公司并购一般分为股权收购（Share Deal）和资产收购（Asset Deal）两种类型。前者是指买方收购目标公司的股权或股份，比如三一重工收购德国普茨迈斯特100%的股份；后者是指买方收购目标公司的某一部门或者业务线，比如微软收购诺基亚的设备与服务部门及其专利组合。

在股权收购中，买方购买目标公司的股权并成为其股东，相关数据资产一般仍在目标公司名下，买方未直接持有。买方作为股东，或将对数据合规问题承担间接责任。在资产收购中，买方在交割完成后成为数据资产的所有权人。作为数据资产的控制者，买方直接对数据资产的合规风险承担责任。

【案例一】2016年，美国电信业巨头Verizon宣布计划收购互联网门户网站Yahoo，并开出48.3亿美元的诱人报价，业界对此桩交易也多持乐观态度。然而，Yahoo在双方接触的关键时刻却接连爆出数据泄露事件。2016年9月，Yahoo被指泄露了至少5亿个账户信息。2016年12月披露的另一起事件更是震惊业界：Yahoo首席信息安全官Bob Lord承认，他们发现三年前的一次泄露可能波及10亿用户，被盗的用户信息包括姓名，电子邮件地址，电话号码，出生日期等。两起事件一度让此次交易的前景蒙尘，还引发了美国证券交易委员会（SEC）的介入。最终，Verizon以44.8亿美元的价格完成了收购，数据安全事件的发生导致Yahoo的收购价格重挫了3.5亿美元。[1]

从这一案例，我们可以看到数据合规对卖方具有重要意义。除了在日常经营中重视数据合规建设外，聪明的卖方会在并购工作开始前布局，委托外部专业机构开展数据合规尽调，提前摸清数据合规风险来源，并及时采取整改措施封闭或降低风险敞口。这样的做法可以帮助卖方提升数据资产在内的资产估值，在保障交易安全性的同时，也能帮助争取更优厚的出售条件，或者吸引更优质的买方。若在并购进入实质接触阶段发生数据安全 "暴雷"，或者由买方在尽职调查中发现数据合规问题，就有可能以此为由打压收购价格、提出更苛刻的条款和条件，或者招致主管政府机构介入，严重的还可能导致交易终止（即便交易完成，也可能将在交易签署或交割后背负额外的保证或赔偿责任）。

数据最小必要原则（"数据最小化原则"）已在多个法域的数据保护立法中得以确认，成为世界范围内数据治理的一个共识。例如，GDPR第5（c）条规定，个人数据的处理应限于数据处理目的最小必要范围。《个人信息保护法》第6条规定，处理个人信息应当采取对个人权益影响最小的方式。因此在并购的过程中，遵守数据最小化原则必须得到确保。

实务中，卖方需要向买方提供相应数据资料以推进交易。若仅是供买方评估并购方案所用，则卖方有义务将原始的用户数据进行脱敏处理，使用匿名化（Anonymisation）或者假名化（Pseudonymisation）的方法，向买方提供符合行业标准的、不能指向具体自然人的统计数据，而非直接将原始的用户数据托盘而出。

在特殊的情况下，若必须向买方提供具有可识别性的个人信息，则应检查用户协议和隐私条款，核查"并购交易使用"是否在用户的同意使用范围内，否则就应取得用户的单独同意。在紧张的交易谈判阶段，重新取得用户"并购交易使用"的单独同意无疑是比较困难的。因此，在日常经营活动中制定全面的用户协议和隐私条款并就企业并购的有限数据披露和交换取得用户的充分同意显得尤为重要。

DR是一个物理上的独立空间，多设立于卖方公司，承担着存放重要交易文件供双方及律师、会计师审阅的功能。随着信息技术的发展和新冠疫情的蔓延，为了降低交易成本、提升工作效率，通过有限制的受控访问网站搭建VDR方式也被越来越广泛地采用。确保DR和VDR的数据安全，需要对访问者的权限进行合理的管控，避免在交易过程中发生数据泄露或数据滥用。

GDPR第6.4条规定，只有数据传输目的与数据收集时的处理目的相一致时，才不需要取得数据主体另外的明示同意。《个人信息保护法》第22条更是明确规定，个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知接收方的名称或者姓名和联系方式。接收方应当继续履行个人信息处理者的义务。接收方变更原先的处理目的、处理方式的，应当依照本法规定重新取得个人同意。

