直面并购交易中的网络安全
2016-07-05ChengLimJamesWalsh编辑丁小珊
文/ Cheng Lim James Walsh 编辑/丁小珊
直面并购交易中的网络安全
文/ Cheng Lim James Walsh 编辑/丁小珊
网络尽职调查在企业并购交易中的地位越来越重要,交易参与方应从了解、管理、审查等七个维度着手,完成一份更具实用价值的调查报告。
彭博社近期公布的数据显示,全球并购交易量在2015年创下历史新高,较2014年增长了近11%。当前,市场对网络安全的关注程度与日俱增,然而,大部分并购交易的购买方并没有采取足够的措施去了解其目标公司所面临的网络安全风险,也未认真考虑收购后如何应对网络安全问题。这样的疏忽可能给企业日后的经营带来严重的负面影响。因此,企业要重视网络安全,更要将其落实在行动中。其中的第一步就是要完成一份完善、有效的网络尽职调查报告。
网络尽职调查尚未被重视
近年来,数据泄露的新闻广泛见诸于世界各地的媒体,并引发社会舆论的关注。在零售、健康和技术行业,网络安全已被企业列为五大业务风险之一。在这样的环境背景之下,市场的本能反应会认为并购交易的收购方理应开展详尽的网络尽职调查。然而,根据富而德律师事务所于2014年开展的一项针对并购交易网络安全的调查,现实状况却令人担忧:78%的受访者认为,在他们参与的并购交易中并未对网络安全进行详尽分析,尽管这些受访者已十分清醒地认识到了网络安全缺陷会扰乱并购交易,甚至对标的额产生负面影响。
在并购过程中,如果交易企业设置了网络安全尽职调查环节,则此项工作一般由收购方内部的IT团队开展。但是,这种由技术团队开展的尽职调查存在调查范围笼统、粗略的问题:就尽职调查文件的内容来看,交易文件中涉及网络安全的声明基本只针对企业的较高层级,且倾向于聚焦过去已发生的事件,而很少预测和防范未来可能发生的问题。例如,已有的网络尽职调查文件大都主要针对目标公司是否曾出现数据泄露事件,且范围基本局限于已告知监管当局和客户的泄露事件。就尽职调查文件所提出的要求来看,这些条款仅停留在初级层面,即保证目标公司已针对其所在行业的特性,部署了合理的信息安全系统、流程和程序。只有在极少数情况下,买家会要求卖家对交易完成之后的网络数据安全做出保证,将出现数据泄露的可能性控制在可控范围内。
企业需要明确的是,这样简略的方案是否足以应对当前的数字环境?如果收购方没有开展网络尽职调查或开展的力度有限,那么收购方负责人是否存在失职之嫌?如果由目标公司全权控制或处理重要数据,收购方能否负担得起不开展网络尽职调查的后果?如果在收购之前未开展范围适当的尽职调查,又会产生怎样的后果?
在并购交易当中发生数据泄露的情况并不鲜见。2015年1月,澳大利亚电信巨头Telstra收购泛亚洲网络供应商PacNet,在签署协议之后到交易完成之前的这段时间内,Telstra发现PacNet的企业IT系统存在安全漏洞,这意味着客户信息可能已被窃取。这对于Telstra来说无疑会产生重大影响。值得肯定的是,Telstra公司在发现该事件后立即将可能发生的数据泄露告知了受影响客户,以协助其采取自我保护措施。
网络尽职调查价值何在
2014年,美国国家经济研究协会经济咨询公司开展了一项针对数据泄露与公司价值的研究。该研究发现,网络事件在中长期并不会对股票价格造成显著影响,即使披露对象的股票价格会有所下跌,也往往会很快回升。
尽管网络信息泄露对公司显性价值影响并不明显,但对于处在并购交易当中的公司来说,网络尽职调查仍极为重要。这是因为购买方可决定是否应基于网络信息泄露风险降低收购标的的估价。
例如,如果目标企业是一家拥有大量知识产权的公司,且知识产权是其核心价值,那么一旦该公司存在网络安全漏洞,购买方必须考虑知识产权被窃取的可能性。因为这意味着目标企业的专有性或商业秘密可能已经受损,收购者通过交易所能获得的利益将大打折扣。
