截至目前,世界各主要经济体纷纷颁布施行其数据保护相关法律,用以规范本地区管辖范围内的个人信息的收集、处理、存储以及跨境传输。欧盟,作为世界第三大经济体,率先在全球开启数据保护规范立法之先河,已于2018年5月25日生效施行《一般数据保护条例》(General Data Protection Regulation, 简称“GDPR”)。中国作为世界第二大经济体,目前已经颁布施行较为完善的数据保护相关法律,其中包括《中华人民共和国网络安全法》、《中华人民共和国数据安全法》以及《中华人民共和国个人信息保护法》及其配套法规。欧盟和中国这两大经济体,在经济上多领域均具有较强的互补性,双方之间发生的跨境并购活动也较为频繁。本文将从欧盟和中国之间的企业国际并购活动的视角出发,根据笔者最近几年广泛参与的各类国际并购项目经验,介绍并讨论企业国际并购活动这一特定场景下的数据保护实践。
一、个人信息的匿名化
在国际并购项目尽职调查环节,目标公司向财务、税务、法律等尽职调查中介机构团队提供的供其审阅的公司文件中可能包含大量个人信息,比如员工花名册、工资表和个人客户信息列表。为从源头防范目标公司所掌握的个人信息安全风险,目标公司应在不影响尽职调查工作的前提下,首先对拟提供给中介机构团队的公司相关文件作个人信息的匿名化(anonymization)处理。欧盟和中国的相关数据保护法律均明确,经匿名化处理的“个人信息(Personal Data)”不再属于受规制的个人信息,后续收集、存储、处理和跨境传输经匿名化处理后的信息无需适用数据保护法律的各项要求。
根据笔者观察,在国际并购场景下,目标公司及其顾问一般使用的匿名化处理方式,是通过各类图表(如饼状图、柱状图)概括性描述目标公司的员工或自然人客户等的构成情况。这些具有高度概括性的数据无论通过何种管理或者技术手段都无法定位到某个特定的个人,因此这种匿名化处理方式成功地将受数据保护法律规制的个人信息转变为不受数据保护法律规制的一般信息。由于中介机构团队审阅相关信息的目的在于核查目标公司的财务、税务、法律等方面的瑕疵和风险,在绝大多数情况下都无需定位到某个具体的个人,因此上述经过匿名化处理的信息也符合中介机构执行尽职调查任务审阅文件或信息的质量要求,不会对中介机构执行尽职调查工作造成阻碍。二、个人信息的假名化
在尽职调查过程中,针对核查的必要性,在有些情况下中介机构需要审阅更加具体准确的某个人员的信息,比如劳动合同类型、工作年限、年龄、性别等信息,但是中介机构并不关心人员的姓名、身份证号码等信息。此时,目标公司可以对公司文件中的上述个人信息作假名化(Pseudonymization)处理。经过假名化处理后的个人信息,虽然其仍然属于数据保护法律规制的个人信息,但是因为其他人无法单独通过假名化后的信息定位到特定个人,此类假名化处理方法有效提高了个人信息的保护水平。
根据笔者观察,一般目标公司通过文档编辑软件(比如adobe acrobat pro)中“标记密文”的方式,将人员的姓名和身份证号码遮盖,并可用Employee 1, Employee 2, Manager 1, Manager 2替代。该等个人信息经过假名化处理后,除目标公司进行假名化处理的有关人员外,中介机构各团队、买方等其他外部人员均无法将提供的个人信息定位到某个具体的人员。
因为假名化处理由目标公司相关人员操作,目标公司也分别保留了假名化处理前后的文档,因此目标公司仍然可以通过管理或者技术手段将假名化处理后的信息进行“映射”或“还原”。鉴于此,假名化的个人信息仍然属于欧盟和中国数据保护法律定义下的“个人信息”,受到适用的数据保护法律的规制。假名化的处理措施属于个人信息的加密措施,能够通过管理和技术手段提高个人信息的安全保护水平。在国际并购项目中,使用虚拟数据库(Virtual Data Room, 简称“VDR”)已经成为并购流程中的标准环节。根据笔者经验,欧洲卖方及其控制的目标公司(一般为在多个国家和地区均有子公司的跨国公司)对欧美虚拟数据库服务商更加熟悉,笔者参与的多个国际并购项目使用的虚拟数据库均为Datasite。虚拟数据库本质上是一种云服务产品。