因此，并购完成后，在业务调整或者跨部门的数据分享等场景下，若变更数据收集时承诺的用途，则应获得用户特别同意后再进行数据的转移。具体到同意方法上，可以采取选择加入（opt-in）或者双重确定（double opt-in）的架构确保用户同意的有效性。

【选择加入】Opt-in即用户采取明确的行为来表示同意。在个人信息保护领域，这种同意包括对基本隐私政策的同意，有时也包括订阅电子邮件和新闻通讯邮件列表、接受 Cookie使用等附属选项。在并购完成后的数据转移场景下，需要相关电子选框处于默认不勾选的状态，以获得用户的明示同意。

【双重确定】Double opt-in是一种双层次的同意架构。典型的应用场景包括：在用户提交个人信息用于注册后，发送一份带有确认链接的电子邮件要求用户进行二次确认。这样的架构设计可以避免用户身份的滥用或者冒用，也有利于为用户同意增效。在并购完成后的数据转移场景下，这样的架构可用于用户信息的处理目的变更和信息转移。通过收集用户个人信息中的联系方式（电子邮件、电话号码等），发送二次确认的通知，在收到二次确认的链接后，再将信息入库。

【案例二】2014年，在线旅游网站TripAdvisor以2亿美元收购旅游预订公司Viator。该交易于2014年8月中旬完成交割，大约两周后，Viator宣布它是用户数据泄露的受害者，多达140万客户的个人资料和信用卡信息可能遭到泄露。消息传出后，TripAdvisor的股票应声下跌5%。[2]

从交易的角度，买方应当建立"有瑕疵的数字资产与有负担的传统财产一样，都会对收购乃至收购后的业务开展产生影响"的风险意识。此外，合格的数据尽职调查也可以帮助买方更加全面、合理地评估收购价格。在并购时，尤其是收购具有庞大数字资产的互联网公司时，做好数据合规尽调就显得尤为重要。

1、数据处理者主体身份

（1）一般身份审查。目标公司是否拥有数据相关的运营资质；是否与境外实体存在关联，实施了数据传输行为；是否被有关部门认定为关键信息基础设施运营者或为关键信息基础设施运营者提供产品或服务。

（2）特殊行业的专门审查。目标公司是否属于拥有特别规范的特殊行业，并应按照该行业的特别规范进行专门审查。例如，在健康和生命科学领域，根据《人类遗传资源管理条例》第2条的规定，人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料，其与人类遗传资源材料一样都属于人类遗传资源。而监管对"外方单位"[3]采集、保藏、利用以及对外提供人类遗传资源信息的行为，都提出了更高的要求。因此，若买方是涉足此类业务的生物医药企业，就有必要结合行业法规和监管逻辑，判断其是否属于"外方单位"，从而更好地确定合规工作的需求与要点。

2、数据处理行为和数字产品或服务

（1）数据处理全流程合规审查。根据GDPR和《个人信息保护法》的规定，数据的处理涵盖数据的收集、存储、使用、加工、传输、提供、公开、删除等诸流程，对于这些覆盖数据生命全周期的流程要逐步排查风险源。

（2）数字产品或服务的合规审查。目标公司自用或者对外提供的互联网产品（包括开发者、运营商、维护商、服务器位置等）；网络平台（包括APP、网站、社交媒体，嵌入式程序等）的安全状况和合规情况。

（3）安全技术的审查。目标公司对数据的技术分类、备份情况是否合规；是否采取了恰当的隔离、加密、脱敏、分类和访问限制措施；SDK、API接口的使用情况是否合规。

3、数据安全履历

（1）目标公司是否有受到任何与网络安全或数据隐私相关的重大调查、询问或制裁，是否受到网信办、中国证监会或任何其他相关政府机构的网络安全审查，或者其他因不遵从网络安全或数据隐私法律法规而受到任何重大罚款或其他重大处罚，受到过民事起诉、行政执法调查或处罚、刑事调查或起诉等情况。

（2）若目标公司未受到问询、处罚或者诉讼，但有不曾公开的受到攻击事件或者泄露事件，也应该要求卖方公司说明情况或者自行开展调查。

4、数据保护合规制度建设

（1）目标公司数据合规专门制度的建设情况。目标公司是否已建立数据安全防范机制、数据安全事故的响应机制、个人信息安全或者关键信息基础设施的评估制度，是否组建网络安全和数据安全的专业部门，建立网络安全监测预警和信息通报制度；是否定期进行网络安全审计，是否有受理并处理用户投诉和举报的机制等。

