有關方按照目標公司要求及時刪除、銷毀該等數(shù)據(jù)。

（三）如何規(guī)避投資并購交易中的數(shù)據(jù)合規(guī)風險

1.  陳述與保證條款

在制作交易文件時，可以基于對目標公司數(shù)據(jù)跨境的盡調情況，設置如下陳述與保證條款。

1.1  目標公司已遵守關于數(shù)據(jù)安全、網(wǎng)絡安全和個人信息保護的全部法律法規(guī)（包括但不限于中國法律規(guī)定、境外接收地法律規(guī)定）、合同義務。

1.2  目標公司處理數(shù)據(jù)的全生命周期（包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等）均合法合規(guī)，包括但不限于告知、獲取必要的同意及完成必要的審批、備案、評估。

1.3  目標公司已依照監(jiān)管要求建立相關內控制度并采取相應保護措施，以確保數(shù)據(jù)和網(wǎng)絡安全，防止數(shù)據(jù)遭到篡改、破壞、泄露、丟失、轉移或者被非法獲取、非法利用等風險。

1.4  目標公司不存在/已披露與數(shù)據(jù)合規(guī)相關的現(xiàn)有和潛在的爭議、訴訟、索賠、政府調查以及數(shù)據(jù)安全事件。

1.5  著重強調與目標公司所涉行業(yè)相關的數(shù)據(jù)合規(guī)要點。以汽車行業(yè)為例，可要求目標公司、實控人承諾就汽車重要數(shù)據(jù)的處理，已遵循汽車數(shù)據(jù)處理者相關原則，已通過適當方式向個人信息主體告知相關事項，已按照規(guī)定開展風險評估，并向網(wǎng)信部門和有關部門報送風險評估報告和年度汽車數(shù)據(jù)安全管理情況等。

2. 交割先決條件或交割義務

2.1  個人信息方面。在針對目標數(shù)據(jù)的資產收購中，如果目標數(shù)據(jù)中包含個人信息（例如賣方將相關業(yè)務整體出售并將相關員工轉移給買方，或賣方從事酒店、電商等面向個體消費者的行業(yè)等情形），買方可要求將賣方取得員工/用戶/客戶等個人信息主體的同意作為交割先決條件或交割后義務，雙方可通過與個人信息主體的交互界面設計、相關告知文案通知以及溝通釋疑渠道設置等，促使個人信息主體同意。在股權收購當中，因兼并、重組等原因需要轉移數(shù)據(jù)的，企業(yè)也應當以合適的方式通知受影響的個人。因業(yè)務需要等正當原因確需改變數(shù)據(jù)處理目的、范圍和方式的，應重新征得個人同意。

例如，2019年美團全資收購摩拜，并將摩拜全面接入美團APP。在數(shù)據(jù)融合實施前，美團和摩拜通過彈窗發(fā)布“賬號融合用戶確認函”的方式，明確告知用戶將實現(xiàn)賬號互通并獲得用戶同意。

2.2  重要數(shù)據(jù)、核心數(shù)據(jù)或特定身份方面。如果目標公司涉及核心數(shù)據(jù)或重要數(shù)據(jù)處理，或目標公司具有特定身份（如CIIO等），可將完成特定的審批、備案或評估手續(xù)作為交割先決條件或交割后義務。

例如，在新能源收并購項目中，電力行業(yè)企業(yè)因能源行業(yè)的特性，被能源主管部門認定CIIO的可能性較大，但電力行業(yè)尚未出臺有關本行業(yè)的重要數(shù)據(jù)目錄，在盡調過程中可協(xié)同企業(yè)技術人員研判相關氣象數(shù)據(jù)、電站運營技術數(shù)據(jù)等是否屬于重要數(shù)據(jù)或核心數(shù)據(jù)，從而確定是否需要申報數(shù)據(jù)出境安全評估等等。站在投資方角度，若通過盡調發(fā)現(xiàn)目標公司確需進行數(shù)據(jù)出境安全評估的，建議將該等評估的完成作為交割先決條件，以確保實現(xiàn)并購目的，避免被處罰的風險。

