私募股权投资视野下的数据和网络安全问题分析
私募股权投资视野下的数据和网络安全问题分析
一、数据和网络安全问题的法律监管框架
近十年是互联网信息产业爆炸式发展的时期,同样也是数据产业跨越发展的十年。从2015年国家“十三五”规划中提出大数据战略开始,我国的数据产业蓬勃发展,与此同时,数据和网络安全合规问题也成为了立法和政府部门监管、治理和规范的重点。
2016年出台的《网络安全法》搭起了网络安全领域的基础性法律框架,近几年数据网络安全领域的立法速度进一步加快,2021年连续颁布了《数据安全法》和《个人信息保护法》,同之前的《网络安全法》一并成为了数据和网络安全领域的基础法律“三驾马车”。
除了上述的“三驾马车”外,各项细化和细分领域的法规和规范性、标准性文件也不断出台,有着重于数据出境领域的《数据出境安全评估办法》、《数据出境安全评估申报指南(第一版)》,有重点规范网络安全方面的《关键信息基础设施安全保护条例》、《网络安全审查办法》、《网络产品安全漏洞管理规定》,也有细化个人信息保护的《个人信息保护认证实施规则》、《个人信息出境标准合同办法》,还有重点行业细分领域的《汽车数据安全管理若干规定(试行)》、《工业和信息化领域数据安全管理办法(试行)》等等,在短短几年内迅速组成了一个初具规模的专门法律监管体系。
私募股权投资领域也常常会遇到涉及数据和网络安全方面的话题,尽管投资人的重点未必是监管合规本身,但如何在投资语境下准确识别和分析相关问题,并在尽职调查和交易文件的环节较为严谨和完善地应对风险和不确定性,仍然是新时期的各行业投资人都可能会遇到的问题。本文希望更好地结合私募股权投资和数据网络安全合规领域,旨在为涉及数据和网络安全领域的投资人提供一些有价值的,简明扼要的参考。
二、投资人需关注的数据和网络安全关键词
数据和网络安全方面的法律合规体系十分复杂,作为投资人对于细致琐碎的规定并无太大需求,但对于关系到目标公司业务模式能否发展甚至存续的核心合规要求却非常关注,就此我们提炼了从股权投资视野下需关注的若干“关键词”:
(一)“关键信息基础设施”(CII)
关键信息基础设施(Critical Information Infrastructure,CII),是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
作为该等关键信息基础设施的运营者,需要符合《网络安全法》和《关键信息基础设施安全保护条例》等法律法规中规定的各项监管要求,例如建立各项安全保护措施、进行网络安全教育、对重要系统和数据库进行容灾备份、向监管部门定期报告等。特别需要注意是,关键信息基础设施运营者向境外提供个人信息数据时,应当向相关网信部门申报数据出境安全评估。
投资人视角:如果目标公司涉及到关键信息基础设施的运营,则会面临更严格更全面的监管合规要求,同时也会面临数据出境安全评估,需特别注意数据和网络安全方面的合规风险。
(二)“数据出境安全评估”
根据《数据出境安全评估办法》有关规定,数据处理者向境外提供数据并符合以下情形之一的,应当向相关网信部门申报数据出境安全评估:
(一)数据处理者向境外提供重要数据;
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
投资人视角:如果目标公司的核心业务涉及到向境外提供数据,则需要结合数据的性质和数量评估是否涉及到数据出境安全评估,如涉及,则在日常经营和后续上市中都会被监管部门和各相关方重点关注。
(三)“重要数据”、“国家核心数据”
重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
国家核心数据,是指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据,实行更加严格的管理制度。
投资人视角:如涉及到重要数据、国家核心数据,需注意符合数据出境安全评估要求,同时需注意各行业对于相关重要数据的界定和特别规定(例如电信行业、汽车行业、金融行业、医疗健康行业等)。
(四)“个人信息”、“敏感个人信息”
个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
处理敏感个人信息应当取得个人的单独同意,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响。
投资人视角:涉及到处理个人信息的目标公司,需要注意其个人信息获取和处理是否合规,包括上述提及的数据出境安全评估。如果涉及到处理敏感个人信息,投资人更要特别注意,尤其是涉及到医疗健康、金融、测绘等行业,会涉及相关行业高标准的严格监管。
