数据合规 | 企业数据合规实务指引系列之二：数据合规尽职调查篇

前言

与传统的法律尽职调查不同数据合规尽职调查是属于专项调查。在一般的法律尽职调查中，数据资产一般是在包含在传统资产中一起核查，并没有单独作为一个尽职调查业务板块。然而，随着个人信息保护和数据安全监管的不断加强，数据资产已经成为一种无形资产，数据合规与否已经影响到企业的业务运转、社会评价、风险隐患，并在投资决策中成为非常重要的一个考量因素。数据资产的合法合规性调查、数据合规体系建设程度考察成为尽职调查中的重要业务模块。

一、企业数据合规尽职调查的内容及意义

（一）企业数据合规尽职调查的内容

企业合规管理体系包括三大板块，分别是事前的合规风险预警板块、事中的合规定期监测板块、事后的合规整改计划板块。企业数据合规尽职调查属于事前的合规风险预警板块，通常包括企业自身对业务内容、公司治理、拟IPO上市等通过尽职调查排查数据潜在风险，也包括企业在与利益相关方的商业合作关系之前对利益相关方的数据合规风险开展合规尽职调查。

具体实践中，尽职调查种类繁多，包括财务税务尽职调查、商业尽职调查、行业尽职调查、投资并购尽职调查、IPO法律尽职调查、知识产权尽职调查等等。数据合规尽职调查是尽职调查的种类之一，即为目标企业防范数据管理风险、法律风险，通过全面、细致地信息获取和检查而开展的一种预防性风险调查。数据合规尽职调查一般类似于法律尽职调查，区别点在于除了对尽职调查中发现的法律问题发表法律意见、提示法律风险之外，数据合规尽职调查也需要对企业的数据合规管理、合规体系提出建设性建议，所以数据合规尽职调查也是一种兼具法律和管理两个领域的交叉尽职调查。

（二）企业数据合规尽职调查的意义

数据合规尽职调查对于企业平稳开展业务、建设数据合规管理体系、实现商业价值、促进企业可持续发展、促进数据交易主体合作具有重要意义。

1.有利于帮助企业构建数据合规管理体系

企业在构建数据合规管理体系之前，需要先进行合规尽职调查，系统梳理和考察企业合规组织架构、全面合规落地情况、合规制度体系完善和业务流程规范、合规风险管理、违规管理、合规管理队伍、合规监督情况、一体化管理平台有效运行情况、合规管理信息化以及合规文化建设情况，在公司治理上有利于企业自身构建数据合规管理体系，从而为企业平稳运行保驾护航。

2.有利于企业排查数据管理风险和法律风险

管理风险和法律风险可以统称为合规风险。合规风险是企业生产经营过程中最基本的经营风险。数据合规尽职调查有利于企业排管理风险和法律风险，重大项目和重大业务流程中的数据合规风险，逐一专项排查。法律风险方面，是否存在侵犯个人信息、侵犯商业秘密、侵害信息网络安全、侵害公平交易等行为。管理风险方面，包括数据全生命周期的合规管理、数据资产的合规交易、数据确权和授权合规等。通过数据合规尽职调查预警风险、开展风险评估，及时开展数据治理整改工作。

3.有利于企业对目标企业做出准确的商业判断

通过数据合规尽职调查，有助于企业了解目标企业数据资产的实际情况，解决信息不对称的问题。企业通过阅读专业的《数据合规尽职调查报告》，掌握目标公司的主体资格、经营状况、财务状况、资产权属、重大项目或者诉讼处罚情况，并判断该情况是否进行相关数据交易或者商业计划，如果发现相关风险可以及时终止数据交易从而避免客户的损失。通过对目标企业现状和合作价值作出客观、科学的评估，准确制定项目计划、合理确定交易结构，增强委托企业的谈判优势。

二、企业数据合规尽职调查的基本流程

（一）签署数据合规尽职调查委托书或者保密协议

1.一般性条款内容

委托协议或者保密协议应包括一般性条款：1）委托方与律所双方的基本信息；2）具体的委托事项和明确的尽职调查范围：3）明确的委托期限；4）尽职调查的实施方式和人员配备；5）尽职调查的工作程序和工作要求、注意事项；6）律师费、支付方式以及付款流程信息；7）委托方和受托方的权利义务；8）违约责任条款；9）保密条款；10）争议解决与法律适用；11）特别说明和不可抗力。

