致力于分享金融、不良资产、投融资、房地产、公司纠纷、私募基金、资本市场、税务筹划、疑难案例等干货。
2020年3月4日,中共中央政治局常务委员会召开会议研究新冠疫情防控和稳定经济社会运行重点工作。会议指出要加快5G网络、数据中心等新型基础设施建设进度。新基建,是指以5G、人工智能、工业互联网、大数据中心、物联网为代表的新型基础设施建设,本质上是信息数字化的基础设施。“新基建”并不是一个新概念,早在2018年12月19日,中央经济工作会议将5G、人工智能、工业互联网、物联网定义为“新型基础设施建设”,并将其列为2019年重点工作任务之一。区别于传统基建中的铁路、公路、机场、桥梁,新基建主要包括5G基站建设、特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联网七大领域。简单而言,除了特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩之外,其他的四个领域完全是以数据为核心。即便特高压、城际高速铁路和城市轨道交通、新能源汽车充电桩,其业务也必不可免的需要数据作为支撑。因此,新基建的实质就是数字经济、数字化建设。数字经济中最基本的单元是数据,而数据在各个司法区域中都被严格监管。一方面数据与传统行业的结合可以迸发出巨大的能量,另外一方面,不当的使用将产生巨大的法律风险。因此,在新基建的大潮中,投资人究竟是盆满钵满还是铩羽而归,其中的一个决定性因素就是是否能真正理解数据的合规。顺应数字经济时代和我国数字化转型,诸多数据科技公司应运而生,开展区块链、网络爬虫、大数据分析、个人征信数据服务等与数据相关的业务,赢得了不少投资人的青睐。但是,在市场前景广阔的同时,数据相关业务也蕴含着法律风险,部分投资人也因此频频踩雷。例如:公信宝(杭州存信数据科技有限公司),投资人:XX资产管理合伙企业(有限合伙)。
聚信立(上海诚数信息科技有限公司),投资人:XX股权投资合伙企业(有限合伙)、XX创业投资合伙企业(有限合伙)及XX创业投资中心(有限合伙)。
数据堂(数据堂(北京)科技股份有限公司)为新三板公司(数据堂 831428),前十大股东中有投资人:XX创业投资中心(有限合伙)、XX投资管理合伙企业(有限合伙)及XX股权投资企业(有限合伙)。
中国是互联网经济最为发达的国家之一,中国企业在商业模式方面的创新远远地走在了世界各国的前面。随着区块链、自动驾驶、人工智能、智能手机、可穿戴设备、机器人、物联网传感器、智能摄像头的爆炸式增长,越来越多新的商业模式在数据收集基础之上不断产生,商业价值增长的同时,企业的网络安全和数据合规风险也越来越大。
对于任何企业而言,其商业模式的合法性都具有重要意义。如果一个企业的商业模式违规,那么无论是在日常经营、融资阶段还是随后的境内外上市,都将存在巨大的风险。投资人和监管机构的审查重点之一是商业模式的合法性。从另外一个角度而言,即使企业在融资的时候没有遇到障碍,不合规的经营模式可能在任何一个时点爆发风险,数据堂案就是很典型的一个案例。 确保商业模式的合规从方法论上来说,包括两个步骤,首先是对监管法规的深入理解;其次,是在此基础上对商业模式本质的精准认定。对商业模式本质的合规判断需要商业逻辑和法律逻辑的高度统一,这也是知易行难的一个环节。用户画像、基于数据的区别定价、数字营销中的“效果优化”、增长黑客、捆绑下载、精准广告推送、精准信息流分发、个性智能化服务、DMP、流量买卖、诱导分享,这些都是在新经济领域炙手可热的智能商业模式,那么这些商业模式是否存在法律风险呢?精准广告推送、精准信息流分发、个性智能化服务等商业模式的基础之一就是用户画像。