2023年5月9日，由上海市律师协会律师学院与并购重组业务研究委员会联合举办的“并购重组律师实务”培训班在上海市律师协会报告厅举行，并以线上直播的形式配套开展，共60名律师线下到场参加培训，累积近2,000人次通过线上直播形式观看了本次课程。

本次培训由上海市律师协会并购重组业务研究委员会副主任、北京大成（上海）律师事务所合伙人董月英律师主持，上海瀛泰律师事务所合伙人江军律师、上海瀛泰律师事务所合伙人章煦春律师以及北京大成（上海）律师事务所的杨志鹏律师分别以并购重组相关的律师实务为题进行了演讲。

一、投资并购中数据合规流通探索与实践

上海瀛泰律师事务所合伙人江军律师，从外部环境的前瞻判断、内部环境的风险识别、数据合规流通重要领域、重要行业监管态势分析四个方面展开，与学员们交流了“投资并购中数据合规流通探索与实践”的课题。江律师运用图表与数据，直观明晰地向学员们展示了医疗器械、人工智能上市相关监管要点剖析，并提出了专业的指导建议。

（一）外部环境的前瞻判断

1、数据跨境流通风险

随着数字贸易在全球市场份额的不断扩大，围绕着数据跨境流动，知识产权保护、市场准入、数字服务、税收等问题的贸易争端和摩擦也是日益的凸显。如何在数据自由流动和保障个人隐私以及国家安全之间取得平衡，是我国政府目前最为关注的问题之一。其中，数据要素的价值实现成为世界各大经济体的强国战略。而在数据跨境流通过程中，存在用户数据隐私泄露、外国政府数据监控、本国政府执法困难及本国产业发展实控四个方面的风险：

（1）用户数据隐私泄露

用户数据与企业商业数据相互融合，是企业跨境数据流动的内容主体。相关数据从保护水平较高国家/地区向保护水平较低的国家/地区流动，将导致数据隐私泄露的风险，这将直接导致企业用户数据跨境流动遭遇泄露和滥用。

（2）外国政府数据监控

数据跨境流动会导致外国政府可能获得企业的重要和敏感数据。同时，海外司法部门往往要求境外企业披露数字贸易中的重要数据，而这些重要数据资源具有国家的情报价值。

（3）本国政府执法困难

虽有国际间司法互助协议，但本国政府仍较难完全获得企业数据，这将直接增加数据执法的不确定性。目前，将数据纳入本国司法管辖范围仍是各国政府的核心诉求。

（4）本国产业发展失控

为节约企业成本，数据资源将向少数国家集中，但这对用户所在国，将无形产生产业竞争，进而导致许多国家不得不实施数据本地化策略。 

2、法律法规的密集出台

法律	《宪法》《国家安全法》《民法典》《刑法》《网络安全法》、《数据安全法》《个人信息保护法》等
行政法规	《关键信息基础设施安全保护条例》《电信条例》《快递暂行条例》《地图管理条例》《征信业管理条例》等
部门规章	《网络安全审查办法》《数据出境安全评估办法（征求意见稿》《互联网信息服务算法推荐管理规定》《工业和信息化领域数据安全管理办法（试行）》等
地方性法规	《上海市公共数据开放暂行办法》《上海市公共数据和一网通办管理办法》《贵州省大数据指引》《天津市数据安全管理办法（暂行）》《深圳经济特区数据条例》《浙江省数字经济促进条例》《上海市数据条例》《江苏省公共数据管理办法》《河南省数字经济促进条例》等
司法解释	《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《人民法院在线诉讼规则》等
国家标准	《电信和互联网行业数据安全标准体系建设指南》《GB/T 35273-2020 信息安全 个人信息安全规范》《GB/T 39725-2020信息安全技术 健康医疗数据安全指南》《信息安全技术 大数据服务安全能力要求 GB/T 35274-2017》《信息安全技术 个人信息安全影响评估指南 GB/T 39335-2020》《金融数据安全 数据生命周期安全规范 JR/T 0223-2021》《GB/T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》》《网络安全标准实践指南 网络数据分类分级指引》《信息安全技术 重要数据识别指南（征求意见稿）等

