引言:当并购跨越国界,数据合规成为交易桌上的“硬通货”
各位同仁、企业家朋友们,大家好。在加喜财税这十年,经手了大大小小几百宗公司转让与收购案,我深切感受到,商业世界的游戏规则正在发生一场静默但深刻的变革。如果说早些年大家谈并购,核心是资产、是技术、是市场份额,那么近几年,尤其是在涉及欧洲、中国乃至全球布局的交易中,“数据合规”已经从一个法务部门的边缘议题,一跃成为决定交易成败、估值高低甚至未来存续的核心风险点。这不再是“锦上添花”的合规装饰,而是交易底盘的一部分。想想看,你花巨资收购一家公司,看中的是其庞大的用户数据库和精准的算法模型,结果交割后才发现,这些核心资产的数据获取方式压根不符合欧盟《通用数据保护条例》(GDPR)或中国的《个人信息保护法》(PIPL),随之而来的可能是天价罚单、业务停摆,甚至强制要求删除数据——那收购来的岂不是一堆“负资产”?这种案例,在现实中已不鲜见。今天我想和大家深入聊聊,在跨国并购的尽调中,如何像审视财务和法务一样,去审视目标公司的数据合规“健康度”。这不仅仅是律师的活儿,更是我们这些负责交易结构设计、风险评估和最终落地执行的专业人士必须掌握的“生存技能”。
一、 起点:识别数据资产与数据流图
数据合规审查的第一步,绝不是埋头去翻找那一堆可能并不完整的隐私政策。我的经验是,首先要像绘制作战地图一样,搞清楚目标公司到底有哪些数据、这些数据从哪来、到哪去、在内部如何流转。这听起来基础,但实际操作中往往是最混乱的一环。很多科技公司,尤其是快速成长的初创企业,其数据收集和处理活动是随着业务野蛮生长出来的,缺乏统一的梳理。我们需要引导目标公司,共同绘制一张详细的“数据流图”。这张图要涵盖:收集的个人信息类型(是基本的姓名电话,还是敏感的人脸、健康、行踪轨迹?)、数据来源(直接来自用户,还是从第三方购买、共享?)、处理目的(用于用户注册、个性化推荐、还是用户画像分析?)、存储位置(服务器在境内、境外,还是混合云?)、以及共享或传输的对象(关联公司、供应商、广告合作伙伴等)。绘制这张图的过程,本身就是一次风险暴露的过程。我曾参与一个国内企业收购某欧洲电商平台的案子,尽调初期对方声称数据实践完全合规。但当我们坚持要求技术团队画出数据流时,发现其用于精准营销的用户行为数据,竟然“悄无声息”地流向了其控股股东设在另一个法域的服务器进行分析,而这个第三国并未获得欧盟的充分性认定。这个发现直接触发了GDPR下跨境传输机制的审查,成为后续谈判中估值调整和交割后整合计划的关键制约点。
在这个过程中,我们还需要特别关注那些“非典型”数据资产。比如,通过爬虫技术获取的公开数据、通过物联网设备收集的环境与行为数据、以及内部员工的数据。这些常常是合规的盲区。一个普遍的观点是,公开数据可以随意使用,但GDPR和PIPL都明确指出,即使是公开信息,如果用于自动化决策或对个人产生重大影响,也可能受到规制。我曾遇到一个做舆情分析的被收购方,其核心资产就是爬取的各类公开论坛和社交媒体的数据。审查发现,其爬取行为本身可能违反了某些网站的服务条款(构成不正当竞争或侵权风险),且对海量数据中夹杂的个人信息进行情感分析和画像,完全未告知数据主体,这在中国PIPL框架下风险极高。最终,这部分“资产”的价值在评估中被大幅调低,并要求在交割前完成合规整改。
| 数据流图核心要素 | 审查要点与潜在风险 |
|---|---|
| 数据收集源头 | 是否获得有效同意(GDPR要求明确、自愿、特定;PIPL要求单独同意、明示同意)?是否存在“捆绑同意”或默认勾选?对于非直接收集(如购买、共享),其上游来源是否合法合规? |
| 数据处理目的 | 是否与收集时声明的目的具有直接、合理的关联?是否存在“目的变更”,例如将用户注册信息用于营销而未重新获取同意? |
| 数据存储与跨境 | 服务器物理位置及法律管辖。跨境传输是否具备合法机制(如GDPR的标准合同条款SCCs、中国PIPL下的安全评估、认证或标准合同)? |
| 数据共享与披露 | 共享给第三方的法律依据(合同必要性、单独同意?)。接收方所在国的保护水平。是否有完善的数据处理者(Processor)协议约束? |
二、 核心:合法性基础的穿透式审查