2.重点关注内容

除了一般性条款之外，还要重点关注一下几个方面：

（1）避免委托合同约定范围太广，规避责任、转嫁风险，对律师尽职调查范围做了很宽泛的规定，超出律师执业能力范畴。

（2）关注尽职调查服务内容边界条件，明确委托协议中服务内容和交付物的边界条件，防止签订“开口价”协议，防止顾问机构低价签单，在实施委托工作的过程中不断加价，造成委托协议预算不断超支。

（3）关注尽职调查费用产生情况，明确委托工作时的参考小时费率、阶段性报价、因工作量较大超过交付时间的工作量对应费用以及差旅费标准，明确支付主体和支付路径。

（二）组建数据合规尽职调查团队

专业的数据合规尽职调查团队应该由不同级别的律师和不同专业领域的人员共同合作完成，包括项目负责人、高级律师、初级律师、律师助理以及企业数据合规管理人员等。如果人员有限，高级律师可以兼任项目负责人，制定数据合规尽职调查计划实施方案，统筹数据合规尽职调查流程，负责数据合规尽职调查报告的整体编撰。初级律师和律师助理在高级律师的指导下开展数据合规尽职调查工作，实地考察，收集资料，现场访谈，出具初步的数据合规调查结果。企业风险风险管理师负责在管理层面上提出合规建设性建议。

（三）确定数据合规尽职调查合理方案

调查方案应该包括目标公司的基本信息和历史数据合规问题、尽职调查时间安排、调查范围、工作流程、调查方法、团队分工、数据分级分类工作计划、数据合规尽职调查注意风险点等内容。在拟定数据合规尽职调查合理方案之前，需要对目标公司开展数据合规风险评估，如果涉及到重大数据合规风险问题且仅通过尽职调查难以解决，将会慎重决定是否开启尽职调查。

（四）开展前期网络尽职调查

在开展现场尽职调查之前，初级律师和律师助理有必要开展网络调查，全面搜集目标公司的相关信息，提前对目标公司有一个初步的审慎性分析，以便于现场尽职调查提高效率和核查相关信息的真实性。

（五）设计合数据规尽职调查问卷

设计数据合规尽职调查问卷，是为了方便律师开展了解目标公司的基本情况，并且提前设计问卷可以有效沟通材料提供，避免关键信息因疏忽而漏掉。但是，问卷调查并不能保证目标公司是否有可能会发现潜在的不合规行为，所以律师还是要结合访谈等其他调查步骤综合判断。

（六）实施现场尽职调查

实施现场调查是合规尽职调查最重要的阶段，最有助于发现目标公司的真实全面的数据合规问题。现场调查一般包括收集整理合规资料、审阅、分析合规文件、审查财务账目、实地走访、访谈核心人物和关键人物等。

（七）罗列数据合规风险清单

数据合规风险清单是影响合规尽职调查结果的关键一步。通过罗列风险清单，可以全面的看清目标公司的合规潜在风险，数据分级分类逐一排查特别严重风险、严重风险、一般风险、轻微风险，有利于企业有顺序开展数据合规整改工作。

（八）起草数据合规尽职调查报告

在基本的数据合规尽职调查程序完成后，开始起草数据合规尽职调查，阐述基本事实、合规风险分析、报告结果、合规整改建议（例如建立全面数据合规管理体系、合同中增加数据合规条款、构建违规举报窗口等）。形成大报告之后，由目标公司的法务代表参加讨论。就数据合规尽职调查报告提出意见，开展意见征询稿，就基本事实部分进一步核实。

数据合规尽职调查报告一般分为序言、正文和附件三部分。序言包括出具报告的目的和范围、专业术语定义、调查方法和工具、调查日期和免责限制及声明。正文为基本事实和重大法律事项摘要。附件部分为统计表格和资料清单。

（九）补充调查

审阅和梳理尽职调查资料，不同专业团队针对共同涉及的问题交换意见，对已经获取的信息进行分析，确定已经核实的事实、待核实的事实、未核实的事实，并根据分析结果进行补充调查。

