并购德国企业,往往从尽职调查开始。它的目的在于让买方更好地了解目标企业,以便开展后续的谈判、报价乃至并购的实施。为了保证尽职调查的顺利进行,德国卖方或者目标企业会设置信息房(Datenraum),将与并购有重要关系的资料存放其中。传统的信息房是一个物理可见的房间。在数字信息发达的今天,也可以设置网络虚拟信息房。
欧盟《通用数据保护条例》(GDPR,以下简称《条例》或DS-GVO)旨在处理个人数据时对自然人进行保护(Art. 1 Abs. 1 DS-GVO)。尽职调查通常涉及大量的个人信息,尤其是目标公司的员工和自然人客户的信息。中方买方可能在两个场景中决定数据处理的目的和方法,从而构成《条例》第4条第2项中所定义的责任人(Verantwortlicher)。首先,如果买方在谈判中占有优势地位,就可以要求卖方或者目标企业披露特定内容的信息。其次,在得到信息之后,买方为了完成尽调,可以决定如何使用信息。“披露”(Offenlegung)和“使用”(Verwendung)都属于对数据进行处理(Verarbeitung, Art. 4 Abs. 2 DS-GVO)。
作为责任人的中资买方必须思考三个问题。第一,是否有权合法处理相关的个人数据?第二,是否对数据主体负有告知义务?第三,如何保证数据合法出境?
一、处理数据的合法性基础
《条例》第6条第1款规定了六项合法性基础,只要符合其中一项,就可以对个人数据进行处理。例如,第一项规定,信息主体同意出于一个或多个目的,对其个人数据进行处理。然而,买方通常不希望在并购完成之前就将项目公开,向员工、客户乃至自然人的供应商和分销商征求同意,不符合其保密利益。此外,也不排除这些信息主体可能拒绝同意。
实践中一般会援引第六项规定。据此,必须满足三个条件。首先,责任人对信息处理享有合法权益。其次,为了保护该权益,必须对相关信息进行处理。其三,经过衡量,认定信息主体的合法权益不大于责任人的合法权益。尽职调查是企业并购的关键步骤,买方对相关信息的处理具有合法权益。当然,对该权益的保护不能超过必要的限度。常用的方法是对相关信息进行匿名化处理。最后,在利益衡量时应当考虑到,尽职调查是买方对企业的价值和风险做出合理评估的重要依据。判断信息主体对其信息拥有的合法权益是否大于这一权益,并没有统一的标准,必须视个案中的具体情况而定。尤其要注意,是否进行了匿名处理,是否签有保密协议,信息房是否安全,等等。
需要注意的是,《条例》第9条第1款规定了一些需要特殊保护的个人信息,例如,种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据,等等。第6条第1款规定的六项合法性基础,均不适用于这些信息。只有在符合第9条第2款规定的特殊情形下,才能对以上这些敏感数据进行处理。
此外,尽职调查改变了信息原本的使用目的。通常情况下,搜集员工或者客户的个人信息,是为了履行对他们承担的合同义务,例如为了发工资或者发货。为了完成并购而对这些信息进行后续处理,构成《条例》第6条第4款的使用目的改变,只有在新目的与最初目的相互兼容时才被允许。该条列举了五个在判断兼容性时应当考虑的因素,但是并不具有穷尽性。因为企业并购在现代经济生活中并不罕见,所以员工和客户在信息最初被调查时,应当可以预见,并购发生时,他们的信息将会被用于尽职调查。此外,企业被并购之后将会存续,相关信息通常将按照原本目的继续使用。尽职调查中对相关信息的使用是符合兼容性要求,还要在个案中综合分析多种因素。
二、告知义务及其豁免
尽职调查中使用的信息,不是从信息主体本人,而是从卖方或者企业那里获得的,并且改变了原本的使用目的。在这种情形下,根据《条例》第14条第4款,责任人原则上有义务向信息主体告知其个人信息的新使用目的。由于并购活动的保密性,买方往往希望可以豁免该义务。《条例》第14条第5款规定了四种可以豁免的情况。其中,第二种情况中规定,告知义务会严重妨碍实现数据处理的目的,可以豁免。此外,德国《联邦数据保护法》(Bundesdatenschutzgesetz)第29条第1款第1句规定,如果披露涉及本质上属于应当保密的信息的,也可以豁免告知义务。所以,尽职调查使用个人信息时,假如向信息主体告知将会损害并购本身目的,原则上是可以予以豁免的。
三、数据出境
由于中资买方往往不在欧盟境内,相关信息只有出境以后才能进行处理。根据《条例》第45条第1款,如果欧盟委员会认定出境目标国家对数据提供了充足的保护,那么数据就可以转移到该国。然而,欧盟委员会目前尚未对中国的数据保护标准做出承认。在这种情形下,责任人必须提供适当的保障措施,数据才能出境。根据《条例》第46条第2款c项的规定,数据出口人和进口人可以通过签订欧盟委员会根据《条例》第93条第2款制定的格式保护条款,来满足这一要求。
四、罚款
违反《条例》第83条第4款中列举的条款,将会被处以最高1千万欧元或者上一年度全球总营业额2%金额的罚款,二者取其高。违反第5款中所列举的条款,将会被处以最高2千万欧元或者上一年度全球总营业额4%金额的罚款,二者取其高。
综上所述,尽职调查的过程中,对个人信息保护有很高的合规要求,尤其考虑到违法行为将面临巨额罚款,中国买方应当重视《条例》的相关规定,不仅自己要遵守《条例》中的有关规定,还应当关注卖方和目标企业是否符履行了《条例》中规定的义务。
