随着智能手机的普及,近几年兴起的专车、顺风车、共享单车、分时租赁等移动出行平台, 改变了人们的出行方式。为享受这些移动出行平台带来的便捷,人们需要下载并注册相关的应用软件(App) 。可能很少人会注意到或认真关注这些应用软件背后的平台收集了多少个人用户数据(“个人数据”)以及如何使用这些数据。
事实上,在用户使用“新出行”平台的时候,这些平台默默收集了海量的个人数据,并基于所收集的个人数据形成了大数据,用以分析个人出行路线、个人喜好等重要信息。这些信息是进行精确的内容推荐和广告推送的基础,具备极高的商业开发价值,从而成为投资人眼中的“金矿”。但投资人挖掘“数据金矿”需要一双“慧眼”——不论是投资前的尽职调查还是投资后的平台融合,都需要格外关注数据产业的合规问题,以避免将“数据金矿”变成“烫手山芋”。
“新出行”平台,收集个人数据的魔法棒?
注册成为“新出行”平台用户的时候,通常会有勾选是否接受用户协议和隐私政策的选项。只有在选择接受用户协议和隐私政策时,才能成为其用户并使用相关平台的出行服务。隐私政策为标准条款,用户只能勾选是否接受,并无修改的权限,相信大部分的人出于使用平台服务的目的会直接勾选。但如果在勾选之前多花几分钟点开并阅读隐私政策,会发现里面“藏着”相关平台收集何种个人数据以及如何收集、处理、使用、存储所收集的信息的 “大秘密”。
根据几家具有代表性的“新出行”平台公布的隐私政策,出于平台运营和安全管理的需要,其收集的个人数据可以分为以下几类:
个人信息类别 | 具体内容 |
个人身份和账户信息 | 姓名、身份证号、电话号码、电子邮件地址、账户密码和安全信息等 |
个人出行数据 | 地理位置信息、行程起止地、路线轨迹、时长、里程数等 |
个人财产信息 | 银行卡号或第三方支付账户名、支付安全码、付款记录等 |
个人设备信息 | 所用设备型号、类型和状态、网络质量数据、服务日志等 |
如果使用汽车分时租赁服务,则需要额外提供更多的个人信息,比如照片、面部识别特征、性别、年龄、职业信息、征信信息、是否有犯罪记录、是否有不良行为记录、驾驶证等[1]。
根据《信息安全技术 个人信息安全规范》(GB/T35273-2017)(“个人信息安全规范”)的规定,“新出行”平台收集的上述信息(包括地理位置信息)均属于个人信息的范畴,并且其中的大部分信息(如个人身份和账户信息、财产信息、出行轨迹)亦属于个人敏感信息。为讨论方便,上述个人数据统称为“个人信息”。
在行家眼里,这些“出行”个人信息因为频率高[2]、数据直接和延展性高[3]成为了最优质的数据来源。由此,各类“新出行”平台也成了投资人眼中的“香饽饽”,估值一路水涨船高。
尽职调查,数据合规怎么看?
成熟的投资人在投资“新出行”平台之前,会对其进行全面的尽职调查,其中包括法律、合规方面的尽职调查。由于“新出行”平台收集、处理和使用海量的个人信息, 而这些信息又是平台的核心资产,对其进行数据合规方面的调查是尽职调查的重要组成部分。数据合规的尽职调查通常包含以下几个层面,数据合规体系、合规的执行以及监督等。
除了上述关于数据是否合规的调查以外,投资人还要关注相关平台上述数据的商业化空间来合理评估“数据资产”的价值。众所周知,互联网经济的一大特点在于“羊毛出在猪身上”,数据商业化也有类似的逻辑。比如数据的价值不仅体现在能够进一步提高产品和服务质量,还在于能够帮助平台“洞察”用户,进一步了解用户的消费习惯,从而挖掘和开发新的商业模式,通过盈利来“反哺”平台,并进一步扩大用户数量,获得更多的用户数据,周而复始,循环不断。但上述商业模式很重要的一点在于平台利用数据开发新商业模式的合规性。如果平台对于特定数据仅仅处于数据处理者的地位,或者间接地收集用户数据,则平台对于这些数据在超出最初收集目的以外的应用则应当受到严格控制,这些数据的商业化价值也将大打折扣。但如果平台能够直接“触达”用户,并能够有合理的商业逻辑“引诱”用户同意进一步以新的目的使用数据,则“盘活”了用户数据,为数据商业化在合规的基础上创造了获利的空间。
为了配合投资人进行尽职调查,就个人信息而言,被投资平台是否可以“知无不言、言无不尽”呢?或者投资人是否可以要求相关平台将其收集的个人信息全部上传以便进行核实?答案是否定的。因为一方面核实相关平台收集的每项个人信息对于投资人而言并非必要,而另一方面相关平台如直接上传其收集的个人信息至尽调数据库,必然违反其关于隐私条款中关于信息共享的规定。如果投资人确有必要了解用户数据的相关状况,以衡量目标公司的价值,作为目标公司的平台可只提供其用户的统计数据,或经过脱敏处理的用户相关数据即可。
投资协议,数据问题怎么办?
