點贊(0)

點贊(0)

數據不安全，投資有風險

大隊長金融

2022-03-08 14:51 2796 0 0

數據的價值，也使得投資并購和資本市場趨之若鶩，科技的含量將直接影響到目標企業的估值。

作者：薯條三兄弟

來源：大隊長金融（ID:captain_financial)

隨著移動互聯網、物聯網、高性能計算、大容量存儲等信息技術的蓬勃發展，數據，作為一種新型的生產要素，正推動著數字經濟時代的呼嘯而來。

數據的價值，正在重塑行業的競爭格局：

互聯網消費行業，人們早已耳熟能詳的用戶畫像、個性化推薦、千人千面；

金融科技行業，金融機構的聯合建模，進行數字營銷、精準獲客、智慧風控；

生命醫療行業，醫藥企業的病例共享提升醫藥研發效率；醫療和保險機構的數據融合，改善就醫體驗；

在政務、交通、環保、工業、電信等基礎設施領域，數據治理已經成為智慧城市必不可少的部分。

數據的價值，也使得投資并購和資本市場趨之若鶩，科技的含量將直接影響到目標企業的估值。

所有命運饋贈的禮物，又在暗中標好了價格。

個人信息過度收集、數據泄露、網絡環境入侵也會使得投資并購交易蒙受巨大損失。

數據既是戰略高地，也是風險高發地。

防范數據風險的難點在于，數據處理的每個節點：收集、存儲、使用、加工、傳輸、提供、公開、刪除都可能成為數據安全的雷點。

監管部門顯然也意識到了這一點。

2021年，《個人信息保護法》和《數據安全法》相繼實施，與《網絡安全法》共同構建了個人信息保護、數據與網絡安全的監管框架；在此基礎上，各類配套法規、國家標準、技術指南不斷提升監管的精細度。

2022年，在監管環境和公司治理的雙重要求下，投資并購交易勢必要將個人信息保護、數據與網絡安全要素考慮在內。

交易前通過專項數據盡職調查識別風險，交易中通過法律文件界定和處理風險，交易后履行合規承諾持續控制風險，才能讓投資并購交易平穩實現預期的商業目的。

今天我們先從數據盡調講起。

01/ 哪些目標企業的投資并購需要進行專項數據盡調?

無論是傳統企業的數字化轉型，還是新興行業的數字化升級，在數字經濟的時代，似乎沒有哪一家企業能完全脫離互聯網開展業務。

因此，我們僅將行業特征作為輔助判斷，采取實質重于形式的方法，對符合下列情形的目標企業，我們建議在投資并購時將專項數據盡調作為必選項：

處理大量個人信息的企業

對于通過互聯網平臺(如APP、小程序、軟件開發應用包(SDK))或者智能硬件設備等方式收集及處理個人信息的企業而言，數據泄露的風險顯著高于其他行業。從工信部2021年通報的1680款APP及網信辦2021年通報的695款APP案例來看，網絡安全的監管部門最為關注的也是這類企業。其中需要重點關注的包括互聯網消費平臺、金融科技平臺、先進制造業企業。

在涉及這類企業的投資并購中，我們需要對個人信息流轉的全鏈路予以重點關注。

實踐中容易忽視的一個技術細節是“數據處理者”的識別。出于ICP經營資質和分散風險的考慮，互聯網平臺的運營及平臺上的產品提供，往往由集團內的多個法人主體分工完成。另一種常見的情形，出于數據融合的考慮，集團內多個法人主體收集個人信息后，再委托同一個主體(往往是體系內科技公司)進行深度處理。界定“共同處理”、“委托處理”的數據鏈路，識別主要的“數據處理者”是厘清數據盡調對象，提升項目效率的關鍵步驟。

另外，國家標準化管理委員會制定的“國家標準”及行業主管部門制定的“技術規范”也會成為重要的法律依據。例如《個人金融信息保護技術規范》對于“個人身份信息”和“金融交易信息”進行了界定，兩者在“數據共享和委托處理”中會適用不同的合規要求，在盡調中對個人信息的內容和對應的個人信息處理場景就需要仔細甄別；再比如國標文件《信息安全技術汽車采集數據的安全要求》正在征求意見的階段，對于智能汽車采集的數據，細分為車外數據及座艙數據。當車外數據包含了外部環境的人臉、車牌等個人信息時，這類數據的處理也會受到更嚴格的要求。

最后，綜合《網絡安全審查辦法》、《互聯網平臺分類分級指南(征求意見稿)》、《互聯網平臺落實主體責任指南(征求意見稿)》的規定，對于年度活躍用戶不低于5000萬的目標企業(大型互聯網平臺)或者處理掌握超過100萬用戶個人信息的目標企業，適用的數據合規義務也會顯著提高，相應地也需要提高數據盡調的顆粒度。

