数据合规尽职调查实务要点总结

近年来，国家密集出台多部网络数据领域的法律法规与政策文件，从中央到地方也进一步加强了对数据合规问题的监管，企业面对越发严格的监管要求，数据合规问题已变得不容忽视。本文将从实务角度出发，梳理数据合规尽职调查过程中应当关注的核心要点。


数据合规尽调应用场景及价值

目前数据合规尽职调查主要应用于三种场景：

（一）投资并购交易场景

一方面，数据合规尽职调查可以帮助投资方进行合理的计算和推演，判断数据资产在公司全部资产中的占比及重要性，并且帮助投资方准确计量数据资产的公允价值；另一方面，数据合规尽职调查能够在一定程度上解决信息不对称问题，提高投资方的谈判地位，为并购战略及方式提供具体参考。

（二）公司IPO场景

数据合规尽职调查将围绕监管部门对拟上市企业数据合规审查核心要点展开，目的是梳理数据在处理和安全保障方面的欠缺之处，提出基本应对策略，进而帮助企业落实整改，保证上市计划的顺利实施。另外，尽调报告本身也可以为监管机关重点关注的风险事项提供有效外部说明，帮助公司合理应对机构问询。

（三）企业内部搭建合规体系场景

数据合规尽职调查可以帮助了解企业的业务模式、业务流程及数据处理等情况，及时发现数据合规风险，并针对这些风险搭建具有针对性及操作性的数据合规体系。

数据合规尽调前置考量因素

一般情况下律师在做数据合规尽职调查之前应通过外部因素和内部因素共同对目标公司做出初步评估，以便后续制定更有针对性的尽调计划。

（一）外部因素

律师应了解目标公司所在行业现状（行业所属类别、行业所需数据类别、行业数据规模情况、行业重要数据范围、行业未来发展趋势等）、所处数据市场环境以及国家政策、监管机关以及行业协会的相关要求等。

（二）内部因素

律师应了解目标公司的实际规模、业务种类、内部数据管理制度、数据合规部门的设置模式、内部数据资产占比以及数据处理的复杂程度等。明确内部情况，是为了在尽调报告中重点关注数据合规规范的执行与遵守，帮助目标公司实现法律监管与业务发展之间的平衡。

数据合规尽调核心要点

结合我们以往数据合规尽调实务经验，在此总结以下五项核心要点，并逐一予以解析。

（一）关注目标公司的商业模式

常见的数据商业模式包括数据加工、数据导流、数据风控以及数据统计等，不同的数据商业模式我们应当关注差异化的法律风险，具体如下：

1. 如果目标公司所涉主要商业模式为数据加工，则我们应当重点关注所加工数据来源的合法性及可获得性；
2. 如果目标公司所涉主要商业模式为数据导流，则我们应当重点关注目标公司是否可能存在不正当竞争行为以及非法利用信息网络等情况；
3. 如果目标公司所涉主要商业模式为数据风控，则我们应当重点关注企业制定的数据内部控制制度的有效性及程序的合理性；
4. 如果目标公司所涉主要商业模式为数据统计，则我们应当重点关注统计数据的真实性及统计方法的客观性。

（二）识别目标公司数据资产类型

通常情况下，我们可将数据分为六个大类，即国家核心数据（《数据安全法》）、重要数据（《重要数据识别指南（征求意见稿）》）、个人信息（《个人信息保护法》）、企业经营信息（商业秘密保护层面考虑）、衍生数据（不正当竞争层面考虑）、公开信息/公共数据。

律师应根据目标公司数据属性、特点、数量、质量、格式、重要性、敏感程度等因素，科学划分数据类型和等级，并审查各类数据是否均依法配套相应的安全风险控制措施、是否依法保护数据安全和个人隐私。实践中我们可以将具有共同性质、属性或特征的数据归并在一起，再根据类别纳入不同的合规体系。

（三）掌握目标公司各环节的数据处理情况（以“个人信息”为例）

1. 收集环节。在收集环节我们应重点关注目标公司以下事项：

（1）收集个人信息的目的、方式、范围是否满足合法、正当、最小必要及诚信原则；
（2）是否以清晰明确、易于理解的方式，向个人信息主体告知收集、使用个人信息的目的、方式和范围等；
（3）是否在个人信息主体明确知情的情况下，获取个人信息主体的同意；
（4）敏感个人信息是否单独获得同意；
（5）收集的个人信息的类型与实现产品或服务的业务功能是否有直接关联；
（6）是否存在一揽子授权的情况，以改善服务质量，提升用户体验等概括性表述收集大量用户个人信息；
（7）收集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；
（8）是否存在以强制用户同意的方式收集个人信息或要求个人信息主体提供不必要的授权；
（9）间接收集个人信息是否对数据来源尽到合规审查义务；
（10）收集公开数据是否存在危害他人计算机信息系统安全的情况；
（11）所收集的公开数据中是否包括个人信息、具有商业价值的衍生数据等情况。

