近年来,互联网、大数据、云计算、区块链、人工智能等技术加速创新,不断融入经济社会发展全过程和各领域。数据的巨大商业价值日益被市场发掘和验证,已经成为比肩土地、劳动力、资本、技术的要素资源,发展以数据资源作为关键生产要素、以现代信息网络作为重要载体、以信息通信技术的有效使用作为效率提升和经济结构优化的重要推动力的数字经济也已上升为国家战略。
与高速发展伴随而来的,是密集出台的法律法规和政策制度,以及不断强化的执法监管。一方面,数据监管规范体系日趋完善,自《网络安全法》于2017年6月1日实施以来,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等一系列法律法规、规章等先后发布。另一方面,数据监管执法力度不断加强,如工业和信息化部于2019年10月开始开展的关于APP侵害用户权益专项整治工作持续至今,又如“滴滴出行”App因严重违法违规收集使用个人信息和涉及国家安全而于2021年7月被下架引发社会强烈关注等。
在监管日益强化的大背景之下,企业面对越来越严格的数据合规要求,违规风险和法律责任不容忽视,而开展尽职调查识别数据合规风险则是数据合规治理的关键环节。
一、数据合规法律尽职调查的应用场景
(一) 投资并购项目法律尽职调查中的新增内容
在投资并购项目中,通常会对标的公司/资产进行法律尽职调查,常规的调查范围主要包括历史沿革、主营业务、资质许可、主要资产、债权债务、诉讼仲裁、行政处罚等。然而,当标的公司/资产涉及数据,尤其是数据对标的公司运营有较大影响或者数据的价值占标的资产总价值较高的情况下,对标的公司/资产的数据合规进行尽职调查将尤为重要,数据合规问题的存在与否,很可能会影响交易方案、进度、估值,甚至会影响交易能否进行。
因此,在开展投资并购项目法律尽职调查时,数据合规将成为调查范围中不可忽视的重要内容。
(二) 企业上市前数据合规整改的关键步骤
企业在境内外资本市场申请上市,均需符合合规性要求,即不能存在对申请上市构成实质性法律障碍的事项。在数字经济时代,数据合规在企业上市过程中的重要性凸显,若存在数据合规问题,无疑会对上市造成不利影响,甚至可能会构成实质性法律障碍。
就A股而言,证券监管部门在企业上市审核中愈发关注数据合规问题,一方面,反馈问询涉及数据合规问题的案例不仅限于人工智能等科技企业,也涉及电子商务类企业,如深交所在对深圳市三态电子商务股份有限公司的反馈问询中要求其“说明经营过程中涉及客户信息、第三方信息获取及处理的环节及主要内容,所使用的相关数据来源是否需经过授权,是否存在数据合规性风险”;另一方面,反馈问询涉及数据合规问题具有范围广、技术性强的特点,如上交所在对上海合合信息科技股份有限公司的反馈问询中要求其说明“各项业务及研发分别获取、存储、使用哪些数据,对应的数据来源、数据权属,是否存在销售数据的情形……自动化访问获取的企业数据如何确保来源合法性,调查供应商及数据来源合法性的具体方式及有效性……关于获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况,是否能够有效保障数据安全及业务合法合规……近年关于数据安全、个人信息保护等立法对研发、采购、销售等的影响,业务开展是否符合该等法律法规规定。”就港股而言,Keep于2022年2月向香港联交所递交IPO申请时,直接聘请了专门的数据合规中国律师。
为有效应对上市过程中的数据合规挑战,拟上市企业需要提前完成数据合规整改,而开展数据合规法律尽职调查以识别风险及确定整改方案则是整改的关键步骤。
(三) 企业日常运营中数据合规体系搭建的重要前提
在企业发展过程中,业务发展与合规风控极易产生冲突,尤其是初创企业、新兴业态、互联网产品等普遍存在试探监管底线的侥幸动机,但是,在强监管的趋势之下,只有合规才能保障长远发展,而搭建数据合规体系则是保障企业数据合规的前提和基础。
