尽管全球经济衰退使交易冻结了数月，但2020年并购（M&A）的价值仅比上一年下降了5%。Salesforce以277亿美元收购Slack据数据提供商Dealogic称，英国的整体合并价值在第四季度超过2000亿美元。总体而言，去年全球企业在并购交易中仍花费了3.6万亿美元。

大公司收购较小的公司是为了获得正确的技术，规模，投资组合多样性和财务效率。数据被交易;客户被带上船;并在股市活动的情况下完成交易。但在所有这些举措中，监管机构必须确定合并后的实体是否符合欧盟和美国的法规，以及客户数据是否安全。

所有这些尽职调查都有充分的理由。重大数据泄露或妥协可能会损害全球金融市场，伤害企业生态系统中的小型供应商，并玷污并购交易。2017年，Verizon在得知有30亿个雅虎账户被黑客入侵后，将其收购雅虎的提议降低了3.5亿美元。

重大数据泄露可能会损害并购交易并损害全球金融市场

并购交易是分析师最喜欢的话题。他们最终根据财务数据和市场走势确定合并的价值。即便如此，数据隐私和安全绝不能是事后的想法，而是内置于支撑交易本身的技术和治理机制中。安全故障可能导致事务在最后一刻崩溃。公司必须深入研究合作伙伴的数据泄露历史，以了解一旦合并通过，情况是否会变得更糟。同时，应制定路线图，使新公司完全符合国内外法规。所有这些问题都充满了复杂性，并使首席财务官彻夜难眠。

全面的数据隐私方法

如果并购交易本身在其拓扑结构中内置了所有这些隐私问题，该怎么办？在这种范式中，公司通过全面的法律监督进行筛选和估值，一旦交易通过，这些法律监督就会将隐私和安全风险与现有的系统结合起来。在这种情况下，人员、流程和技术不仅符合隐私法规，还有助于为合并后的公司提供更多功能。为了建立这种范式，任何并购交易都必须包括以下四个关键阶段。

1.公司需要在筛选过程中彻底了解隐私暴露。如果企业不合规，则必须将隐私暴露的风险纳入交易的价值中。由该风险产生的任何折扣将取决于合并后从客户数据中获得的潜在收入。数据分析可以帮助确定这些计算。此外，收购公司将不得不花费一笔不确定的金额，以使合并后的实体符合现行法规。为了帮助进行这种筛选，合规成熟度指标可以将并购成本目标与收购成本进行比较。如果合规成熟度较低，收购公司可能希望放弃交易。

2.数据隐私尽职调查应在数据室到位的情况下进行。 除了基本风险审计外，公司还应进行漏洞映射练习（考虑渗透测试和漏洞评估）。这些将两家公司放在同一个“数据室”中，讨论每家公司收集哪些内部数据，收集这些数据的原因，以及合并后合并后的数据足迹将如何。这也意味着弄清楚如何处理个人身份信息（PII），并创建涵盖未知声誉风险的保密协议。数据室确保监管机构对合并后的交易感到满意，并可能阻止罚款。数据室还确保合并前的公司不会泄露敏感的客户和竞争信息。必须注意设置数据室，以便：

Ø  它是“干净的”，即严格控制，在共享客户数据之前需要征得同意。

Ø  不会进行数据下载或提取。

Ø  数据被汇总以避免共享有关真实人物的信息。

3.交易结构需要包括数据隐私。公司应该制定出持有哪些数据，如何处理这些数据，以及处理这些数据必须满足哪些法规（如果有的话）。在任何协议中，如果同意和数据传输协议不符合全球法规，则合并后公司之间的数据销售将无效。此外，两家公司都必须确保客户了解交易以及如何在合并后的实体中使用数据。合并公司之间的交易结构还需要确保争议能够得到有效和稳健的处理，这需要保修协议。本协议是任何调查或投诉的考虑因素。

4.两家公司都需要整合相互关联的IT系统，并在交易完成后迁移数据。此阶段可确保业务连续性，并更新员工和合作伙伴的数据隐私政策。作为本练习的一部分，应发生以下操作：

