在信息时代,数据既是宝贵的资产,也是危险的雷区。数据合规是企业必须重视的课题。作者:张伟华

于日益走向全球化经营的中国企业来说,数据合规风险控制是企业合规风险的重要工作之一。数据合规风险控制,从两个角度看:第一是交易中的数据合规风险控制,第二是运营中的数据合规风险控制。

交易中的数据合规风险控制为什么重要?因为如果未能在交易过程中控制好数据合规风险,有可能给收购方带来极大的损失。2018年11月,万豪集团宣布旗下的喜达屋客房预定系统数据泄露,有高达五亿客户的个人信息被无授权访问。这意味着这些客户的个人信息、电子邮件、住宿情况、银行卡号等隐私信息都陷于了危险之中。万豪集团就此事发布公告,表示正在评估影响,并向公众表达了歉意。同时,一些集体诉讼的代表律所也宣布起诉万豪,要求高达125亿美元的索赔。

联合能源集团副总裁及总法律顾问张伟华-Leslie-Zhang-is-the-vice-president-and-general-counsel-at-United-Energy-Group

这次数据泄露问题的直接引发原因是万豪两年前收购的公司喜达屋造成的,而万豪并未在交易中的尽职调查中发现数据信息泄露的潜在风险。因此在交易完成之后,这一风险可能给公司带来重大损失。

从某种意义上说,任何被购买的目标公司都存在数据风险问题,无论是员工信息、知识产权、商业保密信息、经销商或者客户名单等,都有可能成为泄露的对象。而一旦此等风险事件发生,所带来的损害和后果可能非常严重。除了政府机构的调查、可能发生的集体诉讼、聘用外部专家去对系统进行修复外,受到影响的公司还将面临着信誉危机的管理、合作伙伴的质疑、运营受到耽误等问题。

数据合规风险还可能给卖方带来损失。比如Verizon以48亿美元收购雅虎核心资产的交易,在交易宣布后,雅虎披露公司之前曾出现过两次数据泄露事故。这个披露导致了Verizon要求修改交易的对价,并对未来该数据泄露的责任进行明确约定。尽管在交易中Verizon已经要求了3.5亿美元价格下调,但对于第三方索赔,雅虎仍需要在交割后承担50%的责任。因此对于交易双方来说,数据合规风险都有可能带来对价值的损害。

并购中的风险控制

对于从事并购交易的买方来说,交易中的数据合规风险控制值得关注。如何控制?笔者认为主要有以下几个方面:

You must be a subscriber to read this article, or you can register for free to enjoy the current issue.

该部分内容仅提供予《商法》订阅会员。你可以订阅去解锁所有内容。你也可以免费注册去浏览最新一期的内容。

作者:联合能源集团副总裁及总法律顾问张伟华