画完了地图,接下来就要用法规的尺子去丈量每一个环节的合法性。无论是GDPR还是PIPL,其核心都建立在数据处理必须拥有合法基础上。并购尽调中,我们必须对目标公司声称的每一项处理活动的合法性基础进行“穿透式审查”,而不能仅仅相信其单方面声明。最常见的合法性基础是“用户同意”,但这也是水最深的地方。审查同意,关键在于其是否“有效”。一份有效的同意,必须是自由给予的、具体的、知情的、且通过明确肯定性动作作出的。在实践中,我们看过太多无效同意:比如注册时必须勾选同意营销条款才能完成注册(非自由给予);用一份笼统的隐私政策涵盖所有处理目的(不具体);或者用晦涩难懂的法律语言描述数据处理方式(不知情)。在加喜财税服务过的一个案例中,一家国内App公司拟被美国资本收购,其隐私政策长达数万字,将数据用于十几种业务场景,但获取同意的方式只是在用户注册时一个默认勾选的“我已阅读并同意”。我们指出,这在中国PIPL下,对于非必要个人信息处理,尤其是敏感个人信息和向境外提供的情况,需要获取“单独同意”或“书面同意”,一个打包的勾选是远远不够的。这直接导致其历史数据存续合法性存疑,未来业务模式必须调整。
除了同意,其他合法性基础如“履行合同所必需”、“法定义务”、“保护重大利益”等,也需要严格审视。例如,目标公司声称为了向用户提供服务(履行合同)而收集了用户的通讯录信息。我们就需要问:提供核心服务真的必须收集通讯录吗?有没有对用户侵扰更小的替代方案?如果答案是否定的,那么该基础就不成立。这种审查需要结合业务逻辑进行实质性判断,而非形式审查。另一个容易被忽视的点是,当目标公司作为数据处理者(Processor)为其客户(Controller)处理数据时,其与客户之间的数据处理协议是否完备、是否将GDPR或PIPL下的义务进行了恰当分配。这关系到责任链条是否清晰,收购方是否会因历史协议而承担潜在连带责任。
三、 焦点:跨境数据传输机制的合规性
对于跨国并购而言,数据跨境传输是几乎无法回避的痛点,也是监管执法的重点领域。收购方总部在美国,目标公司在欧洲和中国都有业务——这种架构下,数据如何在集团内外部流动,必须有一套经得起推敲的合规机制。GDPR和PIPL在跨境传输上均设置了高门槛。GDPR原则上禁止向未获得“充分性认定”的国家传输数据,除非提供了适当的保障措施,如具有约束力的公司规则(BCRs)或标准合同条款(SCCs)。而PIPL则规定,向境外提供个人信息,必须通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、或者与境外接收方订立国家网信部门制定的标准合同。这里面的挑战在于:第一,机制是否就位。很多公司,特别是中小型公司,根本没有建立正式的跨境传输机制,处于“裸奔”状态。第二,机制是否有效。例如,即使签署了GDPR的SCCs,也需要完成“传输影响评估”,评估接收方所在国的法律是否会对SCCs的保护承诺造成减损。这在“ Schrems II ”案后变得异常复杂和重要。
我亲身经历的一个挑战,是在协助一家中国企业收购德国一家工业传感器公司时遇到的。目标公司的产品数据会回传到其在德国的云平台进行分析,其中包含少量可识别到特定设备操作员的数据(属个人信息)。德方声称已采用SCCs。但我们需要进一步审查:第一,中德双方是否完整签署了最新版本的SCCs模块?第二,作为中国收购方,未来成为数据控制者后,是否能满足SCCs中对数据接收方(中国)的法律环境评估要求?这涉及到对中国《网络安全法》、《数据安全法》、《情报法》等法律的解释,是一个极其敏感且充满不确定性的领域。我们最终的解决方案,是在交易协议中设置了分步走的交割条件:首先要求目标公司在交割前完成对其现有跨境传输的全面梳理和文档化;将建立符合双方监管要求的长期跨境传输方案(包括考虑数据本地化存储等替代方案)作为交割后一定期限内必须完成的义务,并与部分交易对价支付挂钩。这既控制了当前风险,也为未来整合留下了缓冲空间。
四、 纵深:数据主体权利的响应能力
法规不仅规定了企业能做什么,更赋予了个人一系列权利。在并购尽调中,评估目标公司是否具备响应这些权利的实际运营能力,至关重要。这些权利包括访问权、更正权、删除权(被遗忘权)、可携带权、反对自动化决策权等。这不仅仅是技术问题,更是流程和成本问题。我们需要审查:目标公司是否有公开、便捷的权利行使渠道?内部是否有清晰的流程,确保在法定期限内(GDPR通常是一个月,PIPL是15个工作日)响应请求?其IT系统是否支持精准定位和操作单个用户的个人数据?尤其是在复杂的多系统、多备份的环境下,实现彻底的删除权技术难度和成本都很高。一个普遍的观点是,很多公司的权利响应机制停留在纸面,一旦面临大量或复杂的请求,就会瘫痪。
