企业数据合规尽职调查的重点.docx

企业数据合规尽职调查的重点随着大数据、云计算、移动互联网等新一代信息技术的不断发展，数据蕴含的H大商业价值已经被市场认可。数据资产的重要性使数据合规尽职调杳成为r投资并购中的重要环节，收购者对目标公司的数据合规情况和潜在的风险进行的一系列调查有助于更好的降低并购风险、增加投资效益，数据合规尽职调查主要侧重在以下方面：1、调查行业属性数据合规尽职调查首先要弄清楚调查对象的行业属性，是专门从事数据处理活动的企业，还是业务中包含大量数据处理的电信、教育、医疗、酒店、金融、科技型等企业，或者仅一般性涉及数据处理的工业企业、能源企业等。不同业务领域、不同行业常常面临不同的合规需求，区分的意义就在于精准匹配相应的法律规定，尤其是针对特殊行业制定的专门规范。主营业务与所属行业、提供的产品或服务内容、是否存在境外公司、是否被有关部门认定为关键信息基础设施运营者或为关键信息基础设施运营者提供产品或服务、公司使用系统的情况、公司运营平台的情况都是进行法律定位的重要参考标准。比如汽车行业已经有专门规范明确了市要数据的范围，包括敏感区域地理信息、车流量信息、充电网运行数据、包含人脸或车牌信息的车外音视频、涉及个人信息主体超过10万人的个人信息等。再如在不良贷款转让业务领域，就有银行业信贷资产登记流转中心不良贷款转让业务信息披露细则（试行）专门对业务信息披露过程中所涉个人信息保护进行规定，因而考察数据合规情况便要同时参考个保法和专门领域规范。人工智能、互联网平台、自动驾驶行业等以数据资产作为关键生产要素及驱动力的领域，以及其他可能涉及医疗、人类遗传资源、测绘等敏感数据的经营活动，都需提高对数据合规问题的重视。对于以上行业，若数据资产存在法律瑕疵，可能会对目标公司的运营造成重大不利影响，因此数据合规尽调的必要性更高。2、了解业务类型由于数据处理活动主要发生在业务经营活动中，了解业务是开展数据合规尽职调查的前提。对业务情况的了解，将影响对数据处理活动合规性的判断。实务中，有些商业概念看似相同，但其交易实质或业务模式不同，企业在数据处理中的角色不同，在数据合规方面的责任也就不同。在对企业进行初步调查了解的时候，要重点核查企业是否屈于关键信息基础设施运营者、市要互联网'F台等特殊角色，以及企业处理的数据是否涉及重要数据、国家核心数据、敏感个人信息等特殊数据类型，如果存在这些情况，则在后续尽职调查的过程中应对企业的特殊义务予以重点关注。酒店、教育、电商、物流、航空、零售、快消等企业在运营过程中一般会处理较多个人信息，相应的个人信息合规风险也会更高。3、梳理数据周期对企业属性和数据类型布.了初步了解后，需要进一步梳理企业数据处理活动的详细流程，按照数据生命周期绘制企业的数据流转地图,以判断数据处理各环节的合法合规性。数据处理包括数据的收集、存储、使用、处理、加工、传输、提供、共享、公开、销毁等一系列活动，法律对数据处理活动有明确的要求。数据合规尽职调查需要贯穿数据生命周期的全流程。数据处理者处理个人信息等数据应当符合数据法规的规定，遵循合法、正当、必要和诚信的原则。例如，数据处理者开展影响或者可能影响国家安全的数据处理活动，应当按照国家有关规定，申报网络安全审查。处理个人信息时，数据处理者应当采取必要的安全保护措施收集、传输、存储、加工、使用、提供、公开个人信息数据。利用生物特征进行个人身份认证的，则应当对必要性、安全性进行风险评估，不得强制个人同意收集人脸、步态、指纹、虹膜、声纹等生物特征信息。4、考察管理制度数据安全管理制度是企业践行数据保护的政策和指南，企业是否具有完善的数据安全管理制度并实际落地执行是考察企业数据合规的重点事项。调查企业数据安全管理制度主要涉及制度文件、人员管理、操作执行等方面，包括数据分类分级保护制度。数据处理者依法在数据处理活动中形成的法定或者约定的财产权益，以及在数字经济发展中有关数据创新活动取得的合法财产权益受法律保护。