直面并購交易中的網絡安全

文/ Cheng Lim James Walsh 編輯/丁小珊

?

直面并購交易中的網絡安全

文/ Cheng Lim James Walsh 編輯/丁小珊

網絡盡職調查在企業并購交易中的地位越來越重要，交易參與方應從了解、管理、審查等七個維度著手，完成一份更具實用價值的調查報告。

彭博社近期公布的數據顯示，全球并購交易量在2015年創下歷史新高，較2014年增長了近11%。當前，市場對網絡安全的關注程度與日俱增，然而，大部分并購交易的購買方并沒有采取足夠的措施去了解其目標公司所面臨的網絡安全風險，也未認真考慮收購后如何應對網絡安全問題。這樣的疏忽可能給企業日后的經營帶來嚴重的負面影響。因此，企業要重視網絡安全，更要將其落實在行動中。其中的第一步就是要完成一份完善、有效的網絡盡職調查報告。

網絡盡職調查尚未被重視

近年來，數據泄露的新聞廣泛見諸于世界各地的媒體，并引發社會輿論的關注。在零售、健康和技術行業，網絡安全已被企業列為五大業務風險之一。在這樣的環境背景之下，市場的本能反應會認為并購交易的收購方理應開展詳盡的網絡盡職調查。然而，根據富而德律師事務所于2014年開展的一項針對并購交易網絡安全的調查，現實狀況卻令人擔憂：78%的受訪者認為，在他們參與的并購交易中并未對網絡安全進行詳盡分析，盡管這些受訪者已十分清醒地認識到了網絡安全缺陷會擾亂并購交易，甚至對標的額產生負面影響。

在并購過程中，如果交易企業設置了網絡安全盡職調查環節，則此項工作一般由收購方內部的IT團隊開展。但是，這種由技術團隊開展的盡職調查存在調查范圍籠統、粗略的問題：就盡職調查文件的內容來看，交易文件中涉及網絡安全的聲明基本只針對企業的較高層級，且傾向于聚焦過去已發生的事件，而很少預測和防范未來可能發生的問題。例如，已有的網絡盡職調查文件大都主要針對目標公司是否曾出現數據泄露事件，且范圍基本局限于已告知監管當局和客戶的泄露事件。就盡職調查文件所提出的要求來看，這些條款僅停留在初級層面，即保證目標公司已針對其所在行業的特性，部署了合理的信息安全系統、流程和程序。只有在極少數情況下，買家會要求賣家對交易完成之后的網絡數據安全做出保證，將出現數據泄露的可能性控制在可控范圍內。

企業需要明確的是，這樣簡略的方案是否足以應對當前的數字環境？如果收購方沒有開展網絡盡職調查或開展的力度有限，那么收購方負責人是否存在失職之嫌？如果由目標公司全權控制或處理重要數據，收購方能否負擔得起不開展網絡盡職調查的后果？如果在收購之前未開展范圍適當的盡職調查，又會產生怎樣的后果？

在并購交易當中發生數據泄露的情況并不鮮見。2015年1月，澳大利亞電信巨頭Telstra收購泛亞洲網絡供應商PacNet，在簽署協議之后到交易完成之前的這段時間內，Telstra發現PacNet的企業IT系統存在安全漏洞，這意味著客戶信息可能已被竊取。這對于Telstra來說無疑會產生重大影響。值得肯定的是，Telstra公司在發現該事件后立即將可能發生的數據泄露告知了受影響客戶，以協助其采取自我保護措施。

網絡盡職調查價值何在

2014年，美國國家經濟研究協會經濟咨詢公司開展了一項針對數據泄露與公司價值的研究。該研究發現，網絡事件在中長期并不會對股票價格造成顯著影響，即使披露對象的股票價格會有所下跌，也往往會很快回升。

盡管網絡信息泄露對公司顯性價值影響并不明顯，但對于處在并購交易當中的公司來說，網絡盡職調查仍極為重要。這是因為購買方可決定是否應基于網絡信息泄露風險降低收購標的的估價。

例如，如果目標企業是一家擁有大量知識產權的公司，且知識產權是其核心價值，那么一旦該公司存在網絡安全漏洞，購買方必須考慮知識產權被竊取的可能性。因為這意味著目標企業的專有性或商業秘密可能已經受損，收購者通過交易所能獲得的利益將大打折扣。

