香港并购交易的数据私隐注意事项
近年来,由于公众对个人私隐的警觉性越渐提高以及新国际数据私隐法规,数据私隐问题在并购交易中变得越来越突出。然而,这些问题有时会被忽视,导致交易进行时出现复杂情况或延误。因此,公司在进行并购交易时需要更加注意数据私隐方面的考虑,确保采取适当的措施来保护个人资料,符合所需遵守的数据私隐法规。
在这篇文章中,我们讨论香港并购交易中一些常见的数据私隐问题,以及买卖双方在并购交易中如何解决或预防这些问题,以最大限度地降低法律和交易风险。
资料使用者
根据《个人资料(私隐)条例》(第486 章)(《私隐条例》),任何人独自或联同其他人共同控制在香港或从香港收集、持有、处理或使用个人资料,不论所收集的个人资料的重要性和数量如何,均会被视为资料使用者,并须遵守《私隐条例》的规定。
因此,公司如从其顾客、客户、雇员、用户或任何其他自然人收集任何个人资料(例如其姓名或住址),应遵守《私隐条例》及其保障资料原则。
并购交易中常见的 《私隐条例》 相关问题
并购交易中的法律尽职调查通常需要审查目标公司对个人资料的使用和收集,以便买方评估目标公司是否遵守了 《私隐条例》 的适用要求。随着对数据保护的日益关注,潜在买家在尽职调查过程的早期阶段评估目标公司的数据私隐合规性变得更加重要。
根据我们的经验,香港公司经常涉及以下数据私隐问题:
数据保护政策或程序不充分以及未有通知资料当事人
根据《私隐条例》第 4 条,资料使用者须遵守《私隐条例》附表 1 所载的保障资料原则。第 1 保障资料原则规定资料使用者在收集个人资料时或之前,采取所有切实可行的步骤通知资料当事人(即向其收集或将向其收集个人资料的人)以下事项:-
(i) 资料当事人的个人资料的使用目的;
(ii) 资料当事人的个人资料可能移转予甚么类别的人;
(iii) 资料当事人要求查阅其个人资料和要求更正其个人资料的权利;和
(iv) 负责处理资料当事人提出上述请求的个人的信息。
我们注意到有为数不少的香港公司违反了第 1保障资料原则。例如,有些公司根本没有订立私隐政策或声明,或没有采取任何措施将私隐政策或声明告知资料当事人,或政策或声明未有涵盖第 1 保障资料原则要求的所有信息。
因此,建议进行交易的卖方和公司在可行的情况下提前审查其隐私政策和保护措施,并在进行并购交易之前识别和纠正任何数据私隐问题。
未经资料当事人同意转移收集的个人资料
第 3 保障资料原则限制将个人资料用于新目的,除非获得资料当事人的订明同意。资料当事人的“订明同意”是指资料当事人自愿给予且未撤回的明示同意:《私隐条例》 第 2(3) 条。
我们观察到不少公司并没有实施合适的机制,以确保根据第 3 保障资料原则使用个人资料。例如,我们曾遇到一个案例,一家公司从另一家公司取得个人资料,随后未经资料当事人同意将个人资料转移予第三家公司,导致三家公司均有可能违反第 3 保障资料原则。
如未能遵守 《私隐条例》 的要求,公司可能须要承担民事索偿、刑事起诉或由个人资料私隐专员公署采取的其他执法行动的后果。虽然违反保障资料原则本身并不构成刑事罪行,但如果公署认为该人已违反《私隐条例》第 50 条所指的任何保障资料原则,则公署可向该人发出强制执行通知,指示其纠正有关违反行为。任何人如不遵从该执行通知,可处罚款港币 100,000 元及监禁 2 年。
谈判买卖协议
在起草买卖协议时,买方可能希望寻求与目标公司的数据私隐相关的保证,例如:
(i) 目标公司已遵守 《私隐条例》 和任何其他适用的数据私隐法律法规;
(ii) 目标公司没有收到任何主管当局或个人的通知或指控,指控目标公司不遵守任何适用的数据保护法规,包括 《私隐条例》;和
(iii) 目标公司已遵守适用的数据保护的指南、法规、行业标准、实务守则或行为准则、建议或任何政府机构就 《私隐条例》 批准或发布的其他文件。
如有任何不合规或违反行为,买方可在起草和谈判交易文件时加以考虑其尽职调查结果。例如,买方可就违反行为向卖方寻求弥偿或协商调整对价。
交割后
并购交易完成后可能涉及个人资料的转移和整合。买方可在交割后审查和更新目标公司的隐私政策,例如,制定适当的政策和措施以允许在相关集团公司之间转移个人资料并保护个人资料。
公司还可以实施和加强个人资料转移的安全措施,以确保不会违反 《私隐条例》 的要求。就跨境转移个人资料而言,值得注意的是,《私隐条例》第33条禁止将个人资料转移出香港,但在特定情况下除外,惟该条文尚未生效。尽管如此,公署已就跨境转移个人资料发出指引,提供建议的示范合约条款。任何有意将个人资料转移出香港的资料使用者可考虑采用该示范条款。
结论
在并购交易中,数据私隐合规应被视为法律尽职调查的一个重要部分。全面的法律尽职调查可协助买家确保目标公司遵守 《私隐条例》 和其他适用的数据私隐法规,并了解个人资料转移所涉及的风险。另一方面,卖方应评估任何潜在的数据私隐问题对并购交易的影响,以便他们能够及时进行和完成并购交易。
在起草买卖协议时,可加入与目标公司的数据私隐措施相关的保证条款,以分配和管理风险。交割后,可制定适当的符合 《私隐条例》 的政策,以允许在相关集团实体内转移个人资料,作为交割后业务整合过程的一部分。这些步骤可协助买卖双方避免可令并购交易复杂化或脱轨的潜在数据私隐问题。
曾斌和Min Sung
有关香港数据私隐法律和相关事宜的具体法律咨询,请联系:-
曾斌 | pan_tsang@robertsonshk.com | +852 2861 8487
免责声明:本出版物为一般性出版物,不构成法律建议。在就本出版物中涉及的事项采取任何行动之前,您应该寻求专业建议。