通过尽职调查,全面、深入了解企业的业务模式、业务流程、涉及的数据类型、数据来源、外部数据合作情况、数据保护现状等,发现、研判企业经营过程中涉及的数据合规风险及潜在风险,并在此基础上搭建具有针对性及可操作性的数据合规体系。由此可见,尽职调查是企业日常运营中数据合规体系搭建的重要前提。
(四) 外部数据合作时筛选、监督合作方的有效方式
企业在开展外部数据服务合作时,合作方(如数据供应商、接受委托处理数据的受托方)的数据合规风险将直接影响企业自身。因此,在开展合作前,对合作方的数据合规情况进行尽职调查,有助于筛选合规的合作方;在合作过程中,通过持续的、阶段性的尽职调查,对合作方的数据处理活动进行监督,确保合作方依法、依约处理数据,则是防范合作方数据合规风险的有效方式。
(五) 数据出境风险评估的必要措施
数字经济时代,数据正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量,积极参与、融入数字经济国际合作不可避免会遇到数据跨境流动。为了维护国家安全,我国对数据出境实施严格的监管和审查,《网络安全法》《个人信息保护法》均要求数据出境应进行安全评估,《数据出境安全评估办法(征求意见稿)》要求数据处理者在向境外提供数据前应事先开展数据出境风险自评估。有鉴于此,根据数据出境风险评估的要求,对相关事项开展尽职调查,并提前防范数据出境安全风险,方可合法、顺利完成数据出境。
除以上应用场景外,在其他有数据合规需求的场景中,都有数据合规法律尽职调查的应用可能,例如,企业拟开展数据处理业务前对该等业务所涉潜在数据合规风险的排查、数据处理者与监管部门的协调沟通及刑事风险防范、与数据相关的不正当竞争情形等。并且,随着数字经济的纵深发展,数据的应用空间将更加广阔,相应地,数据合规法律尽职调查的应用场景亦将随之扩展。
二、数据合规法律尽职调查的重点内容
数据,是指任何以电子或者其他方式对信息的记录。至于数据合规的内涵,结合《数据安全法》《个人信息保护法》《深圳经济特区数据条例》《上海市数据条例》的规定,包含数据处理和数据安全两个方面。数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等;数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
基于此,数据合规尽职调查需要围绕数据处理与数据安全两个方面开展:
(一) 数据处理
数据“从生到死”的整个生命周期包含“收集、存储、使用、加工、传输、提供、公开、删除”八个阶段,数据处理合规与否在于是否符合前述八个阶段中每个阶段的合规要求。
虽然数据并不等同于个人信息,但因目前数据监管重点领域为重要数据和个人信息,个人信息的应用面更广,本文将结合个人信息处理全流程的合规要点,阐述数据处理方面尽职调查的重点内容。
1. 收集
收集个人信息需要符合合法、正当、最小必要、公开透明及一般情况下的授权同意等原则。此阶段尽职调查的内容包括但不限于:收集个人信息的类型、数量、方式、渠道是否合法、正当、最小必要;是否以清晰明确、易于理解的方式,完整、真实、准确地向个人信息主体告知收集、使用个人信息的目的、方式和范围等;是否获取了个人信息主体的同意;敏感个人信息或未成年个人信息是否单独获得同意;是否提供便捷的撤回同意的方式;是否提供了查询、更正、补充、删除个人信息的渠道等。
2. 存储
个人信息存储需要符合境内存储、期限最短和分类加密存储等要求。此阶段尽职调查的内容包括但不限于:个人信息存储方式、地点;存储时间是否为实现处理目的所必需的最短时间;是否有特定行业的存储期限规定;是否在分级分类基础上建立存储安全制度,包括存储载体、是否加密存储或授权访问、是否去标识化或者匿名化、是否分开存储等。
3. 使用