根据《个人信息安全规范》,用户画像(user profiling)是指通过收集、汇聚、分析个人信息,对某特定自然人个人特征,如其职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测,形成其个人特征模型的过程。用户画像可以分为直接用户画像和间接用户画像。直接使用特定自然人的个人信息,形成该自然人的特征模型,称为直接用户画像。使用来源于特定自然人以外的个人信息,如其所在群体的数据,形成该自然人的特征模型,称为间接用户画像。隐私政策中应当包括收集、使用个人信息的目的,以及目的所涵盖的各个业务功能。例如将个人信息用于推送商业广告、提供电子商务服务、推送新闻信息服务。因此,在讨论商业模式时,如果需要用个人信息生成用户画像并进行个性化展示,首要工作是考虑隐私政策表述的合规性。
除目的所必需外,使用个人信息时应消除明确身份指向性,避免精确定位到特定个人。我们理解,除非是类似于网络信贷等有限商业模式须对个人信用状况准确评价,一般的商业模式很难达到“必需”的程度。
为准确评价个人信用状况,可使用直接用户画像,而用于推送商业广告目的时,则宜使用间接用户画像。值得注意的是,如果根据用户画像而推送商业广告,除前述关于“间接用户画像”的合规建议还须考虑“个性化展示”的合规要求。
当仅依据信息系统的自动决策而做出显著影响个人信息主体权益的决定时(例如自动决定个人征信及贷款额度,或用于面试人员的自动化筛选),个人信息控制者应向个人信息主体提供针对自动决策结果的投诉方法并支持对自动决策结果的人工复核
如果一个公司的商业模式是提供直接用户画像给第三方,则其合规风险较高。
考虑到数据技术的飞速发展,高精度算法在某些情况下已经可能让匿名数据重新被识别。即便是在商业模式中使用间接用户画像,仍然可能因为技术问题而存在合规风险。因此,判断涉及用户画像的商业模式是否合规须由商务团队、技术专家以及律师等各方从不同角度审查。
此外,对于投资人而言,如果一个to B业务的公司把数据用于用户画像进行精准营销时,须重点关注其业务合规风险,即其是否已经获得用户的充分授权。
数据的区别定价也就是所谓的“大数据杀熟”,是指商家通过对用户的分析,梳理出经济能力较强或对价格不敏感的用户,从而有针对性的进行差异化定价,以增加销售利润的做法。根据网络公开信息,大数据杀熟的最早案例是亚马逊在2000年进行的一个“实验”。用户偶然在亚马逊电商平台上发现《泰特斯》(Titus)的碟片对老顾客的报价为26.24美元,但是在删除Cookie后发现报价变成了22.74美元。曝光后,亚马逊CEO贝索斯亲自道歉,称一切只是为了“实验”。与传统实体售卖平台不同,电商平台通过用户和App或Web的单向交互进行销售,也就是千人千面的展示形式,这就为商家提供了提高价格的“绝佳”机会。电商平台对用户数据的大量收集和分析更使得基于数据的区别定价变得容易。究其本质,“大数据杀熟”其实是基于用户画像进行个性化展示并提供不同售价的商业模式。互联网发展迅猛而法规总是滞后于实践,但是这并不意味着“大数据杀熟”处于法外之地。监管机构可能根据如下法规对“大数据杀熟”行为进行监管:《中华人民共和国价格法》第七条,经营者定价,应当遵循公平、合法和诚实信用的原则。
《中华人民共和国电子商务法》第十八条第一款,电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。第七十七条,电子商务经营者违反本法第十八条第一款规定提供搜索结果,或者违反本法第十九条规定搭售商品、服务的,由市场监督管理部门责令限期改正,没收违法所得,可以并处五万元以上二十万元以下的罚款;情节严重的,并处二十万元以上五十万元以下的罚款。