從事數據挖掘、分析處理并輸出數據服務的企業

市場中的另一類玩家，并不直接收集用戶的個人信息，也不面向個人用戶提供產品，這類企業通常面向機構用戶提供軟件服務、云平臺服務、數據咨詢等基于數據的行業解決方案。其中需要重點關注的包括生命醫療行業(比如新藥研發，CXO，互聯網醫療，醫療人工智能等等)和大數據(人工智能)行業。

回溯數據鏈路的上游，我們會發現這類企業一方面可能通過爬蟲等技術獲取其他機構的公開數據，另一方面可能與其他機構建立合作獲取數據，再基于自身的大數據分析和算法模型，形成特定行業的解決方案。

如果這類企業獲取上游數據的方式或者上游數據來源存在合規瑕疵，那么風險就會傳導至目標企業，在對外提供的數據和算法模型中留下合規風險。

在涉及這類企業的投資并購中，我們需要對數據鏈路的上游予以特別關注。

最后，隨著《關于加強互聯網信息服務算法綜合治理的指導意見》及相關規定的頒布，算法的安全治理、分類分級和備案制度也會逐步確立，算法自身的合規性也會成為數據盡調中的新的關注事項。

涉及關鍵信息基礎設施的企業

根據2021年《關鍵信息基礎設施安全保護條例》的定義，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

事實上，2016年《網絡安全法》第一次提出關鍵信息基礎設施的概念時，市場普遍缺乏直觀的認識。經過近幾年的摸索實踐，今年已有部分金融機構向我們反饋，其接到了行業主管部門和公安部門的認定，成為了關鍵信息基礎設施的運營者(CIIO)。由此我們預計CIIO認定工作在上述的各個重要行業和領域會逐步落地。

如果目標企業成為關鍵信息基礎設施的運營者，那么對應的數據合規義務會升格成最高等級，例如CIIO在中國境內運營中收集和產生的個人信息和重要數據需要在境內存儲，如果確需向境外提供的，需要按照國家網信等部門制定的辦法進行安全評估。因此，境外投資者進入中國市場，除了考慮外商投資產業準入的要求，現在還需要進一步考慮被投企業的“數據身份”，預判數據跨境流動是否可行。要特別注意，采用VIE結構的協議控制，也需要遵循數據跨境傳輸的合規義務。

02/ 如何進行專項數據盡調?——以生命醫療行業數據合規盡調為例

專項數據盡調的工作流程與傳統的法律盡調并無不同，一般而言包含五個步驟：

準備盡調問卷
盡調訪談和溝通
核查盡調資料
出具盡調報告(含合規差距分析及整改建議)
協助目標企業完成整改

通常情況下，完整的專項數據盡調問卷會涵蓋“個人信息保護”、“數據合規”與“網絡安全”三個部分，如下圖所示，我們常用的主表一共31頁，約9700字，另有其他附件表格配套使用。

我們也充分考慮到不同投資項目對于盡調時間和業務偏重的關注不同，可以將該問卷進行模塊化拆拼和調整（類似樂高組建的插拔），針對不同的行業適配本行業業務特點的盡調問卷，實現高效率發現未來影響投資項目退出路徑的重大合規瑕疵并為后續交易文件起草和交割條件設置提供工作基礎。

與傳統法律盡調稍有不同，在專項數據盡調的訪談和溝通環節，通常需要邀請目標企業內部的法律合規、信息/網絡安全、產品、營銷、科技研發、運營等團隊共同參與。

一方面，數據合規涉及大量的互聯網技術細節，需要專業背景的團隊理解相關問題并做出準確回復，其中法律合規團隊熟悉制度流程及協議約定，信息/網絡安全、科技研發團隊熟悉系統架構和數據安全管理，產品及營銷團隊熟悉數據的流轉和使用過程，三者相互印證才能反映實際情況；另一方面，數據合規需要排查數據在所有業務場景下的處理情況，邀請相關的各個團隊一起參與訪談，才能對目標企業數據治理形成全景圖。

以醫療企業盡調為例，由于醫療企業部門眾多，且醫療數據種類繁雜，數據盡調首先需要與企業溝通，大致了解企業處理和使用數據的主要場景、場景下涉及的數據種類以及企業內的主要數據處理部門有哪些。比如，醫療企業的數據處理場景可能包括注冊臨床、科研合作、大數據應用研發、跨境數據合作等，涉及的數據種類可能包括臨床數據、健康醫療大數據、遺傳資源數據等多種類型。

盡調訪談可以重點關注人類遺傳資源數據出境、臨床試驗研究活動中知情同意書的條款完備性、醫療企業內部患者數據管控平臺完善程度、科研與營銷活動中公開去標識化患者數據是否存在風險、用于注冊的醫療數據是否可以回溯并按規定保存等等。