(五)“个人信息保护认证”、“标准合同”
《个人信息保护认证实施规则》中包括了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。
《个人信息出境标准合同办法》规定了个人信息处理者通过与境外接收方订立个人信息出境标准合同的相关要求。
如果个人信息处理者向境外提供个人信息不涉及数据出境安全评估,则仍需进行个人信息保护认证或与境外接收方签订个人信息出境标准合同。
投资人视角:即便目标公司无需进行数据出境安全评估,也不意味着不需要进行任何合规操作。个人信息保护认证或签订个人信息出境标准合同仍然是重要的合规环节。但目前标准合同的备案实务仍在探索中,例如网信办5月30日发布的《个人信息出境标准合同备案指南(第一版)》,实操流程和要求仍待进一步观察。
(六)“个人信息保护影响评估”(PIPIA)
根据《个人信息保护法》的有关规定,有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估(Personal Information Protection Impact Assessment,PIPIA),并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
投资人视角:投资人需特别注意目标公司的业务运营是否依赖于个人信息的获取和分析,并有可能涉及到个人信息保护影响评估,并且需要符合该等评估的相关要求。
(七)“网络安全审查”
关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查。掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
投资人视角:如果目标公司涉及到大量个人信息的网络平台运营,又有国外上市的预期,则投资人需关注其网络安全审查相关的问题。
三、部分投资赛道中的特别性规定
在不同的行业中,关于数据和网络安全可能会有更加定制化的监管要求,本文结合私募股权投资高频涉及的部分投资赛道,对该等特别性规定进行提示。
(一)工业和信息化行业
2022年12月8日,工信部发布了《工业和信息化领域数据安全管理办法(试行)》(“《工信数据办法》”),明确了工业和信息化领域的数据包括工业数据、电信数据和无线电数据等。
工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。电信数据是指在电信业务经营活动中产生和收集的数据。无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台(站)等电波参数数据。
《工信数据办法》对工业和信息化领域数据的分类分级管理、重要数据和核心数据备案、数据全生命周期安全管理、数据安全监测预警与应急管理、数据安全检测、认证、评估管理进行了详细的规定。
从投资人的角度,如果涉及到工业、电信、无线电等领域的目标公司,特别是其研发、运营和销售一定程度依赖于数据的收集和使用,则需特别注意上述的特别规定。
(二)汽车行业
2021年8月16日,网信办、发改委、工信部、公安部和交通运输部联合发布了《汽车数据安全管理若干规定(试行)》(“《汽车数据办法》”),明确了汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。
需注意,《汽车数据办法》特别明确了“涉及个人信息主体超过10万人的个人信息”属于“重要数据”,即该等重要数据的出境需要进行数据出境安全评估。
从投资人的角度,汽车行业是一个含义非常广泛的行业,包括导航测绘领域、人工智能领域、行车安全领域、半导体领域、物流运输领域都可能实质上被认定为“汽车领域”,从而可能受到《汽车数据办法》的监管,因此在相关领域进行投资时,建议有关主体注意对于涉及汽车领域的监管内容的识别。
(三)医疗健康行业
医疗健康行业与数据和个人信息息息相关,特别是医疗健康作为重监管的行业有复杂完善的法律监管体系,对于相关的数据监管要求需特别注意,例如临床试验时对于受试者个人信息的收集、使用和保护,药物警戒活动涉及到用药情况和不良反应的患者个人医疗健康信息问题等。
需要特别注意的是,医疗健康行业还可能涉及到一类特殊的个人信息,即“人类遗传资源”。《人类遗传资源管理条例》规定,外国组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。同时,医疗健康个人信息作为敏感个人信息的一种,在涉及到数据出境时需要特别注意数据出境安全评估的问题。