《中华人民共和国反垄断法》第十七条,禁止具有市场支配地位的经营者从事下列滥用市场支配地位的行为:没有正当理由,对条件相同的交易相对人在交易价格等交易条件上实行差别待遇。第四十七条,经营者违反本法规定,滥用市场支配地位的,由反垄断执法机构责令停止违法行为,没收违法所得,并处上一年度销售额百分之一以上百分之十以下的罚款。
值得注意的是,监管机构质疑的是大数据杀熟,但是并没有完全禁止个性化展示。对于个性化展示,须遵循相应的诸多合规要求,譬如电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的个性化展示的,应当同时向该消费者提供不针对其个人特征的选项。3.3 数字营销中的刷量是“效果优化”还是数据流量造假
广告大师约翰·沃纳梅克曾说过,“我知道我的广告费有一半是浪费的,但我不知道浪费的是哪一半”,这句至理名言堪称广告营销界的“哥德巴赫猜想”。有个非常经典的事件,2015年某主播在某平台直播游戏“英雄联盟”时,聊天室显示观看人数竟然超过了13亿。任何真实用户的访问记录,包括但不限于IP地址、访问时间、频次都有可能被伪造。某些所谓的数字营销中的“效果优化”很可能就是刷量的结果。常见的刷量方式包括购入海量手机由特定程序控制进行点击,黑客劫持终端等多种方式。 在爱奇艺与飞益公司的案件中,法院认定“刷量”行为不仅会造成爱奇艺公司多支出不应承担的著作权许可使用费,还会让其基于不真实的访问数据,做出错误的商业决策,导致竞争优势的丧失。对消费者而言,因虚假访问量而排位在先的视频由于不能真实反映消费者以及市场的需求,被访问量误导的消费者一旦发现视频排位与质量不相吻合时,将产生不良用户体验,从而怀疑爱奇艺网站的访问数据,进而不再信赖爱奇艺公司的商业信誉,最终选择其他服务提供商导致爱奇艺公司经济利益的再损失。法院判定,飞益公司违反公认的商业道德,损害爱奇艺公司以及消费者的合法权益,构成不正当竞争。此外,值得注意的是,越来越多的司法机关倾向于将伪造流量认定为新型网络诈骗案,这意味着伪造流量除了民事责任之外还可能承担刑事责任。新三板挂牌公司北京瑞智华胜科技股份有限公司(下称“瑞智华胜”)一度是市场上的明星项目。根据其官方表述,作为互联网新媒体营销解决方案提供商其业务是“分析互联网用户的网络行为、喜好和各类媒体的投放价值,为客户定制针对目标用户的精准社会化广告营销及投放策略”。2018年7月24日,瑞智华胜曾发布公告称,公司法定代表人、董事周某某及监事黄某、梁某某因涉嫌非法获取计算机信息系统数据罪,已于7月3日被公安局刑拘。根据网络公开报道中[2]办案警官的介绍,“他们先和运营商签订正规合同、拿到登录凭证,然后将非法程序置入用于自动采集用户Cookie、手机号等信息。他们劫持数据后会进行爬取、还原等,为了不被发现,他们专门购买了3万多个IP地址用于频繁爬取”,“该公司自营微博和微信公号的粉丝、关注中,很大一部分是在用户未知的情况下,账号被非法操控后强行加粉或关注的,其中今年1月24日单日加粉数达到109万。针对不同的社交平台软件,该公司研发了不同用户信息提取、操控程序用于加粉”。根据刑法第285条第2款,非法获取计算机信息系统数据、非法控制计算机信息系统罪是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。瑞智华胜的商业模式是通过植入非法程序采集Cookie和手机号,之后又通过用户信息提取和操控程序进行加粉。该等操作至少涉嫌非法获取计算机信息系统数据、非法控制计算机信息系统罪以及侵犯公民个人信息罪。对于互联网新媒体营销解决方案提供商,其微博、微信公众号等自媒体的粉丝数量对于其商业价值有巨大影响,但是如果通过不合规的方式“加粉”将导致重大的法律风险。增长黑客的英文原文是“Growth Hacker”,这一概念是由美国互联网行业的传奇Sean Ellis在2010年提出。