我國互聯(lián)網(wǎng)企業(yè)海外并購的數(shù)據(jù)風險研究

江乾坤（教授/博士后） 羅安琪（杭州電子科技大學會計學院浙江杭州310018）

數(shù)字經(jīng)濟時代，數(shù)據(jù)已成為各個國家的“戰(zhàn)略資源”和互聯(lián)網(wǎng)企業(yè)的核心資產(chǎn)。隨著我國互聯(lián)網(wǎng)用戶數(shù)與用戶時長的相繼見頂（CNNIC，2019）和“數(shù)字絲綢之路”建設(shè)的深入推進，借助海外并購等方式進行國際化拓展已成為我國互聯(lián)網(wǎng)企業(yè)發(fā)展的新路徑。然而，數(shù)據(jù)風險正成為限制我國互聯(lián)網(wǎng)企業(yè)國際化的新因素。例如螞蟻金服因數(shù)據(jù)安全審查被迫終止并購美國跨境支付公司速匯金（Money-Gram），四維圖新等因未獲美國外國投資委員會（CFIUS）數(shù)據(jù)安全審查通過而主動放棄并購歐洲數(shù)字地圖公司HERE，等等。本文通過對歐美國家數(shù)據(jù)保護的制度規(guī)定的梳理，厘清互聯(lián)網(wǎng)企業(yè)海外并購過程中的數(shù)據(jù)風險類型，通過典型案例剖析，為我國互聯(lián)網(wǎng)企業(yè)海外并購合理規(guī)避數(shù)據(jù)風險提供參考建議。

一、數(shù)據(jù)的內(nèi)涵與全球數(shù)據(jù)保護制度現(xiàn)狀

（一）數(shù)據(jù)的內(nèi)涵。所謂數(shù)據(jù)是指基于特定使用目的形成的以數(shù)字信息載體表現(xiàn)出來的信息集合體（莫紀宏，2019）。綜合2018年5月歐盟出臺的《通用數(shù)據(jù)保護條例》（GDPR）、我國實施的《信息安全技術(shù)個人信息安全規(guī)范》和《網(wǎng)絡(luò)安全法》等，數(shù)據(jù)類型可分4類：（1）個人信息。它是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、出生日期、身份證件號碼。（2）個人敏感信息。它是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息，包括個人生物識別信息、銀行賬號、通信記錄和內(nèi)容財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14周歲以下（含）兒童的個人信息等。（3）重要數(shù)據(jù)。它是指一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等。（4）關(guān)鍵信息基礎(chǔ)設(shè)施。它是指國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的信息基礎(chǔ)設(shè)施。這些信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。此外，根據(jù)GDPR，個人對數(shù)據(jù)保護擁有7項權(quán)利：知情權(quán)、訪問權(quán)、更正權(quán)、可攜帶權(quán)、刪除權(quán)、反對權(quán)、限制處理權(quán)。

