设为首页
 加入收藏
 电子邮件
热点关注
站内搜索


合作网站
首页 > 重点推荐
我国互联网企业海外并购的数据风险研究

 

江乾坤(教授/博士后)  罗安琪(杭州电子科技大学会计学院 浙江杭州 310018

 

【摘要】   数字经济时代,数据已成为互联网企业的核心资产,但数据安全审查正成为欧美国家遏制我国互联网企业海外并购的新方式。在互联网治理模式发展到国家中心模式趋势下,欧盟出台的《通用数据保护条例》(英文简写GDPR)与美国的《加州消费者隐私法案》(英文简写CCPA)两项数据保护制度代表了欧美不同的数据风险管控取向。我国互联网企业海外并购存在数据尽职调查风险、数据安全审查风险、数据泄露风险、数据跨境流动风险和数字所得税风险。四维图新、蚂蚁金服与字节跳动海外并购案例显示,当前数据安全审查风险最为突出。文章认为,我国互联网企业为规避海外并购数据风险,应该尽快采取完善我国数据保护制度、提前制定海外并购数据安全战略、加强数据风险管控体系建设等措施。

【关键词】   互联网企业;海外并购;数据风险;数据保护制度

【中图分类号】   F275   【文献标识码】   A   【文章编号】   1002-5812202019-0004-04

 

 数字经济时代,数据已成为各个国家的战略资源和互联网企业的核心资产。随着我国互联网用户数与用户时长的相继见顶(CNNIC2019)和数字丝绸之路建设的深入推进,借助海外并购等方式进行国际化拓展已成为我国互联网企业发展的新路径。然而,数据风险正成为限制我国互联网企业国际化的新因素。例如蚂蚁金服因数据安全审查被迫终止并购美国跨境支付公司速汇金(MoneyGram),四维图新等因未获美国外国投资委员会(CFIUS)数据安全审查通过而主动放弃并购欧洲数字地图公司HERE,等等。本文通过对欧美国家数据保护的制度规定的梳理,厘清互联网企业海外并购过程中的数据风险类型,通过典型案例剖析,为我国互联网企业海外并购合理规避数据风险提供参考建议。

文本框:

一、数据的内涵与全球数据保护制度现状

(一)数据的内涵。所谓数据是指基于特定使用目的形成的以数字信息载体表现出来的信息集合体(莫纪宏,2019)。综合20185月欧盟出台的《通用数据保护条例》(GDPR)、我国实施的《信息安全技术个人信息安全规范》和《网络安全法》等,数据类型可分4类:(1)个人信息。它是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码。(2)个人敏感信息。它是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括个人生物识别信息、银行账号、通信记录和内容财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14周岁以下(含)儿童的个人信息等。(3)重要数据。它是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。(4关键信息基础设施。它是指国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息基础设施。这些信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。此外,根据GDPR,个人对数据保护拥有7项权利:知情权、访问权、更正权、可携带权、删除权、反对权、限制处理权。

(二)数据保护制度的国际发展。

1.数据安全逐渐成为各国政府审查互联网企业海外并购的新利器。互联网治理是政府、私营部门和公民社会根据各自的作用制定和实施的旨在规范互联网发展和运用的共同原则、规范、决策程序和方案WGIG2005)。全球互联网治理模式经历四次变迁:技术治理模式、网格化治理模式、联合国治理模式和国家中心治理模式(王明国,2015)。去国家化曾是互联网发展与互联网治理初期的主导声音,但最近20多年的互联网治理历程显示,没有政府的互联网治理模式并没有实现,国家在互联网治理中的地位和作用却显著提高,其主要原因是:(1)互联网商业应用范围的迅速扩大引发大量公共问题,以去国家化为核心的互联网自治模式失灵,故需要国家积极干预和应对,且国家也具备干预和应对的意志及能力。(2)互联网日益安全化,国家间网络安全竞争愈加激烈,网络安全问题上升为一种存续性威胁。互联网的安全化为国家采取非常措施来应对网络安全威胁提供了合法性,同时也直接促使国家在互联网治理中的地位和作用大幅提高(刘建伟,2015)。因此,在国家中心的互联网治理模式下,各国政府以维护数据主权的名义对企业海外并购进行国家安全审查已成为影响海外并购成败的新利器。