个人信息使用的监管要点在于展示限制、用户画像使用限制、自动决策机制限制、大数据杀熟禁止等。此阶段尽职调查的内容包括但不限于:是否建立最小授权的访问控制策略;是否对需展示的个人信息采取去标识化处理等措施;是否超出与收集个人信息时所声称的目的具有直接或合理关联的范围;是否向个人信息主体明示用户画像的具体用途和主要规则;是否以易获取的方式向个人信息主体提供拒绝用户画像的有效途径;是否基于用户画像向未满十四周岁的未成年人推荐个性化产品或者服务;用户画像中对个人信息主体的特征描述是否包含淫秽等内容及表达对民族等歧视的内容;是否定期开展个人信息安全影响评估;是否向个人信息主体提供针对自动决策结果的投诉渠道;是否利用数据分析对交易条件相同的交易相对人实施差别待遇;根据最新生效的《互联网信息服务算法推荐管理规定》,是否向用户公开了自动化决策算法的规定内容等。
4. 加工和传输
对于个人信息的加工和传输,目前虽尚无具体、有针对性的条文,但仍应当符合合法、正当、必要的基本原则。
此外,数据加工,常见的运用场景是利用基础数据进行数据的深度挖掘和分析,进而形成有价值的数据产品,为商业决策提供支持;当数据加工(大数据分析)与人工智能联合时,会产生巨大的想象空间和商业价值。在此情形下,尽职调查的关键法律问题包括基础数据的来源的合法性、分析结果是否构成新的法律权益(如著作权、商业秘密)、企业是否为了使数据加工后的产品具备商业秘密的性质而采取了必要的保密措施、数据加工结果的使用是否会侵害他人尤其是竞争者的权益等。
数据传输则是风险事故发生的关键环节之一,因此,对于数据在传输过程中采用了何种形式、是否采取与数据级别相匹配的安全保护措施需要在尽职调查中予以特别注意。
5. 提供
个人信息的提供涉及个人信息的委托处理、共享、转让、出境等。
针对个人信息的委托处理,应当核查:委托行为是否超出已征得个人信息主体授权同意的范围;委托处理涉及的个人信息的类型;是否与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等;是否及如何对受托人的个人信息处理活动进行监督;是否转委托他人处理个人信息;是否对委托行为进行个人信息安全影响评估;是否准确记录和保存委托处理情况等。
针对个人信息的共享、转让,应当核查:是否事先开展个人信息安全影响评估;是否涉及个人敏感信息;是否向个人信息主体告知共享、转让个人信息的目的、接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意;是否进行去标识化处理;是否通过合同等方式规定接收方的责任和义务;是否准确记录和保存个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及接收方基本情况;是否存在通过接入第三方软件开发工具包(“SDK”)与第三方实现个人信息的共享、转让情形、App中是否对内嵌SDK信息一一列明、是否对第三方SDK开展技术检测以确保个人信息收集使用符合约定要求等。
针对个人信息出境,应当核查:出境个人信息的类型、数量、方式、渠道;是否需要通过或者是已经通过国家网信部门组织的安全评估;是否按照国家网信部门的规定经专业机构进行个人信息保护认证;是否与境外接收方订立合同及合同的内容;保障境外接收方处理个人信息的活动达到《个人信息保护法》规定的个人信息保护标准的措施等。
6. 公开
个人信息以不公开为原则、公开为例外。针对个人信息的公开,尽职调查时应当关注:是否经法律授权或具备合理事由确需公开披露;是否事先开展个人信息安全影响评估,并依据评估结果采取有效的保护个人信息主体的措施;是否向个人信息主体告知公开披露个人信息的目的、类型,并事先征得其明示同意;是否涉及个人敏感信息;是否涉及个人生物识别信息;是否涉及我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果;是否准确记录和保存个人信息的公开披露情况,包括公开披露的日期、规模、目的、公开范围等。