以个人信息为基础的数据是“新出行”平台性的核心资产,投资协议(如增资协议、股权转让协议、资产转让协议等)不能对此避而不谈。为防范因数据问题而产生的潜在投资风险,基于尽职调查的结果,投资协议中一般应包括数据相关条款,比如:
1. 陈述、保证条款
以个人信息为基础的数据是“新出行”平台性的核心资产,投资协议(如增资协议、股权转让协议、资产转让协议等)不能对此避而不谈。为防范因数据问题而产生的潜在投资风险,基于尽职调查的结果,投资协议中一般应包括数据相关条款,比如:
2. 交割前提条件、交割前或交割后承诺
以个人信息为基础的数据是“新出行”平台性的核心资产,投资协议(如增资协议、股权转让协议、资产转让协议等)不能对此避而不谈。为防范因数据问题而产生的潜在投资风险,基于尽职调查的结果,投资协议中一般应包括数据相关条款,比如:
3. 赔偿条款
以个人信息为基础的数据是“新出行”平台性的核心资产,投资协议(如增资协议、股权转让协议、资产转让协议等)不能对此避而不谈。为防范因数据问题而产生的潜在投资风险,基于尽职调查的结果,投资协议中一般应包括数据相关条款,比如:
投资完成,数据融合怎么用?
对于某些投资人而言,其投资(通常为股权收购或资产(业务)收购)的初衷之一在于整合相关平台以实现数据整合、平台融合的协同效应。那么投资完成后,被投资平台的个人信息可以直接共享或进行跨境传输吗?中国个人信息监管规定给出的答案并非完全一致。
依据《网络安全法》的要求,个人信息的收集、使用以“明示+用户同意”为前提。理论上说,收购、兼并、重组等过程中的个人信息共享、转让也属于个人信息使用的形式之一,仍然需满足用户同意的要求。
《个人信息安全规范》明确规定,个人信息原则上不得共享、转让。当个人信息的控制者(即平台)发生收购、兼并、重组等变更时,个人信息控制者应当:
- 向个人信息主体告知有关情况;
- 变更后的个人信息控制者应继续履行原个人信息控制者的责任和义务,如变更个人信息使用目的时,应重新取得个人信息主体的明示同意。
换言之,如果由于发生收购、兼并、重组导致相关平台的收购方(即投资人)成为个人信息的控制者时,该收购方应继续履行原来平台所履行的关于个人信息保护的责任和义务且平台对用户个人负有告知义务;而如果收购方变更个人信息使用目的,则需要重新获得相关个人用户的明示同意。
但是,如果将隐私政策认定为平台与个人信息主体之间有关其数据收集、使用的约定,在隐私政策中涉及的个人信息控制者即平台发生改变时,根据《合同法》中变更合同履约方需要当事人协商一致的原则,则上述收购、兼并、重组而整合相关平台时即需要获得用户同意,而非仅仅在变更个人信息使用目的时需要明示同意。因此,《个人信息安全规范》的上述规定与《网络安全法》、《合同法》并不完全一致。考虑到《个人信息安全规范》不具有法律效力,在收购、兼并、重组等变更时,个人信息控制者仅向个人信息主体告知有关情况但未取得其同意,可能存在一定的法律合规风险。
而从另一方面来讲,通常情况下,不论是进行股权收购或资产收购,收购方希望获取收购后的平台的数据的目的通常与该平台的隐私政策不完全一致,即信息的使用目的存在变化。由此,即便根据《个人信息安全规范》,这种平台/业务的融合通常需要重新获得相关个人的明示同意。因此,稳妥起见,收购方整合相关平台以实现数据整合、平台融合之前,应事先获得相关个人用户的明示同意。
以近期某综合性平台并购某移动出行平台为例,在该移动出行平台被并购一周年之际,其用户通过App弹窗收到一封确认函,内容大致如下:
- 并购方拟在征得用户同意的前提下,打通移动出行平台和并购方的综合性平台的账号,届时并购方将共享移动出行端的各类数据;