此后,由于互联网行业的爆发增长,Sean Ellis关于增长黑客的理论和实践取得了巨大的成功,也对中国企业数字化转型造成了空前的影响。目前市场上除了Sean Ellis本人著作的《增长黑客:如何低成本实现爆发式成长》之外,还有很多其他作者的论述。很多商学院、企业家在讨论商业模式的时候都不可避免的受到了前述论述的影响。增长黑客作为创新性的数据驱动策略可以有效的达到高效获取用户、激发活跃、提高留存度、增加营业收入以及病毒销售等商业目的。但这并不意味着增长黑客的策略一定合规。某关于增长黑客的论述提及了“借鸡下蛋”的策略。作者举例其曾经为了推广某个交友“APP”所需而抓取某K歌应用的用户头像照片。按照作者的说法,他们短时间下载了超过1万多张照片后虚拟成真实用户随机分布到地图上,作为给种子用户体验试玩的测试数据。 很明显照片属于个人信息,前述所谓“借鸡下蛋”策略事实上违反了《网络安全法》关于个人信息收集的规定,甚至有可能触犯刑法。增长黑客的著作中还反复提及另外一个案例,即某世界领先旅游租房网站A在刚成立的时候为了引流,采用了如下的策略:(1)越过C的技术防御,通过机器人脚本将发布在A网站上的信息自动发到流量更大的C网站上;(2)A定期扫描C的新房源,有新房源后会自动伪装成买家或新顾客,给卖家留言,内容大致是我对你的房源比较感兴趣,我建议你把它也发一份到A上。对于中国的公司而言,如果简单粗暴地模仿前述A公司的策略将是极其危险的。任何一个公司的成功策略都有其时间、地域以及司法区域的特殊性,A公司实施前述策略是在2010年,且前述策略仍然充满争议,“虽然不知道为什么C没有起诉A,但是A的行为违反了(1)C当时的使用协议(terms of use)(譬如没有网络机器人/网络蜘蛛/网络爬虫/收集,没有假冒/假用户,没有误导性的电子邮件,没有垃圾邮件(no bots / spiders /crawlers / harvesting, no impersonation / fake users, no misleading emails, nospam));(2) gmail的使用协议; (3) 美国《2003 年垃圾邮件管制法》(The CAN-SPAM Act of 2003)以及(4)联邦和州关于广告的法律”。根据中国法律法规以及指导案例,如果在中国采取前述A的策略将很有可能构成非法侵入计算机系统罪,如涉及流量劫持,则可能构成破坏计算机信息系统罪并承担刑事责任。因此,数据化转型中的中国公司如果考虑增长黑客策略,那么首要应确保该策略合法合规。对于数据、对于个人信息保护的高度重视,使得爬虫技术再次成为运营有数据相关业务企业关注的焦点。魔蝎科技CEO、新颜科技CEO及公信宝项目方或因爬虫业务侵犯个人信息涉嫌犯罪被抓,同盾公司也因爬虫和大数据业务遭遇谣言风波。但是截止至目前为止,对于爬虫的合理边界,无论国内外,都尚未达到统一认识,界限明晰的状态。对于爬虫技术边界争议的实质是数据的排他保护和数据公开获取利用之间的博弈。即便如此,现有的案例还是给了我们一些标准,帮助我们来辨别爬虫技术应用风险的高低。区分爬取的数据性质。避免爬取未获得授权的个人信息、他人享有版权的内容,企业或机构内部数据、商业秘密等,以及制定的禁止爬取的信息类型清单上的信息。另外,在爬取公开场景下的个人信息时,仍需要注意所爬取的个人信息的来源、用途等,除非有明确的被爬取网站的声明或其它证据,表示被爬取个人信息经过当事人允许向他人公开,否则一般不宜爬取个人信息。如果爬虫爬取的数据包含有公民个人信息、商业秘密、用户账号密码等等这些本身就受到法律保护的数据,那么爬取数据的行为涉及刑事责任或被主张民事责任的可能性就大。数据的公开情况不同,抓取的风险不同。