3、数据资源的开发利用已上升为国家战略

数据资源的开发利用已经上升至国家战略，中国共产党十九届四中全会、国务院、全国人大全体会议等，针对数据资源的利用、分权处置、生产要素的认定等进行了多次重点说明。

国家战略	主要内容
党十九届四中全会	首次提出“数据”参与分配
中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见 》	高质量数据要素“活起来、动起来、用起来” 、将数据持有权、加工使用权、产品经营权三权分置 从数据产权、流通交易、收益分配、安全治理等多个方面初步搭建我国数据基础制度体系。
中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》	明确地将数据并列为与土地、劳动力、资金、技术同等重要的生产要素。
十四届全国人大一次会议第二次全体会议《国务院机构改革方案》	组建国家数据局， 治理“数据孤岛” 打通数据壁垒。
党的二十大报告 《数字中国建设整体布局规划》	加快建设⽹络强国、数字中国。建设数字中国是数字时代推进中国式现代化的重要引擎，是构筑国家竞争新优势的有力支撑。
国务院新闻办公室发布 《新时代的中国网络法治建设》白皮书	夯实网络空间法制基础、保障网络空间规范有序、捍卫网络空间公平正义、提升全社会网络法治意识和素养、加强网络法治国际交流合作

4、 数据合规的政策导向（上海国际数据港）

2021年4月，中共中央发布《关于支持浦东新区高水平改革开放，打造社会主义现代化建设引领区的意见（中央13号文）》中明确提出：建设国际数据港和数据交易所，推进数据权属界定，开放共享、交易流通、监督管理等标准制定和系统建设。从而，明确了上海建设“国际数据港”及数据交易所，是一项由中央层面赋予上海市的重要任务。

2022年8月10日举行的临港新片区数据流通科技创新系列成果发布会上，上海市商务委副主任周岚表示，“临港新片区正在对标香港、新加坡、法兰克福等国际数据枢纽节点，着力打造包含全球数据流通枢纽、新型数据设施、数据流通配置机构、新兴数字产业生态等五层架构，实现“跨境通”“要素聚”“市场兴”“规则明”“产业强”的战略目标。”

当前上海市商务委正在根据市委市政府工作部署，全面提升上海国际贸易中心能级，全力推动贸易高质量发展。上海将在全市培育一批数字贸易重点企业和数字内容出海 IP，打造数字贸易先行示范区域，加快建设要素有序流动、功能完善、总部聚集的数字贸易国际枢纽港。

5、 “数据二十条”

（1）“数据二十条”要求探索数据产权结构性分置制度。在数据生产、流通、使用等过程中，个人、企业、社会、国家等相关主体对数据有着不同利益诉求，且呈现复杂共生、相互依存、动态变化等特点，传统权利制度框架难以突破数据产权困境。但不同于所有权，产权主要强调财产关系的社会属性，它体现的不是人与物的关系，而是人与人之间的关系。因此，数据产权结构性分置，必须依靠制度安排。

（2）“数据二十条”创新数据产权观念，淡化所有权、强调使用权，聚焦数据使用权流通，创造性提出“三权分置”的数据产权制度框架，构建中国特色数据产权制度体系。“数据二十条”将数据的持有权、加工使用权、产品经营权三权分置，将利益主体集中了起来，完美适应了个人、企业、社会、国家等相关主体对数据的不同利益诉求。

“三权分置”的产权运行机制，在依法依规前提下，通过合同、协议等方式，数据持有者有权利授权数据处理者进行加工、开发、使用，促进“专业的人做专业的事”，形成数据产品和服务，为经济社会发展做贡献。通过对数据处理者行为进行合理限定，使数据处理者明确自身持有数据的使用界限，对于能用的数据大胆用，释放数据应用价值。

（3）2022年12月13日，工业和信息化部在其网站公布《工业和信息化领域数据安全管理办法（试行）》，办法中所说的工业和信息化领域数据包括工业数据、电信数据和无线电数据等。在智能制造、工业互联网等大背景下，传统制造企业正在经历一轮深刻的数字转型升级，制约工业升级的限制性因素逐渐从生产设备的智能化、工业流程的数字化转为工业数据要素的使用上。

（4）如何实现数据采集的标准统一、工业数据流通使用、数据计算决策的运行闭环，进一步促进工业数据作为“新时代的工业石油”发挥价值，是各方关注的焦点，而这些数据的流动有赖于数据要素基本制度的构建。