2. 储存环节。在数据储存环节我们应重点关注目标公司以下事项：

（1）存储个人信息是否符合境内存储的要求；
（2）存储时间是否为实现处理目的所必需的最短时间；
（3）行业主管部门对存储时间有特殊要求的，是否满足相关要求；
（4）是否进行加密存储以保证数据安全；
（5）是否对数据进行分级分类存储，并制定相关制度。

3. 使用环境。在数据使用环节我们应重点关注目标公司以下事项：

（1）是否超出收集个人信息时所声称的目的使用个人信息；
（2）是否建立内部访问控制策略以保证数据安全；
（3）是否向个人信息主体告知用户画像的具体用途和主要规则；
（4）用户画像中对个人信息主体的特征描述是否包含淫秽等内容及表达对民族等歧视的内容；
（5）是否向用户提供定向推荐关闭途径；
（6）是否向个人信息主体提供针对自动决策结果的投诉渠道；
（7）是否向用户公开自动化决策算法内容；
（8）是否存在利用大数据技术对用户区别定价的情况；
（9）是否定期开展个人信息安全影响评估。

4. 加工环节。在数据加工环节我们应重点关注目标公司以下事项：

（1）数据加工结果是否构成著作权或商业秘密；
（2）是否对他人的著作权或商业秘密造成侵犯；
（3）是否对数据加工结果采取安全保护措施；
（4）是否存在构成不正当竞争的行为。

5. 传输环节。在数据传输环节我们应重点关注目标公司以下事项：

（1）采取何种方式进行数据传输；
（2）在传输过程中是否采取技术手段以保障数据安全。

6. 提供环节。在数据提供环节我们应重点关注目标公司以下事项：

（1）对外提供个人信息是否获取明确告知个人信息主体并获取授权同意；
（2）是否存在超出个人信息主体授权同意的范围对外提供个人信息；
（3）是否对提供的个人信息情况进行留档备查，包括对外提供的日期、规模、目的以及接收方的情况等；
（4）对外提供个人敏感信息是否获取个人信息主体的单独同意；
（5）是否通过合同等方式规定接收方的责任和义务；
（6）委托处理个人信息的类型；
（7）是否与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等；
（8）是否有限制受托人转委托的必要措施；
（9）是否存在通过SDK与第三方进行信息共享，是否有相应的合规措施；
（10）是否对对外提供行为进行个人信息安全影响评估。

7. 公开环节。在数据公开环节我们应重点关注目标公司以下事项：

（1）是否存在个人信息公开的情况以及必要性；
（2）个人信息公开是否存在合法性基础；
（3）是否获取个人信息主体同意；
（4）是否事前开展个人信息安全影响评估；
（5）是否记录和保存个人信息的公开情况，包括日期、规模、目的、范围。

8. 删除环节。在数据删除环节我们应重点关注目标公司以下事项：

（1）是否具有个⼈信息删除的途径，以满足个⼈信息主体删除权的行使；
（2）是否按照法律要求主动删除个⼈信息或进行匿名化处理。

（四）审查目标公司的数据安全治理架构

数据合规尽调中，我们可以针对组织架构、管理制度技术措施、等级保护、人员管理、教育培训等方面进行调查，识别相应风险并做出合理的评估。目标公司的数据安全审查要点体现在以下方面：

1. 是否明确数据安全负责人和相关管理机构，是否有配套的组织架构和人员；
2. 公司是否有相关的数据安全管理制度，包括但不限于网络安全、数据安全、个人信息保护、安全教育预案等；
3. 是否对数据进行分类分级管理，并针对不同类型和级别数据设置不同的访问控制策略；
4. 关键岗位人员是否签署保密协议；
5. 是否开展数据安全相关教育培训并留档备查；
6. 是否有数据安全事件应急预案并定期演练；
7. 是否对数据处理行为定期进行影响评估。

除了法律上的审查要点之外，还可以考虑技术审查要点，包括账号权限及审批流程管理、第三方数据交互安全管理、日志及安全审计管理、灾备与应急预案管理等。

（五）重视目标公司的数据合作机构管理

在尽调过程中，我们应当重点审查合作机构的以下事项：

1. 数据合作协议中数据保护条款；
2. 合作机构是否出具数据合规承诺函；
3. 合作机构数据管理制度及措施材料；
4. 目标公司是否对合作机构进行异常行为监测、舆情监测；
5. 目标公司是否审查合作机构操作留痕情况、是否进行日志审计。


来源：中联重庆