跨境并购中的数据合规——GDPR执法案例给中国企业进入欧盟市场的启示

2021-04-02

摘要：

在针对欧盟公司进行跨境并购的过程中，GDPR数据合规往往容易受到忽视，尤其是非互联网领域的企业，极易陷入认为履行GDPR下合规义务于己无关的误区。本文以“万豪集团数据泄露”一案为例，揭示了欧盟监管机构对收购方审慎合规义务的调查重点。此外，我们还从收购前的注意事项，收购中尽职调查重点关注的数据管理制度、信息安全保障的技术组织措施，以及收购后正确应对数据违规突发事件的方式三个方面，进一步解读中国企业如何在欧盟收购项目中满足GDPR的合规标准，以期最大限度地控制风险、规避处罚。

一、导言

欧盟《通用数据保护条例》（General Data Protection Regulation, GDPR）距今已施行近三年。据不完全统计，自2018年5月25日GDPR生效至2021年3月5日，欧盟各国DPA已向在欧盟境内开展运营服务的企业开出了共计557张“罚单”，其中不乏针对如Facebook、Google等大型跨国企业的“天价罚款”^[1]。GDPR的执法力度之强可见一斑。   

之所以会有如此多的企业“中招”，究其根本，是GDPR本身的适用范围十分广阔。GDPR第3条规定了欧盟境内及境外两项管辖范围，即“在欧盟内部设立”和“向欧盟境内数据主体提供商品和服务”的数据控制者和处理者均受GDPR规制。结合其境内设立地标准和域外目标指向标准，不难发现，欧盟数据安全的管辖关键点在于，只要企业提供产品或服务时与欧盟存在关联，比如与欧盟企业进行跨境交易，就要遵守GDPR相应规定。   

随着《中欧全面投资协议》（The China-EU Comprehensive Agreement on Investment，CAI）的签署，未来中欧之间的跨境交易往来势必更加繁荣。鉴于GDPR的高强度义务要求，中国投资者在对欧投资过程中应特别关注数据保护问题，在收购的各个阶段均要尽到审慎义务。本文以“万豪集团数据泄露”一案为例，详述中国企业在收购欧洲公司中应当如何履行GDPR所规定的数据合规义务；如何进行预先设计来规范数据治理，避免合规风险；以及当事故发生后，如何应对DPA调查以有效管理自身声誉^[2]。   

二、GDPR案例评析——“万豪集团数据泄露”

GDPR并购案例“万豪集团数据泄露”以“数字尽职调查”（Digital Ddue Diligence）为核心内容，我们将以案件事实部分和法律分析部分为脉络加以梳理。   

（一）万豪数据泄露的案件事实

万豪国际集团（简称“万豪集团”）于2016年9月收购了喜达屋酒店。2018年11月，万豪集团公开披露旗下喜达屋酒店客房预订系统发生了大规模数据泄露。该事件导致3.39亿的酒店客户信息被窃取，涉及来自31个欧洲经济区国家的居民，其中包括700万英国居民。而英国数据保护监管机构（Information Commissioner's Office，ICO）的调查结果显示，喜达屋酒店客房预订系统的数据漏洞自2014年7月起便一直存续，却始终未得到公司的重视。最终，针对该事件，万豪集团被ICO处以1.1亿欧元的巨额罚款^[3]。   

（二）万豪数据违规行为的法律分析

尽管万豪集团向ICO作出了解释说明，即在收购过程中喜达屋的管理层曾向其保证“多重身份验证系统”的防护措施全面覆盖了整个酒店客房预订系统，同时，支付卡行业数据安全标准（“PCI DSS”）的独立评估人员于2016年4月29日（收购前）和2017年5月23日（收购后）发布的两份合规报告也证实了上述防护措施已到位；但是，ICO的判定认为，万豪集团未能履行GDPR第5(1)(f)条和第32条下应当承担的义务，即“在处理过程中确保个人数据的安全”和“采取适当的保障信息安全的技术和组织措施”。ICO从以下四个方面进一步对其系统的安全性问题提出了质疑意见：   

首先，ICO真正关注的问题，也是万豪集团被调查处罚的原因之一，是一旦黑客获得了系统的访问权限，公司是否能够采取相应措施识别漏洞并防止进一步未经授权的数据处理活动，而不仅仅是黑客攻击并获得系统访问权限这一事实。然而，正是由于万豪集团对用户账户的不正常登录行为、网络流量异常等情况疏于持续监控，以及未设置多层安全措施来充分保护个人数据，才导致了大规模用户数据泄露事件的发生。   

其次，ICO指出了万豪集团对数据库监控不力的问题，主要包括数据库安全警报的缺陷、缺少集合日志的功能及无法记录系统上的执行操作（例如创建文件和导出数据库表）。   

除了未对其安全系统采取适当的监控，万豪也未能设计“服务器强化”（server hardening）功能作为预防措施，以阻止黑客访问管理员账户进行事先侦查。为此，ICO还特别论证了“白名单”（whitelisting）功能的可操作性。   