“数据二十条”提出以维护国家数据安全、保护个人信息和商业秘密为前提，以促进数据合规高效流通使用、赋能实体经济为主线。数据流通成为不同国家关心的重要问题，采取不同的立法尝试以在合规的前提下实现数据流通。因此，中国及全球的数据立法趋势，将进一步聚焦数据流通及数据价值的发掘。 

（二）企业内部环境的风险识别

1、医药领域并购的市场准入

医药行业的产业链分为研发、生产、销售与服务四个环节。研发环节对资金与技术要求较高；生产环节往往比其他行业存在更多限制，需要取得生产许可证、生产批件等文件；销售环节则存在着众多的准入限制和合规要求，包括一般经营资质、特殊经营资质和其他相关资质。

2、医药领域并购的特殊政策

两票制是指由药品生产厂家到医院最多只能开两次发票，目的是为了减少中间环节，降低药价，以及减少生产厂家贿赂医药代表的现象。

药品集中采购指多个医疗机构通过药品集中招标采购组织，以招投标的形式购进所需药品的采购方式。这一制度目的在于规范医疗机构药品购销工作，降低药品价格，减轻社会医药费用负担。

3、市场准入对并购模式的影响

医药行业存在的市场准入规定对公司并购模式具有很大影响。例如：拟被收购的医药行业公司有特殊资质又无法转让的情况下，收购方就只能用股权收购方式进行收购；而相关公司反腐败合规的风险较大时，则只能用资产收购的方式进行。 

（三）数据合规重要领域

1、尽调评估

不同的需求和不同的场景需要分别有不同的需求。对于投资并购中数据合规的尽调评估，通常是在常规的法律尽调中添加数据合规管理项目。

在大数据公司、科技公司、互联网公司以及一些与数据经济相关企业的投融资并购项目中。数据驱动的专项评估项目较为常见，该类评估要特别关注的是：数据合规的管理架构与架构内容，包括但不限于：风险管理、数据安全生产、数据安全生命周期、与业务类别相关的数据应用，以及数据安全保障制度以及事件处理能力等方面。

2、合规风险评估

主要为定期自动评估，跨境风险安全评估，以及事前个人信息保护影响评估，网络安全与网络产品安全漏洞评估。

3、数据出境监管

                      数据数据监管政策

时间	事件
2016年11月7日	《网络安全法》颁布，首次提出数据出境安全评估。
2017年6月1日	《网络产品和服务安全审查办法（试行）》正式实施，提出“关系国家安全的网络和信息系统采购的重要网络产品和服务，应经过网络安全审查”。
2020年6月1日	《网络安全审查办法》正式实施，提出“关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查”。
2021年9月1日	《数据安全法》正式实施，明确重要数据出境安全管理。
2021年11月1日	《个人信息保护法》正式实施，明确专章列明个人信息跨境提供规则。
2022年2月15日	修订《网络安全审查办法》掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。
2022 年6月30日	《个人信息出境标准合同规定（征求意见稿）》，规定符合一定情形的个人信息处理者，向境外提供个人信息，应当签订标准合同，并在合同生效后10个工作日向省网信办备案。
2022年7月7日	《数据出境安全评估办法》正式出台，将于2022年9月1日起施行。《办法》明确，数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的，应适用《办法》进行安全评估。
2022年8月31日	国家网信办发布《数据出境安全评估申报指南（第一版）》。
2022年11月8日	国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证，并发布《个人信息保护认证实施规则》。
2022年12月16日	全国信息安全标准化技术委员会发布了TC260-PG-20222A《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》。
2023年2月24日	国家互联网信息办公室公布《个人信息出境标准合同办法》，自2023年6月1日起施行。

数据出境安全评估的申报材料要求

根据《数据出境安全评估办法》第六条，需提供：1.申报书；2.数据出境风险自评估报告；3.数据处理者与境外接收方拟订立的法律文件；4.安全评估工作需要的其他材料。数据处理者应对文件中数据出境相关约定条款作高亮、线框 等显著标识；法律文件以中文版本为准，若仅有非中文版本，须同步提交准确的中文译本。

根据《数据出境安全评估申报指南 (第一版)》，需提供：1.统一社会信用代码证件影印件2.法定代表人身份证件影印件；3.经办人身份证件影印件；4.经办人授权委托书；5.数据出境安全评估申报书；6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件；7.数据出境风险自评估报告；8.其他相关证明材料。

