引 言

随着信息化时代的到来，数据已成为企业的重要资产之一，在并购交易中，数据资产也时常作为交易对象登上市场舞台。加之国内对数据保护立法亦在不断完善，《网络安全法》、《数据安全法》、《个人信息保护法》已相继施行，并购过程中的数据合规引起交易各方的关注。

并购交易的数据合规不仅是应相关机构的监管要求，更是并购双方确保交易的安全性、实现利益最大化的必然要求。被并购方作为数据资产的持有者，如何在并购过程各阶段进行数据合规防范，成为数据资产并购交易合规的关键。

1

交易初期：适度限缩向并购方提供数据信息的范围

在并购交易前，为使意向并购方了解到目标公司或目标资产的情况，被并购方一般会提供一些相关信息供并购方调查或评估，但交易往往无法一蹴而就，尤其是涉及大额标的的并购项目，并购方存在不特定性，这意味着被并购方可能会向多个并购方以外的相对方提供与目标公司或目标资产相关的重要或敏感数据，数据安全风险也因此产生。此外，关键交易信息的泄露不仅可能影响到交易估值，如果一些商业敏感数据被竞争对手获悉，还可能会给目标公司造成不可估量的损失。

对此，被并购方可重点关注以下措施：

1.尽量将提供的数据限定在必要范围内，可围绕并购交易的实现提供部分非关键数据信息，或可通过提供数据运营成果，替代核心数据信息的提供；

2.在提供必要数据之前，双方应签署保密协议，约定双方不仅要对交易谈判本身严格保密，还要对彼此获悉的对方拥有的数据严格保密；

3. 可对数据交换和处理另行签署相关协议，明确该等数据的存储方式、访问方式，针对不同级别的数据调整特定人员的访问权限，明确交易中止及终止后数据的归还或销毁方式，并针对数据泄露或滥用的情形设计相应的违约赔偿责任以及损失计算方式等，以确保数据安全，避免数据信息泄漏。

2

尽职调查中：确保数据提供合法

在尽职调查过程中，被并购方需考虑如何合规地向并购方披露相关尽职调查数据和资料。合规的披露方式将取决于所披露数据的类别、目标公司的行业、接收者的所在地、披露目的等因素，如果忽视上述细节，可能会在资产交割或整合时导致不必要的风险。例如，目标公司意在向潜在并购方披露其员工或客户的个人信息，潜在并购方出具的通用保密承诺、仅对清洁团队提供数据访问权限或已不足以满足合规需要，此时被并购方可通过以下措施进行数据合规披露：

1. 针对个人信息的披露

根据《个人信息保护法》的要求，向他人提供个人信息一般应当取得相关个人的同意。但对于被并购方而言，在目标公司向潜在并购方披露员工或客户的个人信息前，取得所有员工或客户的个人同意并不现实。此时，被并购方可以考虑采取一些数据处理措施，如（1）对目标公司需要提供的个人数据进行匿名化处理或部分信息隐匿化处理，使其不再指向特定的个人；（2）在特殊交易模式下，也可采用整体数据隐匿化，由并购方随机抽取部分数据进行核实的方式；（3）如匿名化处理不可行，则可将个人数据的披露保持在最小及必要范围内，并力争从个人处取得同意。

2. 如涉及跨境数据传输

如果并购方的尽职调查团队位于境外且需要访问目标公司在中国境内存储的个人信息，则涉及数据的跨境传输，大部分数据跨境传输场景需（视具体情境）适用以下三大监管机制之一：（1）通过数据出境安全评估（2）通过个人信息跨境处理活动安全认证（3）签署个人信息出境标准合同。

但需特别说明的是，不论适用哪一监管机制，境内数据处理者与境外数据接收方均需签订数据跨境传输的协议（或其他替代性法律文件），以充分约定数据安全保护责任与义务。

3

数据交割过程：确保数据资产所有权和控制权

合法转移

《数据安全法》规定，数据是以电子或者其他方式对信息的记录，需要存储于一定介质之中。资产交割作为并购交易中的核心阶段，确保交割方式合法、合规更是并购交易中应当重点关注的。通常，数据资产的交割可分为直接交割及数据平台交割两种模式，具体而言：

1. 数据资产直接交割——即买卖双方直接转移存储数据资产的介质的所有权或控制权，主要包括并购方接管存储数据资产的服务器；并购方直接接受存储数据的物理介质（例如硬盘、光盘或其他移动存储设备等）；被并购方将存储数据资产的电子系统权限账号密码转移给并购方；以及被并购方向并购方直接传输数据等。

2. 数据资产平台交割——通过数据交易平台（例如：北京国际大数据交易所、上海数据交易所等）提供数据资产的交割服务完成服务。数据资产的买卖双方可在向交易平台提供数据来源说明，经身份审核后由交易平台协助进行数据资产交割。数据交易平台可基于区块链和隐私计算技术支持等技术手段，为通过交易平台挂牌交易的数据资产的交割和权属认证提供服务。

针对不同种类的数据资产，监管要求亦不相同，并购双方应予以重点关注，并依照相关监管要求进行合规化交割，具体如下：

1. 一般个人信息

根据《个人信息保护法》的有关规定，个人信息资产交割时，被并购方应向相关个人告知个人信息接收方（即并购方）的名称或者姓名和联系方式，处理目的、处理方式和个人信息的种类，并取得相关用户的单独同意。如涉及（1）敏感个人信息（2）利用个人信息进行自动化决策 （3）向境外提供个人信息等情形的，事前还需要对个人信息保护影响进行评估，并对处理情况进行记录。

2. 个人金融信息资产

针对个人金融信息资产的交割除应由金融机构逐一传达或采用公告的方式通知并取得个人金融信息主体作出的明确授权、同意外，还应当在交割过程中符合信息保护技术要求，同时部署信息防泄露监控工具、部署流量监控技术措施等，从而避免信息转移或处理过程中的安全风险。

3. 工业和电信数据资产交割

如涉及工业和电信数据在境内交割、转移的，依据相关规定，数据转移方（被并购方）需明确数据承接方案并通知受影响用户，如涉及重要数据和核心数据的，还应及时向地方工业和信息化主管部门（工业领域）或通信管理局（电信领域）或无线电管理机构（无线电领域）更新备案；如涉及该类数据出境的，还应当进行数据出境安全评估，同时经上述主管部门批准。