生命醫療企業內由于使用數據的部門條線眾多，部門間可能存在數據混用的情形。比如，醫療企業內可能存在不顧及數據主體具體授權范圍，將不同科研項目中取得的研究數據混用，后期可能造成數據超范圍使用等一系列合規問題。另外，醫療企業不同部門間也可能出現對同一數據應用場景的描述不一致的情況。比如，醫療企業內可能有多個研發部門聘用了第三方臨床外包機構進行試驗數據處理，部分外包機構性質為CRO，部分為SMO，但由于研發部門無法區分外包機構數據處理角色的異同，造成訪談中描述情況不清晰或有矛盾。因此，盡調訪談后需及時以數據映射表的形式整理主要數據處理場景和每個場景中涉及的數據合規點，并通過法律合規團隊進一步核實事實或取得書面材料。

其次，審查數據處理相關文件也是數據盡調的重要組成部分。審查生命醫療企業數據文本應至少從數據制度、數據授權和數據協議三方面衡量數據保護措施的充分性和合理性。數據制度（如健康數據管理制度、AI數據使用制度等）一般能反映醫療企業數據治理的整體框架；數據授權（如知情同意書等）是醫療企業直接采集數據的合法性基礎；數據協議（如數據處理協議等）則是醫療企業管控數據合作方或合法間接收集數據的重要機制。

特別需要注意的是，在生命醫療行業，醫藥或者醫療器械企業在大多數情況下無法與患者直接接觸并獲取個人信息授權，即使發起藥物臨床實驗研究活動可以獲得參試者的知情同意，但是使用范圍和目的依然有限。因此，如何探索去標識化技術并在滿足一定效果等級的基礎上使用統計數據，既能滿足企業的業務需要，同時又能保護患者的隱私。目前國內企業大多借鑒美國HIPAA推薦的規則對患者18項識別信息進行去標識化處理，但是該方法是否符合中國法律與監管規定，以及如何在此基礎上進行優化，以期達到《信息安全技術個人信息去標識化效果分級評估規范》規定的匿名化標準（醫療數據受限數據集）值得我們重點關注。

最后，盡調報告應總結數據盡調中發現的合規差距點，并從制度層面、授權協議文本層面和技術保護層面提出初步整改建議。改進措施的落實也將從這三方面展開。措施落地過程中，需要與法律合規團隊、技術研發團隊不斷溝通，在數據合規要求和企業業務需求間找到合適的平衡點。

03/ 如果目標企業未來有境外上市計劃，專項數據盡調應該前置做些什么?

由于市場格局的重大變化，我們觀察到越來越多的境內企業選擇中國香港作為境外上市的首選，其中不乏許多在美上市的企業考慮回流香港的資本市場。

2021年，境內企業在赴港上市過程中，個人信息保護、數據合規與網絡安全的事宜也越發受到聯交所的關注，上市企業的招股說明書也補充了風險披露事項。

網易云音樂 (9899.HK，2021年11月23日)在招股書風險章節中，對可能涉及的個人信息保護與網絡數據安全相關的風險進行詳細披露，包括：(1)安全漏洞及攻擊，(2)個人信息保護、網絡與數據安全相關的立法征求意見稿適用可能性，(3)因違反個人信息保護與網絡數據安全相關合規義務而可能導致的行政處罰風險與品牌聲譽風險。

2021年12月24日，《國務院關于境內企業境外發行證券和上市的管理規定（草案征求意見稿）》公開征求意見，可以預見，未來證監會在境外上市備案審查中將提高網絡安全審查的關注程度。

2022年2月15日《網絡安全審查辦法》(國家互聯網信息辦公室令第8號)正式生效，進一步明確網絡安全審查的適用情形。綜合來看，不屬于CIIO，也不涉及重要數據的企業，在赴港上市中無須主動申報網絡安全審查，但這并不能完全排除被動審查的風險。

結合網絡安全審查的要求，除數據盡調的工作內容外，對未來計劃境外上市的目標企業，提前進行網絡安全評估，對于是否存在“影響或可能影響國家安全的情形”形成專項分析報告。

節選如下圖。

04/ 結語

長期以來，龐大的數據既是投資標的企業的“護城河”，也是核心競爭力之一。但是近年來不斷加強的數據立法與執法監管活動，不但抬高數據優勢維持成本，同時也使得傳統的業務模式面臨嚴峻的合規挑戰，稍有不慎，可能埋下新的“雷點”。與其他領域法律合規有所不同的是，數據合規的難點從來不在于法律文件的解讀。如何能讓企業內的各部門都意識到，防守就是進攻，合規是為了合理的挖掘數據，釋放數據所蘊含的巨大商業價值，這才是每個從業者的初心。

專項數據盡調的工作不僅僅是投資并購交易的第一步，而應當是企業數據治理的最后一步。

注：文章為作者獨立觀點，不代表資產界立場。

題圖來自 Pexels，基于 CC0 協議

本文由“大隊長金融”投稿資產界，并經資產界編輯發布。版權歸原作者所有，未經授權，請勿轉載，謝謝！

原標題： 數據不安全，投資有風險