2.欧美数据保护制度代表了不同的数据风险管控取向。截至2018年,全球120个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保护个人数据,另有近40个国家和司法管辖区有待批准此类法案或倡议(Banisar and David2018)。2016427日,欧盟颁布《通用数据保护条例》(GDPR);2018628日,美国《加州消费者隐私法案》(CCPA)正式出台,它们代表了欧美监管机构对于个人数据保护两种不同的管控取向。其中,《通用数据保护条例》(GDPR)被称为史上最严格的数据隐私法律,不仅赋予了数据主体同意权、访问权、更正权、被遗忘权、限制处理权、拒绝权、自动化自决权等广泛的数据权利和自由,而且拥有强大的域外适用效率和巨额罚款,最高额度为1 000万欧元或企业上一财年全球营业总额的2%,并以较高者为准。《通用数据保护条例》(GDPR)的实施显著促进了机构对数据保护的投入,许多中小企业因为担心过高的法律风险而宣布停止欧洲业务。《通用数据保护条例》(GDPR)实行的第一年,因为难以达到合规要求,超过9万家企业自愿报告违规行为,超过14.5万家企业遭到消费者投诉。CCPA则是目前美国州层面最严格的隐私立法,也被视为最具有《通用数据保护条例》(GDPR)色彩的美国隐私立法。

通过表1可知,在数据立法上,GDPR代表了以数据基本权利为基础的欧盟模式,CCPA则体现了以自由式市场+强监管为基础的美国模式。两种模式形式上尽管不同,但实质上却殊途同归,均在寻求数据权利保护数据自由流通的平衡。欧盟模式偏向数据权利保护,意在打造公民的数据基本权利;美国模式偏向数据自由流通,意在数字经济的发展(何渊,2020)。之所以呈现不同路径的原因在于:法律制度、立法传统、立法信念和数字经济实力不同(冯迪凡,2019)。欧盟缺少世界领先的互联网公司(没有一家前20强),急需通过GDPR来保护本土互联网企业的发展;美国则是互联网强国,全球2/3的科技企业来自美国,不可能出台对本国企业严重不利的政策。我国作为互联网大国,在数据立法上更强调数据的自由流动数字经济的发展的模式,显然更加符合自身利益。

二、我国互联网企业海外并购的数据风险类型

(一)准备阶段。

1.数据尽职调查风险。数据尽职调查风险旨在于帮助主并企业筛查和甄别目标公司是否存在数据泄漏等违规情形,由此规避承担标的公司历史遗留的法律责任与风险,或通过并购估值调整、并购协议明晰责任分担等方式进行预先调整。在初次接触标的企业时,主并企业应对目标企业是否掌握数据资产、数据的性质和规模以及是否属于关键信息基础设施运营者等基本问题进行了解和判断,帮助收购方筛查和甄别标的公司是否存在数据泄漏等违规情形,否则后果可能非常严重。20147月,美国在线旅游网站TripAdvisor耗资2亿美元现金收购了全球最大的目的地旅游与活动预订网站ViatorViator起步于澳大利亚,营销活动主要在美国、英国和澳大利亚等国,致力于向消费者提供160多个国家的1 000个目的地的产品选择。但交易完成后约两周,Viator宣布发生数据泄漏,涉及140万用户的信用卡等个人信息,TripAdvisor股价应声下跌5%

2.数据安全审查风险。它是指目标企业所在国政府监管部门以国家安全名义对海外并购项目进行审查的风险,这可能是我国互联网企业目前在海外并购过程中遭遇的最大的数据风险。随着我国综合国力的上升、数字丝绸之路建设的推进和我国互联网企业国际竞争优势的逐步建立,近年来一些西方国家越来越借助数据安全的名义阻碍我国互联网企业实施海外并购,例如蚂蚁金服被迫取消并购美国速汇金公司、四维图新等主动放弃并购欧洲数字地图公司HERE等。

