适用场景
计划或已完成境外并购的中国企业,尤其是在“一带一路”沿线国家和地区进行投资,且涉及境内外数据跨境传输和整合的各类企业。
核心要点
1. 境外政府对中国并购的网络安全审查
境外政府高度关注中国企业并购后,其公民个人数据是否会被要求在中国境内存储,以及这些数据是否可能被中国政府获取。这涉及到数据本地化存储要求(如GDPR)与中国《网络安全法》的潜在冲突,可能导致交易受到质疑。
2. 境外数据本地化存储的合规挑战
中国《网络安全法》要求关键信息基础设施运营者将境内运营中收集的个人信息和重要数据存储在境内。这可能与目的国(如欧盟GDPR)的属人原则产生冲突,要求企业证明数据在中国境内存储能达到“足够保护标准”,否则可能面临合规风险。
3. 境外数据被中国政府获悉的潜在情形
境外并购后,被收购的外国公民个人信息可能通过多种途径被中国政府获悉,包括数据跨境安全评估、关键信息基础设施安全风险抽查、重要网络产品和服务安全审查,以及应政府要求提供协助和支持。
4. 数据跨境传输对并购运营的成本与效率影响
《网络安全法》及相关细则对数据跨境传输设置了严格的安全评估前置条件,包括要求个人信息主体同意、主管部门评估(可能门槛过低、耗时)、年度评估及特定情况下的重新评估。这些规定可能显著增加并购后的运营成本,并影响业务整合效率。
5. 关键信息基础设施(KII)认定模糊性
《网络安全法》对关键信息基础设施的定义较为概括,具体识别指南尚未明确。这导致企业难以准确判断自身或被并购实体是否属于KII,以及与KII系统对接后是否会被视为其组成部分,从而增加了合规风险和不确定性。
实务建议
- 建立境内外数据“防火墙”:在并购交易中,考虑在境内母公司与境外被并购实体之间设立数据隔离机制,如物理或逻辑防火墙,以降低境外监管机构对数据安全和可控性的疑虑。
- 提前规划数据流转与管理:在并购前或并购初期,全面评估并规划企业内部及跨境数据流转路径、存储方式和平台管理策略,确保符合中国及目的国的数据合规要求。
- 密切跟踪法规动态并积极沟通:持续关注《网络安全法》及其配套实施细则(如KII识别指南、数据出境安全评估办法)的最新发布,并主动与行业监管部门沟通,了解最佳实践和合规要求。
- 实施精细化数据管理策略:对跨境传输的数据进行精细化分类、分级管理,采用数据归类、分类统筹、定点管理等方式,以优化评估流程,降低合规和时间成本。
- 评估并购后运营成本:将数据跨境安全评估、年度评估、重新评估以及可能的技术改造等合规成本纳入并购交易的财务模型和运营规划中。
风险提示
- 忽视境内外法规冲突:未能充分识别并解决中国《网络安全法》与目的国(如欧盟GDPR)数据保护法规在数据本地化存储、跨境传输等方面的冲突,可能导致双重违规风险。
- 关键信息基础设施认定不确定性:由于KII定义和识别标准尚不明确,企业可能无法准确判断自身或被并购实体是否属于KII,从而面临潜在的监管风险。
- 数据跨境评估流程复杂且耗时:数据出境安全评估(尤其是主管部门评估)可能门槛较低、耗时较长,若未提前规划,可能严重阻碍业务整合和日常运营。
- 个人信息主体同意获取困难:在实际操作中,大规模获取个人信息主体的明确同意进行数据跨境传输可能面临巨大挑战,若处理不当将构成合规障碍。
- 禁止数据跨境情形的宽泛性:对“可能影响国家安全、损害社会公共利益”等禁止数据出境情形的认定标准较为宽泛,企业难以合理预期,增加了运营不确定性。