四、投资尽职调查中的注意事项
(一)准确了解目标公司的商业模式和边界
在投资交易中,某些表面看上去与数据和网络安全并无关联的业务可能会落入其监管范畴。例如一家半导体行业的相关公司,可能会因为其涉及为汽车主机厂提供汽车芯片,并由此接触到大量的汽车用户个人信息,从而落入到汽车个人信息的特殊监管中。再比如,一家主打To B业务领域的软件服务提供商,也可能会因为其提供的软件服务涉及大量重要数据的传输、存储和处理,从而受限于工信数据的特别监管和数据出境安全评估程序。
在数据和网络安全监管日渐完善和严格的今天,投资人在每一个投资项目中都可能会遇到相关的监管要求,因此在尽职调查中准确了解目标公司的商业模式和边界,是识别和降低相关合规风险的重要方式,也是投资人外部律师和内部合规团队的重要关注事项之一。
(二)数据合规尽职调查
在法律尽职调查中,尽调团队往往会就数据合规方面进行相关的尽调,甚至对于重点关注的目标公司,会由专门的数据合规团队进行数据合规尽调。
数据合规尽调包含对各个角度的调查,从数据战略的规划与制定、数据收集、存储、使用、传输、数据对外提供、数据的物理和技术安全、数据删除等方面进行了解和关注。因此如果投资人发现目标公司的数据和网络安全合规在其主营业务中扮演着关键的角色,甚至可能会成为未来上市申报时的重点关注事项,我们建议聘请专门的数据合规尽调团队进行专项尽调,以提供给投资人更全面和严谨的建议。
五、交易文件中的注意事项
如果该等投资项目已进入到了投资交易文件的谈判阶段,则法律条款对于数据和网络安全方面的恰当处理,也有助于投资人维护自己的投资权利,并督促目标公司尽快整改自己的合规问题。
(一)陈述和保证
尽管市面上通行的交易文件中已包含关于目标公司和创始团队遵守法律法规的一般性表述,但如果目标公司涉及大量的数据处理或网络运营,我们仍然建议在陈述和保证中单独开辟关于数据安全的章节,特别是对于数据出境安全评估、个人信息保护影响评估、网络安全审查等特定领域,进行更为具体和定制化的约定,避免未来出现条款争议。
如果目标公司已在披露函中披露了有关数据和网络安全方面的合规问题,投资人需特别注意在特殊赔偿责任条款中将其纳入,以避免目标公司在该等方面出现违约赔偿的免责。
(二)交割前提条件和交割后义务
在涉及到数据出境安全评估、个人信息保护影响评估等关键的合规步骤时,如果投资人发现目标公司出现该等合规问题,建议可以考虑将该等合规整改作为交割前提条件,以避免因触发合规红线导致影响公司估值基础和未来上市。
如果目标公司存在数据和网络安全方面的合规瑕疵,即便经过相关专业团队的评估后认为并不触发合规红线,我们建议仍应专门将该等合规瑕疵的整改作为交割后义务并设置明确的整改期限,以督促目标公司尽早完成整改。事实上,数据和网络安全方面的合规已成为各大证券交易所在上市申报审查时的重点关注事项,作为目标公司和其投资人,均不可轻视一些所谓的“合规瑕疵”。
(三)回购触发情形
出于投资项目节奏或特殊情况的考虑,某些非常关键的数据和网络安全整改事项无法作为交割前提条件或者无法被交割前提条件完整覆盖时,也可以考虑在回购触发情形时将其进行囊括,特别是如果该等事项会严重影响或动摇本投资项目的交易估值基础和目标公司实质运营和未来上市时,回购条款很可能是保障投资人退出和收回投资成本的重要的甚至是唯一的途径。
在交易谈判时,投资人与目标公司对数据和网络安全重要性的充分理解和沟通,也是条款谈判顺利进行和确定的不可或缺的基础之一。
(四)法律和业务、技术角度的竞合
如上文所述,数据和网络安全绝不仅仅是单纯的法律合规问题,而同时也广泛涉及到业务、技术等领域,因此投资人在投资项目时,可以考虑综合法律团队、业务团队和技术团队的建议,并协调进行多层次、多角度的沟通交流,确保各方均可以在对基础信息认知准确的前提下,做出符合投资人利益的正确判断。
六、结语和展望
我国对于数据和网络安全的监管的不断加强和完善,既是挑战,也是机遇,既是未知性,也是确定性,既是合规风险,也是合规安全。
从投资人的角度,数据和网络安全的法律法规不断落地,为业界提供了明确的监管蓝图和框架,也给予了目标公司清晰的合规完善方向和目标。一方面,初创企业往往合规意识较为薄弱,亟需投资人在合规方面进行提示、督促和赋能,另一方面,高度专精化领域中的目标公司,也反向要求投资人有更加敏锐的合规嗅觉和合规意识,在商业收益和法律监管之间做好平衡。我们相信,随着我国数据和网络安全监管体系的完善,投资人和初创企业都可以更好地乘着大数据时代的东风,创造更加智能、更加高效和更加安全的行业未来。