（二）數(shù)據(jù)保護制度的國際發(fā)展。

1.數(shù)據(jù)安全逐漸成為各國政府審查互聯(lián)網(wǎng)企業(yè)海外并購的新利器。互聯(lián)網(wǎng)治理是“政府、私營部門和公民社會根據(jù)各自的作用制定和實施的旨在規(guī)范互聯(lián)網(wǎng)發(fā)展和運用的共同原則、規(guī)范、決策程序和方案”（WGIG，2005）。全球互聯(lián)網(wǎng)治理模式經(jīng)歷四次變遷：技術(shù)治理模式、網(wǎng)格化治理模式、聯(lián)合國治理模式和國家中心治理模式（王明國，2015）。“去國家化”曾是互聯(lián)網(wǎng)發(fā)展與互聯(lián)網(wǎng)治理初期的主導聲音，但最近20多年的互聯(lián)網(wǎng)治理歷程顯示，“沒有政府的互聯(lián)網(wǎng)治理”模式并沒有實現(xiàn)，國家在互聯(lián)網(wǎng)治理中的地位和作用卻顯著提高，其主要原因是：（1）互聯(lián)網(wǎng)商業(yè)應(yīng)用范圍的迅速擴大引發(fā)大量公共問題，以“去國家化”為核心的互聯(lián)網(wǎng)自治模式失靈，故需要國家積極干預和應(yīng)對，且國家也具備干預和應(yīng)對的意志及能力。（2）互聯(lián)網(wǎng)日益安全化，國家間網(wǎng)絡(luò)安全競爭愈加激烈，網(wǎng)絡(luò)安全問題上升為一種“存續(xù)性威脅”。互聯(lián)網(wǎng)的安全化為國家采取非常措施來應(yīng)對網(wǎng)絡(luò)安全威脅提供了合法性，同時也直接促使國家在互聯(lián)網(wǎng)治理中的地位和作用大幅提高（劉建偉，2015）。因此，在“國家中心”的互聯(lián)網(wǎng)治理模式下，各國政府以維護“數(shù)據(jù)主權(quán)”的名義對企業(yè)海外并購進行國家安全審查已成為影響海外并購成敗的新利器。

2.歐美數(shù)據(jù)保護制度代表了不同的數(shù)據(jù)風險管控取向。截至2018年，全球120個國家和獨立的司法管轄區(qū)已采用全面的數(shù)據(jù)保護或隱私法律來保護個人數(shù)據(jù)，另有近40個國家和司法管轄區(qū)有待批準此類法案或倡議（Banisar and David，2018）。2016年4月27日，歐盟頒布《通用數(shù)據(jù)保護條例》（GDPR）；2018年6月28日，美國《加州消費者隱私法案》（CCPA）正式出臺，它們代表了歐美監(jiān)管機構(gòu)對于個人數(shù)據(jù)保護兩種不同的管控取向。其中，《通用數(shù)據(jù)保護條例》（GDPR）被稱為史上最嚴格的數(shù)據(jù)隱私法律，不僅賦予了數(shù)據(jù)主體同意權(quán)、訪問權(quán)、更正權(quán)、被遺忘權(quán)、限制處理權(quán)、拒絕權(quán)、自動化自決權(quán)等廣泛的數(shù)據(jù)權(quán)利和自由，而且擁有強大的域外適用效率和巨額罰款，最高額度為1 000萬歐元或企業(yè)上一財年全球營業(yè)總額的2%，并以較高者為準。《通用數(shù)據(jù)保護條例》（GDPR）的實施顯著促進了機構(gòu)對數(shù)據(jù)保護的投入，許多中小企業(yè)因為擔心過高的法律風險而宣布停止歐洲業(yè)務(wù)。《通用數(shù)據(jù)保護條例》（GDPR）實行的第一年，因為難以達到合規(guī)要求，超過9萬家企業(yè)自愿報告違規(guī)行為，超過14.5萬家企業(yè)遭到消費者投訴。CCPA則是目前美國州層面最嚴格的隱私立法，也被視為最具有《通用數(shù)據(jù)保護條例》（GDPR）色彩的美國隱私立法。

通過表1可知，在數(shù)據(jù)立法上，GDPR代表了以“數(shù)據(jù)基本權(quán)利”為基礎(chǔ)的歐盟模式，CCPA則體現(xiàn)了以“自由式市場+強監(jiān)管”為基礎(chǔ)的美國模式。兩種模式形式上盡管不同，但實質(zhì)上卻殊途同歸，均在尋求“數(shù)據(jù)權(quán)利保護”和“數(shù)據(jù)自由流通的平衡”。歐盟模式偏向“數(shù)據(jù)權(quán)利保護”，意在打造公民的數(shù)據(jù)基本權(quán)利；美國模式偏向“數(shù)據(jù)自由流通”，意在數(shù)字經(jīng)濟的發(fā)展（何淵，2020）。之所以呈現(xiàn)不同路徑的原因在于：法律制度、立法傳統(tǒng)、立法信念和數(shù)字經(jīng)濟實力不同（馮迪凡，2019）。歐盟缺少世界領(lǐng)先的互聯(lián)網(wǎng)公司（沒有一家前20強），急需通過GDPR來保護本土互聯(lián)網(wǎng)企業(yè)的發(fā)展；美國則是互聯(lián)網(wǎng)強國，全球2/3的科技企業(yè)來自美國，不可能出臺對本國企業(yè)嚴重不利的政策。我國作為互聯(lián)網(wǎng)大國，在數(shù)據(jù)立法上更強調(diào)“數(shù)據(jù)的自由流動”和“數(shù)字經(jīng)濟的發(fā)展”的模式，顯然更加符合自身利益。

