安侯法律事務所執行顧問  孫欣
律師  謝丹瑜

隨著近年科技發展日趨迅速，社會變遷速度也越來越快，相對應地，法規包括主管機關解釋，為了因應社會經濟的複雜化，增長的幅度也越來越大，近年來法令遵循的重要性也益趨增加。在企業併購領域中，法令遵循向來也都是交易談判重要的一環，然而傳統上企業併購中的法令遵循議題，僅關注於勞動法及環保法規，由於對科技入侵個人生活的反思，在歐美，近年自我意識越發高漲，隱私議題的討論度居高不下，隱私相關法規也更為嚴格。例如歐盟於2016年通過號稱史上最嚴格的個資保護法規，若企業違規，最高可處4%年營收的罰金。

隨著隱私法規高裁罰時代來臨，在企業併購上只關注於傳統勞動及環保等領域已經不足，對於目標公司的隱私調查也成為主流，甚至是企業併購中，企業如要免受裁罰所必須進行的環節。今年7月9日，英國個資保護主管機關(Information Commissioner’s office, ICO)發布聲明稿，發布對萬豪酒店集團(Marriott Group)的裁罰預告，其預告裁罰金額高達9900萬英鎊。理由在於，萬豪集團於去年11月向ICO通報發生資安事件，其旗下品牌喜達屋(Starwood)連鎖飯店總計約有3億多筆全球客戶資料遭到外洩，據調查，系統弱點最早於2014年即發生(喜達屋於2016年被萬豪併購)，然而直到2018年該系統弱點始被發現。雖然萬豪集團主張該系統弱點在併購前即已發生，不可歸責於萬豪，然而ICO認為萬豪在併購時未做充分的盡職調查，併購後也未加強系統安全性，因此擬祭下重罰。

ICO發表聲明：「GDPR清楚表明組織應對其所持有的個資負起責任，這包含收購公司時應進行適當盡職調查，並且採取適當措施以評估何種個資屬於收購範圍及如何保護個資。個資具有真實的價值，因此組織應有法律責任確保個資的安全性，亦如組織保護其他資產一樣。如果組織未遵守前述要求，當必要時，我們會毫不猶豫給予重擊以保護公共利益。」

除英國以外，美國聯邦公平交易委員會(Federal Trade Commission, FTC)也有因被收購公司不良的隱私保護，裁罰被收購公司的案例，因此於企業併購盡職調查中將隱私議題納入越形重要。收購公司對於被收購公司最基本的隱私評估，應包含瞭解被收購公司所屬產業及所在地區。例如，原則上一家B2C公司的隱私風險會高於B2B公司，一家位於歐盟境內的B2C公司因GDPR的緣故又會高於其他地區的B2C公司。

在併購中，收購公司可以提出以下問題來評估被收購公司的隱私風險：

• 被收購公司所在產業是否有特別適用的隱私法規？
• 被收購公司是否曾被主管機關發函要求改善個資保護措施或曾被裁罰？
• 被收購公司是否已建置個資保護管理制度或取得驗證？
• 被收購公司是否有建置專門管道處理隱私相關申訴？
• 被收購公司是否有監督委外廠商隱私保護安全性的機制？
• 被收購公司如有跨國營運，是否有建立跨國一致性的隱私保護程序，尤其是關於跨境傳輸個資？

在完成隱私相關風險評估後，收購公司才能瞭解未來被收購公司可能被裁罰的風險以及規劃未來可能需要投入在隱私保護的資源，才能於契約安排或價格上反映收購公司真實的風險負擔，並進一步在併購後規劃適當補強措施。