在信息时代,数据既是宝贵的资产,也是危险的雷区。数据合规是企业必须重视的课题。作者:张伟华

于日益走向全球化经营的中国企业来说,数据合规风险控制是企业合规风险的重要工作之一。数据合规风险控制,从两个角度看:第一是交易中的数据合规风险控制,第二是运营中的数据合规风险控制。

交易中的数据合规风险控制为什么重要?因为如果未能在交易过程中控制好数据合规风险,有可能给收购方带来极大的损失。2018年11月,万豪集团宣布旗下的喜达屋客房预定系统数据泄露,有高达五亿客户的个人信息被无授权访问。这意味着这些客户的个人信息、电子邮件、住宿情况、银行卡号等隐私信息都陷于了危险之中。万豪集团就此事发布公告,表示正在评估影响,并向公众表达了歉意。同时,一些集体诉讼的代表律所也宣布起诉万豪,要求高达125亿美元的索赔。

联合能源集团副总裁及总法律顾问张伟华-Leslie-Zhang-is-the-vice-president-and-general-counsel-at-United-Energy-Group

这次数据泄露问题的直接引发原因是万豪两年前收购的公司喜达屋造成的,而万豪并未在交易中的尽职调查中发现数据信息泄露的潜在风险。因此在交易完成之后,这一风险可能给公司带来重大损失。

从某种意义上说,任何被购买的目标公司都存在数据风险问题,无论是员工信息、知识产权、商业保密信息、经销商或者客户名单等,都有可能成为泄露的对象。而一旦此等风险事件发生,所带来的损害和后果可能非常严重。除了政府机构的调查、可能发生的集体诉讼、聘用外部专家去对系统进行修复外,受到影响的公司还将面临着信誉危机的管理、合作伙伴的质疑、运营受到耽误等问题。

数据合规风险还可能给卖方带来损失。比如Verizon以48亿美元收购雅虎核心资产的交易,在交易宣布后,雅虎披露公司之前曾出现过两次数据泄露事故。这个披露导致了Verizon要求修改交易的对价,并对未来该数据泄露的责任进行明确约定。尽管在交易中Verizon已经要求了3.5亿美元价格下调,但对于第三方索赔,雅虎仍需要在交割后承担50%的责任。因此对于交易双方来说,数据合规风险都有可能带来对价值的损害。

并购中的风险控制

对于从事并购交易的买方来说,交易中的数据合规风险控制值得关注。如何控制?笔者认为主要有以下几个方面:

首先,做好数据安全方面的尽职调查,重点对于合法性、数据合规制度、风险等做好评估;其次,是对目标公司过往的数据合规情况进行清理,识别目标公司的敏感数据及相关数据资产,进行风险重点评估;第三,是对目标公司数据安全及风险控制的基础设施建设以及日常操作规范、程序进行风险识别;第四,买方应当在交易团队中放入适当的IT专家,甚至专门聘请外部IT专家顾问,以便完成对目标公司整体数据安全及合规风险的评估、尽职调查以及采取相关补救措施。

对走向海外进行收购的中国企业来说,关注收购过程中目标公司的数据合规风险,对于交易的风险控制和交易目标的实现非常重要。

另外值得一提的是,在中国企业海外收购的过程中,如果涉及到被收购企业掌握有大量的敏感数据,交易的政府审批问题也将会变得越发困难。以近来的中国企业海外交易为例:蚂蚁金服收购美国网络汇款服务公司Moneygram被美国政府所阻止的原因就在于该公司掌握了大量使用者的个人信息和隐私数据;泛海国际收购美国保险公司Genworth在2016年10月达成交易,截至本文写作之日尚未完成交割,其中一个主要的原因就在于监管机构对于泛海国际在收购后如何能保证美国消费者的数据安全和隐私提出了大量的要求和保障措施。因此,无论是从控制交易风险的角度,还是从交易获得批准的角度看,做好数据安全、隐私保护的工作对交易成功至关重要。

运营中的风险控制

随着全球对数据安全、隐私保护的立法与执法增强,全球化运营的企业对于数据合规所带来的风险日益警惕。如何应对?