二、我國互聯(lián)網(wǎng)企業(yè)海外并購的數(shù)據(jù)風險類型

（一）準備階段。

1.數(shù)據(jù)盡職調(diào)查風險。數(shù)據(jù)盡職調(diào)查風險旨在于幫助主并企業(yè)篩查和甄別目標公司是否存在數(shù)據(jù)泄漏等違規(guī)情形，由此規(guī)避承擔標的公司歷史遺留的法律責任與風險，或通過并購估值調(diào)整、并購協(xié)議明晰責任分擔等方式進行預先調(diào)整。在初次接觸標的企業(yè)時，主并企業(yè)應(yīng)對目標企業(yè)是否掌握數(shù)據(jù)資產(chǎn)、數(shù)據(jù)的性質(zhì)和規(guī)模以及是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運營者等基本問題進行了解和判斷，幫助收購方篩查和甄別標的公司是否存在數(shù)據(jù)泄漏等違規(guī)情形，否則后果可能非常嚴重。2014年7月，美國在線旅游網(wǎng)站TripAdvisor耗資2億美元現(xiàn)金收購了全球最大的目的地旅游與活動預訂網(wǎng)站Viator。Viator起步于澳大利亞，營銷活動主要在美國、英國和澳大利亞等國，致力于向消費者提供160多個國家的1 000個目的地的產(chǎn)品選擇。但交易完成后約兩周，Viator宣布發(fā)生數(shù)據(jù)泄漏，涉及140萬用戶的信用卡等個人信息，TripAdvisor股價應(yīng)聲下跌5%。

2.數(shù)據(jù)安全審查風險。它是指目標企業(yè)所在國政府監(jiān)管部門以國家安全名義對海外并購項目進行審查的風險，這可能是我國互聯(lián)網(wǎng)企業(yè)目前在海外并購過程中遭遇的最大的數(shù)據(jù)風險。隨著我國綜合國力的上升、“數(shù)字絲綢之路”建設(shè)的推進和我國互聯(lián)網(wǎng)企業(yè)國際競爭優(yōu)勢的逐步建立，近年來一些西方國家越來越借助數(shù)據(jù)安全的名義阻礙我國互聯(lián)網(wǎng)企業(yè)實施海外并購，例如螞蟻金服被迫取消并購美國速匯金公司、四維圖新等主動放棄并購歐洲數(shù)字地圖公司HERE等。

表1 歐美個人數(shù)據(jù)或個人信息保護的制度比較

（二）交易階段。海外并購交易環(huán)節(jié)一般涉及到數(shù)據(jù)的披露或交換，包括目標公司內(nèi)部信息的開放，交易對手方的用戶、客戶、雇員等的個人信息。在海外并購順利完成前，任何的數(shù)據(jù)披露或交換，都可能導致數(shù)據(jù)披露方違反網(wǎng)絡(luò)安全法規(guī)、隱私保護法規(guī)和其根據(jù)隱私政策所負有的隱私保護義務(wù)，輕則觸發(fā)民事侵權(quán)賠償責任，重則觸發(fā)刑事責任。例如，標的公司向交易對手方以及雙方的投行、律師、顧問、第三方供應(yīng)商等交易參與方披露大量的用戶個人信息、敏感信息、保密信息等。即便通過虛擬數(shù)據(jù)室以及各類隱私保護措施，仍存在數(shù)據(jù)泄漏風險。《當交易泄密時》（Abernathy MacGregor，2019）報告指出，有42%的交易在對外公開之前會提前泄露消息；交易平均泄露于消息宣布的11天前。該報告涵蓋2015—2018年的189宗收購交易，這些交易至少一方來自美國公司。