被爬数据的公开性是爬虫是否违法或者侵权的重要判断标准。首先,就刑事案件而言,原则上获取公开的信息(包括个人信息)不构成犯罪。这里应当注意区分数据和信息,在上海晟品网络科技有限公司一案中,有一种批评观点认为晟品公司爬取的是字节跳动公司对外公开的视频信息,所以不应构成犯罪。对此我们认为需要区分数据和信息,虽然视频信息对外公开呈现,但是字节跳动公司并没有公开自己的视频对应的数据,字节跳动公司也未同意他人可以下载使用视频对应的数据。所以这个案件的裁判还是适当的。其次,就民事案件而言,是否构成侵权还应考虑这个数据对于数据所有方的重要意义,数据所有方为获取、整理数据的付出情况,以及是否通过robots协议、反爬措施等表明态度。而在美国,这个观点一直在摇摆中,最近的hiQ诉领英案中,法院在同意颁布hiQ要求的初步禁令时,就认为,如果数据处于公开可获取的状态,则数据所有方不拒绝特定人员的爬取。当然这仅是一例针对初步禁令的裁定,案件实体问题仍有待后续审理。绕过反爬措施的行为是否一定有刑事风险。对于绕过反爬技术的行为怎么理解。这是和前一个问题紧密联系在一起的。有一种观点认为,即便设置了反爬措施,公开的信息仍然是公开的信息。反爬技术不是保护用户的信息,而是让爬虫能像一个自然人一样去使用电脑。如果大家都无限制地去对方服务器拿数据,那对方的服务器就忙不过来了。由于爬虫技术会占用被爬网站的服务器资源,导致被爬网站网速变慢,甚至瘫痪。如果出现瘫痪的情况,达到一定的时间和计算机台数要求,可能就构成了破坏计算机信息系统罪。当然,如果是先破解密码,再爬取的,就是典型的侵入了。另外需要说明的,没有刑事风险,不代表没有民事风险。重视获取数据的用途。个人应严格在授权范围内使用;商业目的使用避免“不劳而获、食人而肥”形式的进行利用,避免造成对其他商业主体的替代,从而承担不正当竞争的责任。
关注爬虫技术所爬取的数据的性质。诸如个人信息等数据类型,被追责的可能性更大,需要谨慎评估爬虫行为的缝隙。
关注爬虫技术所获取的数据的使用方式。对于合法获取的个人信息,除非获得明确的授权,否则应根据《网安法》应当采取“经过处理无法识别特定个人且不能复原”的技术措施后,方可对外提供和使用。一般而言,获取数据后,用于自己的正常经营的,其责任较轻,但是如果用于数据买卖,或者给其他主体提供针对个人信息的查询的,则被追责的可能性大。
控制爬取频率和数量。应当避免因爬取频率和数量给目标网站服务器造成较大负担,比如可以考虑参考《数据安全管理办法(征求意见稿)》不应超过日均流量三分之一。
捆绑下载是某些经营者利用其技术或者市场的优势,在用户下载安装某软件时未取得用户明示同意而下载另外一个软件的行为。从用户推广角度,捆绑下载不失为有效的方案,但是捆绑下载存在较大的违规风险。2017年搜狗诉百度案是典型的有关捆绑下载的案例,其树立了如下原则:
《规范互联网信息服务市场秩序若干规定》第八条第一项的规定,互联网信息服务提供者不得欺骗、误导或者强迫用户下载、安装、运行、升级、卸载软件。第九条规定,互联网信息服务终端软件捆绑其他软件的,应当以显著的方式提示用户,由用户主动选择是否安装或者使用,并提供独立的卸载或者关闭方式,不得附加不合理条件。在用户通过百度搜索引擎搜索、下载搜狗软件时,通过技术设定使用户一并下载“百度杀毒”等软件或者下载目标软件前先行下载“百度手机助手”软件,本质上均属于《规范互联网信息服务市场秩序若干规定》第九条规定的软件捆绑行为。但百度公司并未以显著方式提示用户,以供用户自主选择是否安装或使用。百度未尽到充分、明确提示与说明义务,其被诉行为导致网络用户在下载搜狗软件时,在毫无预期、不知情或无法充分研判的情况下,额外下载其原本并不希望或不需要下载的“百度杀毒”等软件。