Ø  应执行详细的发现以识别合并实体中的个人数据足迹，并绘制出联合数据清单。通过使用人工智能扫描非结构化数据（通常是一项艰巨的任务），可以快速跟踪发现过程。

Ø  处理记录的设计是为了确保数据以最初预期的方式使用。

Ø  客户同意已经建立，棘手的问题是如何处理相互矛盾的客户文件（两个合并实体都很常见）。

Ø  设计和实施合并实体的数据隐私政策和指南。

Ø  制定变更管理培训计划，以确保员工了解并接受隐私政策和流程的变化。现行的隐私法规明确概述了培训员工的必要性，并且是收购组织的责任。

Ø  来自两个组织的访问权限在数据主体访问请求中定义。

Ø  合并后公司的目标运营模式是明确的，无论是分散的，集中的还是混合的。

Ø  除了创建有效的并购后业务和运营模式外，并购交易的成功通常取决于整合阶段完成的速度和无缝程度以及协同效应的释放速度。数据交换、质量和治理技术通过自动化大部分流程来提高实施速度，并减少人为干预导致数据泄露的机会。

数据隐私框架

全面管理数据安全是一项重大任务。公司需要照顾许多活动部件，将具有不同技能的不同团队聚集在一起，并跟上技术和运营模式的创新步伐。在印孚瑟斯，我们发现，为数据隐私建立的框架和参考架构为并购交易增加了另一个层次的保险。下面的框架（图1）包括计划和变更管理，以及四个阶段的治理和执行过程：收集和分析;设计和协同;构建和过渡;并稳定和监控。

• 收集和分析 — 分析原样状态并记录流程。在进行差距评估之前，研讨会有助于识别数据隐私、道德和法规方面的差距和风险。

• 设计和协同 — 定义和设计整体隐私架构和运营模式。根据差距报告和讲习班，为采购组织制定了路线图。

• 构建和过渡 — 这是实现目标运营模式的地方。构建了各种机制和措施来测试功能。此外，还根据差距分析报告实施或修改了政策和程序。

• 稳定和监控 — 值得信赖的合作伙伴可以监督和评估持续的风险和产出。

印孚瑟斯与大型全球客户合作，开发了一个全面的参考架构，详细介绍了各种数据隐私问题。对于并购交易而言，一些螺母和螺栓比其他螺母和螺栓更重要。

• 数据交互服务 — 与数据主体（包括客户、供应商、供应商或员工）交互时需要。它们的主要功能是提出隐私政策，并捕获数据主体的隐私权请求和同意。

• 数据可移植性服务 — 实现组织和主体之间的安全数据交换，满足数据隐私请求。

• 企业功能 — 这些是满足隐私权并确保按照组织策略处理数据的数据管理功能。

• 数据/应用程序安全性 — 这些功能允许组织安全地存储和处理数据，同时防止未经授权的个人破坏和访问数据。

• 信息治理 — 定义整个合并组织的隐私结构，包括隐私策略、数据策略和隐私报告相关组件。

向前迈进

我们认为，不同的团队（从财务到运营再到技术）应该从第一天起就使用相同的数据，而不是自上而下和孤岛式地领导。这样一个复合的隐私合并管理部门还将使用数据分析和人工智能来联合财务，运营和商业尽职调查。

隐私合并管理部门将使用人工智能和数据分析来统一财务，运营和商业尽职调查

数据隐私和安全可以成就或破坏交易或显着改变交易成本。因此，在艰苦的跑腿工作之前，重要的是，CXO们应该问自己：“我们能从这笔交易中赢得什么？”以及“合并后的运营环境将如何实现这些业务成果？

当将隐私和安全风险添加到等式中时，高管有时会确定收购成本太大，无法证明预期的投资回报是合理的。或者，他们可能会决定需要进行重大重组，以确保交易将提供竞争优势。

如果合并的业务价值太好了，不能错过，正如人员、流程和技术的综合资产所决定的那样，那么必须制定路线图和参考架构来降低数据隐私和安全风险。这将确保交易顺利进行，得到监管机构的批准，并通过提高客户信心，减少威胁和健康的资产负债表来提供长期的商业价值。