2.3  數(shù)據(jù)安全事件、訴訟處罰方面。如果買方在盡職調查過程中發(fā)現(xiàn)了數(shù)據(jù)安全事件或漏洞、相關重大訴訟、監(jiān)管問詢、行政處罰等，可將賣方或目標公司完成對數(shù)據(jù)安全問題的處理、整改作為交割先決條件，或者要求賣方在交割前將具有重大數(shù)據(jù)安全問題或隱患的相關資產剝離出目標公司。

2.4  如果盡調中發(fā)現(xiàn)目標公司內控制度瑕疵等其他重要數(shù)據(jù)合規(guī)問題，買方如認為有必要要求賣方或目標公司在交割前進行整改，則可將有關數(shù)據(jù)合規(guī)義務作為交割先決條件。

應當注意，前文提到的與數(shù)據(jù)合規(guī)相關的義務具體作為交割先決條件還是交割后義務，需要結合實現(xiàn)相關數(shù)據(jù)合規(guī)義務的預估時間和難度、相關數(shù)據(jù)合規(guī)義務的重要性等因素綜合考慮。

3. 賠償責任

如果目標公司違反數(shù)據(jù)合規(guī)相關的陳述與保證、交割義務或其他合同責任，目標公司可能會承擔民事責任（侵權之訴或違約之訴）、行政責任（尤其是上市公司）、甚至是刑事責任（例如拒不履行信息網(wǎng)絡安全管理義務罪、侵犯公民個人信息罪等）。為了避免該等風險，買方可要求在交易文件中約定數(shù)據(jù)合規(guī)相關的賠償責任條款。一旦賣方或目標公司違反其數(shù)據(jù)合規(guī)相關的陳述與保證、交割義務或其他合同責任致使買方遭受任何損失，買方可基于該等賠償責任條款向賣方或目標公司索賠。

對于賣方來說，可以對買方要求的賠償責任設置一些限制，例如只對買方的直接損失負責、設置賠償額上限、設置起賠額、設置索賠期限等，以避免賠償責任的無限放大。

四、 企業(yè)建立內部數(shù)據(jù)合規(guī)治理體系的思路

對企業(yè)而言，不僅是投資并購的盡調階段，在完成投資并購交易后的整合階段以及后續(xù)的日常經營活動中，均不能忽視數(shù)據(jù)跨境的合規(guī)性。企業(yè)有必要建立內部數(shù)據(jù)合規(guī)治理體系，定期或不定期開展內部數(shù)據(jù)合規(guī)情況調研。本文以跨國汽車企業(yè)為例，對其數(shù)據(jù)跨境提出一些具有參考性的合規(guī)建議。

第一，結合企業(yè)的實際運營模式，識別企業(yè)數(shù)據(jù)跨境傳輸場景和活動，明確數(shù)據(jù)監(jiān)管要點。跨國車企收集到的數(shù)據(jù)包括但不限于車輛自身的數(shù)據(jù)、用戶數(shù)據(jù)和外部環(huán)境數(shù)據(jù)，數(shù)據(jù)跨境的典型場景包括但不限于將車內傳感器、車載及手機APP等收集到的數(shù)據(jù)傳輸并存儲至境外或通過云端進行境外遠程訪問。