如果目標企業有處理信用卡交易的權限，但在運用過程中未遵守第三方支付行業數據安全標準（PCIDSS），則購買方在制定收購決策時，必須將目標企業遭到銀行卡組織的重大罰款、調查和審計的風險考慮在內，且需意識到，如果情況持續得不到改善，那么目標企業可能最終會喪失處理銀行卡交易的權限。

如果目標公司已經發生了數據泄露，購買方還應該對監管風險、顧客賠償成本和補救費用進行評估。在此情況下，購買方必須在收購后優先建立周全詳細的網絡彈性（cyber-resilience）審查改進計劃，并可以借此盡量壓低購買價格，或向賣方索取賠償，以彌補實施此類補救行為的支出。

如果網絡盡職調查表明，目標企業已經采取了合理并符合行業標準的措施，并確保了自身的網絡彈性，且無任何警告信號表明目標企業已受到威脅，則購買方無需調整估價，并可專注于一般性的收購后整合工作。另外，基于商業操作流暢性的考慮，買者在這種情況下無需急于執行周全詳細的網絡彈性審查改進計劃。但是，購買方也必須認識到，盡職調查報告無瑕疵并不代表企業的網絡系統一定不存在問題，更無法確保其未來的安全性。因此，設置全面、有效的應急預案很重要。

網絡盡職調查的七個維度表

網絡盡職調查的維度

一份優秀的網絡盡職調查報告應從全局角度出發，并全面審視目標企業的網絡彈性情況。這一點至關重要，因為網絡彈性不僅僅是IT問題，更是商業和風險問題。為從整體角度審視目標企業的整體網絡彈性，一項優秀的網絡盡職調查應由商業、法律和技術顧問來執行，并可參照七個維度進行調查（見附表）。

一份優秀的網絡盡職調查報告還應有助于購買方在以下方面做出決定，并據此獲得交易籌碼：一是購買方可以準確評估目標企業的網絡彈性水平，并獲得適當的安全狀況保證；二是如果由于目標企業交割前的作為或不作為引起網絡安全事件，則購買方可以獲得正常種類和限額之外的特定網絡安全賠償，主要針對網絡事件后續調查、補救、監管措施和顧客賠償費用等事項；三是購買方中止收購協議的權利，即購買方可以要求目標企業承諾將簽署和交割分離，在此情況下，即便網絡事件產生在簽署和交割兩個程序之間、即便影響并非為重大不利，購買方都應有權終止收購協議；四是如果交易雙方需要獲得針對網絡安全事件的保證與賠償（W&I）保單，那么這份網絡盡職調查報告需要保證雙方有獲得此類保單的可能性。

電信行業并購的重中之重

電信公司對網絡安全問題并不免疫；相反，這些公司可能更容易遭受網絡問題的威脅。更重要的是，由于很大一部分網絡數據在電信公司運營的網絡和服務中傳送，所以在多數情況下此類公司會因這一獨特地位而受到監管者更嚴格的審查。

在歐洲，電子通訊服務的供應商必須確保其所提供服務的安全性（相關條款見《歐盟指令 2002/58/EC》）。如果發生個人數據泄露的情況，無論泄露程度大小，電子通訊服務供應商必須在24小時內將這一情況告知國家監管機構；如果用戶的個人數據或隱私有可能遭受損害，供應商同樣須告知該用戶，除非可以證明自身已采取了保護數據的技術措施。另外，電信公司一般都會被要求與執法機關合作，因而也就獲得了存儲敏感數據的權利，其中可能包括用戶的電話錄音、電子郵件記錄，以及互聯網通訊和網站流量的詳細情況，因此，電信公司需要履行更嚴苛的數據和隱私保護義務。

如果一個電信行業的目標企業受到網絡安全漏洞的影響，那么其所面臨的監管力度很可能會加大。因此，作為目標企業的電信公司必須有高度成熟的網絡彈性。這對于收購者而言是必須意識到的問題。

網絡威脅暫時不會消失，企業組織需要保持警惕并將之付諸行動，以確保其網絡的安全性。企業不僅必須在自己的經營范圍內落實行動，更要將其擴展至收購業務的流程當中。而在電信領域的并購中，針對網絡威脅的預先籌謀至關重要。

Cheng Lim系金杜律師事務所

墨爾本辦公室合伙人

James Walsh系金杜律師事務所

倫敦辦公室合伙人