（2）目标公司日常经营制度中的合规工作。目标公司向员工提供网络安全与数据合规培训的情况；是否在劳动或者劳务合同中加入数据安全的相关条款；是否为业务系统部署网络安防系统、定期开展网络安全应急演练等。

5、相关协议审查

（1）要求目标公司提供最新的用户协议、使用条款、隐私协议，检查其现有的隐私政策和数字安全政策能否覆盖法规要求。

（2）用户对协议同意的审查。目标公司是否获得数据相关授权/同意；同意的方式是否符合法规要求；对于法律规定的特殊事项是否取得单独授权。

6、数据跨境传输审查

数据的跨境传输，是目前数据合规中立法较为集中的领域。虽然仍然处于法规的建设期和制度的探索期，但随着法规和配套制度的逐步完善，可以预计在未来几年内将进入强监管时代。因此，还需要重点关注目标公司是否涉及将个人信息和重要数据提供至境外，如涉及，是否已通过数据出境安全评估；是否取得相关的特别授权/同意；数据处理是否符合境外法规等。

【案例三】2019年，有业内消息传出，某网络巨头欲将一家可穿戴设备公司收入囊中。标的公司生产的健身追踪设备可以收集用户步数和行程，以及心率、血压、血氧饱和度等涉及健康状况的敏感个人信息。这一事实在全世界范围内引发了广泛担忧，导致本次交易一波三折：

【美国】出于对消费者个人数据保护的担忧，消费者权益保护组织 "公共公民"（Public Citizen）和"数字民主中心"（Center For Digital Democracy）先后呼吁反垄断执法机构介入叫停交易。与此同时，电子隐私信息中心（EPIC）于2019年11月12日发布了一份声明，要求联邦贸易委员会（FTC）在审查公司合并时考虑数据保护。[4]随后，《纽约时报》等媒体报道美国司法部将对这项并购交易进行审查。联邦贸易委员会表示关注到了这一情势，也将跟进调查。[5]2020年7月，在买方公司官宣交易后，明尼苏达州参议员艾米·克洛布查尔（Amy Klobuchar）与其他五名参议员再次致函司法部长威廉·P·巴尔（William P. Barr），对买方公司通过收购获取标的公司用户数据表达担忧，并敦促对该收购进行全面审查。[6]

【欧洲】2020年6月，买方正式官宣收购，并向欧盟委员会进行了经营者集中申报。欧盟委员会于2020年8月4日宣布对该收购交易展开深入调查。[7]在欧洲监管机构的施压下，买方做出一系列重大让步以保障收购的完成，包括承诺不将可穿戴设备从欧洲经济区（EEA）用户处获取的健康数据用于广告用途，并对相关用户数据进行技术隔离。这些承诺的期限为十年，而且欧盟委员会有权在期满后再延期十年。在获得一系列承诺后，欧盟委员会于2020年12月最终附条件批准了这笔交易。[8]

【澳大利亚】澳大利亚竞争和消费者委员会（ACCC）于2020年6月发布了一份问题声明，概述了对该收购案的关切。[9]虽然买方对ACCC给予了与欧盟类似的保护承诺，但ACCC于2020年12月22日宣布，不接受买方在此次收购案中提供的长期行为承诺，[10]导致这笔交易在澳洲受到了一定阻力，影响了买方在数字健康领域的全球布局。

从这一系列交易案例中，我们可以看到跨国经营主体在各国主管部门数字主权意识觉醒下发起并购交易所要面临的多法域监管挑战。在这种环境下，跨国经营主体应根据不同经营所在地的数据保护法律制定不同的交易与合规策略。同时，保持与当地数据保护主管部门的良性互动和有效沟通，帮助其并购交易和商业目标的顺利达成。

值得注意的是，对于并购中数据安全与隐私保护的关切，已不限于发达国家或者先进司法管辖区主管部门，越南、菲律宾、马来西亚等发展中国家都已采取相关立法措施确立数据领域的安全保护规范。这可能对意在"走出去"，或在"一带一路"沿线开展并购业务的中国买方公司是一个有用的提示。

并购中的数据合规是交易双方合作实现共赢规避风险的重要一环。对于卖方而言，需要通过高标准的数据合规建设，争取交易中的主动；对于买方而言，需要通过全面深入的数据合规尽职调查排除隐患，确保并购交易的安全。在当下的并购交易中，无论是互联网等新兴行业还是涉及数字资产正在转型中的传统行业，都需要对数据合规给予足够的重视，才能更好地保障交易双方的权利，推动交易顺利达成的同时，通过数据这一重要的维度提升交易的价值。