(二)交易阶段。海外并购交易环节一般涉及到数据的披露或交换,包括目标公司内部信息的开放,交易对手方的用户、客户、雇员等的个人信息。在海外并购顺利完成前,任何的数据披露或交换,都可能导致数据披露方违反网络安全法规、隐私保护法规和其根据隐私政策所负有的隐私保护义务,轻则触发民事侵权赔偿责任,重则触发刑事责任。例如,标的公司向交易对手方以及双方的投行、律师、顾问、第三方供应商等交易参与方披露大量的用户个人信息、敏感信息、保密信息等。即便通过虚拟数据室以及各类隐私保护措施,仍存在数据泄漏风险。《当交易泄密时》(Abernathy MacGregor2019)报告指出,有42%的交易在对外公开之前会提前泄露消息;交易平均泄露于消息宣布的11天前。该报告涵盖2015—2018年的189宗收购交易,这些交易至少一方来自美国公司。

(三)整合阶段。据有关报告显示,在数据为核心资产的行业并购中,半数以上的受访者表示在交割后发现数据合规问题,对数据合规的尽调不满意度达16%;导致交易失败的一大原因是因为数据合规问题,有近1/4的收购因为数据不合规而失败,这与因财务、税务问题导致交易失败的比例一样多(Orrick HerringtonSutcliffe LLP2019)。对我国互联网企业来说,由于信息不对称和数据保护制度差异等原因,完成海外并购后整合阶段面临的数据风险主要有以下类型:

1.数据跨境流动风险。数据跨境流动议题已引起全球普遍关注,各个国家或组织对其监管导向也差异较大。例如美国以贸易利益为驱动的数据自由流动主张,欧盟在人权项下的精细管理模式,发展中国家则出于国家整体利益而实施的数据本地化措施(腾讯研究院,2019)。数据跨境流动风险是指数据跨越国界的传输、访问或处理所引发的风险,它渗透于数据生产、采集、传输、存储、处理和共享等各环节,主要集中在3个方面:

1)数据跨境传输风险。当前大规模和复杂的数据跨境流动成为常态,数据跨境流动风险成为许多国家实施数据本地化策略的正当性理由:数据跨境流动引发数据安全风险担忧;数据不受限制地外流影响本国数字产业发展机会;数据跨境流动阻碍政府实施执法权;数据跨境流动威胁国家主权与安全(上海社会科学院互联网研究中心,2019)。当我国互联网企业完成海外并购后,境内母公司与境外目标公司之间不可避免会发生大量的数据跨境传输,国外司法辖区可能会关注我国网信部门在对于我国境内网络运营者建设、运营、维护和使用网络的监督管理中,是否能获悉外国公民个人信息(宁宣凤等,2017)。(2)数据跨境存储风险。目前全球已经有超过60个国家都支持数据本地化存储政策,要求数据必须在本地储存。由于大多数国家要求网络运营者在本国境内运营中收集和产生的个人信息数据在境内存储,甚至对于注册地在本国以外的机构,只要其在提供产品或服务过程中处理了本国/本司法辖区个体的个人数据,也需适用本国/本司法辖区的网络安全和数据保护规则,例如欧盟GDPR。而我国《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。我国关于网络安全和数据保护的属地原则与以欧盟为代表的属人原则可能存在冲突(宁宣凤等,2017)。(3)数据跨境融合风险。数据融合是将来自多个传感器和信息源的数据信息加以联合、相关和组合,剔除冗余信息,获得互补信息,以便能够较精确地估计出节点的位置和在网络中的地位,以及对现场情况及其传送数据的重要性进行适时的完整的评价(谢敏茹,2019)。随着数据资产的重要性日益增加,数据导向型的海外并购交易日益频繁,数据跨境融合本质上涉及到数据的转让与共享。如何在该类并购交易中合规进行数据融合操作以最大限度地发挥目标企业的数据价值,已成为并购交易各方的重要关注点,尤其是并购后的过渡期安排以及最终的数据整合的合规也是交割后的重中之重。

