企业数据合规尽职调查的重点.pdfVIP

企业数据合规尽职调查的重点

随着大数据、云计算、移动互联网等新一代信息技术的不断发展，

数据蕴含的巨大商业价值已经被市场认可。数据资产的重要性使数据

合规尽职调查成为了投资并购中的重要环节，收购者对目标公司的数

据合规情况和潜在的风险进行的一系列调查有助于更好的降低并购

风险、增加投资效益，数据合规尽职调查主要侧重在以下方面：

1、调查行业属性

数据合规尽职调查首先要弄清楚调查对象的行业属性，是专门从

事数据处理活动的企业，还是业务中包含大量数据处理的电信、教育、

医疗、酒店、金融、科技型等企业，或者仅一般性涉及数据处理的工

业企业、能源企业等。不同业务领域、不同行业常常面临不同的合规

需求，区分的意义就在于精准匹配相应的法律规定，尤其是针对特殊

行业制定的专门规范。主营业务与所属行业、提供的产品或服务内容、

是否存在境外公司、是否被有关部门认定为关键信息基础设施运营者

或为关键信息基础设施运营者提供产品或服务、公司使用系统的情况、

公司运营平台的情况都是进行法律定位的重要参考标准。

比如汽车行业已经有专门规范明确了重要数据的范围，包括敏感

区域地理信息、车流量信息、充电网运行数据、包含人脸或车牌信息

的车外音视频、涉及个人信息主体超过10万人的个人信息等。再如

在不良贷款转让业务领域，就有《银行业信贷资产登记流转中心不良

贷款转让业务信息披露细则（试行）》专门对业务信息披露过程中所

涉个人信息保护进行规定，因而考察数据合规情况便要同时参考个保

法和专门领域规范。

人工智能、互联网平台、自动驾驶行业等以数据资产作为关键生

产要素及驱动力的领域，以及其他可能涉及医疗、人类遗传资源、测

绘等敏感数据的经营活动，都需提高对数据合规问题的重视。对于以

上行业，若数据资产存在法律瑕疵，可能会对目标公司的运营造成重

大不利影响，因此数据合规尽调的必要性更高。

2、了解业务类型

由于数据处理活动主要发生在业务经营活动中，了解业务是开展

数据合规尽职调查的前提。对业务情况的了解，将影响对数据处理活

动合规性的判断。实务中，有些商业概念看似相同，但其交易实质或

业务模式不同，企业在数据处理中的角色不同，在数据合规方面的责

任也就不同。

在对企业进行初步调查了解的时候，要重点核查企业是否属于关

键信息基础设施运营者、重要互联网平台等特殊角色，以及企业处理

的数据是否涉及重要数据、国家核心数据、敏感个人信息等特殊数据

类型，如果存在这些情况，则在后续尽职调查的过程中应对企业的特

殊义务予以重点关注。酒店、教育、电商、物流、航空、零售、快消

等企业在运营过程中一般会处理较多个人信息，相应的个人信息合规

风险也会更高。

3、梳理数据周期

对企业属性和数据类型有了初步了解后，需要进一步梳理企业数

据处理活动的详细流程，按照数据生命周期绘制企业的数据流转地图，

以判断数据处理各环节的合法合规性。数据处理包括数据的收集、存

储、使用、处理、加工、传输、提供、共享、公开、销毁等一系列活

动，法律对数据处理活动有明确的要求。数据合规尽职调查需要贯穿

数据生命周期的全流程。

数据处理者处理个人信息等数据应当符合数据法规的规定，遵循

合法、正当、必要和诚信的原则。例如，数据处理者开展影响或者可

能影响国家安全的数据处理活动，应当按照国家有关规定，申报网络

安全审查。处理个人信息时，数据处理者应当采取必要的安全保护措

施收集、传输、存储、加工、使用、提供、公开个人信息数据。利用

生物特征进行个人身份认证的，则应当对必要性、安全性进行风险评

估，不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特

征信息。

4、考察管理制度

数据安全管理制度是企业践行数据保护的政策和指南，企业是否

具有完善的数据安全管理制度并实际落地执行是考察企业数据合规

的重点事项。调查企业数据安全管理制度主要涉及制度文件、人员管

理、操作执行等方面，包括数据分类分级保护制度。

数据处理者依法在数据处理活动中形成的法定或者约定的财产

权益，以及在数字经济发展中有关数据创新活动取得的合法财产权益

受法律保护。各类企业开展数据合规管理是降低企业及其员工涉数据

类违法犯罪风险的重要举措，对于建立现代化的企业合规管理制度和

文化具有重要意义。对企业数据安全管理制度的全面考察也有利于降

低投资并购风险。

5、考察保护制度

标的公司是否对数据的规范使用采取了相应风险控