7. 删除
删除是《个人信息保护法》规定的独立的处理阶段。针对个人信息的删除,尽职调查时应当关注:是否建立个人信息删除机制;是否依法主动删除个人信息;是否建立响应个人信息主体有关删除个人信息请求的机制等。
需要特别说明的是,当数据处理中涉及工业、电信、交通、金融、自然资源、卫生健康、教育、科技等特殊领域的数据时,必须要对照相关行业、领域的规定和监管要求,调查、识别相应的合规风险。
(二) 数据安全
相较于数据处理,数据安全更多体现在企业的制度层面和技术层面,而有关数据安全的制度建设完善和技术能力保障,是实现数据合规的重要组成部分。
结合《数据安全法》对数据处理者履行数据安全保护义务的要求,针对数据安全的尽职调查,应当重点关注以下方面:
1. 数据安全管理制度
是否建立健全覆盖分类分级、风险监测、安全评估、安全教育等全流程的数据安全管理制度;制度内容是否与企业的组织结构、人员设置相匹配;制度的落地执行情况如何;是否通过了一定的安全等级认证、认证是否仍在有效期内等。
2. 数据分类分级保护
是否区分自身处理的数据类型;是否涉及核心数据、重要数据;个人信息是否涉及敏感个人信息;针对不同的数据类型,是否采取相应的保护措施。
3. 人员管理
是否明确责任部门与人员;是否设置专职的个人信息保护负责人和个人信息保护工作机构;是否对担任个人信息处理岗位的相关人员进行背景审查,是否与其签署保密协议;是否建立相应的奖惩制度等。
4. 数据安全教育培训
是否定期或在必要时,对从事数据处理的相关人员开展专业化培训与考核。
5. 风险监测、评估与合规审计
是否开展风险监测活动,并根据风险监测过程中发现的数据安全缺陷、漏洞等采取补救措施;是否进行个人信息保护影响评估,以及评估的结果如何;是否定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,以及审计的结果如何;是否定期开展风险评估,并向有关主管部门报送风险评估报告等。
6. 数据安全事件
是否制定数据安全事件应急预案;是否曾发生数据泄露、毁损、丢失、篡改等数据安全事件;是否采取相应的应急处置措施,及时告知相关权利人,并按照有关规定向网信部门、公安部门和有关行业主管部门报告;是否定期组织内部相关人员进行应急响应培训和应急演练等。
三、数据合规法律尽职调查的主要方式
结合数据的特殊性,我们认为,在开展尽职调查时,可以采用如下方式:
(一) 查阅文件
查阅文件的范围包括但不限于企业的业务合同、内控制度、数据安全管理制度、人力资源制度等涉及公司业务运营、人员管理、数据合作等的全部书面文件及记录,以期全面和深入地了解企业的业务模式、业务流程、数据处理流程、数据合规现状等与业务、数据合规相关的信息。
(二) 调查问卷
可以向企业管理者、从事数据处理的业务人员及技术人员、外部数据合作方发放相应的问卷,以期简洁、清晰、有针对性地了解各方面的数据合规情况。
(三) 沉浸式体验
通过沉浸式体验,试用企业的产品(如APP、小程序),了解企业的数据处理流程及其合规性;以匿名身份体验个人用户权益(查阅复制权、可携带权、删除权等)保护落实的合规性;参与安全事件演练调查在风险处理方面的技术能力、响应速度和合规措施。
(四) 访谈走访
可以对企业的负责人、业务人员、技术人员、从事数据处理的相关人员等进行访谈,亦可对相关监管机构、外部数据合作方进行走访。
(五) 网络检索
通过网络检索,了解有关企业业务/产品的外部评价、是否涉及诉讼/行政处罚、同行业公司的数据合规情况、外部数据合作方的情况等。
当然,除了上述方式外,亦可结合尽职调查对象的特殊性、数据合规尽职调查的最新实践,不断丰富尽职调查的可行方式,如与专业技术人员合作、模拟演练数据泄露事件等。