2.数字所得税风险。近年来,一些著名的大型互联网公司通过复杂的安排在国家之间甚至国内不同税率地区间转移利润,不仅使政府税基侵蚀、税收直接流失,而且导致那些真正缴纳税收的公司因面临不利竞争条件而蒙受损失(柯静,2019)。20183月,欧盟委员会公布立法提案,拟对大型互联网公司征收3%的数字税,任何一个欧盟成员国都可以对其境内互联网业务所产生的利润征税。然而,该法案却遭遇爱尔兰、捷克、瑞典、芬兰等企业税率较低的成员国强烈反对而搁置。因此,法国决定以国内单边立法方式对全球大型数字服务商征收数字税。2018711日,法国参议院正式通过数字服务税法案:全球数字业务年营业收入超过7.5亿欧元、且在法国境内年营业收入超过2 500万欧元的企业,将被征收3%的数字税。该税收将追溯至201911日起实施,预计将给法国政府每年带来约5.5亿美元的收入。根据该法案所确定的标准,征税对象大约有30家企业,主要来自于美国、中国和英国,而美国互联网巨头谷歌、苹果、脸书、亚马逊等受影响最大。2019912日,谷歌公司与法国司法部门达成近10亿欧元的认罚和解协议。其中,5亿欧元为罚款,4.65亿欧元为额外税款202041日,英国正式确认开征数字税,即对全球收入至少5亿英镑、在英国收入2 500万英镑的企业收取额外费用,税率为2%。预计到2025财年结束时,该项税收将给英国带来高达5.15亿英镑的额外年收入。目前,加拿大、奥地利、土耳其、意大利、墨西哥、印尼等24个国家和地区已开始或正在考虑采取类似行动,对美国科技巨头征税。可见,随着我国互联网企业实力的增强及其海外并购的增长,数字所得税风险将不可避免。

(四)互联网企业海外并购数据风险汇总。通过上述分析,互联网企业海外并购中的数据风险类型汇总见表2所示。

三、我国互联网企业海外并购数据风险的案例分析

(一)四维图新等并购欧洲地图公司HERE失败。20161226日,四维图新(002405)发布公告,公司全资子公司图新香港将出资不超过9 700万欧元,与腾讯子公司Oriental Power及新加坡政府投资公司Rocco,共同投资荷兰公司SIWAY,并由SIWAY收购汽车地图导航服务商HERE10%股权。作为欧洲大型数字地图提供商,HERE在欧美车载导航仪用地图领域掌握80%市场份额,其地图数据覆盖约200个国家,超过4 600万公里。2017926日,HERE宣布,停止接受腾讯控股等3家企业的出资,经过监管审查,三方认定没有可行途径获得所必须的交易许可,不再追求达成这笔交易。四图维新也宣称,由于海外监管审批的特殊性,在审核期截止日前,仍未获得海外监管机构对本次交易的许可,公司拟与相关方协商不再推进该交易。

此次交易失败的原因是未能获得美国监管机构的批准,美国政府担心汽车收集的详细地图信息被他方获得。四维图新表示,在历经美国外国投资委员会(CFIUS)两个阶段、前后持续五个月的审查后,交易在审查截止日前仍未获得通过。在审查期间,四维图新和HERE合计回复超过10轮以上的问题,并积极多次沟通、修订投资方案;HERE方面由CEO带队,专门向CFIUS进行了沟通,但仍没达成并购交易。

(二)蚂蚁金服并购英美跨境支付公司得失不一。20171月,蚂蚁金服宣布拟以12亿美元收购世界第二大汇款服务公司速汇金(MoneyGram)。速汇金成立于1940年,总部位于美国达拉斯,分支机构遍布30多个国家,并且在全球200多个国家与地区拥有35万个网点。蚂蚁金服表示,速汇金的数据基础设施将会保留在美国,且用户信息将被加密或保存在美国安全的设施内,但3次提交资料据理力争历时一年仍未通过CFIUS的国家安全评估。蚂蚁金服被迫终止并购计划,并按收购协议向速汇金支付3 000万美元的分手费。蚂蚁金服此次并购案失败的关键在于,一旦并购成功,蚂蚁金服将获得速汇金24亿全球银行和移动账户信息。CFIUS担心这些数据可能被用于破坏信用等级、侵入银行账号、敲诈勒索、盗用身份等(唐昀,2018)。

