人人网并购背后，双视角解析企业收购兼并的数据合规问题

一、 背景简介

2018年11月14日，沉寂已久的人人网迎来一波登录高潮。引发这一状况的契机，是当日人人公司宣布以2000万美元现金对价将人人网社交平台业务相关资产出售给北京多牛互动传媒股份有限公司。同时，人人网被收购后原网站用户信息数据如何进行处理也倍受关注。

基于合同的相对性，企业并购表面上看仅是收购方与目标公司之间发生权利与义务的交互；但若目标公司是个人信息控制者，则会涉及数据转让和数据安全等问题，需要对并购双方主体的数据处理行为合规与否，是否依法依规保护个人信息主体合法权益进行合规审查。《信息安全技术 个人信息安全规范》（GB/T 35273-2017）（以下简称“《安全规范》”）“8.3 收购、兼并、重组时的个人信息转让”首次对企业并购过程中涉及到的个人信息数据处理问题作出回应。本文将在现有个人信息保护制度框架下，分别从目标公司和收购方两个视角整理重点合规要点与提出建议。

二、 目标公司的数据保护义务

在个人信息控制者收购兼并的数据处理上，目前我国尚未形成体系化的制度规定。但现有个人信息保护框架下的其他规范制度，就目标公司的个人信息转让过程中的数据保护义务具有一定的参考价值。

（1） 告知义务

《网络安全法》对数据流转有着明确的规定，即未经被收集者同意，不得向他人提供个人信息。同时《安全规范》规定，当个人信息控制者发生收购、兼并、重组等变更时，个人信息控制者应当向个人信息主体告知有关情况。个人信息控制者无论出于任何原因，需要对个人信息进行转让时，都对个人信息主体负有告知义务。关于告知的内容，可以参考《安全规范》“8.2 个人信息共享、转让”中的相关规定，例如目标公司向个人信息主体履行告知义务时，应当至少包括数据转让的日期、规模、目的，以及数据接收方基本情况等。

（2） 个人信息主体撤回同意权的保护

《安全规范》“7.7 个人信息主体撤回同意”（b）项规定，对外共享、转让、公开披露个人信息，应向个人信息主体提供撤回同意的方法。即目标公司在向个人信息主体告知后，还应当向其提供有效可行的撤回同意的方法。一旦个人信息主体行使撤回权，目标公司则不得向收购方转让其数据，也不得再处理相应的个人信息。

（3） 删除义务

目标公司在完成数据转让后，应当视为已主动解除与个人信息用户之间的服务协议，其失去继续收集保存相关个人数据的合法性基础，由此目标公司在数据交割后应当立即删除相关数据。参照《个人信息安全保护指引》中关于个人信息删除部分的规定，目标公司需要注意将存储的个人信息数据进行删除之后应采取相应措施防止通过技术手段恢复；废弃存储设备时，还应当进行数据删除后再进行处理。

（4） 保密义务

《安全规范》《保护指引》全文皆体现着个人信息控制者对其收集、控制下的个人信息负有保密义务，这种保密义务并不因数据的转让而灭失。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条第八项规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到25条以上或违法所得2500元以上的应当认定为刑法第二百五十三条之一规定的侵犯公民个人信息罪，并按情节严重进行规制处罚。由此，目标公司完成数据交割后的个人信息保密义务，由合同义务转为法律强制义务。

三、 收购方的数据保护义务

在企业并购中，收购方的数据保护义务主要是围绕个人信息的间接获取展开，主要包括有下列几项保护义务：

（1） 告知义务

同目标公司一样，依据《安全规范》第8.3条，收购方在取得数据后需要告知个人信息主体有关情况，告知内容应包括个人信息的收集的范围、使用目的、如何保管等。

（2） 审慎义务

依据《安全规范》第5.3条关于间接获取个人信息的授权同意规定，收购方应当要求目标公司对个人信息来源进行说明，并对其个人信息来源的真实性进行确认。而且还应当了解目标公司已获得的个人信息处理的授权同意范围，包括使用目的，个人信息主体是否授权同意转让、共享、公开披露等。同时，《民法通则》第四十四条第二款规定，企业法人分立、合并，它的权利和义务由变更后的法人享有和承担。因此收购方切实履行数据交割中的审慎义务，对规避因原个人信息控制者未履行网络安全和数据合规义务而带来的法律风险有着重要意义。

（3） 重新取得信息主体授权

《安全规范》“8.3 收购、兼并、重组时的个人信息转让”（b）项规定，变更后的个人信息控制者如变更个人信息使用目的时，应重新取得个人信息主体的明示同意。即收购方需要注意在收集新数据或变更个人信息使用目的时，都应重新征得信息主体的同意，并严格遵守《网安法》《安全规范》等有关规定，明确告知被收集的个人信息主体公示收集的目的、范围、方法和手段、处理方式等信息，并取得个人信息主体的重新同意和授权。

（4） 保护义务

《安全规范》第8.3条（b）项还规定，变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务。即收购方至少应当履行《网安法》第二十一条安全保护义务规定：（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。

目标公司是关键信息基础设施的运营者的，收购方在数据转让前后还应当注意保证安全技术措施同步规划、同步建设、同步使用，即收购方在业务规划的阶段，就应当同步纳入安全要求，引入安全措施。此外，在对个人信息的管理周期中还需要注意满足《网安法》第三十四条对关键信息基础设施运营者的特殊安全保护义务的规定：（1）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；（2）定期对从业人员进行网络安全教育、技术培训和技能考核；（3）对重要系统和数据库进行容灾备份；（4）制定网络安全事件应急预案，并定期进行演练；（5）法律、行政法规规定的其他义务。

收购方需要特别注意的是，在投资并购前对目标公司的网络安全和数据合规尽职调查至关重要。通过网络安全和数据合规尽职调查，能有效识别目标公司在制度设计、产品、业务模式等方面网络安全和数据合规法律风险，并能够有效的评估目标公司价值及后续发展中竞争优势的可持续性。网络安全和数据合规尽职调查至少应当包括：1、许可备案、服务范围审查；2、网络安全制度审查，包含等级保护制度、平台内容审核制度、网络安全应急处置制度、网络产品审查等；3、数据合规制度审查，包含数据跨境传输、数据留存制度等。

四、 小结

个人信息控制者参与的收购兼并行为不可避免会对其存储控制数据何去何从产生疑问。因涉及数据转让行为，同时需要满足《网安法》《个人信息安全规范》《个人信息安全指引》等系列个人信息保护制度规范的合规要求。目标公司需要关注数据转让行为而带来的系列数据保护义务，对收购方来说还需要注重并购项目前对目标公司进行谨慎的尽职调查，识别网络安全及数据合规风险。一来可以正确评估资产价值及业务模式可持续性，决定是否交易及交易金额；二来可以在并购交易完成后及时整改以防心血付之东流。

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com