企业并购中的个人信息保护问题.docxVIP

企业并购中的个人信息保护问题 一 企业与用户的信息交互 在讨论用户保护个人数据的义务时，通常有这样的假设：换言之，拥有个人数据的公司是法律主体，控制的个人数据是对象，两者之间有一个明确的边界。在企业的日常经营中,这一景象或许符合一般感受,但是,在相关的企业作为客体、作为一组财产或者作为一种动态的经营过程出现时,企业与其用户的信息就相互交织而难以截然剥离。尤其是在企业清算或重整以及资产收购的场景下,企业——包括企业控制下的个人信息——成为交易标的。此时,企业和相关用户对于个人信息的权利与利益,就处于高度的紧张关系中——企业究竟是否以及在何种程度上,有权在并购中处理此类资产?不久前“人人网”收购案所引发的广泛关注, 事实上,用户数据属于个人信息,承载着用户的权利与利益,包括隐私或者个人信息自决权等权益。个人信息的收集、使用、处理与转让应取得被收集者的同意,是个人信息保护的出发点与基本原则。同时,企业所掌握的用户信息也是构成企业价值的重要组成部分。尤其是对于购物型、社交型互联网企业而言,牢固的用户群和基于用户画像的个性化推荐, 二 从收购个人数据时保护 (一) 基于数据捕获和用户id的原则 用户同意是对个人信息进行收集、使用、披露等操作的一般前提。 (二) 同一种单位模式:背景下,目标公司 围绕本文关心的问题,可以企业资产转移的两种基本形式为讨论的出发点,即股权收购和资产收购。 对于个人信息保护问题而言,股权收购与资产收购的区分具有显著的法律意义。股权收购只导致持股的变化,而并不影响相关目标企业在法律上的身份,其法律人格和独立性均得以保留。这具有两方面的含义:一方面,这意味着用户对于该企业作出的数据收集与使用许可,或者法律上对该企业适用的许可,原则上可以继续适用;另一方面,这也意味着,目标公司的法律地位在并购后并不自动地扩展至其母公司或企业集团中的其他成员。如果目标公司将数据与母公司或其他关联公司共享,则很可能发生个人信息保护法上的问题。 根据欧盟法,在股权收购模式下,用户与企业之间的合同、用户对企业作出的数据处理许可以及企业处理数据的法定许可,都保持不变。 在美国法上,股权收购有着类似的效果,除非被收购的目标公司在收购时声明改变隐私政策,否则也同样继续保持当前的隐私政策与承诺;并购后,被收购的目标公司也不得在未取得用户同意的情况下,将个人数据与其母公司或其他第三方分享。例如,在2014年,Facebook宣布收购WhatsApp后,两个公司均向消费者承诺,WhatsApp在收购后也将保持独立经营,对用户而言不会发生任何改变; (三) 向他人传输、披露 除了单纯地形成控股关系外,股权收购还是公司合并或分立时的操作步骤。此时问题就更为复杂,从形式上看,持有用户数据的主体发生了变化,因而似乎构成了用户数据的传输或披露。存在类似问题的还有企业的形式变更,此时企业的主体身份也发生了变化。不过,仍然应当将此类情形与个人信息保护法意义上的“向他人传输”或者“向他人披露”进行区分。主要考虑以下两方面问题:第一,公司合并、分立、形式变更时,法律主体间存在人格和财产上的连续性,因而变动后的公司并非通常意义上的“他人”;第二,合并、分立时,基于法律规定而发生全部或部分财产和债务的整体承继,此时发生的只是公司组织结构的变化,而并不存在积极的数据传输行为。 (四) 收购方的调查 需要注意的是,从流程上观察,个人信息保护问题在并购前期就会发生。可能的场景有双方初期的接触与情况介绍,最主要的是收购方所进行的尽职调查。因为收购方要对目标公司的资产进行查看和审核,所以可能会涉及到个人信息的披露。如果在这一阶段就数据的使用和披露征求用户同意,就很可能产生大量无必要的开销,因此可以考虑的处理方式主要有两种:在公开的隐私政策中表明个人信息将用于尽职调查,或者对个人信息进行去识别化处理。 三 基于法律行为的转让 与公司合并与分立的情形不同,在资产收购的场景下,相关资产的转让并非基于法定的整体承继,而是基于法律行为的转让。如果转让的资产中包含用户个人信息,则根据不同法域的术语,构成个人信息的披露、传输或处理。原则上,这一行为应征得用户的同意,或者应符合公司的隐私政策。否则,在美国法上,这意味着企业违反了其隐私政策与隐私承诺,构成《联邦贸易委员会法案》第5条上的欺骗行为; (一) 金融领域的隐私保护实践 美国并不存在统一的隐私立法。联邦层面的立法只存在于医疗健康、儿童保护、金融等特殊领域,个人数据与隐私保护在实践中大多是在联邦贸易委员会、各州立法以及各行业协会的推动下,通过行业标准、企业隐私政策等软法的形式进行,遵循“提示与同意”(notice and consent)的基本模式。 1. toysmot公司的数据出售 资产收购中的个人信息保护问题,始于2000年的Toysm