最后，ICO的调查专员特别表达了对万豪集团个人数据加密系统的全面性和完整性的担忧，并敦促公司开展对该系统的风险评估，完善加密功能^[4]。   

从该案例中不难发现，监管机构对收购活动中目标公司的数据合规情况提出了较为严苛细致的标准，因此也赋予了收购方比以往更高的尽职调查义务。尤其针对GDPR第32条“采取适当的保障信息安全的技术和组织措施”，其安全指标包括漏洞识别、账户安全监控、数据库监控、服务器强化和加密系统等。另外，相关合规指标和罚款数额可参考各欧盟成员国自行颁布的关于网络安全和监管政策的指导性意见，如本案中ICO即引用了英国颁布的《监管措施政策》（Regulatory Action Policy）^[5]、《国家网络安全指南》（The National Cyber Security Guidance）^[6]。   

三、并购数据合规重点问题及应对策略

面对欧盟各国的监管，公司在准备跨境收购时亦当有良策应对。本节将从收购前、收购中和收购后（发生突发事件）三个阶段出发，阐明企业应重点关注的问题，并提出我们的建议。   

（一）收购前的注意事项

首先需明确的是，不同的收购目标可能意味着不同程度的数据合规注意义务。如果被收购公司的合规状况不佳，可能会出现重大的风险敞口，就需要采取更多的修复措施。目标公司在过往运营管理中如何收集、存储、使用和转移个人数据，以及是否发生过数据泄露事件，对于理解目标公司的估值和风险至关重要。因此，对于收购方而言，当评估目标公司的合规水平与风险时，不仅需要关注不合规本身存在的风险，还要兼顾因系统性修复更改而带来的后期成本，如此，才能帮助公司正确估值，并深入了解完成收购后需要进行哪些工作，使公司的数据安全符合GDPR标准。   

其次，交易对方的类型也会影响收购方的合规注意义务程度。例如，相较于处理敏感健康数据的公司，只做B2B销售的公司仅需满足较低级别的合规性标准。与此同时，公司类型还关系到是否有必要在公司内部指定数据保护官（Data Protection Officer, DPO）。根据 GDPR第37条规定，只有当企业的核心活动包含了特殊类型的数据（又称敏感数据，包括种族、民族、政治信仰、刑事犯罪等）处理，或者构成对个人数据进行定期、系统的大规模监视或处理时，DPO的设置才是强制性的。所以当收购活动涉及银行、医院和保险公司这些行业的目标公司时，DPO的指定对GDPR合规将有重要意义^[7]。   

（二）收购中的尽职调查

跨境交易中的数据合规性审查通常被称为“数字尽职调查”或“网络安全尽职调查”^[8]。尽职调查作为收购过程的重要组成部分，收购方在考虑目标公司的业务对个人数据收集使用依赖程度的基础上，需着重关注其履行GDPR下义务的内部政策和机制，主要包括隐私政策条款、构成“用户同意”的文件材料和企业提供的一般性条款；同时，还需向公司询问有关个人数据保护的实践情况，包括已实施的数据治理和安全控制措施。   

GDPR的实施促使传统的技术尽职调查流程嵌入GDPR考量因素，鉴于其兼具法律和技术性要求，经我们总结，数字尽职调查应通过以下四个步骤进行全面审查：   

（1）确认企业为达到GDPR合规标准而采用的方法的完整性和适用性；   

（2）确保建立了与企业业务发展相适应的数据风险评估系统，提供风险应对措施；   

（3）该数据风险评估系统和风险应对措施纳入了并购审查范围；   

（4）最后，在尽调中单独对公司面临的数据合规风险进行分析^[9]。   

具体而言，以下问题在企业进行并购法律尽职调查时值得重点关注：   

1.审查目标公司是否具备独立的数据安全认证，以证明目标公司遵守了相关要求。在“万豪集团数据泄露”一案中，公司向英国监管机构提供了PCI DSS独立评估人员出具的合规报告，对遭遇黑客攻击并获取系统访问权限的事实可以起到一定的责任豁免作用。   

2.审查目标公司是否满足GDPR具体的合规性要求，主要指标为是否设立数据保护官、保存数据处理活动记录和进行数据保护影响评估。其中，数据处理活动的记录应在控制器和处理器中均予留存，包含控制者和数据保护官（如有）的名称和联系方式、处理目的、相关数据主体、数据类型、接收者类型、向第三国传输数据的信息，以及企业所采取的保障信息安全的技术和组织措施的一般性说明。而数据保护影响评估与上文所述的数据保护官设置情形类似，适用于开展大规模、涉及特殊类型数据（敏感数据）处理的企业。   