各类企业开展数据合规管理是降低企业及其员工涉数据类违法犯罪风险的重要举措，对于建立现代化的企业合规管理制度和文化具有重要意义。对企业数据安全管理制度的全面考察也有利于降低投资并购风险。5、考察保护制度标的公司是否对数据的规范使用采取了相应风险控制措施，相关措施是否规范、有效，可以请律师、独立财务顾问核查并发表明确意见。包括数据获取、使用、加工处理、存储及传输等过程配套的内部控制制度及执行情况、效果；避免或防止泄露用户隐私的具体制度及相关安排:用户信息保护技术体系，尤其是防止外部恶意软件、病毒、黑客攻击和内部人员恶意导致的数据泄露的技术措施：是否出现过个人信息、隐私泄露事件：是否存在侵权风险，是否存在纠纷或潜在纠纷；最近三年发生的严市泄密事件、重大诉讼、处理结果及有关的整改措施等。企业是否建立专门的数据合规管理部门、数据合规咨询机制等,都可作为调查的内容和评估依据O6、检验执行机制企业最好设置专门的数据合规管理部门，或者将数据合规管理职能融入现有的企业合规管理体系。企业的最高管理者是数据合规的第一责任人。最高管理者需要分配足够和适当的资源来建立、发展、实施、评估、维护和改进数据合规管理体系：确保建立举报数据违规的有效机制；确保战略和运营目标与履行数据合规义务之间的一致性:建立和维护问责机制，包括纪律处分和后果：确保符数据合规落实情况和效果纳入企业内部人员绩效考核体系。数据合规部门负责人应结合企业自身的经营范围、行业特征、监管政策、风险识别等因素制定并不断完善数据合规计划。数据合规计划应当根据企业内部环境和外部环境的变化不断调整，以帮助企业应对各种风险的挑战。对以上事项的进行全面调查，可以对企业的数据合规执行机制进行了解7、检验奖惩机制企业应当建立数据合规举报机制，并严格保护实名举报者和匿名举报者不受打击和报复，尤其是保护匿名举报者的个人信息安全。企业应当建立数据合规考核机制，数据合规考核结果作为企业绩效考核的重要依据，与员工的评优评先、职务任免、职务晋升以及薪酬待遇等挂钩。对于严格遵守数据合规的管理层和员工，制定适当的激励措施使合规计划得到一致遵守和执行。对于不严格执行甚至违反合规计划的管理层和员工，采取适当的纪律措施进行惩戒，并根据违规程度采取不同的风险处置措施。8、考察沟通机制数据合规管理部门应加强与业务部门的分工协作。相关业务部门应主动进行日常数据合规管理工作，识别业务范围内的合规要求，制定并落实业务管理制度和风险防范措施，配合数据合规管理部门进行合规风险审查、评估和调查、处置、整改工作。数据合规管理部门应与其他具有合规管理职能的监督部门建立明确的合作和信息交流机制，加强协调配合。企业应积极与数据监管部门建立沟通渠道，了解数据监管部门期望的数据合规体系，并制定符合其要求的数据合规制度：对于复杂或专业性强且存在市大数据风险的事项，可以向数据监管部门咨询；面对数据监管部门的调查，企业应积极沟通并予以配合。9、践行培训机制数据合规管理部门应当建立培训机制，定期为管理层、员工培训数据合规，使其充分了解数据法规、数据合规计划、岗位角色与职贡等。鼓励企业管理层和其他员工作出并履行明确、公开的数据合规承诺，内容主要是知悉、愿意遵守数据合规计划，愿意承担违反数据合规承诺的后果。企业应加强对经营管理行为中的数据合规的实时监控和风险分析，可借用数据合规管理信息化建设，并运用大数据分析等工具。企业应将数据合规文化作为企业文化建设的重要内容，践行合规经营的价值观，不断增强员工的数据合规意识。行业协会应在本行业内积极倡导数据合规文化，强化行业的数据合规意识。10、结语对投资并购而言，数据既是资产价值的重要组成部分，也与识别投资风险息息相关。从因数据治理不合规而被证监会否决IPO的墨迹天气，到因存在重大个人信息安全漏洞被罚款80.26亿的滴滴，再到上海市普陀区检察院作出的国内首例数据合规不起诉案例，无不提示着数据合规对企业发展的关键性，也为投资者、收购者敲响警钟，加强对目标企业数据合规尽职调查的重视。