并购交易中的隐私与数据安全问题-PaulHastingsLLP.PDF

October 2014 Follow @Paul_Hastings 并购交易中的隐私与数据安全问题 作者：BEHNAM DAYANIM, PAUL M. SCHWARTZ 及MARY-ELIZABETH M. HADLEY 由于目标公司未能尽到其隐私及数据安全义务会对收购方带来重大风险，在并购交易中，符合适用的法律应成为一 项重要的考虑要素。 潜在收购方应当寻求理解目标公司所搜集的个人信息的性质以及与业务相关的隐私与数据安全问题。通过尽职调 查，收购方可以了解目标公司与其业已搜集、持有、使用及披露的个人信息相关的各项权利和义务。 为了协助这一进程，本文针对并购交易中可能触发的潜在隐私及数据安全问题提供了一份检查清单。 并购交易中隐私及数数据安全检查清单  存在完备的政策及程序 – 尽职调查应当包含针对目标公司就包括网络及手机在内的所有媒体制定的政策的分析。该类政策 一般会描述所搜集信息的类型，信息是如何使用的，以及信息与何人分享。重要的是，联邦贸易 委员会 （Federal Trade Commission, FTC）将公司对该类政策的陈述视同一种承诺。如不能履行 该承诺，公司将因违反联邦贸易委员会法案第五部分而遭到联邦贸易委员会的起诉。1 该法案禁止 商业中的或影响商业的不公平及欺诈行为及操作，并对每一项违规设置了最高16,000 美元的民事 罚款。州检察长也可以提起类似诉讼。 – 调查也应当包括目标公司的信息安全方案和各类程序，以及任何已有的外部或内部审计结果。  过往的违规及安全事故：收购方应当要求目标公司提供有关信息，包括任何违规记录或安全事故，以及 任何有关的出具的通知及收到的回复。类似地，识别出任何与隐私和数据安全问题相关的过往或进行中 的诉讼、投诉、行政罚款或罚金都是非常重要的。  通过短信或电邮的直接营销：联邦法律限制公司通过短信或者电邮（以及其他通讯媒体）发送商业信 息。了解目标公司在这类领域中的活动对于评估其所面临的潜在监管行动或诉讼是至关重要的。  大众传媒材料：我们也建议要求提供有关目标公司大众传媒形式、活动及政策的信息。该类要求应当包 括，比如，该公司所采用的大众传媒平台清单，以及对目标公司如何使用这些渠道的描述。  涉及劳动关系的隐私：公司邮件使用规定、大众传媒政策以及其他涉及劳动关系隐私方面可以招致劳动 法项下的重大责任。  联邦部门法律：取决于目标公司所在的产业领域，应当评估其是否遵守一系列的联邦法律，包括： 2 – 金融服务现代化法案 （Gramm-Leach-Bliley Act ，GLBA） ：要求金融机构不论规模如何，只要 “实质性地参与”了 “金融活动”的业务对其信息搜集及与其客户分享操作进行解释，告知客户 他们拥有 “选择退出 （opt-out ）”的权利如果他们不想他们的信息被分享给不相关的第三方，并 保护客户的个人信息。也要求对违规进行通知。联邦贸易委员会及其他联邦机构和州保险机构负 责执行金融服务现代化法的要求。3 1 4 – 健康保险携带和责任法案 （Health Insurance Portability and Accountability Act, HIPAA） 及