百度因违反公认的商业道德而具有不正当性,且造成了对消费者利益和搜狗信息公司、搜狗科技公司利益以及竞争秩序的损害,不制止不足以维护公平竞争的秩序,故构成《反不正当竞争法》第二条所禁止的不正当竞争行为。因此,如果某个公司的推广策略中包含捆绑下载时,必须考虑前述判决的影响以及相应的违规风险。根据我们在网络安全以及数据合规领域的实践,就商业模式的最佳实践简单总结如下:4.1. 增长黑客的策略需要确保其在中国法下合规;4.2. “大数据杀熟”有违规风险但是个性化展示可在符合要求的前提下实施;4.3. 在与任何第三方进行有关数据的业务合作,确保己方和对方获取数据的范围在数据权利主体的授权范围内;4.4. 在自己的网站或者APP上设置必要的反爬措施,并对数据的权属进行声明,譬如禁止spider访问特定目录;禁止访问网站中的特定页面;禁止抓取网站上的特定图片等。4.5. 不得通过模拟数据权利方客户请求的方式来获取数据;4.6. 不得突破对方的防屏蔽规则,特别是对方有封账号、封IP、验证码等安全策略时不得用技术手段强行访问;4.7. 避免采用爬虫高频次访问要获取数据的服务器;4.8. 不得通过非法利用对方员工的账号、密码或权限获取数据;4.9. 不得植入钓鱼链接及利用钓鱼网站获取数据;4.10. 不得未经允许安装域名解析软件(用于显示计算机地址,例如“花生壳”)、多用户系统软件(远程控制计算机)、键盘记录软件(用于盗取账号和密码,例如“灰鸽子”)并利用其获取数据;4.12. 获取计算机信息系统数据时,不得对系统内的数据进行增加、删除、修改等操作,干扰信息系统的正常运行;4.13. 不得非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统。投资人如何在投资交易中规避网络安全和数据合规的风险
随着企业数据化的转型和大数据的广泛应用,企业存储和使用着大量的个人数据和用户信息。虽然目前国内相关法律并未明确将数据与现金、知识产权等作为公司财产的一种,并且由于数据生态的复杂性和数据权利的多样性,数据权属目前仍然存在较多争议。但毋庸置疑,数据已成为重要的新兴资产类别。例如,在收购以电商、社交、硬件、互联网金融、物联网等数据驱动型公司股权或资产时,数据往往是买家看重的核心资产。对于投资人而言,目标公司的数据合规是重要的风险管控内容,它直接决定了标的资产的价值(是否可实现资本溢出和业务协同的效应,抑或带来重大的违规成本)。我们的某个基金客户此前想投资某数据公司,该数据公司号称掌握了印度超过一亿人口的个人信息,因此该数据公司对于自己的估值非常高。我们对于客户的建议是:
(1)该公司的估值中须首先剥离出该等个人信息的估值;
(2)前述个人信息是由于该公司承担印度政府的技术外包服务所形成,因此该公司是否合法拥有该等数据存疑,须经印度律师出具法律意见;
(3)如果前述数据并非该公司合法拥有所有权或者使用权,那么该公司的估值应当减去该公司对该等个人信息的估值;
(4)不仅如此,如果该公司非法持有该等数据,投资人还需要评估该公司的合规风险,这将进一步降低该公司的估值。
此外,在尽职调查阶段,获得目标公司的客户、用户、员工等数据也有助于投资人有效判断目标公司的各项经营、盈利、人力等指标的状况。对于目标公司而言,在交易期间,向投资人提供数据和个人信息,构成数据处理。应如何在遵守相关法律和其数据合规制度、隐私保护政策的前提下,以合规方式向投资人及相关第三方(并购交易的参与方)进行披露和传输,是收购方应重点关注的问题。数据合规不仅是尽职调查的重点内容,在并购战略、目标公司估值、合同谈判、交割后的整合等各阶段,也应引起高度重视。6.1. 首先,在投资以数据为核心资产的标的时,应评估数据资产对于交易的重要性、交割后在数据相关业务的商业目的是否可以实现、数据资产在估值(模型)中的权重和影响,这些都有助于投资人形成科学和清晰的战略。6.2. 其次,数据合规的尽调作为一种新型的尽职调查,主要包括:- 结合标的公司的行业、地域、业务性质等梳理数据权利、数据规模和数据类型;
