香港併購交易的數據私隱注意事項
近年來,由於公眾對個人私隱的警覺性越漸提高以及新國際數據私隱法規,數據私隱問題在併購交易中變得越來越突出。然而,這些問題有時會被忽視,導致交易進行時出現複雜情況或延誤。因此,公司在進行併購交易時需要更加注意數據私隱方面的考慮,確保採取適當的措施來保護個人資料,符合所需遵守的數據私隱法規。
在這篇文章中,我們討論香港併購交易中一些常見的數據私隱問題,以及買賣雙方在併購交易中如何解決或預防這些問題,以最大限度地降低法律和交易風險。
資料使用者
根據《個人資料(私隱)條例》(第486 章)(《私隱條例》),任何人獨自或聯同其他人共同控制在香港或從香港收集、持有、處理或使用個人資料,不論所收集的個人資料的重要性和數量如何,均會被視為資料使用者,並須遵守《私隱條例》的規定。
因此,公司如從其顧客、客戶、僱員、用戶或任何其他自然人收集任何個人資料(例如其姓名或住址),應遵守《私隱條例》及其保障資料原則。
併購交易中常見的 《私隱條例》 相關問題
併購交易中的法律盡職調查通常需要審查目標公司對個人資料的使用和收集,以便買方評估目標公司是否遵守了 《私隱條例》 的適用要求。隨著對數據保護的日益關注,潛在買家在盡職調查過程的早期階段評估目標公司的數據私隱合規性變得更加重要。
根據我們的經驗,香港公司經常涉及以下數據私隱問題:
數據保護政策或程序不充分以及未有通知資料當事人
根據《私隱條例》第 4 條,資料使用者須遵守《私隱條例》附表 1 所載的保障資料原則。第 1 保障資料原則規定資料使用者在收集個人資料時或之前,採取所有切實可行的步驟通知資料當事人(即向其收集或將向其收集個人資料的人)以下事項:-
(i) 資料當事人的個人資料的使用目的;
(ii) 資料當事人的個人資料可能移轉予甚麼類別的人;
(iii) 資料當事人要求查閱其個人資料和要求更正其個人資料的權利;和
(iv) 負責處理資料當事人提出上述請求的個人的信息。
我們注意到有為數不少的香港公司違反了第 1保障資料原則。例如,有些公司根本沒有訂立私隱政策或聲明,或沒有採取任何措施將私隱政策或聲明告知資料當事人,或政策或聲明未有涵蓋第 1 保障資料原則要求的所有信息。
因此,建議進行交易的賣方和公司在可行的情況下提前審查其隱私政策和保護措施,並在進行併購交易之前識別和糾正任何數據私隱問題。
未經資料當事人同意轉移收集的個人資料
第 3 保障資料原則限制將個人資料用於新目的,除非獲得資料當事人的訂明同意。資料當事人的“訂明同意”是指資料當事人自願給予且未撤回的明示同意:《私隱條例》 第 2(3) 條。
我們觀察到不少公司並沒有實施合適的機制,以確保根據第 3 保障資料原則使用個人資料。例如,我們曾遇到一個案例,一家公司從另一家公司取得個人資料,隨後未經資料當事人同意將個人資料轉移予第三家公司,導致三家公司均有可能違反第 3 保障資料原則。
如未能遵守 《私隱條例》 的要求,公司可能須要承擔民事索償、刑事起訴或由個人資料私隱專員公署採取的其他執法行動的後果。雖然違反保障資料原則本身並不構成刑事罪行,但如果公署認為該人已違反《私隱條例》第 50 條所指的任何保障資料原則,則公署可向該人發出強制執行通知,指示其糾正有關違反行為。任何人如不遵從該執行通知,可處罰款港幣 100,000 元及監禁 2 年。
談判買賣協議
在起草買賣協議時,買方可能希望尋求與目標公司的數據私隱相關的保證,例如:
(i) 目標公司已遵守 《私隱條例》 和任何其他適用的數據私隱法律法規;
(ii) 目標公司沒有收到任何主管當局或個人的通知或指控,指控目標公司不遵守任何適用的數據保護法規,包括 《私隱條例》;和
(iii) 目標公司已遵守適用的數據保護的指南、法規、行業標準、實務守則或行為準則、建議或任何政府機構就 《私隱條例》 批准或發布的其他文件。
如有任何不合規或違反行為,買方可在起草和談判交易文件時加以考慮其盡職調查結果。例如,買方可就違反行為向賣方尋求彌償或協商調整對價。
交割後
併購交易完成後可能涉及個人資料的轉移和整合。買方可在交割後審查和更新目標公司的隱私政策,例如,制定適當的政策和措施以允許在相關集團公司之間轉移個人資料並保護個人資料。
公司還可以實施和加強個人資料轉移的安全措施,以確保不會違反 《私隱條例》 的要求。就跨境轉移個人資料而言,值得注意的是,《私隱條例》第33條禁止將個人資料轉移出香港,但在特定情況下除外,惟該條文尚未生效。儘管如此,公署已就跨境轉移個人資料發出指引,提供建議的示範合約條款。任何有意將個人資料轉移出香港的資料使用者可考慮採用該示範條款。
結論
在併購交易中,數據私隱合規應被視為法律盡職調查的一個重要部分。全面的法律盡職調查可協助買家確保目標公司遵守 《私隱條例》 和其他適用的數據私隱法規,並了解個人資料轉移所涉及的風險。另一方面,賣方應評估任何潛在的數據私隱問題對併購交易的影響,以便他們能夠及時進行和完成併購交易。
在起草買賣協議時,可加入與目標公司的數據私隱措施相關的保證條款,以分配和管理風險。交割後,可制定適當的符合 《私隱條例》 的政策,以允許在相關集團實體內轉移個人資料,作為交割後業務整合過程的一部分。這些步驟可協助買賣雙方避免可令併購交易複雜化或脫軌的潛在數據私隱問題。
曾斌和Min Sung
有關香港數據私隱法律和相關事宜的具體法律諮詢,請聯繫:-
曾斌 | pan_tsang@robertsonshk.com | +852 2861 8487
免責聲明:本出版物為一般性出版物,不構成法律建議。在就本出版物中涉及的事項採取任何行動之前,您應該尋求專業建議。