这要求数据处理者提供与其自身、数据出境业务、拟出境数据、境外接收方以及出境法律文件相关的基本信息：

 数据处理者自身以及境外接收方的数据安全责任人和管理机构的情况；

 数据处理者需一并申报拟出境数据包括的个人信息和重要数据（如有）；

 数据处理者需要对数据规模（MB/GB/TB）进行描述；

 数据处理者需对数据出境链路进行描述，包括链路提供商、链路数量与带宽、境内外落地数据中心名称及机房物理位置、IP地址等；

 出境法律文件应由数据处理者逐一标明对应的文件名、页码和条款；

 数据处理者需简述其在近2年内在业务经营活动中受到行政处罚和有关主管监管部门调查及整改的情况，并重点说明数据和网络安全方面的有关情况。

截至目前，已经比较成熟的形成了三架马车的制度来梳理数据化，即：安全评估、备案、认证。

4、公共数据的授权运营

在《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中明确提出了“开展政府数据授权运营试点，鼓励第三方深化对公共数据的挖掘和利用”，其表明了党和国家对公共数据开发的宏伟决心，并提出了通过公共数据授权运营为基础的开发利用新思路。当下我国各个地区对公共数据运营模式主要为：场景驱动模式和数据驱动模式。

“场景驱动模式” 通常由公共管理和服务机构的数据管理部门牵头，以政府及公共服务部门信息化设施作为基础，将特定的单一场景亦或是多种场景作为突破口，对某项特定领域的公共数据进行开发与利用。在此类模式中，公共数据管理部门负责公共数据使用开发的相应配套制度，在公共数据管理平台的建设起到统筹引领的作用，数据运营方在此过程中以得到授权运营许可为前提，再利用公共数据管理平台以某个特定的“行业专区”的公共数据资源开展相关的数据服务。下，在公共数据管理平台的建设起到统筹与引领的作用。国家释放数据价值，对于公共数据授权运营予以了足够的关注。数据运营方在这个过程中得到授权运营许可是前提，利用公共数据管理的平台以某个特定的行业专区的公共数据资源，方可开展相关的数据服务。

“数据驱动模式”由地方政府指定某一数据主管部门负责统筹规划公共数据授权工作，再由该数据主管部门依托独特的职能属性，将当地各部门所有可开放利用的公共数据汇聚并集中授权一家国有（控股）企业。该企业负责公共数据运营服务平台的日常经营，并对外提供数据服务以获得相应的对价。

对于上海市公共数据的运营模式及授权运营的核心规定与分析如下：

《上海市数据条例》	分析
第四十四条：本市建立公共数据授权运营机制，提高公共数据社会化开发利用水平。市政府办公厅应当组织制定公共数据授权运营管理办法，明确授权主体，授权条件、程序、数据范围，运营平台的服务和使用机制运营行为规范，以及运营评价和退出情形等内容。市大数据中心应当根据公共数据授权运营管理办法对被授权运营主体实施日常监督管理。	本条明确规定了上海市公共数据运营模式，由上海市政府办公厅牵头，制定公共数据授权运营管理办法，而市大数据中心据此对被授权主体进行监管。虽然在2021年11月24日，上海市普陀区人民政府办公室就已发布了关于印发《普陀区公共数据运营服务管理办法》（试行）、《普陀区公共数据运营服务实施细则》（试行）的通知，对辖区内数据授权服务监管体系、运营流程、职责划分等进行了详尽地规定，但目前整体统一的上海市公共数据授权运营管理办法仍处于制定之中。
第四十五条：被授权运营主体应当在授权范围内，依托统一规划的公共数据运营平台提供的安全可信环境，实施数据开发利用，并提供数据产品和服务。市政府办公厅应当会同市网信等相关部门和数据专家委员会，对被授权运营主体规划的应用场景进行合规性和安全风险等评估。授权运营的数据涉及个人隐私、个人信息、商业秘密、保密商务信息的，处理该数据应当符合相关法律、法规的规定。市政府办公厅、市大数据中心、被授权运营主体等部门和单位，应当依法履行数据安全保护义务。	从本条规定可以得出，上海公共数据授权运营须在政府授权范围之内，不可逾越该界限。《条例》还设定了红线条款第五十五条，我们理解，上海市对数据交易活动持鼓励支持的态度，但如若涉及到危害国家安全、公共利益，侵害个人隐私的；未经合法权利人授权同意的；法律、法规规定禁止交易的其他情形则一律不得交易。        此外除市大数据中心作为日常监管主体外，市政府办公厅与其他相关部门均须对数据的应用场景进行审查监督，这在一定程度上也体现上海对数据应用场景方面保护的重视。