（三）整合階段。據(jù)有關(guān)報告顯示，在數(shù)據(jù)為核心資產(chǎn)的行業(yè)并購中，半數(shù)以上的受訪者表示在交割后發(fā)現(xiàn)數(shù)據(jù)合規(guī)問題，對數(shù)據(jù)合規(guī)的盡調(diào)不滿意度達16%；導致交易失敗的一大原因是因為數(shù)據(jù)合規(guī)問題，有近1/4的收購因為數(shù)據(jù)不合規(guī)而失敗，這與因財務(wù)、稅務(wù)問題導致交易失敗的比例一樣多（Orrick Herrington、Sutcliffe LLP，2019）。對我國互聯(lián)網(wǎng)企業(yè)來說，由于信息不對稱和數(shù)據(jù)保護制度差異等原因，完成海外并購后整合階段面臨的數(shù)據(jù)風險主要有以下類型：

1.數(shù)據(jù)跨境流動風險。數(shù)據(jù)跨境流動議題已引起全球普遍關(guān)注，各個國家或組織對其監(jiān)管導向也差異較大。例如美國以貿(mào)易利益為驅(qū)動的數(shù)據(jù)自由流動主張，歐盟在人權(quán)項下的精細管理模式，發(fā)展中國家則出于國家整體利益而實施的數(shù)據(jù)本地化措施（騰訊研究院，2019）。數(shù)據(jù)跨境流動風險是指數(shù)據(jù)跨越國界的傳輸、訪問或處理所引發(fā)的風險，它滲透于數(shù)據(jù)生產(chǎn)、采集、傳輸、存儲、處理和共享等各環(huán)節(jié)，主要集中在3個方面：

（1）數(shù)據(jù)跨境傳輸風險。當前大規(guī)模和復雜的數(shù)據(jù)跨境流動成為常態(tài)，數(shù)據(jù)跨境流動風險成為許多國家實施數(shù)據(jù)本地化策略的正當性理由：數(shù)據(jù)跨境流動引發(fā)數(shù)據(jù)安全風險擔憂；數(shù)據(jù)不受限制地外流影響本國數(shù)字產(chǎn)業(yè)發(fā)展機會；數(shù)據(jù)跨境流動阻礙政府實施執(zhí)法權(quán)；數(shù)據(jù)跨境流動威脅國家主權(quán)與安全（上海社會科學院互聯(lián)網(wǎng)研究中心，2019）。當我國互聯(lián)網(wǎng)企業(yè)完成海外并購后，境內(nèi)母公司與境外目標公司之間不可避免會發(fā)生大量的數(shù)據(jù)跨境傳輸，國外司法轄區(qū)可能會關(guān)注我國網(wǎng)信部門在對于我國境內(nèi)網(wǎng)絡(luò)運營者建設(shè)、運營、維護和使用網(wǎng)絡(luò)的監(jiān)督管理中，是否能獲悉外國公民個人信息（寧宣鳳等，2017）。（2）數(shù)據(jù)跨境存儲風險。目前全球已經(jīng)有超過60個國家都支持“數(shù)據(jù)本地化存儲”政策，要求數(shù)據(jù)必須在本地儲存。由于大多數(shù)國家要求網(wǎng)絡(luò)運營者在本國境內(nèi)運營中收集和產(chǎn)生的個人信息數(shù)據(jù)在境內(nèi)存儲，甚至對于注冊地在本國以外的機構(gòu)，只要其在提供產(chǎn)品或服務(wù)過程中處理了本國/本司法轄區(qū)個體的個人數(shù)據(jù)，也需適用本國/本司法轄區(qū)的網(wǎng)絡(luò)安全和數(shù)據(jù)保護規(guī)則，例如歐盟GDPR。而我國《網(wǎng)絡(luò)安全法》第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當在境內(nèi)存儲。我國關(guān)于網(wǎng)絡(luò)安全和數(shù)據(jù)保護的“屬地原則”與以歐盟為代表的“屬人原則”可能存在沖突（寧宣鳳等，2017）。（3）數(shù)據(jù)跨境融合風險。“數(shù)據(jù)融合是將來自多個傳感器和信息源的數(shù)據(jù)信息加以聯(lián)合、相關(guān)和組合，剔除冗余信息，獲得互補信息，以便能夠較精確地估計出節(jié)點的位置和在網(wǎng)絡(luò)中的地位，以及對現(xiàn)場情況及其傳送數(shù)據(jù)的重要性進行適時的完整的評價”（謝敏茹，2019）。隨著數(shù)據(jù)資產(chǎn)的重要性日益增加，數(shù)據(jù)導向型的海外并購交易日益頻繁，數(shù)據(jù)跨境融合本質(zhì)上涉及到數(shù)據(jù)的轉(zhuǎn)讓與共享。如何在該類并購交易中合規(guī)進行數(shù)據(jù)融合操作以最大限度地發(fā)揮目標企業(yè)的數(shù)據(jù)價值，已成為并購交易各方的重要關(guān)注點，尤其是并購后的過渡期安排以及最終的數(shù)據(jù)整合的合規(guī)也是交割后的重中之重。