2019918日,蚂蚁金服以7亿美元成功收购英国跨境支付公司万里汇(WorldFirst)。万里汇成立于2004年,总部位于伦敦,是英国第3大外币兑换公司,为全球66个网上销售平台服务,在美国、澳大利亚、荷兰、我国香港设有办公室,并为我国超过2万家跨境电商提供服务。为了避免重蹈覆辙,自2018年底谈判后,并购双方行动迅速且十分低调:收购的发起者未就此进行公关,西方媒体也是从万里汇向重要客户发送的通知才了解到的。此次收购顺利通过了英国金融行为监管局的审查,但为了避免美国监管机构对其发难,万里汇公司于2019220日正式关闭了美国市场的业务。

(三)字节跳动并购Musical.ly后遭美国国家安全审查。201711月,字节跳动耗资10亿美元收购社交媒体应用musical.ly。当时,musical.ly在欧美年轻人群里倍受欢迎,拥有约6 000万用户。musical.ly2014年上线,是上海闻学网络科技有限公司旗下的产品,主要市场一直在海外,在美国加州Santa Monica拥有办公室。20188月,musical.ly与抖音国际版TikTok正式合并成新TikTok,随后迅速成为欧美市场挑战Facebook等巨头的社交工具。截至 2020 5 月,TikTok全球总下载次数已突破20亿次,连续多个季度稳居全球下载量第一,月活跃用户高达8亿;1624岁的欧美青少年中,有41%都在使用TikTok

201911月,美国政府就字节跳动收购musical.ly案启动国家安全审查,理由是TikTok在收购musical.ly时未寻求CFIUS的批准,担心TikTok在内容审查和存储用户个人数据方面存在问题。对此,字节跳动表示:并未把任何用户数据传回中国;所有美国用户数据都存储在美国本地服务器,并在新加坡进行备份;其内容审查政策不受到任何外国政府的影响,且中国政府也从未要求TikTok提供审查及删除内容。美国发布行政令,要求字节跳动必须在2020915日前出售TikTok在美国的业务,理由是存在国家安全风险。微软、Twitter、甲骨文、谷歌、沃尔玛等美国公司纷纷加入竞购行列。

四、启示与建议

(一)启示。

1.以数据安全为名义的国家安全审查正成为我国互联网企业国际化投资过程中的新障碍。蚂蚁金服并购速汇金等海外并购案失败以及TikTok美国业务被迫出售等说明所有涉及个人数据的跨国交易是一个重大警示,意味着国家安全担忧已经延伸至更广泛的领域,从互联网汽车到智能手表,甚至到咖啡机(唐昀,2018),国家安全审查已成现实风险。但蚂蚁金服成功并购万里汇也显示,只要我国互联网企业应对得当,海外并购中的数据风险也有可能得到有效管控。

2.目前我国互联网企业海外并购中数据尽职调查风险、数据跨境流动风险等暴露的还不多,但随着GDPRCCPA等数据保护法规的逐渐执行,这类数据风险将越来越大。

3.目前法国等开征的数字税主要影响的是谷歌等美国互联网公司,但随着我国互联网企业海外并购规模及国际化程度的上升,数字税问题将日益突出。

(二)建议。

1.借鉴国际数据保护制度经验,完善国内数据保护制度建设。欧盟出台的GDPR已成为当今各国政府或组织在制定数据保护法律方面竞相模仿的范本,越南、印度、巴西等国已纷纷跟进,美国的CCPA则基于本国情况开创了数据保护的新方向。目前我国数据保护制度建设尚不完善,尽管2016年、2019年已颁布《中华人民共和国网络安全法》《儿童个人信息网络保护规定》,为个人信息保护奠定了法律基础,但《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等在正式出台之前,需要系统考虑各项条文与GDPRCCPA等之间的衔接问题,密切关注世界各地数据保护法规执行方面的新进展,从而在制度层面为我国互联网企业海外并购的数据风险管控提供法律保障,减少不必要的合规成本。此外,我国应加紧出台数字服务税,必要时成为一种反制其他国家数据安全审查的利器。