目前上海市公共数据授权运营模式如下：

（四）实例：医疗器械与人工智能行业领域的监管态势

1、医疗器械行业的数据合规监管要点

根据国家医疗器械审评中心2022年修订完成的《医疗器械网络安全注册审查指导原则》，对于医疗器械相关数据做出明确的分类，分为：医疗数据、设备数据。

医疗器械行业数据监管的重点有两个：（1）对于个人隐私、敏感信息等，需要严格的监管和明确的边界；（2）对于数据获取和数据存取环节的监管，需要根据设备直接采集、第三方提供或合作获取两种不同的渠道进行具体分析。

2、人工智能医疗器械行业的数据合规实践

企业需要关注医疗数据的产生场景与应用价值，与此同时要强调病患的个人权益，防止隐私泄漏甚至是批量个人信息跨境传输。企业不仅要注意人工智能设备的用户的知情同意，也要在多方合作开发的条款、人工智能设备的注册审批等环节做到审慎。

目前人工智能数据流通仍缺乏完备的保障框架，因此奉行“原始数据不出院，数据可用不可见”的原则，把原始数据留在本地，或许才是更好的数据保护方式，此为数据治理合规重要的技术基础之一。

对于人工智能设备的使用环节，也要敦促医生了解如何在法律层面上进行人工智能的合规使用。 

二、投资并购中，律师如何帮助企业构建数据合规防火墙 

章律师就数据驱动价值链、数据合规风险应对策略、制定数据合规制度指引和协助技术部门完善技术安全风险防范四个板块进行了生动详细的分享。章律师以儿童在线教育行业为例，从收集、传输、存储等角度进行实例分析，帮助学员进一步理解如何制定数据合规制度。 

（一）数据驱动价值链的机遇和挑战

人类已经进入到了数字化的时代，数字经济是当前最具有创新活力的一个经济形态，必要的数据收集和处理是数字经济发展的关键要素和核心竞争力。要坚持促进发展和保护权利的统一，在发展利益和个人利益之间寻找一种平衡。

当前各行各业的央企正在进行数字化转型，典型案例如下：

企业	数字化内容
国家电网	能源电力数字化 加快推进全业务、全环节、全要素数字化发展； 要围绕能源电力数字化，有力支撑能源互联网建设； 加快电网向能源互联网升级，提升能源综合利用效率； 深化大数据、区块链等技术在营销服务领域的应用推广； 围绕能源数字产业化，积极打造能源互联网产业生态圈； 深化北斗、5G等技术集成应用，加快能源电商、智慧车联网等创新发展。
中国物流	打造智慧物流、数字供应链 大力发展专业物流、智慧物流、绿色物流、应急物流、共享物流； 推进产业数字化、数字产业化，共建共享物流大数据平台； 发展流通新技术、新业态、新模式，助推产业转型升级。
中国医药集团	提出“1336”推进机制 集团提出集团数字化转型愿景和“1336”推进机制建议。“1336”即： 集团及各产业板块树牢1个“数字国药”愿景目标； 建立“管理、业务、技术”3类职能协同推进的组织和工作机制； 打牢“资源共享、架构统一、安全可靠”信息化硬基础； 实施“管控数字化、产业数字化、数字产业化”3维发展路径； 落实“体系化顶层设计、集约化平台建设、集约化基础底座、体系化发展数据、体系化网络安全、体系化治理管理”6项重点任务。
中远海运	打造一流综合物流供应链服务生态 以数字化转型为契机，努力打造全球一流综合物流供应链服务生态； 以“技术+场景”为核心，围绕产业链持续推动数字化、智能化，将区块链和物联网技术应用到公司主业中； 同时推动有关行业规则与标准建设，包括推动基于区块链的国际贸易及航运相关标准的制定，推动国际运输征信体系建设等。
华润集团	实现“智慧华润2028” “十四五”时期，全面推进数字化转型和智能化发展； 集团成立90周年(2028年)之际，初步实现智能化，数据资产、平台资产价值充分发挥，对外市场化赋能，创新能力大幅提升，成为数字化智慧化发展的先行者。
东风汽车	重构全产业链条，提供数字化服务 数字化将重构汽车研发、制造、营销、渠道、服务等全产业链条，为传统汽车行业赋予新动能； 在产品端，通过数字化手段，让传统汽车进化成智能汽车，为用户提供各种各样的数字化服务。