2.數(shù)字所得稅風險。近年來，一些著名的大型互聯(lián)網(wǎng)公司通過復雜的安排在國家之間甚至國內(nèi)不同稅率地區(qū)間轉(zhuǎn)移利潤，不僅使政府稅基侵蝕、稅收直接流失，而且導致那些真正繳納稅收的公司因面臨不利競爭條件而蒙受損失（柯靜，2019）。2018年3月，歐盟委員會公布立法提案，擬對大型互聯(lián)網(wǎng)公司征收3%的數(shù)字稅，任何一個歐盟成員國都可以對其境內(nèi)互聯(lián)網(wǎng)業(yè)務(wù)所產(chǎn)生的利潤征稅。然而，該法案卻遭遇愛爾蘭、捷克、瑞典、芬蘭等企業(yè)稅率較低的成員國強烈反對而擱置。因此，法國決定以國內(nèi)單邊立法方式對全球大型數(shù)字服務(wù)商征收數(shù)字稅。2018年7月11日，法國參議院正式通過數(shù)字服務(wù)稅法案：全球數(shù)字業(yè)務(wù)年營業(yè)收入超過7.5億歐元、且在法國境內(nèi)年營業(yè)收入超過2 500萬歐元的企業(yè)，將被征收3%的數(shù)字稅。該稅收將追溯至2019年1月1日起實施，預計將給法國政府每年帶來約5.5億美元的收入。根據(jù)該法案所確定的標準，征稅對象大約有30家企業(yè)，主要來自于美國、中國和英國，而美國互聯(lián)網(wǎng)巨頭谷歌、蘋果、臉書、亞馬遜等受影響最大。2019年9月12日，谷歌公司與法國司法部門達成近10億歐元的認罰和解協(xié)議。其中，5億歐元為罰款，4.65億歐元為“額外稅款”。2020年4月1日，英國正式確認開征數(shù)字稅，即對全球收入至少5億英鎊、在英國收入2 500萬英鎊的企業(yè)收取額外費用，稅率為2%。預計到2025財年結(jié)束時，該項稅收將給英國帶來高達5.15億英鎊的額外年收入。目前，加拿大、奧地利、土耳其、意大利、墨西哥、印尼等24個國家和地區(qū)已開始或正在考慮采取類似行動，對美國科技巨頭征稅。可見，隨著我國互聯(lián)網(wǎng)企業(yè)實力的增強及其海外并購的增長，數(shù)字所得稅風險將不可避免。