2.提高海外并购数据风险意识,提前制定数据安全战略。首先,应让公司董事会意识到数据保护的重要性,提升合规的优先级。研究各国关于数据保护的法律法规,定期更新全球立法与合规动态以及企业面临的风险,立足现状对海外并购业务进行调整规划,提前应对未来的发展与变化。其次,在海外并购战略规划阶段,针对海外并购政府审查过程可能遭受的数据安全审查进行预先安排,如关闭部分区域市场业务、加强沟通交流等。最后,数据风险管理涉及隐私技术、人员内控、网络与系统安全,需要公司内部多个部门的统筹配合,建议设置数据保护官,全方位、全流程进行海外并购各阶段的个人数据保护,独立监控企业合规情况,能够使用风险评估方法,进行数据保护评估,留存企业海外并购中数据活动的记录。

3.加强企业数据风险管控体系建设。针对海外并购流程防范数据风险,首先,对于数据合规的尽职调查,着力于帮助收购方筛查和甄别标的公司是否存在数据泄漏等违规情形,从而避免因此承担目标公司的历史遗留的法律责任和风险,或通过估值调整、协议明晰责任分担等方式进行调整。其次,并购交易中的任何一方在获取或使用个人信息时,均应采取适当安保措施,签署保密协议,并以仅供满足交易需求为限度进行。在并购交易中如涉及数据资产转让、共享和整合时,建议并购交易方均应当做好数据融合筹划,包括并购交易各方可以事先更新隐私政策,让用户知悉数据存在转让和共享的可能性以及交割前应当以确认函或其他方式明确让用户知悉并购交易及其相关的数据融合情况,给予用户选择同意或拒绝的权利,避免踩雷。最后,为了最大限度地发挥目标公司的数据价值,收购方应尽早对交割后的数据整合进行筹划,在收购完成后,由技术团队、法律团队以及业务团队通力合作,对交割后的过渡期及数据融合进行合规操作。

 

 

【主要参考文献】

1 ]王明国.全球互联网治理的模式变迁、制度逻辑与重构路径[J.世界经济与政治,2015,(03.

2 ]刘建伟.国家归来:自治失灵、安全化与互联网治理[J.世界经济与政治,2015,(07.

3 ]冯迪凡.2019数据保护执法元年:美国如何追赶欧盟GDPR脚步[N.第一财经日报,2019-1-28.

4 ]王娟娟,汪海.数据跨境流动:面临截获篡改泄露风险[N.经济日报,2019-5-15.

5 ]宁宣凤等.“一带一路背景下我国企业境外并购的网络安全和数据合规问题[J.汕头大学学报,2017337.

 

 

封面人物

江乾坤,男,杭州电子科技大学会计学院,会计学教授,硕士生导师,应用经济学博士后,美国东南密苏里大学和马里兰大学高级访问学者,温州金融综合改革百人计划第一批成员,现任杭州电子科技大学中国财务云服务研究院院长助理,兼任中国会计学会高等工科院校分会常务理事,财务成本分会理事,多家上市公司独立董事;主要研究领域为资本市场、跨国并购、财务云服务、金融科技等,主持国家社科规划课题、教育部人文社科规划、财政部全国会计科研课题等国家级与省部级课题5项,发表学术论文40余篇,出版个人专著4部。

 



  【基金项目】   国家社科规划课题“‘数字丝绸之路下互联网企业国际化投资风险的大数据预警与管控研究(项目编号:18BGJ013)。

文章刊登于《商业会计》2020年10月第19期

我国互联网企业海外并购的数据风险研究.pdf

 相关链接:

版权所有 © 2005-2016《商业会计》杂志 图文未经同意请勿转载 订阅管理 投稿管理
copyright © COMMERCIAL ACCOUNTING MAGAZINE All Rights Reserved
订阅热线:010-66095303(发行部)66095301(编辑部)66095331(传真)