数据合规对资管行业和被投企业的影响

在数字经济时代，数据合规是企业面临的最重要的合规义务之一，也是全球范围内违法成本最高的合规事项之一。不合规的后果，轻则影响企业的短期收入和业务连续性，重则关系到一个企业的存续。

2021年7月初，有关部门对部分企业实施网络安全审查，并进一步就修订《网络安全审查办法》公开征求意见。国内相关市场出现了不小的变动。

这只是一个小例子，说明当被投公司出现数据合规问题时，可能对包括基金在内的投资人带来的重大损失。因此其中的监管和市场风险，应当引起投资人的高度关注。

与此同时，基金的日常运营本身也受到数据法的约束，不合规同样会为基金带来罚款和其他的经济损失。以数据泄漏为例，根据IBM 在7月底刚刚发布的年度《数据泄露成本》报告，估计2021年企业遭受典型数据泄露事件的成本是每一起事件约合人民币2,750万元，大型数据泄露事件平均的代价可能高达4亿美元。另一方面，数据违法当然会损害基金的声誉。如果一家基金无法保障数据合规，很难获得上游投资人、下游目标公司和主管机构的信任。

数据合规的全球趋势

早在上世纪80年代，就已经开始出现了数据立法。随着互联网和数字经济的发展，如何更好的规范企业合法利用数据、保护个人权益和公共利益，变得越来越重要。我国也在这两年陆续出台多个数据领域的法律法规。

2018年5月欧盟的《通用数据保护条例》（GDPR）正式生效，为个人数据的保护设立了一个“黄金标准”。有一点特别重要的是，GDPR对于违法处理个人数据的行为规定了极为严厉的处罚，违规企业最高可能被处以相当于整个集团全球营业额的4%的高额罚款。这也迫使受到GDPR管辖的企业高度重视数据合规工作。GDPR生效3年多以来，欧盟和英国的数据监管机构持续加大执法力度，开出了730多张罚单，罚款总额超过了10亿欧元。一批重大案例涉及到谷歌、亚马逊、英航、万豪、家乐福等行业巨头。同时，有越来越多的法域开始制定或者修订自己的数据立法，包括中国、美国加州、日本、印度、泰国、阿联酋、巴西等等，基本上覆盖了各大洲最主要的经济体。

中国目前最主要的数据三大法是2017年生效的《网络安全法》、今年9月1日生效的《数据安全法》和11月1日即将生效的《个人信息保护法》。我国数据立法的突出特点是发展脚步非常快，在个人数据和非个人数据领域是一个同步推进的局面，参考了国际经验（特别是GDPR），也保留有自己的特点。

在执法方面，多个监管部门，网信办、工信部、公安部、市场监管总局、央行等都在积极地查处违法违规收集使用个人信息的行为，也会以专项执法行动的形式集中执法。我们预计《个人信息保护法》正式生效后，执法力度会迅速进一步加强，数据执法会成为国内合规执法的重点关注点。

数据风险较大的商业类型

具体商业类型中评估数据合规风险主要有以下几点考虑：

1. 首先要考虑企业掌握数据的量，包括个人数据和非个人数据。对于什么是个人数据，各国立法可能有细微的差别，总体上的原则都是如果这个数据单独的或者和持有这个数据的企业可能拿到的其他数据结合到一起，能够识别到个人的，那么就属于个人��据（但不包括经过匿名化处理的数据）。其他的数据则是非个人数据。面向广泛用户提供2C服务的企业，比如互联网平台、零售、旅游、交通等，都是拥有大量个人数据的企业，肯定是监管重点。个人数据不仅包括外部的用户数据，也包括企业内部的员工数据。因此员工数量众多的企业，比如制造业，也是重要的监管对象。

2. 其次要考虑企业对个人数据的分析程度。企业所掌握的数据类型（例如姓名、性别、年龄、用户习惯、偏好等）越多、用自动化手段进行分析的程度越高，合规风险就越大。如果涉及到利用特定的算法分析用户，基于这样的分析做一些定向推送或者个性化广告，那么就很可能会吸引监管关注。人脸识别、人工智能这些新技术也会吸引监管关注。类似的案例，比如法国数据保护机构2019年对谷歌开出5,000万欧元的罚单，涉及的违法行为就包括谷歌在进行个性化服务的数据处理活动中，没有向个人提供透明的信息，没有取得有效的用户同意。在国内，监管机构近期也有表态，“强制用户使用定向推送功能”将成为下一阶段APP数据合规整治工作的重点。

3. 在个人数据里面，有一类比较特别的个人数据，它们一旦被泄露或破坏，有可能对个人、机构甚至国家带来较大的风险的。在不同的法域字面定义不同，一般称为特殊类别个人数据或者是敏感个人数据。典型的例子包括个人金融信息、医疗健康记录、未成年人信息、精确地理位置数据等。处理这类数据的企业往往需要承担更为严格的数据保护义务。我国央行和银保监会在近年来多次处罚了涉及个人金融信息的违法违规行为，出台了一些行业的规章和规范性文件，体现的就是这样的思路。

4. 在非个人数据里面，我们也要考虑企业所控制的数据的重要程度。比如涉及国防、自然资源、能源、交通、通信、金融等方面的数据就很可能被视为重要数据，有的法域也称为核心数据或者关键数据，这些也是会受到额外的监管关注的数据类型。

5. 最后还需要考虑数据的跨境流动。一方面，监管部门希望确保个人的数据权利不会因为数据的跨境流动受到的保护降低；另一方面，数据（尤其是重要行业数据），是各个国家和地区的战略资源。因此在跨境转移上不同法域会有些不同的规定。数据跨境转移的要求对两类企业影响比较大，一是跨国运营的企业，二是有赴海外IPO计划的企业。