首先,企业应当具备良好的数据合规体系与制度。在建立良好的数据合规体系与制度之前,应当对企业所经营地域的法律、法规进行清理,明确适用法对数据合规的要求。比如,欧盟出台的通用数据保护条例(General Data Protection Regulation, GDPR)就不仅仅适用在欧盟运营的企业,任何为了向欧盟境内可识别的自然人提供商品和服务而收集、处理他们的信息、为了监控欧盟境内可识别的自然人的活动而收集、处理他们的信息,此类行为均受到该条例的管辖。

举个例子,在欧盟通用数据保护条例出台之后,中国的互联网企业也行动了起来,比如腾讯公司就向所有的微信公众号运营者发出了提醒通知并采取了具体的措施:“欧盟数据保护通用条例(General Data Protection Regulation, GDPR)于2018年5月25日生效,微信公众平台为遵守GDPR的相关要求,当欧盟地区微信用户撤销授权该公众号获取其个人信息(主要包括该微信用户取消关注公众号或其自行注销微信个人帐号)时,会以邮件形式告知公众号的注册邮箱删除欧盟用户的信息。” 这就是全球运营的中国企业进行数据合规法规遵守的典型例子。

在清理好相关的法律法规之后,公司应当制定详细的数据合规制度及规则,并将其推行到公司各业务运营之中。比如:

  • 对于从事并购的团队来说,在交易初步阶段,不应当分享员工的具体个人信息;
  • 对于公司的人力资源部门来说,应当有对员工个人信息敏感程度的区分标准,有准入敏感信息的权限梳理,并采用相关的保护制度;
  • 对于公司运营管理部门来说,对于客户的信息保护,也应当有相关的制度进行管控。
  • 最为关键的是,应当将制定好的制度内化为员工在日常工作中的行为。

企业全员的数据安全、数据合规意识非常重要,只有意识认识到位,行为才能符合规范。

其次,企业应当建立良好的IT系统来对数据安全、数据保护、防止数据泄露等进行数据合规风险控制的支持。虽然良好的制度是数据合规风险控制的基础,但是离开了强大的IT系统的支持,要确保数据安全和隐私不泄露是不现实的。全球经营的企业在数据合规上,需要配置强有力的IT部门,并时刻关注可能的系统漏洞,不时进行升级防范,跟上新技术发展的步伐,并经常进行压力测试。即使强大如Facebook这样的公司,也在2018年遭受了巨大的数据泄露事件。这给所有的运营范围遍布全球的中国公司提了一个醒:就保护数据安全的IT系统工作而言,没有最好,只有更好。

第三,企业应当建立关于数据合规的内部审计、外部审计体系及良好的内部报告体系。数据合规的风险控制应当在制度齐备、IT基础设施到位的基础上,加强内部审计、外部审计和内部报告体系。只有在企业中确立能“及时发现问题、发现问题有渠道报告、报告问题有规定能解决”这样的制度,才能管控好公司内部的数据合规风险,这样才有利于数据风险得到及时的发现和处理,也有利于应对监管机构的监管。

第四,要有良好的应急管理制度和应对数据泄露风险预案。大规模的数据泄露,给企业带来的风险是巨大的。根据IBM对全球企业数据泄露情况进行的统计,超过一百万人记录给企业带来的损失至少为4000万美元;超过5000万人记录给企业带来的损失则至少3.5亿美元。因此,企业需要提前准备好相关的应急制度和应对预案。

比如,万豪在2018年9月初发现了未经授权访问数据的问题,仅仅两天之后,在9月10日就成功阻断了对数据的入侵攻击。随后,万豪在内外部专业顾问的帮助下,对数据入侵的可能范围、丢失信息的广度和深度进行了分析,并在初步确认之后,向监管机构和公众告知此次数据入侵的情况,并表示全力配合监管机构的调查。

万豪在向公众表达歉意的同时,同步开通了专门网站及电话服务中心向消费者提供相关信息,也给消费者以免费注册网络信息泄露监管工具的机会,让消费者有机会接收到任何泄露数据被使用的警告。从万豪在数据泄露行为后一系列有章法的表现来看,成熟的企业对于数据泄露、数据安全事件发生后的应对处理是有一成套的预案和应急制度的。

第五、企业的管理层要对数据安全、数据合规风险有充分的认识和敬畏。只有企业的高管从思想上真正认识到数据合规的重要性,制度才不会成为摆设、才不会舍不得投入IT系统、内部数据合规审计体系才会真正地建立。将数据合规纳入到绩效考核指标并予以真正落实,才能从实际上控制好数据合规风险。

作者:联合能源集团副总裁及总法律顾问张伟华