适用场景
计划进行海外并购或已开展跨国业务的中国企业,尤其是在尽职调查阶段,需要全面评估目标公司的数据合规风险。
核心要点
1. 三大核心法律框架
中国数据合规监管体系以《网络安全法》、《个人信息保护法》和《数据安全法》为三大支柱,分别侧重基础设施安全、个人权益保护和数据安全管理。出海企业需全面覆盖,不可偏废。
2. 全行业适用与垂直监管
数据合规要求已覆盖所有行业,包括传统线下业务。同时,汽车、金融等敏感行业面临更细颗粒度的专项监管,企业需结合自身行业特性进行核查。
3. 境外实体同样受管辖
若境外实体以向中国境内自然人提供产品或服务、或分析评估其行为为目的处理个人信息,同样适用《个人信息保护法》,需指定境内代表或机构。
4. 高风险常见场景
APP/小程序、数据爬取、人脸识别、算法推荐是监管重点和高风险领域。这些场景不合规易引发执法行动、产品下架或诉讼。
5. 数据本地化与出境合规
个人信息和重要数据出境需满足特定条件,如取得单独同意、通过安全评估或签订标准合同。企业必须厘清数据类型并履行相应程序。
实务建议
- 在尽职调查清单中设立数据合规专项,系统审查目标公司的网络安全等级保护备案、内部制度、PIPA报告及数据出境记录。
- 重点核查目标公司收集个人信息的合法性基础,特别是从B端合作伙伴间接获取时,是否已通过合同明确数据来源合规性及责任划分。
- 对目标公司的APP、小程序、官网等线上渠道进行合规扫描,检查隐私政策、用户同意机制及权限索取是否符合规定。
- 若目标公司业务涉及算法推荐、人脸识别或数据爬取,需深入审查其技术方案、用户告知同意流程及是否完成算法备案等特定义务。
- 评估目标公司用户数据规模,若超过百万且计划海外上市,必须提前研判并规划网络安全审查申报事宜。
风险提示
- 切勿因目标公司属于传统行业而忽略数据合规尽调,新法已实现全行业覆盖。
- 避免仅依赖《用户协议》等格式条款作为处理个人信息的“合同”合法性基础,其通常不被认可。
- 等保备案和内部制度建设不是可选项,而是法定义务,缺失会带来处罚风险并在诉讼中处于不利地位。
- 即使未达到强制申报门槛,监管机构仍可依职权对海外上市企业启动网络安全审查,需提前做好风险预案。
- 严重的数据合规问题可能影响并购估值、导致业务剥离,甚至构成上市障碍。