但，数字化转型过程中，往往会遇到多种挑战与困难：

面临挑战	内容
数据的可用性	政府部门与企业数据共享壁垒： 企业无法便捷的使用公共部门的数据，特别是某些特定行业（医疗卫生数据），能否开放更多数据供企业使用，包括中小型企业、民间团体、科学研究。 企业之间共享数据壁垒： （1）缺乏经济激励(包括担心自身会因此失去竞争优势）； （2）经营者之间缺乏信任，担心数据能否按照合同规定使用； （3）谈判能力不对称； （4）担心数据会被第三方盗用； （5）在法律上缺乏关于各方如何使用数据的明确规定（例如共同创建的数据，特别是物联网数据）。 企业数据向政府共享数据壁垒： 缺乏足够的企业数据支撑公共部门提升公共管理职能，用于决策和提供公共服务；具有市场垄断地位或负有公共管理职能企业对自身拥有数据类型是否属于公共数据判断规则有待明确；公共部门对企业数据共享激励措施尚不明显。 公共机构之间共享数据壁垒。
市场力量失衡	云服务和数据基础设施高度集中，在数据访问和使用方面存在市场失衡现象。
数据互操作性和质量	数据结构、可靠性和完整性对于开发数据价值至关重要，特别是在人工智能部署方面，数据生产者、使用者之间出现严重互操作性问题，阻碍了特定行业整合不同来源的数据。
数据治理	数据驱动创新必须在合规使用前提下进行。
数据基础设施和技术	数字化转型依赖可靠、高能效、可负担和高质量的数据处理能力，数据可携权在技术上互操作障碍。
个人形式数据权利障碍	个人在数字服务中面临的数据日益增多，面临的不公平算法、超范围采集等风险，如何减少生态足迹，提升个人数据使用的透明度值得探索。
网络安全	数据驱动产品创新和服务，依赖最严格的网络安全保障。在数据交换时，确保数据安全至关重要。

因此，在数据处理上，越谨慎，个人信用度就会越高。数字经济发展和个人正当利益唇齿相依。如果野蛮采集和滥用数据，必然会导致个人信息许可的恐慌，最终会导致信息采集的枯竭，并进一步影响到社会公共利益。 

（二）数据合规风险应对策略

律师需要紧密关注数据合规的政策导向，对于数据合规监管需要借鉴官方政策解读与法律业务的实践。经梳理，目前数据合规领域的政策导向及近期拟出台的行业规范及要求，如下：

已颁布	《网络安全标准实践指南》 《证券期货业数据分类分级指引》 《金融数据安全 数据安全分级指南》 《政府数据 数据分类分级指南》 《基础电信企业数据分类分级方法》 《信息安全技术 健康医疗数据安全指南》 《信息安全技术 个人信息安全规范》 《APP违法违规收集使用个人信息行为认定方法》 《常见类型移动互联网应用程序必要个人信息范围规定》 《信息安全技术 网络安全等级保护测评要求》
近期 出台	《信息安全技术 智能家居通用安全规范》 《信息安全技术 可信执行环境 基本安全规范》 《信息安全技术 SM9密码算法使用规范》 《信息安全技术 移动互联网应用程序（APP）收集个人信息基本要求》 《信息安全技术 工业控制系统信息安全防护能力成熟度模型》 《信息安全技术 网络数据处理安全要求》 《信息安全技术 信息安全风险评估办法》 《信息安全技术 可信计算密码支撑平台功能与接口规范》 《信息安全技术 信息安全服务 分类与代码》 《信息安全技术 政务网站系统安全指南》 ……

同时，在掌握数据出境合规要求时，对于数据出境的内涵也要进行深刻理解。数据出境大致可分为两类：数据处理者将在境内运营中收集和产生的数据传输/存储至境外；数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出。