3.审查目标公司信息安全保障的技术和组织措施是否完备。依据前述案例和我们的检索分析结果，公司能否提供漏洞识别、控制个人数据访问、账户安全监控、数据库监控、服务器强化、数据加密或匿名化的工具，以及页面级别的审计跟踪和网站安全保护措施，是监管机构调查取证的核心内容。   

4.审查目标公司的隐私政策条款和一般性条款，尤其是用户“自主、具体、知情、明确”的书面同意权利是否得到充分保障。   

5.调查目标公司的人员如何应对数据安全问题，如，是否设立安全漏洞响应计划和负责团队，是否对员工进行合规处理数据的培训^[10]。   

6.此外，我们建议收购方进一步关注目标公司所在地国的法律法规。GDPR在某些条款上赋予了欧盟成员国一定的自由裁量权，比如在用户同意的相关规定中，GDPR允许各成员国自由约定明示同意的最低年龄、雇佣背景下的同意基础、敏感数据能否通过个人同意的方式解除禁止使用等。因此，收购方还需明确目标公司所在地国的具体规定^[11]。   

（三）突发事件应对措施

本文的第（一）（二）部分旨在为企业在跨境并购中避免GDPR数据保护违规事件提供一揽子防范思路，然而一旦不慎出现违规情形，企业仍然需要及时采取恰当的应对措施，来减轻处罚并减少公司的商誉损失。   

我们认为，在数据泄露等突发事件发生后，若企业积极寻求与监管机构的合作，能够更有效地管理声誉影响。在此方面，德国社交聊天平台Knuddels公司与监管机构的合作经验值得我们借鉴^[12]。   

2018年7月，在数据违规事件爆发后，Knuddels公司立即以全面透明的方式向用户告知黑客攻击情况，并向德国巴登符腾堡州数据保护委员会（LfDI）报告了该数据泄露事件，披露了其数据处理、公司结构和安全漏洞情况，特别说明公司已将用户密码以明文形式保存（未加密更改）。在随后几周内，Knuddels公司综合实施了一系列补救措施，包括改善IT安全体系结构、将最新技术应用于用户数据安全保障，并承诺配合LfDI采取其他方法以进一步提高其数据安全水平。最终，LfDI按照较低标准、以2万欧元的罚款终结此案。此案例说明，企业通过及时履行通知义务，与监管机构保持合作，能有效地减轻处罚，并体现企业良好的危机应对意识。   

四、结语

GDPR下的数据合规义务已成为中国企业进军欧盟市场绕不开的话题。因此，我们建议，中国企业在迈向欧洲市场之际，需要事前考查目标公司的类型和历史合规情况，将GDPR所规定的合规要素囊括进法律尽职调查之中。并购交易完成后，需要在公司内部建立相对完善的数据管理制度、审查漏洞并采取适当的技术和组织措施；一旦出现数据泄露等突发事件，企业需要主动进行内部调查、及时上报，采取措施最大限度止损，将数据泄露的事实告知数据主体，并与监管机构保持密切的沟通合作，力争将负面影响限缩在最小范围、减少处罚风险。

文中备注：

[1]由于GDPR执法案例没有提供官方数据库供公众查询，该数据统计结果由第三方提供。详情请参见https://www.enforcementtracker.com/，https://www.privacyaffairs.com/gdpr-fines/；另参见中兴通讯数据保护合规部&数据法盟，《GDPR执法案例精选白皮书》，https://res-www.zte.com.cn/mediares/zte/Files/PDF/white_book/202004070858.pdf?la=zh-CN。

[2]万豪集团数据泄露”案件发生时，英国仍属于欧盟成员国（未完成脱欧），受到 GDPR 管辖。

[3]Information Commissioner's Office, Penalty Notice on Marriott International Inc., https://ico.org.uk/media/action-weve-taken/mpns/2618524/marriott-international-inc-mpn-20201030.pdf.

[4]同上。

[5]ICO, Regulatory Action Policy, https://ico.org.uk/media/about-the-ico/documents/2259467/regulatory-action-policy.pdf.

[6]NCSC, 10 steps to cyber security, https://www.ncsc.gov.uk/collection/10-steps-to-cyber-security.

[7]Felix Fuith, M & A and GDPR: A Compliance Guide For Business Transactions, https://www.llmlawreview.com/2018/01/26/ma-and-gdpr-a-compliance-guide-for-business-transactions/.

[8]Financier Worldwide, GDPR due diligence in M&A,https://www.financierworldwide.com/gdpr-due-diligence-in-ma#.YEC3-V0zbAw.

[9]同上。

[10]Merrill DatasiteOne, GDPR Due Diligence Application Checklist,                    https://www.datasite.com/us/en/insights/visualization/checklists/gdpr-data-room-supplier-checklist.html.

[11]参见 GDPR 第8条、第9（2）（a）条，GDPR Recital 第155条。

[12]Press Office, LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO,https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/.

本文作者：