- 用户选择不同意,则不会实施其用户数据的共享,该用户还可以继续通过移动出行平台App使用车辆;
- 用户选择同意,将可以使用移动出行平台账号登录并购方App, 也可以在App内使用车辆并查看到行程记录等各类历史数据。
由此可见,移动出行平台的各类数据,如与并购方共享,并购方将会与其原有的其他数据整合并为整个并购方平台的目的利用相关数据,不但移动出行平台收集的个人信息的使用目的将发生变更,个人信息控制者也发生了改变。为符合个人信息保护关于知情同意这一最基本的要求,移动出行平台和并购方须就上述变更获得个人用户的同意。上述确认函基本符合知情同意的要求。
此外,如果因为平台整合导致需要向境外传输个人信息,则需要格外谨慎。根据《网络安全法》的规定,关键信息基础设施运营者需要将其在中国境内运营过程中收集和产生的个人信息和重要数据存储在中国境内,因业务需要确需出境的,则应进行安全评估。而国家互联网信息办公室2019年6月13日发布的《个人信息出境安全评估办法》(征求意见稿),则有意将有关个人信息出境的安全评估扩展适用于所有的竞争者,并且还明确规定,个人信息的跨境传输前应当向所在地省级网信部门申报个人信息出境安全评估。除网络运营者的数据出境义务有所增加外,对于关键信息基础设施运营者的数据出境要求甚至上升到了国家安全的层面——2019年5月21日发布的《网络安全审查办法(征求意见稿)》将“大量个人信息和重要数据出境”作为关键信息基础设施运营者启动网络安全审查的条件之一。可以看出,在国际贸易局势日渐严峻的当下,国内有关数据出境的立法也愈发呈现趋严态势,虽然该等立法尚处在征求意见稿阶段,但这种趋严性的规定或多或少代表了监管机构当前对个人信息跨境传输的态度,也进一步向当下进行涉及数据资产、业务交易,特别是跨国性质的投资和并购交易参与者“敲响警钟”。企业应密切关注相关立法和执法的态度走向,并适时对投资并购交易的流程安排作出适当的调整,例如可考虑在交割之前,在数据进行跨境转移之前,适时对数据所可能包含的个人信息、重要数据进行识别,及时做好内部安全评估工作,在必要情况下还应考虑设置数据本地化存储的措施,以防未来有关法律条文的生效引发数据跨境合规问题,避免其可能导致的业务停摆、交易被迫中止等法律和商业风险。
值得一提的是,除了上述个人信息保护的角度外,在进行数据和平台融合时还需要从反垄断法的角度进行评估。如果两个平台之间某种程度上构成竞争者,需要评估相关数据的共享是否构成敏感信息的交换并具有限制竞争的效果。另外,企业所拥有的数据资产也将一定程度上对企业的市场份额、市场力量评估产生影响。对于拥有海量数据资产的企业之间的投资收购交易,有可能被认为是“数据巨头”之间的“强强联合”,从而可能引发反垄断审查机关的一系列竞争关注。例如,在一例社交媒体并购交易中,欧盟委员会在其审查决定中就已或多或少提及数据的聚合对并购方市场力量所可能造成的影响。而此后欧盟委员会因并购方在审查期间提供误导性信息(即并购方在审查期间称无法让两大平台的用户账户完成自动匹配,而实际上将并购方用户ID与被并购方用户ID进行自动匹配的技术可能性早在2014年就已经存在)从而对并购方处以1.1亿欧元罚款。这一事件充分反映了反垄断执法机构在互联网领域的投资并购案件中对于数据聚合可能影响市场竞争格局问题的关注。
[1] 为分析方便,暂不考虑汽车共享服务模式中平台为平台管理目的而收集的服务提供者(比如驾驶员)的个人信息。
[2] 据报道仅某网约车单平台每日新增的轨迹原始数据就达70TB+。
[3] 出行与个人的社会层级、消费习惯密切相关,从而能够基于相关数据进行群体行为、商圈人流分析。