数据合规风险的应对必须遵守“公共利益优先”原则，考虑数据合规风险对于社会民众带来的影响。

其中，较为典型的案例是郑州盈讯通讯与中国移动河南合同纠纷[最高人民法院 （2017最高法民申1974号）]。本案所涉的开机提醒业务为：用户申请“开机提醒”业务后，当被叫用户处于关机、不可及、遇忙等情况时，平台会自动实时探测被叫用户开机情况，当探测到被叫用户开机后，业务平台会立即向主叫号码发送被叫用户开机通知的短信。产生纠纷原因：中国移动在对经营业务进行合规自查时，发现“开机提醒”业务涉嫌泄露被叫用户的个人信息，因此立即停止、下线和整顿、清理此类义务，导致与郑州盈讯通讯合同履行纠纷，郑州盈讯通讯要求中国移动赔偿可得利益损失9800万元。最终，最高人民法院认为：开机提醒业务向主叫用户发送可接通状态短信，即未经被叫用户同意向主叫用户透露了被叫用户从可能处于关机、不可及、遇忙等情况到被叫用户已经不处于上述情形之转变，呼叫用户可以根据上述转变对被叫用户可能身处的状态作出合理预见或推测，反映了被叫用户生活状态或工作状态的转变。同时被叫用户何时处于可接通状态其本身就属于被叫用户私人空间领域的个人信息，享有允许他人知道或不知道的权利，享有选择向社会和其他公众公开或不公开的权利，享有该信息不被他人所知悉的权利。……因此，开机提醒业务已经构成对社会公共利益的损害，盈讯公司与河南移动签订的《开机提醒业务合作合同》属无效合同。 

（三）制定数据合规制度指引

1、组织人员制度

2、数据保护制度

委托处理

3、数据分类分级制度

4、与商业伙伴合作中进行数据保护

监管企业应明确合作方准入、日常管理、数据安全评估、变更及退出等环节的合规管理要求。

保护措施	具体内容
合作方准入标准	选择合作方时进行资格审查； 同等条件下优先选择境内安全可信的合作方； 必要时对合作方进行数据安全合规方面的尽职调查。
合作方合同管理	与能接触到企业非公开数据合作方的合同中明确数据安全合规相关条款； 与为企业提供数据服务合作方的合同中明确服务标准、数据备份和恢复、数据泄露预防、业务连续性计划等； 与涉及委托处理个人信息合作方的合同中明确委托处理的目的、期限等，并对合作方的个人信息处理活动进行监督。
对接部门/负责人管理责任	明确与合作方对接部门的数据安全管理责任； 涉及公司资料及数据分享的，遵循最小必要原则，对非必要数据脱敏处理，并记录数据分享过程； 涉及合作方驻场，链接企业信息系统，或直接接触重要数据的，相关项目负责人应采取适当措施进行管控。
数据安全监测、检测和评估	建立数据服务合作方定期的数据安全监测、检测和评估机制； 明确数据安全监测、检测和评估的范围及具体内容； 将相关评估结果与合作方的变更及退出进行挂钩； 若供应商违规，按合同约定索赔。

5、善用技术工具定期自查自纠

（四）协助技术部门完善技术安全风险防范

律师可以与大型安全厂商就数据合规的指引文件进行技术层面的探讨磋商，从而通过法律文件的设置，在账号风险、权限风险、暴露风险、行为风险和数据流向等方面进行落实，协助客户评估数据泄露、窃取、篡改与非法使用等的风险，进而制定出漏洞填补与安全事件的应急处置方案，完善数据合规制度。 

三、ESG在投资并购中的法律价值 

杨志鹏律师就“ESG在投资并购中的法律价值”的主题与在场学员做了分享。杨律师的演讲主要围绕ESG内涵简述、影响中国投资并购的国际法律、并购中的漂绿风险、并购中的ESG披露风险、环境法合规、环境法违规责任、ESG法律科技等内容展开阐述。杨律师还分享了投资并购中的多个ESG案例，重点就新能源汽车投资、境外投资等项目进行多维度剖析，总结了法律审查的关键与要点。 

（一）ESG简述 

1、ESG的范畴

ESG的范围有两种理解，分为广义与狭义两种。广义上，ESG涵盖了气候与环境（碳排放、气候变化、废物与污染、生物多样性等）、社会影响（职业健康与安全、化学品安全、人权与现代奴役、供应链用工标准等）与公司治理（董事会ESG责任、高管薪酬挂钩、反腐败、反不正当竞争等）。狭义上，能够细分为气候变化、环境与生物多样性、资源效率、工作福利与待遇平等、强迫劳动、反腐败、董事会责任等。