（四）互聯(lián)網(wǎng)企業(yè)海外并購數(shù)據(jù)風險匯總。通過上述分析，互聯(lián)網(wǎng)企業(yè)海外并購中的數(shù)據(jù)風險類型匯總見表2所示。

表2 互聯(lián)網(wǎng)企業(yè)海外并購的數(shù)據(jù)風險類型

三、我國互聯(lián)網(wǎng)企業(yè)海外并購數(shù)據(jù)風險的案例分析

（一）四維圖新等并購歐洲地圖公司HERE失敗。2016年12月26日，四維圖新（002405）發(fā)布公告，公司全資子公司圖新香港將出資不超過9 700萬歐元，與騰訊子公司Oriental Power及新加坡政府投資公司Rocco，共同投資荷蘭公司SIWAY，并由SIWAY收購汽車地圖導航服務(wù)商HERE的10%股權(quán)。作為歐洲大型數(shù)字地圖提供商，HERE在歐美車載導航儀用地圖領(lǐng)域掌握80%市場份額，其地圖數(shù)據(jù)覆蓋約200個國家，超過4 600萬公里。2017年9月26日，HERE宣布，停止接受騰訊控股等3家企業(yè)的出資，“經(jīng)過監(jiān)管審查，三方認定沒有可行途徑獲得所必須的交易許可，不再追求達成這筆交易。”四圖維新也宣稱，“由于海外監(jiān)管審批的特殊性，在審核期截止日前，仍未獲得海外監(jiān)管機構(gòu)對本次交易的許可”，公司擬與相關(guān)方協(xié)商不再推進該交易。

此次交易失敗的原因是未能獲得美國監(jiān)管機構(gòu)的批準，美國政府擔心汽車收集的詳細地圖信息被他方獲得。四維圖新表示，在歷經(jīng)美國外國投資委員會（CFIUS）兩個階段、前后持續(xù)五個月的審查后，交易在審查截止日前仍未獲得通過。在審查期間，四維圖新和HERE合計回復超過10輪以上的問題，并積極多次溝通、修訂投資方案；HERE方面由CEO帶隊，專門向CFIUS進行了溝通，但仍沒達成并購交易。

（二）螞蟻金服并購英美跨境支付公司得失不一。2017年1月，螞蟻金服宣布擬以12億美元收購世界第二大匯款服務(wù)公司速匯金（MoneyGram）。速匯金成立于1940年，總部位于美國達拉斯，分支機構(gòu)遍布30多個國家，并且在全球200多個國家與地區(qū)擁有35萬個網(wǎng)點。螞蟻金服表示，速匯金的數(shù)據(jù)基礎(chǔ)設(shè)施將會保留在美國，且用戶信息將被加密或保存在美國安全的設(shè)施內(nèi)，但3次提交資料據(jù)理力爭歷時一年仍未通過CFIUS的國家安全評估。螞蟻金服被迫終止并購計劃，并按收購協(xié)議向速匯金支付3 000萬美元的“分手費”。螞蟻金服此次并購案失敗的關(guān)鍵在于，一旦并購成功，螞蟻金服將獲得速匯金24億全球銀行和移動賬戶信息。CFIUS擔心這些數(shù)據(jù)可能被用于破壞信用等級、侵入銀行賬號、敲詐勒索、盜用身份等（唐昀，2018）。

2019年9月18日，螞蟻金服以7億美元成功收購英國跨境支付公司萬里匯（WorldFirst）。萬里匯成立于2004年，總部位于倫敦，是英國第3大外幣兌換公司，為全球66個網(wǎng)上銷售平臺服務(wù)，在美國、澳大利亞、荷蘭、我國香港設(shè)有辦公室，并為我國超過2萬家跨境電商提供服務(wù)。為了避免重蹈覆轍，自2018年底談判后，并購雙方行動迅速且十分低調(diào)：收購的發(fā)起者未就此進行公關(guān)，西方媒體也是從萬里匯向重要客戶發(fā)送的通知才了解到的。此次收購順利通過了英國金融行為監(jiān)管局的審查，但為了避免美國監(jiān)管機構(gòu)對其發(fā)難，萬里匯公司于2019年2月20日正式關(guān)閉了美國市場的業(yè)務(wù)。