第二，結合業(yè)務分布情況，梳理所涉國家或地區(qū)的數(shù)據(jù)跨境法律規(guī)則，識別禁止出境的數(shù)據(jù)類型、限制出境的數(shù)據(jù)類型以及可以傳輸?shù)臄?shù)據(jù)類型，制定企業(yè)數(shù)據(jù)分類分級清單，進一步確認適用的數(shù)據(jù)出境路徑。就我國跨境數(shù)據(jù)監(jiān)管規(guī)則而言，個人信息和重要數(shù)據(jù)面臨不同的出境合規(guī)要求，汽車行業(yè)是較早明確了重要數(shù)據(jù)范圍的行業(yè)之一。在識別數(shù)據(jù)性質的同時，判定境內數(shù)據(jù)處理者是否存在特定身份，是否為CIIO或處理100萬人以上個人信息；是否自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息。在完成上述數(shù)據(jù)性質識別、數(shù)據(jù)處理者身份識別的基礎上，汽車企業(yè)可進一步判斷適用的數(shù)據(jù)出境路徑。如果數(shù)據(jù)性質或數(shù)據(jù)處理者身份存在以上任一情形，則應當適用官方評估路徑；如果不存在上述情形，但出境數(shù)據(jù)中包含個人信息，則應當適用認證路徑或標準合同路徑。

第三，對標監(jiān)管要求對企業(yè)全跨境場景進行風險評估，參考監(jiān)管規(guī)則、國際標準和同行業(yè)實踐，進行企業(yè)內部數(shù)據(jù)跨境合規(guī)體系建設。通過制定內部數(shù)據(jù)跨境安全評估制度、組織專業(yè)數(shù)據(jù)跨境安全評估人員和建立數(shù)據(jù)跨境內部自評估工具等，對企業(yè)的數(shù)據(jù)跨境行為進行動態(tài)評估。動態(tài)評估還應當關注可能存在的非典型數(shù)據(jù)出境情形并設置相應的規(guī)制流程，如車企員工在境外差旅/休假期間，通過該車企內網(wǎng)鏈接查詢、調取、下載、導出重要數(shù)據(jù)或個人信息，是否違反“境內儲存，出境評估”的規(guī)定。若出現(xiàn)企業(yè)無法預判的非典型數(shù)據(jù)出境場景，及時主動與主管部門溝通，尋求主管部門對該等事件的處理方案。

第四，提前為數(shù)據(jù)出境準備好相關法律文件等合規(guī)準備。建議企業(yè)以標準合同為基礎制定法律文件，以減少程序性負擔。如果出境數(shù)據(jù)包括個人信息和重要數(shù)據(jù)，建議在法律文件中將個人信息與重要數(shù)據(jù)進行拆分處理：個人信息相關條款參照標準合同，重要數(shù)據(jù)部分則通過單獨章節(jié)進行約定。此外，根據(jù)《網(wǎng)絡安全標準實踐指南 個人信息跨境處理活動安全認證規(guī)范》，建議車企在與境外數(shù)據(jù)接收方簽署的數(shù)據(jù)跨境合同或標準合同中，規(guī)定境外接收方應指定個人信息保護負責人和設立個人信息保護機構，并把包含上述合同文本作為申報數(shù)據(jù)出境安全評估（如需）的附件。

結語

包括數(shù)據(jù)跨境流動在內的一系列數(shù)據(jù)合規(guī)問題在投資并購交易中的重要性日趨凸顯，在數(shù)據(jù)合規(guī)盡職調查和交易結構設計的基礎上，如何將已識別的數(shù)據(jù)合規(guī)風險在交易文件中加以體現(xiàn)和明確，對交易活動的開展和完成至關重要。作為律師，在盡調過程中和盡調完成后應當在交易文件中明確各方有關數(shù)據(jù)合規(guī)問題的權利和義務，協(xié)助雙方落實陳述與保證、交割先決條件或交割后義務、賠償責任等條款，妥善處理數(shù)據(jù)合規(guī)問題，以便降低交易風險，確保交易順利完成。作為企業(yè)，應當關注數(shù)據(jù)全生命周期的合法合規(guī)性，根據(jù)監(jiān)管要求識別不同的數(shù)據(jù)類型，以建立完善的內部數(shù)據(jù)合規(guī)體系，盡可能避免數(shù)據(jù)安全等事件給企業(yè)帶來的潛在風險。