- 目标公司现行有效的隐私政策如何,以及标的公司对其用户、客户与个人信息保护相关的保证和承诺,包括合同义务;
- 目标公司如何收集、使用、存储、加密、共享、披露、销毁数据;
- 目标公司是否有个人信息保护的内控制度,如有,是否符合监管和行业标准;
- 目标公司是否存在数据泄漏或其它违规的历史问题及后果;目标公司目前或未
6.3. 此外有别于传统尽职调查,此类尽调还涉及网络安全技术层面的尽职调查,即IT(软硬件)的安全审查,例如对关键资产的漏洞扫描(vulnerabilityscans)和渗透测试(penetration test),因此也需要聘请技术专家进行评估。植德数据合规团队即将和业内领先的安永咨询团队发起“Gold Lake Project”,凡是进入这个项目的公司可以获得免费获得Cyberweekly,及一年2次的数字化安全与合规体检(高危漏洞提示、shadowIT监控、third party risk management等)多重服务。
由此可见,投资中关于数据合规的尽调,主要在于帮助投资人形成科学和清晰的收购战略,筛查和甄别目标公司是否存在数据泄漏等违规情形,从而避免因此承担目标公司的历史遗留的法律责任和风险,并在后续交易中通过调整对数据资产的估值和对价、协议明晰责任分担、或设计解决方案等方式来解决目标公司在数据方面的合规问题。未能进行全面的数据合规尽调的后果可能会非常严重。如交易完成后才发现需要承担目标公司的历史遗留的数据责任和风险,将会给收购方带来难以估量的损失,包括公司及高管的行政处罚、民事责任甚至刑事责任,以及公司的商誉损失和经济损失。例如,2014年美国在线旅游网站TripAdvisor以2亿美金收购了旅行预订网站Viator,交割后大约两周,Viator宣布发生数据泄漏,该泄漏事件危及140万用户的信用卡等个人信息,TripAdvisor股价应声下跌5%。在投资交易过程中,无一例外都会涉及到数据的披露或交换,包括目标公司对的用户、客户及雇员等的个人信息。而在交易成功交割之前,尤其在尽调过程中,任何的数据披露或交换,都可能导致数据披露方违反网络安全法规、隐私保护法规和其根据隐私政策所负有的隐私保护义务,轻则触发民事侵权赔偿责任,重则触发刑事责任。例如,在尽职调查中,目标公司将向投资人以及双方的投行、律师、顾问、第三方供应商等等交易参与方披露大量的用户个人信息、敏感信息、保密信息等。即便通过虚拟数据室以及各类隐私保护措施,仍存在数据泄漏的风险。因此,这一阶段的数据合规和隐私保护也尤为重要,并购交易中的任何一方在获取或使用个人信息时,均应采取适当安保措施,签署保密协议,并以仅供满足交易需求为限度进行。Mergermarket2017年的调查报告显示,在数据为核心资产的并购中,半数以上的受访者表示在交割后发现数据合规问题,对数据合规的尽调不满意度达16%。同时,导致交易失败的两大元凶之一,就包括数据合规问题。报告显示,有近1/4的收购因为数据合规出现问题而失败,这一比例和因财务、税务问题导致交易失败的比例一样多。美国电信巨头Verizon收购Yahoo就是一个收购后数据资产整合失败的反面教材。Verizon的收购尚未完成,Yahoo已发出声明称曾在2013年8月被黑客袭击,导致超过10亿用户信息泄露,之后又披露,在2014年还有5亿用户数据被黑客窃取,交易几乎流产。最终Verizon的收购对价由48.3亿美金减至44.8亿美金,Verizon同意和Yahoo平分两次数据泄露事件带来的成本。2017年6月完成收购后,Verizon没有采纳雅虎提交的报告,在外部安全专家的帮助下重新调查雅虎之前的数据泄露,最终发现Yahoo超过30亿的用户信息无一幸免全被泄露,Yahoo面临着多起集体诉讼。此后,Yahoo和美国在线(AOL)资产整合为Oath,但这一整合显然是失败的,截止2018年底,Verizon宣布Oath资产减至46亿美金。由此可见,“有毒”的数据资产,其历史遗留问题将持续存在相当长一段时间,并收购方造成重大的经济损失。