（三）字節(jié)跳動并購Musical.ly后遭美國國家安全審查。2017年11月，字節(jié)跳動耗資10億美元收購社交媒體應(yīng)用musical.ly。當時，musical.ly在歐美年輕人群里倍受歡迎，擁有約6 000萬用戶。musical.ly于2014年上線，是上海聞學網(wǎng)絡(luò)科技有限公司旗下的產(chǎn)品，主要市場一直在海外，在美國加州Santa Monica擁有辦公室。2018年8月，musical.ly與抖音國際版TikTok正式合并成新TikTok，隨后迅速成為歐美市場挑戰(zhàn)Facebook等巨頭的社交工具。截至2020年5月，TikTok全球總下載次數(shù)已突破20億次，連續(xù)多個季度穩(wěn)居全球下載量第一，月活躍用戶高達8億；16到24歲的歐美青少年中，有41%都在使用TikTok。

2019年11月，美國政府就字節(jié)跳動收購musical.ly案啟動“國家安全審查”，理由是TikTok在收購musical.ly時未尋求CFIUS的批準，擔心TikTok在內(nèi)容審查和存儲用戶個人數(shù)據(jù)方面存在問題。對此，字節(jié)跳動表示：并未把任何用戶數(shù)據(jù)傳回中國；所有美國用戶數(shù)據(jù)都存儲在美國本地服務(wù)器，并在新加坡進行備份；其內(nèi)容審查政策不受到任何外國政府的影響，且中國政府也從未要求TikTok提供審查及刪除內(nèi)容。美國發(fā)布行政令，要求字節(jié)跳動必須在2020年9月15日前出售TikTok在美國的業(yè)務(wù)，理由是“存在國家安全風險”。微軟、Twitter、甲骨文、谷歌、沃爾瑪?shù)让绹炯娂娂尤敫傎徯辛小?/p>

四、啟示與建議

（一）啟示。

1.以數(shù)據(jù)安全為名義的國家安全審查正成為我國互聯(lián)網(wǎng)企業(yè)國際化投資過程中的新障礙。螞蟻金服并購速匯金等海外并購案失敗以及TikTok美國業(yè)務(wù)被迫出售等說明“所有涉及個人數(shù)據(jù)的跨國交易是一個重大警示”，意味著“國家安全”擔憂已經(jīng)延伸至更廣泛的領(lǐng)域，從互聯(lián)網(wǎng)汽車到智能手表，甚至到咖啡機（唐昀，2018），國家安全審查已成現(xiàn)實風險。但螞蟻金服成功并購萬里匯也顯示，只要我國互聯(lián)網(wǎng)企業(yè)應(yīng)對得當，海外并購中的數(shù)據(jù)風險也有可能得到有效管控。

2.目前我國互聯(lián)網(wǎng)企業(yè)海外并購中數(shù)據(jù)盡職調(diào)查風險、數(shù)據(jù)跨境流動風險等暴露的還不多，但隨著GDPR、CCPA等數(shù)據(jù)保護法規(guī)的逐漸執(zhí)行，這類數(shù)據(jù)風險將越來越大。

3.目前法國等開征的數(shù)字稅主要影響的是谷歌等美國互聯(lián)網(wǎng)公司，但隨著我國互聯(lián)網(wǎng)企業(yè)海外并購規(guī)模及國際化程度的上升，數(shù)字稅問題將日益突出。

