直面并购交易中的网络安全

彭博社近期公布的数据显示，全球并购交易量在2015年创下历史新高，较2014年增长了近11%。当前，市场对网络安全的关注程度与日俱增，然而，大部分并购交易的购买方并没有采取足够的措施去了解其目标公司所面临的网络安全风险，也未认真考虑收购后如何应对网络安全问题。这样的疏忽可能给企业日后的经营带来严重的负面影响。因此，企业要重视网络安全，更要将其落实在行动中。其中的第一步就是要完成一份完善、有效的网络尽职调查报告。

网络尽职调查尚未被重视

近年来，数据泄露的新闻广泛见诸于世界各地的媒体，并引发社会舆论的关注。在零售、健康和技术行业，网络安全已被企业列为五大业务风险之一。在这样的环境背景之下，市场的本能反应会认为并购交易的收购方理应开展详尽的网络尽职调查。然而，根据富而德律师事务所于2014年开展的一项针对并购交易网络安全的调查，现实状况却令人担忧：78%的受访者认为，在他们参与的并购交易中并未对网络安全进行详尽分析，尽管这些受访者已十分清醒地认识到了网络安全缺陷会扰乱并购交易，甚至对标的额产生负面影响。

在并购过程中，如果交易企业设置了网络安全尽职调查环节，则此项工作一般由收购方内部的IT团队开展。但是，这种由技术团队开展的尽职调查存在调查范围笼统、粗略的问题：就尽职调查文件的内容来看，交易文件中涉及网络安全的声明基本只针对企业的较高层级，且倾向于聚焦过去已发生的事件，而很少预测和防范未来可能发生的问题。例如，已有的网络尽职调查文件大都主要针对目标公司是否曾出现数据泄露事件，且范围基本局限于已告知监管当局和客户的泄露事件。就尽职调查文件所提出的要求来看，这些条款仅停留在初级层面，即保证目标公司已针对其所在行业的特性，部署了合理的信息安全系统、流程和程序。只有在极少数情况下，买家会要求卖家对交易完成之后的网络数据安全做出保证，将出现数据泄露的可能性控制在可控范围内。

企业需要明确的是，这样简略的方案是否足以应对当前的数字环境？如果收购方没有开展网络尽职调查或开展的力度有限，那么收购方负责人是否存在失职之嫌？如果由目标公司全权控制或处理重要数据，收购方能否负担得起不开展网络尽职调查的后果？如果在收购之前未开展范围适当的尽职调查，又会产生怎样的后果？

在并购交易当中发生数据泄露的情况并不鲜见。2015年1月，澳大利亚电信巨头Telstra收购泛亚洲网络供应商PacNet，在签署协议之后到交易完成之前的这段时间内，Telstra发现PacNet的企业IT系统存在安全漏洞，这意味着客户信息可能已被窃取。这对于Telstra来说无疑会产生重大影响。值得肯定的是，Telstra公司在发现该事件后立即将可能发生的数据泄露告知了受影响客户，以协助其采取自我保护措施。

网络尽职调查价值何在

2014年，美国国家经济研究协会经济咨询公司开展了一项针对数据泄露与公司价值的研究。该研究发现，网络事件在中长期并不会对股票价格造成显著影响，即使披露对象的股票价格会有所下跌，也往往会很快回升。

尽管网络信息泄露对公司显性价值影响并不明显，但对于处在并购交易当中的公司来说，网络尽职调查仍极为重要。这是因为购买方可决定是否应基于网络信息泄露风险降低收购标的的估价。

例如，如果目标企业是一家拥有大量知识产权的公司，且知识产权是其核心价值，那么一旦该公司存在网络安全漏洞，购买方必须考虑知识产权被窃取的可能性。因为这意味着目标企业的专有性或商业秘密可能已经受损，收购者通过交易所能获得的利益将大打折扣。

如果目标企业有处理信用卡交易的权限，但在运用过程中未遵守第三方支付行业数据安全标准（PCI-DSS），则购买方在制定收购决策时，必须将目标企业遭到银行卡组织的重大罚款、调查和审计的风险考虑在内，且需意识到，如果情况持续得不到改善，那么目标企业可能最终会丧失处理银行卡交易的权限。

如果目标公司已经发生了数据泄露，