三、企业数据合规尽职调查的实施要点

以医疗大健康行业为例，医疗数据具有普遍的真实性和隐私性，从微观上包含个体身体健康情况、医疗就诊情况等数据，从宏观上包含疾病传播、区域人口健康状况等数据，医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全。并且，目前审核机关对拟上市企业（尤其是科创板上市）的数据合规审查日趋严格，对数据合规方面的问询涵盖了从数据收集、存储、使用、共享、出境到数据安全等多个维度。本文以医疗器械数据作为数据合规尽职调查的对象，开展相关实施要点的介绍。

（一）界定医疗器械数据的范围

本文的医疗器械数据含义宽泛，既可以理解为医疗器械企业的数据，也可以理解为医疗器械设备涵盖的数据，类型涵盖范围较广。第一，基于医疗器械的种类，医疗设备通过诊断治疗会收集患者的个人信息数据；第二，医疗设备用于研发创新的临床试验数据；第三、医疗器械平台收集的大量个人信息数据。第四，医疗器械企业以及利益相关方的商业数据。

《医疗器械监督管理条例》（以下简称“条例”）第103条，医疗器械，是指直接或间接用于人体的仪器、设备、器具、体外诊断试剂及校准物、材料以及其他类似或者相关的物品，包括所需要的计算机软件；其效用主要通过物理等方式获得，不是通过药理学、免疫学或者代谢的方式获得，或者虽然有这些方式参与但是只起辅助作用。

医疗器械含义广泛，种类繁多。根据《医疗器械分类目录》，可以概括分为：（1）常规医疗器械，例如家庭保健自我检测器材、多功能治疗仪、助听器、X线机、核磁共振、智能产品的软件或硬件（手环等）等；（2）美容器械：美容器械与人体直接接触侵入类、能量交换类、甚至是植入类器械，如半导体激光脱毛机；（3）医疗器械耗材、附件和配件，例如体外诊断设备配套使用的试剂；（4）医疗器械软件：心电数据处理软件、医疗影像处理软件等。

（二）梳理医疗器械数据类型

1.医疗设备数据

（1）大型医用设备数据

大型医用设备是各级医疗机构必不可少的临床诊断与治疗工具。鉴于甲类大型医用设备操作技术含量高、临床使用风险高等特点，国务院卫生计生行政部门规定只有三级甲等医疗机构在功能定位、相应的工作量指标、医技人员配置和学科建设情况符合要求后，才能允许配置使用。投入使用的大型医用设备会生成运行数据，以及借助于设备显示器图像采集患者个人信息数据。

（2）智能可穿戴设备数据

智能可穿戴设备（ Wearable Devices）是指将传感器、无线通信、多媒体等技术嵌入人们直接穿戴在身上的便携式医疗或健康电子设备中，其利用可穿戴电子设备内置的各传感器监测佩戴人的心率、呼吸、体温等健康参数，将监测结果发送到佩戴人已安装对应APP的便携式终端/PC端，便于佩戴人对自身的健康状况有一个全面的监测和管理。智能可穿戴设备更多是对个人生物信息的收集、处理和储存。

2.临床试验数据

许多医疗器械的研发创新与临床数据关联密切，一般包括医疗器械临床文献资料、临床试验数据、受试者个人生物信息、安全性数据，存储的是个人生物信息和健康信息。根据全球医疗器械协调组织指导文件GHTF/SG5（PD）N1R7《临床评价》规定，临床评价分为临床数据收集、临床数据评估和临床数据分析三个阶段。临床数据可以从三个不同的来源获得，分别是通过文献搜索产生的数据、通过临床经验产生的数据和临床试验的数据。

随着电子病历报告表（eCRF）和临床试验远程电子数据采集系统（EDC 系统）的兴起，临床试验数据正在逐渐结构化，但目前还尚未完全解决临床试验过程中管理成本高、项目管理信息不透明等问题。将病例入组、项目管理、数据获取、数据处理和数据分析等环节智能化与数字化，是未来临床试验项目管理的发展趋势。

