企业数据入境出境分别可能面临哪些监管障碍?应如何规避合规风险?
自2017年6月《网络安全法》实施以来,市场对于数据合规问题愈发重视。2021年7月10日,国家互联网信息办公室网络安全审查办公室发布了《网络安全审查办法(修订草案征求意见稿)》(《办法》),数据跨境合规问题再度引发市场的高度关注。除了近期被发起安全审查的境外上市项目外,在投资并购交易中,数据跨境合规问题也一直是关注的重点,本文将就此展开分析。
合伙人
汉坤律师事务所
海外投资并购中的数据跨境传输面临境内网络安全审查和跨境限制的风险。根据《办法》,关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。《办法》新增“数据处理者开展数据处理活动”,扩大了网络安全审查的范围。若《办法》后续生效,即使境内投资方不属于关键信息基础设施运营者,只要境内投资方处理数据达到影响或可能影响国家安全的标准,则与其相关的境外数据传输入境活动有可能被要求进行安全审查,并被中国网络安全及其他相关部门获取。在这种情况下,境外相关部门(如美国外国投资委员会)可能会加强对境外传入中国境内的数据会否被中国相关部门获取的监管,并在境外层面拟定相关措施,限制企业内部数据的正常入境,甚至影响交易的进行。
在海外投资并购中,亦可能涉及境外数据入境并在境内进行处理分析后,再将相关数据出境以帮助指导境外企业开展业务的场景。一般而言,在境内经营过程中收集和产生的个人信息和重要数据原则上应当存储在中国境内,因业务需要,“确需向境外提供的”,通过安全评估后方可跨境传输。落入前述《办法》范围的,还会进行网络安全审查。根据《办法》,网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,包括核心数据、重要数据或大量个人信息出境的风险。因此,境内主体在将分析处理完成后的数据传输至境外企业时,可能面临网络安全审查以及在未通过情况下数据无法出境的风险。
外资在华投资并购中的数据跨境传输可能引发数据主权冲突以及境内数据被国外政府部门获取的风险。若外国投资者对境内企业进行投资并购,并且外国投资者希望获取境内数据,被投企业也面临前述安全审查和数据无法出境的风险。除此之外,境内的重要数据和个人信息还面临主权冲突和被国外政府部门获得的风险。
以美国为例,2018年3月28日,美国议会通过《澄清境外数据的合法使用法案》(Clarifying Lawful Overseas Use of Data Act),赋予美国执法机关获取美国企业存储在美国境外服务器中用户数据的权力,即美国有关部门可以直接通过美国法律程序调取美国公司所存储在华的数据,无需经过中国执法机构协助程序。与之相冲突的是,根据中国《数据安全法》《个人信息保护法》《国际刑事司法协助法》,非经主管机关同意,境内的机构、组织和个人不得向外国政府执法机构或司法机构提供存储于境内的数据(包括电子或其他形式的证据材料)。在这种情况下,境内企业的数据提供面临两难境地。
合规建议
在数据跨境合规问题日益凸显的大背景下,为了尽可能避免数据跨境问题给投资并购交易带来的风险,投资者可以从尽职调查、交易架构设计以及日常运营管理等方面做准备。
在尽职调查中关注数据合规问题,明确目标公司性质,是否落入或可能落入关键信息基础设施运营者和数据处理者的范畴。同时,可以关注目标公司是否可以区分从不同来源收集的数据,是否可以识别任何重要数据或者受到特殊监管的数据,是否制定数据安全保护制度,是否从公开渠道爬取数据以及是否发生过数据安全事件等。
在设计交易框架时,将数据合规因素考虑在内。若数据合规性风险可控,可考虑一般的投资和股权收购方案;若数据合规性存在较大隐患,收购方可以考虑进行资产收购,或剥离有合规风险的底层数据后将其他资产注入新主体,进一步进行投资或股权收购,但如涉及个人信息的转让,需考虑对个人进行告知,甚至在特定情况下(例如个人信息处理范围、目的发生变化)重新获得个人同意。
在交易完成后,相关主体应在日常运营管理中进一步采取措施确保数据跨境合规,例如在境内外之间设置防火墙,根据相关主管部门要求制定完善的内部数据存储和流转的制度,在数据跨境前完成相应的安全评估手续等,以消除相关主管部门的疑虑。
宋薇是汉坤律师事务所合伙人。她的联系方式是电话 +86 138 1894 4284 以及电邮wei.song@hankunlaw.com