如果目标企业有处理信用卡交易的权限,但在运用过程中未遵守第三方支付行业数据安全标准(PCIDSS),则购买方在制定收购决策时,必须将目标企业遭到银行卡组织的重大罚款、调查和审计的风险考虑在内,且需意识到,如果情况持续得不到改善,那么目标企业可能最终会丧失处理银行卡交易的权限。
如果目标公司已经发生了数据泄露,购买方还应该对监管风险、顾客赔偿成本和补救费用进行评估。在此情况下,购买方必须在收购后优先建立周全详细的网络弹性(cyber-resilience)审查改进计划,并可以借此尽量压低购买价格,或向卖方索取赔偿,以弥补实施此类补救行为的支出。
如果网络尽职调查表明,目标企业已经采取了合理并符合行业标准的措施,并确保了自身的网络弹性,且无任何警告信号表明目标企业已受到威胁,则购买方无需调整估价,并可专注于一般性的收购后整合工作。另外,基于商业操作流畅性的考虑,买者在这种情况下无需急于执行周全详细的网络弹性审查改进计划。但是,购买方也必须认识到,尽职调查报告无瑕疵并不代表企业的网络系统一定不存在问题,更无法确保其未来的安全性。因此,设置全面、有效的应急预案很重要。
网络尽职调查的七个维度表
网络尽职调查的维度
一份优秀的网络尽职调查报告应从全局角度出发,并全面审视目标企业的网络弹性情况。这一点至关重要,因为网络弹性不仅仅是IT问题,更是商业和风险问题。为从整体角度审视目标企业的整体网络弹性,一项优秀的网络尽职调查应由商业、法律和技术顾问来执行,并可参照七个维度进行调查(见附表)。
一份优秀的网络尽职调查报告还应有助于购买方在以下方面做出决定,并据此获得交易筹码:一是购买方可以准确评估目标企业的网络弹性水平,并获得适当的安全状况保证;二是如果由于目标企业交割前的作为或不作为引起网络安全事件,则购买方可以获得正常种类和限额之外的特定网络安全赔偿,主要针对网络事件后续调查、补救、监管措施和顾客赔偿费用等事项;三是购买方中止收购协议的权利,即购买方可以要求目标企业承诺将签署和交割分离,在此情况下,即便网络事件产生在签署和交割两个程序之间、即便影响并非为重大不利,购买方都应有权终止收购协议;四是如果交易双方需要获得针对网络安全事件的保证与赔偿(W&I)保单,那么这份网络尽职调查报告需要保证双方有获得此类保单的可能性。
电信行业并购的重中之重
电信公司对网络安全问题并不免疫;相反,这些公司可能更容易遭受网络问题的威胁。更重要的是,由于很大一部分网络数据在电信公司运营的网络和服务中传送,所以在多数情况下此类公司会因这一独特地位而受到监管者更严格的审查。
在欧洲,电子通讯服务的供应商必须确保其所提供服务的安全性(相关条款见《欧盟指令 2002/58/EC》)。如果发生个人数据泄露的情况,无论泄露程度大小,电子通讯服务供应商必须在24小时内将这一情况告知国家监管机构;如果用户的个人数据或隐私有可能遭受损害,供应商同样须告知该用户,除非可以证明自身已采取了保护数据的技术措施。另外,电信公司一般都会被要求与执法机关合作,因而也就获得了存储敏感数据的权利,其中可能包括用户的电话录音、电子邮件记录,以及互联网通讯和网站流量的详细情况,因此,电信公司需要履行更严苛的数据和隐私保护义务。
如果一个电信行业的目标企业受到网络安全漏洞的影响,那么其所面临的监管力度很可能会加大。因此,作为目标企业的电信公司必须有高度成熟的网络弹性。这对于收购者而言是必须意识到的问题。
网络威胁暂时不会消失,企业组织需要保持警惕并将之付诸行动,以确保其网络的安全性。企业不仅必须在自己的经营范围内落实行动,更要将其扩展至收购业务的流程当中。而在电信领域的并购中,针对网络威胁的预先筹谋至关重要。
Cheng Lim系金杜律师事务所
墨尔本办公室合伙人
James Walsh系金杜律师事务所
伦敦办公室合伙人