2、ESG的内涵与作用

ESG是一种非财务指标，ESG协助企业在合法的情况下实现自身利益的最大化。即，减少运营风险、提升运行效率、降低成本；通过提供环境与社会友好的产品和服务扩大市场机会；良好的公司治理促进获得优质的资本支持。中国对于ESG持积极态度，已将ESG纳入推动企业履行发挥责任的重点工作。

在并购中，评估ESG有助于识别和发现ESG相关问题，并及时向客户作出预警，搭建ESG尽职调查框架，提供投资交易后的支持和解决方案，确保尽职调查中的问题得到充分彻底解决。

3、并购中ESG的价值

（1）评估ESG对投资并购业务的风险和影响

（2）识别和发现ESG相关问题，并及时向客户作出预警

（3）搭建ESG尽职调查框架

（4）提供投资交易后的支持和解决方案，确保尽职调查中的问题得到充分彻底解决

4、ESG法律执业风险

（1）ESG信息披露的目的

（2）真实性审核难度高

（3）依赖企业ESG承诺，律师风险高 

（二）影响中国投资并购的国际法律

ESG相关立法可以追溯到1992年《联合国气候变化框架公约》，代表性的文件有德国《供应链法》、《欧盟市场禁止强迫劳动产品条例》等。该等法律文件对中国企业向欧盟国家出口产品具有实质性影响。 

（三）并购中的漂绿风险

ESG中最主要的风险是“漂绿”。

漂绿是指企业向公众宣称其具有环境友好的产业、目标和政策，夸大自身在环保方面的贡献，或者企业及金融机构利用绿色资金，投资污染项目及产业。漂绿不仅针对信息披露不实或虚假披露，也包括误导性披露。 

（四）并购中的ESG披露风险

在并购业务中，ESG披露风险必须要考虑到以下几个维度：

1、员工和承包商

2、政府/监管机构

3、投资者/金融机构

4、社区

5、非政府组织

6、客户 

（五）环境法合规

目前环境法违规的常见情形大概可以归纳为三类：

1、未执行政府审批文件

2、未批先建、未批先投

3、环保设施三同时违规 

（六）环境法违规责任

1、民事、行政与刑事责任的衔接：

（1）工商部门：环评审批及“三同时”违规，擅自从事生产经营活动，无照经营查处取缔办法。

（2）公安部门：处理非法处置危险物质，违反治安管理处罚法情形。

（3）法院：受理环境民事诉讼后通报环保部0门，下发关于贯彻实施环境民事公益诉讼制度的通知。

（4）检察院：联动执法联席会议制度，环境保护行政执法与刑事司法衔应接工作办法。

2、企业责任与员工责任如何区分？

为了单位利益，实施环境污染行为，并具有下列情形之一的，应当认定为单位犯罪：

（1）经单位决策机构按照决策程序决定的；

（2）经单位实际控制人、主要负责人或者授权的分管负责人决定、同意的。

（3）单位实际控制人、主要负责人或者授权的分管负责人得知单位成员个人实施环境污染犯罪行为，并未加以制止或者及时采取措施，而是予以追认、纵容或者默许的；

（4）使用单位营业执照、合同书、公章、印鉴等对外开展活动，并调用单位车辆、船舶、生产设备、原辅材料等实施环境污染犯罪行为的。

3、如何控制环境污染赔偿金额？

环境污染诉讼中的赔偿要远远高于行政处罚。环境污染诉讼赔偿主要包括四类：

（1）预防措施费用

（2）环境修复费用

（3）恢复期间环境服务功能损失

（4）调查评估及诉讼费用

环境修复费用与生态恢复期环境服务功能损失，具有惩罚性。费用难以确定的，法院可以结合污具体情况以及被告因侵害行为所获得的利益以及过错程度等因素，予以合理确定。行政处罚阶段和解，污染方与受损方都可能获得比诉讼更高的利益。

 （注：以上嘉宾观点，根据录音整理，未经本人审阅）

供稿：上海市律师协会并购重组业务研究委员会

执笔：戚一博  北京大成（上海）律师事务所