对于相关数据保护法律中包含“本地化存储”要求(Local storage requirement)的情形,虚拟数据库使用的服务器是否在目标公司或其子公司所在国家或地区境内就十分关键。此外,由于国际并购项目,参与各方遍布多个司法管辖区,均需要从其所在地登录访问虚拟数据库,查阅甚至下载所需的目标公司文件资料,以完成尽职调查任务。在前述场景下,这将构成目标公司或其子公司所掌握的个人信息的跨境传输,因此需要符合相关国家数据保护法律法规规定的个人信息跨境传输的安全措施要求。虚拟数据库作为一款为并购等企业交易项目服务的云服务产品,具有强大的技术手段提高个人信息安全保障的水平。虚拟数据库提供了严谨的人员访问限制措施,只有事先登记的相关必要人员(如各中介机构尽职调查团队成员)才能通过工作邮箱和密码登录访问虚拟数据库。访问人员从虚拟数据库下载的目标公司文件会加载该下载人员的姓名、工作单位和电子邮箱以及下载时间的水印。如果该保密文件后续遭到泄露,相关方可以马上定位到涉及的机构和人员。 在尽职调查环节,劳动法尽职调查团队可能会不可避免地需要接触到大量个人信息,甚至是个人敏感信息。鉴于此,虚拟数据库可以应客户要求,开通专门的文件夹(比如命名为Clean Team的Folder),只有像劳动法尽职调查团队这样的必要的团队 (Clean Team) 成员才能够进一步访问该专门文件夹中所包含的个人信息、个人敏感信息文件。这些限制访问措施都是应适用的数据保护法律要求,根据目前技术可及的手段设计的个人信息保护安全措施。中介机构在撰写尽职调查报告过程中,对个人信息进行假名化和匿名化处理是标准操作。在某些情况下,目标公司中国子公司的个人信息不方便出境,因此只能由中国律师在中国境内审阅包含个人信息、个人敏感信息的公司文件后撰写法律尽职调查报告,在报告中对需要描述的个人信息进行匿名化、假名化等处理后,可以将报告发给欧洲客户,以便欧洲客户了解并购标的公司的相关瑕疵和风险。在这种情况下,报告“出境”成为个人信息“出境”的替代性解决方案,既符合中国相关数据保护法律法规的要求,也满足欧洲客户并购交易的风险评估诉求。五、卖方律师在竞价交易活动中的额外服务-Redaction在竞价交易模式的并购交易活动中,卖方需要将目标公司的相关公司文件披露给最终选定的一家或少量几家潜在买方,供潜在买方聘请的中介机构进行买方尽职调查。由于目标公司是跨国公司,涉及中国子公司的公司文件大多为中文,目标公司参与并购项目的人员层级较高,且大多为欧美管理人员,并不精通中文。鉴于项目保密性,目标公司通常会请参与尽职调查的团队进行Redaction的工作。Redaction的工作具体是通过PDF编辑工具对公司文件中包含的商业秘密(客户和供应商名称、价格)以及个人信息进行“标记密文”处理。这项工作也是卖方法律尽职调查和买方法律尽职调查在实务中的区别之一。中国律师在担任卖方法律顾问的项目中,可能需要提前将Redaction的工作量包含在其法律服务报价考虑中。根据欧盟相关数据保护法律,中国大陆尚未被欧盟委员会(EU Commission)给予数据保护方面的“充分性认定(Adequate Decision)”,因此从欧盟向中国大陆传输个人信息需要满足《一般数据保护条例》规定的适用措施。GDPR总体上规定了若干可选的跨境传输适用措施,但从国际并购实务角度而言,据笔者观察,只有标准合同(SCC)的方式可以适用。欧盟客户的牵头法律顾问在与中国律所签署分包协议(Subcontract Agreement)的时候,一般会将数据保护标准条款(Standard Contractual Clauses, 简称“SCC”)作为附件规定在分包协议中,以符合从欧盟跨境传输个人信息到中国大陆的GDPR项下的跨境传输数据合规义务。此外,在某些敏感项目上,中国律师也会被要求与欧盟客户直接签署保密协议(Non-disclosure Agreement), 以获得访问包含个人敏感信息的权限,该NDA也会将数据保护标准条款(SCC)作为其附件。
原文链接请见:泰和泰研析丨跨境并购潮涌起,数据合规风帆劲——国际并购场景下的数据保护实践