（二）建議。

1.借鑒國際數(shù)據(jù)保護制度經(jīng)驗，完善國內(nèi)數(shù)據(jù)保護制度建設(shè)。歐盟出臺的GDPR已成為當今各國政府或組織在制定數(shù)據(jù)保護法律方面競相模仿的范本，越南、印度、巴西等國已紛紛跟進，美國的CCPA則基于本國情況開創(chuàng)了數(shù)據(jù)保護的新方向。目前我國數(shù)據(jù)保護制度建設(shè)尚不完善，盡管2016年、2019年已頒布《中華人民共和國網(wǎng)絡(luò)安全法》《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》，為個人信息保護奠定了法律基礎(chǔ)，但《中華人民共和國個人信息保護法》《中華人民共和國數(shù)據(jù)安全法》等在正式出臺之前，需要系統(tǒng)考慮各項條文與GDPR、CCPA等之間的銜接問題，密切關(guān)注世界各地數(shù)據(jù)保護法規(guī)執(zhí)行方面的新進展，從而在制度層面為我國互聯(lián)網(wǎng)企業(yè)海外并購的數(shù)據(jù)風險管控提供法律保障，減少不必要的合規(guī)成本。此外，我國應(yīng)加緊出臺數(shù)字服務(wù)稅，必要時成為一種反制其他國家數(shù)據(jù)安全審查的利器。

2.提高海外并購數(shù)據(jù)風險意識，提前制定數(shù)據(jù)安全戰(zhàn)略。首先，應(yīng)讓公司董事會意識到數(shù)據(jù)保護的重要性，提升合規(guī)的優(yōu)先級。研究各國關(guān)于數(shù)據(jù)保護的法律法規(guī)，定期更新全球立法與合規(guī)動態(tài)以及企業(yè)面臨的風險，立足現(xiàn)狀對海外并購業(yè)務(wù)進行調(diào)整規(guī)劃，提前應(yīng)對未來的發(fā)展與變化。其次，在海外并購戰(zhàn)略規(guī)劃階段，針對海外并購政府審查過程可能遭受的數(shù)據(jù)安全審查進行預先安排，如關(guān)閉部分區(qū)域市場業(yè)務(wù)、加強溝通交流等。最后，數(shù)據(jù)風險管理涉及隱私技術(shù)、人員內(nèi)控、網(wǎng)絡(luò)與系統(tǒng)安全，需要公司內(nèi)部多個部門的統(tǒng)籌配合，建議設(shè)置數(shù)據(jù)保護官，全方位、全流程進行海外并購各階段的個人數(shù)據(jù)保護，獨立監(jiān)控企業(yè)合規(guī)情況，能夠使用風險評估方法，進行數(shù)據(jù)保護評估，留存企業(yè)海外并購中數(shù)據(jù)活動的記錄。

3.加強企業(yè)數(shù)據(jù)風險管控體系建設(shè)。針對海外并購流程防范數(shù)據(jù)風險，首先，對于數(shù)據(jù)合規(guī)的盡職調(diào)查，著力于幫助收購方篩查和甄別標的公司是否存在數(shù)據(jù)泄漏等違規(guī)情形，從而避免因此承擔目標公司的歷史遺留的法律責任和風險，或通過估值調(diào)整、協(xié)議明晰責任分擔等方式進行調(diào)整。其次，并購交易中的任何一方在獲取或使用個人信息時，均應(yīng)采取適當安保措施，簽署保密協(xié)議，并以僅供滿足交易需求為限度進行。在并購交易中如涉及數(shù)據(jù)資產(chǎn)轉(zhuǎn)讓、共享和整合時，建議并購交易方均應(yīng)當做好數(shù)據(jù)融合籌劃，包括并購交易各方可以事先更新隱私政策，讓用戶知悉數(shù)據(jù)存在轉(zhuǎn)讓和共享的可能性以及交割前應(yīng)當以確認函或其他方式明確讓用戶知悉并購交易及其相關(guān)的數(shù)據(jù)融合情況，給予用戶選擇同意或拒絕的權(quán)利，避免“踩雷”。最后，為了最大限度地發(fā)揮目標公司的數(shù)據(jù)價值，收購方應(yīng)盡早對交割后的數(shù)據(jù)整合進行籌劃，在收購完成后，由技術(shù)團隊、法律團隊以及業(yè)務(wù)團隊通力合作，對交割后的過渡期及數(shù)據(jù)融合進行合規(guī)操作。