资产管理人自身的数据合规

资产管理人在很多场景下都会接触到个人信息，举例如下：

• 收集应聘者的个人信息；

• 收集员工的个人信息；

• 收集投资人的个人信息，用于反洗钱、投资者适当性、合格投资者调查等方面的要求；

• 聘用外部咨询公司，为企业代为支付员工的薪酬福利，公司需要将员工的信息分享给外部咨询公司进行处理；

• 网站/App收集来访者个人信息，比如网站使用cookies，记录浏览网页的访问者的IP地址、在页面上停留的时间、访问页面的频率等等。或者是有的网站有“订阅信息”功能或者“联系我们”的窗口收集姓名、邮箱、电话等联络方式；

• 使用IT供应商提供的办公软件、聊天软件，或者租用云服务器等。这些软件或者云服务的供应商受委托处理个人数据；

• 安装指纹、面部识别等门禁系统，或者在办公区域安装CCTV监控设备也涉及处理个人数据，而且还可能属于敏感个人数据，会受到更严格的监管要求；

• 如果是跨国企业，还可能为了母国法律要求或跨国企业内部管理原因将中国收集的投资人个人信息转移到海外总部进行反洗钱调查，或者涉及员工个人信息转移到海外总部进行统一管理。

资产管理人自身数据合规需要重点关注以下方面：

1. 资产管理人需要确保取得数据处理的合法依据及个人同意。《个人信息保护法》规定，处理个人数据必须满足至少一项合法依据。对于基金而言最常用的几项合法依据有：个人的同意；为订立、履行合同所必需；为履行法定职责或者法定义务所必需（例如为了履行反洗钱、投资者适当性、合格投资者调查等方面的要求）。

2. 《个人信息保护法》规定，个人信息处理者在处理个人信息前，应当以显著方式、清晰易懂的语言，真实、准确、完整地向个人告知：个人信息处理者的名称和联系方式，处理目的、处理方式，处理的个人信息种类、保存期限，个人行使其相关权利的方式和程序等（相关权利指的是个人对于其个人信息享有的查阅权、复制权、更正权、删除权）。因此，资产管理人需要审阅现有基金合同、员工雇佣相关文件（包括劳动合同、员工手册等），判断这些合同、相关文件里是否已经包含了个人信息保护法要求的这些信息。

3. 资产管理人需要特别注意重新评估其跨境数据转移的所有细节（场景、数据量、数据性质、转移目的、转入方国别等），评估是否需要准备安全评估或签署跨境数据转移协议。

4. 如果资产管理人委托外部服务机构（比如代为支付工资、社保、税费的咨询公司，IT服务提供商等），则需要与这些受托方签署相关的数据处理协议，约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。

5. 资产管理人需要建立必要的内部管理制度和操作流程。比如，总数据保护制度、数据安全事件应急制度、数据主体访问请求指引、员工/应聘者隐私通知、个人信息保护影响评估指南、数据留存制度、数据处理和登记制度、网站总隐私声明及cookie制度等。

对目标公司的数据合规调查

著名的“万豪数据泄露案”就是因为在收购项目中未能做好充分的数据合规的尽调工作，最终被处以巨额罚款。数据合规尽职调查不仅在收购时中重要，在投资的时候也同样重要。如果不做好投前充分的尽职调查，结果投后发现目标公司存在数据漏洞，公司需要花费大量的成本对数据漏洞采取补救措施，严重的数据安全事件或其他不合规可能会几倍地放大对于公司的负面影响甚至影响公司的资本市场运作，那自然会极大影响投资人的利益。

对投资标的的数据合规尽调应当从以下方面重点着手：

1. 关注数据全生命周期的合规状况。根据目标公司涉及数据的类型，对其从收集、处理、转让、储存、删除全生命周期的合规状况进行调查。

2. 审查目标公司是否有一套完善的数据合规体系。包括

• 是否有相应的数据合规和网络安全的制度，例如数据保护制度、隐私声明、数据安全事件应急制度、数据留存制度等。除了制度外，还要有遵守制度的企业流程设置。

• 是否与第三方分享个人数据，是否对第三方做必要的数据尽调，是否签署相关的数据处理协议，协议是否符合法律要求。

• 是否涉及数据跨境转移，是否评估能不能转移，能转移的是否满足了转移的要求，例如签署相关的数据跨境转移协议。

3. 审查公司是否定期开展数据合规审查和培训，是否曾因数据合规问题被数据主管部门调查或处罚，是否涉及数据的私权诉讼以及具体原因。

4. 数据合规调查本身也需要注意数据合规。例如，在进行数据合规审查的过程中，要求被投公司提供多少数据合适？是否需要做匿名化？尽调是否有相应的合法依据？是否需要告知数据主体？不要为了开展数据合规调查而违法。

关注投资目标公司的数据合规对基金退出也非常重要。如果标的公司已经建立了比较完善的数据合规体系，那会成为公司的一个优势。如果企业因为合并、分立、收购、重组等原因需要转移个人信息，必须对相关个人进行充分告知。一般股权收购不会出现个人信息处理者变更的情况，如果是资产收购那么就会出现个人信息处理者的变化，应该获得用户的同意或者其他合法依据，新的处理者（即买方），应当继续履行原处理者（即原公司也就是卖方）的责任和义务。如果新的处理者改变了处理数据的目的和方式，还应当取得新的同意，或遵循其他的法律依据。买卖双方的权责应该在交易文件中清晰界定。