财新传媒

并购交易中网络安全绝对是一项风险

2016年02月06日 10:19 来源于 财新网
买家不应仅查看目标公司过往发生数据外泄的记录,也应关注公司的网络安全风险管理。即便这些风险难以量化,但有关分析有助于交易条款、交易金额和交割完成后的索赔谈判
瑞生商法
瑞生国际(Latham & Watkins)是一家全球性律师事务所,为跨国企业、创业公司、投资银行、私募基金、风险投资机构、主权财富基金、政府及其他组织提供法律咨询服务,协助客户处理业务问题、交易和争议。

  【财新网】(作者 Jennifer Archie)让我用一句万用的话开头:买一家公司,等同于买它们的数据——还有就是这些数据所附带的风险。网络安全风险并不局限于最近因信用卡持有人或病人资料外泄成为头条的那种面向客户的公司。事实上,现今许多公司某程度都拥有数据形式的资产和负债,完全没有的只占少数。对大部分形式的业务合并来说,不论是并购、合资经营或杠杆收购——网络安全绝对是一项风险。买家不应仅查看目标公司过往发生数据外泄的记录,也应关注公司的网络安全风险管理。即便这些风险难以量化,但有关分析有助于交易条款、交易金额和交割完成后的索赔谈判。

  1. 尽早开始

  买家应在谈判阶段尽早着手进行网络安全风险评估。目标公司应能够提供公司的关键信息科技系统和数据组资料,并解释公司如何保护这些系统和资料。

  2. 自订调查内容

  买家应以初步风险评估时收集的资料为基础,再按照公司处理的资料类型、从事行业和资料安全对于目标公司来说的重要性,为公司自订调查内容。

  3. 测试风险意识

  目标公司高管对跨部门网络风险和公司的安全程序有没有认识?有的话表示公司的安全程序成熟。安全程序若没有在信息科技部投入使用,一切都只是徒然。所有相关部门都应参与网络安全风险管理。

  4. 请教专家

  为了准确了解目标公司是否随时可以接受网络风险的挑战和潜在责任,买家应委托具备相关经验的专家交易团队处理。团队应具备相当的灵活弹性和专门的行业经验,始终不同行业面对的网络安全风险差异很大。

  5. 确保公司遵守支付卡行业的规定

  如目标公司接受、处理、储存或管理信用卡持有人的支付数据流,买家应特别注意公司是否遵守支付卡行业数据安全标准(PCI DSS)。全面遵守PCI DSS的规定开支很大,同时需要针对新的威胁和标准进行适应及优化。

  6. 考虑其他风险

  支付和信用卡安全并不是唯一的风险。商业秘密被盗用、国家背后支持的谍报活动和足以拖垮公司网络的网络攻击对公司的破坏同样不容忽视。买家应向目标公司查询过往发生这些事故的历史,评估公司防范日后发生同样事故或受到攻击的预防措施。

  7. 考虑购买网络保险

  买家应评估目标公司哪些网络风险可以用保险来降低风险。现今大部分网络保险范围都涵盖数据外泄和遵守数据外泄通知规定相关的风险管理开支。

  结论

  如果曾经人们都把网络安全风险评估在并购交易中的占比缩到最小或商品化,那这已成为过去。评估数据相关风险的专业应该走到每一宗交易的最前沿,并且在交易全程监控,从而对目标公司接受网络风险挑战的准备充足程度有更全面的理解,提升网络安全,谈判更有利的交易条款、交易金额,更好地发掘交割后的机遇。■

  本文作者为瑞生国际律师事务所合伙人

  本文版权归瑞生国际律师事务(http://www.lw.com/ch/)所有,旨在作教学用途向您提供一般法律信息和资料。本文内容不应被视作您所在司法管辖区的持牌专业律师的合资格法律意见。

责任编辑:张帆 | 版面编辑:杜春艳
财新传媒版权所有。如需刊登转载请点击右侧按钮,提交相关信息。经确认即可刊登转载。
全选

新闻订阅:订阅后,一旦财新网更新相关内容,我们会第一时间通过发邮件通知您。

  • 收藏
  • 打印
  • 放大
  • 缩小
  • 苹果客户端
  • 安卓客户端
财新微信

热词推荐:
雷洋事件 雷洋案尸检 雷洋事件不让评论 雷洋 官邸制 4.7万亿投资与4万亿 北京 跨省高招计划 山东疫苗事件的看法 关于营改增的思考 文革被彻底否定 贵州兴义交通事故 日本外相将访华 上海送奶车侧翻 黄洋父母告复旦 易乾