买家关注的问题

买方应进行彻底的尽职调查，以确定（i）目标公司收集、存储、使用或处理（统称为“处理”）个人数据（无论是来自客户、员工还是其他人）的程度，（ii）所处理的个人数据的性质，（iii）处理发生的国家/地区以及（iv）目标公司当前和以前的个人数据政策和协议。应特别注意来自欧盟成员国和其他具有严格隐私法的司法管辖区的个人数据。尽职调查结果应与相关司法管辖区的隐私顾问一起审查，以确定法律影响和合规问题，并帮助买方起草适当的陈述和保证，以涵盖潜在的隐私风险。

目标公司的隐私政策通常是买家的重要信息来源。这些政策包括任何内部数据政策，例如员工隐私政策，以及任何面向客户的隐私政策，例如目标网站上发布的隐私政策。买方应注意目标公司未能遵守此类政策，以及可能与买方计划使用从目标公司获取的数据的方式不一致的限制。如果目标公司拥有这些政策的当前版本和先前版本，买方应评估（i）每个版本下的适用限制是否不同，（ii）在每个版本下收集了哪些特定数据（并因此受到其约束），以及（iii）如何存储这些数据（例如，按政策版本单独或隔离）。应评估影响买方预期使用数据的政策限制，以确定遵守此类限制所需的步骤（例如，获得受影响个人的同意）。

如果拟议的并购交易涉及跨境转移个人数据，买方应审查目标公司是否符合适用的跨境转移限制，例如欧盟要求的限制。例如，如果涉及欧盟居民的个人数据，并且卖方表示目标公司已获得欧盟- 美国安全港认证，则买方应查看目标公司安全港认证的货币，以及目标公司的相关内部评估和合规材料。

如果拟议的并购交易的结构是合并或股票购买，买方可能承担目标公司过去的债务，包括隐私合规问题的责任。因此，此类交易中的买方应更全面地分析目标公司过去和现在对隐私法的遵守情况，包括实际或涉嫌违反目标公司的隐私政策或IT安全的行为。

即使他们不承担目标公司的责任，买方也应评估目标公司在收集此类数据时是否遵守适用的隐私法，以及对买方随后使用个人数据的任何相关限制。

无论交易结构如何，买方都应确定需要传输哪些个人数据才能完成交易，例如目标公司的员工工资单、医疗或其他数据，以及是否需要任何同意或其他手续才能允许此类转移。

最后，如果拟议的并购交易涉及卖方提供服务，买方应考虑所涉及的任何个人数据的范围和性质（例如工资单或福利计划管理服务的数据），并确保对所设想的服务安排有适当的合同隐私保护。

卖家关注的问题

卖方在并购交易中也有隐私问题，特别是在尽职调查过程中或交割前披露个人数据时。卖家应仔细阅读目标公司的隐私政策和适用的隐私法，以确定在尽职调查过程中可以共享哪些个人数据（包括其员工的个人数据），并评估合规性、数据使用限制和上述其他问题。

卖家应注意限制敏感信息和个人数据的披露，并避免披露可能触发安全漏洞通知义务的数据（例如，社会安全号码、驾驶执照号码、信用卡号码或医疗数据）。卖家还应要求披露必须遵守适当的保密协议，并通过允许受控访问的安全方法（例如加密的虚拟数据室）进行。

如果拟议的并购交易涉及员工个人数据，则在这样做会违反适用的隐私准则或政策或相关员工对数据中的隐私有合理期望的情况下，卖方应避免共享此类数据（例如，工作绩效评估）。此外，对于美国境外的员工，卖方应评估适用国家/地区的法律，在某些情况下，这些国家/地区的法律可能要求员工在共享之前通知并同意或以其他方式限制披露。

结论

当前和不断发展的法律要求要求在并购交易中及时、大量关注隐私问题，即使在涉及传统“旧经济”业务的交易中也是如此。将这些问题留到交易结束时可能会导致延迟并增加风险。仔细注意潜在风险，包括本文中描述的风险，可以帮助买卖双方降低并购交易中的风险。