2018年4月,美团全资收购摩拜,100%控股摩拜。据报道,美团认为城市中的所有生活场景都将涉及到出行需求,其预期摩拜所掌握的超短途出行市场数据,与美团的生活场景结合,将发挥一定的业务协同效应。2019年1月,摩拜全面接入美团App,双方通过一封“账号融合用户确认函”,告知用户将实现账号互通,允许美团共享用户在摩拜端的各类数据。企业发生收购等重大变更时,通过App弹窗获得用户确认数据融合的做法,可谓一种创新性的解决方案。
在数据驱动型的并购交易中,对于收购方而言,收购的终极目的是最大限度的发挥目标公司的数据价值,这就意味着,收购方应尽早对交割后的数据整合进行筹划,在收购完成后,由技术团队、法律团队以及业务团队通力合作,对交割后的过渡期及数据融合进行合规操作。经济全球一体化下,中国企业出海并购和外国(含外资)企业境内并购(合称“跨境并购”)时,境内(外)母公司和被并购的境外(内)公司不可避免会发生大量的数据跨境传输。在跨境并购中,收购方与目标公司均需考虑在收购交割前数据交换是否符合其各自所在司法辖区的相关法规,收购方同时亦应提前对交割后目标公司开展业务时的相关数据合规和隐私保护的合规进行安排,如数据融合为收购之目的,则收购后的过渡期安排以及最终的数据整合的合规也是交割后的重中之重。例如,我国《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等几个规范性文件的征求意见稿均对数据跨境传输作出了界定。2018年5月施行的GDPR,则限制从欧洲经济区向第三国跨境传输个人数据的行为,但欧洲委员会认定该第三国具有充分数据保护水平的除外,同时允许采取某些方式合法跨境传输数据。此外,如数据资产涉及到国家安全,则会在政府监管部门对交易审批的环节折戟。以蚂蚁金服收购速汇金为例:2017年1月,蚂蚁金服曾宣布拟收购美国上市公司、世界第二大汇款服务公司速汇金(MoneyGram),速汇金的汇款业务遍布全球,拥有35万个网点,直达全球24亿用户。并购速汇金不仅将美国划入蚂蚁金服业务全球推进的战略版图,而且将进一步助力蚂蚁金服在全球跨境支付的市场进行大举扩张。虽然未达成交易,蚂蚁金服此前已表示,速汇金的数据基础设施将会保留在美国,且用户信息将被加密或保存在美国安全的设施内,但最终仍未能获得美国外国投资委员会(CFIUS)的批准。速汇金与蚂蚁金服放弃合并计划,根据收购协议,蚂蚁金服还需要向速汇金支付3000万美金的“分手费”。虽然收购未获审批的原因未予公开,但CFIUS对于这一并购可能对美国金融关键信息基础设施安全的考虑不言而喻[3]。此前,植德新经济团队联合美国奥睿律师事务所,针对2019年网络安全、数据合规和隐私保护领域的最新法规政策、监管动态、违规案例,最受关注的热点领域(包括金融、医疗、汽车、教育等领域),以及欧盟和美国的最新动态,进行了系统梳理、分析解读和最佳实践建议,发布了《中国企业数字化转型合规白皮书2.0》,对于中国企业在全球化竞争态势下数据资产保护和风险防范具有专业指导意义。 
免责声明:本公众号发布的信息,除署名外,均来源于互联网等公开渠道,版权归原著作权人或机构所有。我们尊重版权保护,如有问题请联系我们,谢谢!