这里分享一个个人感悟。我们曾为一家私募基金评估其拟投资的某消费大数据公司。该公司拥有数千万用户画像。在测试其数据主体权利响应流程时,我们以用户身份提出了数据访问和删除请求。结果发现,其前台客服完全不知道如何处理,内部工单流转了四周才到技术部门,技术部门回复说只能提供部分最近的数据,且无法从所有备份和日志中彻底删除。这暴露出两个严重问题:一是其合规体系与业务运营严重脱节;二是其数据治理架构混乱,“数据债务”高企。收购或投资后,若要真正合规,可能需要投入巨额资金进行系统重构。这个发现极大地影响了估值模型。在尽调中,“压力测试”目标公司的权利响应流程,是窥见其真实数据治理水平的一扇窗。
.jpg)
| 关键数据主体权利 | 尽调中需评估的运营能力 |
|---|---|
| 访问权与可携带权 | 系统能否快速、完整地提取指定个人的结构化、通用格式数据?流程是否自动化,还是依赖人工?响应时间是否符合法定要求? |
| 删除权(被遗忘权) | 技术层面能否在所有生产、备份、日志及第三方系统中彻底擦除?是否有清晰的保留政策作为删除的例外依据(如法律合规要求)? |
| 反对权与同意撤回 | 营销等基于同意的处理,能否在用户撤回同意后立即停止?基于合法利益的处理,是否有顺畅的反对渠道和评估机制? |
| 自动化决策相关权利 | 是否对自动化决策(如信用评分、招聘筛选)进行人工复核?能否提供决策的逻辑解释? |
五、 底线:安全事件与历史合规记录
但绝非最不重要的,是审查目标公司的“数据安全病史”。这包括两方面:一是是否发生过已识别的数据泄露或安全事件;二是是否曾受到监管调查、处罚、用户集体诉讼或存在未决的合规投诉。这部分信息,目标公司往往倾向于淡化或隐瞒,因此需要多管齐下进行核实。除了要求对方披露,还应查阅公开的监管公告、诉讼记录、媒体报道,甚至在特定情况下,进行有限的第三方安全渗透测试(需在保密协议框架下谨慎进行)。一次重大的历史数据泄露,不仅可能带来尚未了结的巨额罚款和赔偿(根据GDPR,最高可处全球年营业额4%的罚款;PIPL最高可达5000万元人民币或上一年度营业额5%),更会严重损害品牌声誉和用户信任,这种无形资产损失在并购估值中很难量化但影响深远。
我记得曾有一个案例,一家看似光鲜的金融科技公司寻求被收购。在常规尽调中,其否认发生过任何重大安全事件。但我们通过公开渠道和行业信息源交叉验证,发现其在两年前曾遭遇过一次严重的API漏洞泄露,影响数十万用户,只是该事件被低调处理,未大规模见报。当我们拿着证据质询时,对方才承认,并透露正在与监管机构进行非正式沟通,可能面临处罚。这个“历史包袱”立即成为谈判的焦点。最终,收购方要求设立专门的赔偿金托管账户,用于覆盖未来可能产生的罚金和和解费用,并大幅调低了收购对价。这个教训告诉我们,数据合规尽调不能只听信单方陈述,必须带有侦探般的怀疑精神和多渠道验证能力。也要关注目标公司所在行业整体的监管态势,例如,对于金融、医疗健康、教育等强监管行业,数据合规的要求本就更为严苛,历史“案底”的权重也应相应提高。
结论:将数据合规尽调嵌入交易基因
在当今的跨国并购中,数据合规审查绝非一份可以外包给律所后就束之高阁的 checklist。它必须像财务尽调、法律尽调一样,成为交易架构师和决策者思维的一部分。从识别数据资产开始,到穿透合法性基础,再到破解跨境传输难题,评估运营响应能力,最后核查安全历史,这是一个层层递进、相互关联的有机过程。成功的并购,不仅是资产的叠加,更是合规体系的顺利整合与升级。对于买方而言,这意味着一方面要通过详尽的尽调准确识别风险,并将其反映在交易价格、交割条件、赔偿条款和交割后整合计划中;另一方面,也要有长远的眼光,将数据合规视为未来企业核心竞争力的组成部分进行投资。未来的商业世界,合规能力本身就是一种稀缺的“产能”,能够合法、安全、负责任地驾驭数据的企业,将在并购市场和资本市场都获得更高的溢价。这条路充满挑战,但早一天系统性地将其纳入我们的专业工具箱,就能早一天在复杂多变的交易中为客户创造更稳固的价值。
加喜财税见解总结
在加喜财税经手的众多跨境交易案例中,我们深刻体会到,数据合规尽调已从“可选项”变为“必选项”,且其复杂性和专业性要求呈指数级上升。它要求团队不仅懂法律条文,更要懂技术逻辑、业务模式和跨国监管的动态博弈。我们的经验是,必须采取“业务-技术-法律”三位一体的审查方法,避免合规评估与商业现实脱节。对于收购方,我们建议:一是尽早介入,在签署意向书(LOI)阶段就应将数据合规作为核心尽职调查范畴;二是重视“交割后合规整合”的规划与成本预留,很多风险在交割后才真正暴露;三是善用专业机构,构建包含法律、财税、技术安全顾问在内的综合尽调团队。数据资产是金矿,但开采不当也会引发塌方。加喜财税的角色,就是帮助客户在并购的“淘金热”中,配备最专业的地质图和安全设备,确保每一次挖掘都建立在坚实合规的基础之上,最终实现交易的平稳落地与资产的持续增值。