3.医疗器械平台数据

根据《医疗器械网络销售监督管理办法》，医疗器械网络交易服务第三方平台提供者，是指在医疗器械网络交易中仅提供网页空间、虚拟交易场所、交易规则、交易撮合、电子订单等交易服务，供交易双方或者多方开展交易活动，不直接参与医疗器械销售的企业。医疗器械平台会收集很多第三方数据和个人信息。

4.企业商业数据

（1）产品申请注册类数据

除了上述数据外，医疗器械企业的商业数据通常包括产品注册资料数据和生产、经营、使用数据以及利益相关者数据。产品注册数据包括监管信息、综述资料、非临床资料、临床评价资料、产品说明书和标签样稿、质量管理体系文件等。产品注册数据是企业最重要的商业数据，关乎企业的商业秘密和产品功能的介绍，所以商业数据更多也是商业秘密数据，医疗器械企业应该注意对商业数据的保存。

（2）医疗器械生产、经营与使用数据

医疗器械说明书、标签：通用名称、型号、规格；医疗器械注册人、备案人；受委托生产企业的名称、地址及联系方式、生产日期、使用期限或者失效日期；产品性能、主要结构、适用范围、禁忌、注意事项以及其他需要警示或者提示的内容；安装和使用说明或者图示、维护和保养方法；特殊运输、贮存的条件、方法、产品技术要求规定应当标明的其他内容。

医疗器械销售数据包括销售记录、进货查验记录：医疗器械的名称、型号、规则、数量；医疗器械的生产批号、使用期限或者失效日期、销售日期；医疗器械注册人、备案人和受托生产企业的名称、供货者或者购货者的名称、地址以及联系方式、相关许可证明文件编号等。

（3）企业客户数据和消费者数据

医疗器械企业的利益相关者，如供应链合作方、分子公司等提供的一些交易数据，例如付款信息、开户信息、对方企业信息等也属于医疗器械企业的商业数据。

（二）识别数据违规风险

近年来，医疗器械数据违规风险不断升级，违规风险类型包括违规收集个人信息、医疗器械数据造假风险、医疗器械数据泄漏风险、以及因数据处理不当引起的其他违规风险。

1.违规收集个人信息的风险

医疗器械企业以及医疗器械设备以及医疗器械APP收集着大量的个人信息，收集个人信息处理不当存在着违规风险。工业和信息化部会定期在官方网站上发布关于侵害用户权益行为的APP通报。其中，在2021年第6批违规收集APP通报中，杭州塑美在线科技有限公司运营的微整形整容专业医美平台塑美APP，因为违规收集个人信息被要求整改。资料显示，杭州塑美在线科技有限公司成立于2018年3月，主要经营第一类医疗器械、第二类医疗器械等业务。

2.医疗器械数据造假的风险

医疗器械注册申请数据造假行为严重影响药品质量安全和药品监管权威，危及人民群众身体健康和生命安全，社会各界反映强烈。自2016年开始，围绕临床试验数据真实性、合规性问题，国家药品监督管理局（NMPA）针对其监管的试验项目（包括所有境内第III类及进口医疗器械在中国境内通过临床试验方式获取临床试验数据的注册申请项目）进行不定期监督抽查。

2020年，国家药品监督管理局于对在审的10个医疗器械注册申请项目开展了临床试验监督抽查，涉及27家临床试验机构。国家药监局检查发现：杭州安旭生物科技股份有限公司生产的人类免疫缺陷病毒抗体/丙型肝炎病毒抗体/乙型肝炎病毒表面抗原/梅毒螺旋体抗体联合检测试剂盒（免疫层析法）（受理号：CSZ2000162）在浙江大学医学院附属第一医院开展临床试验中，医疗机构留档的电子照片拍摄时间、地点与临床试验实际时间、地点不一致，临床试验数据无法溯源。

2020年，江苏省发布《关于开展2021年医疗器械临床试验监督抽查工作的通知》，对医疗器械临床试验数据真实性、合规性开展监督检查。存在以下情形的，医疗器械数据存在真实性问题。

（1）编造受试者信息、主要试验过程记录、研究数据、检测数据等临床试验数据的；

（2）临床试验数据，如入选排除标准、主要疗效指标、重要的安全性指标等不能溯源的；

（3）试验用医疗器械不真实，如以对照用医疗器械替代试验用医疗器械、以试验用医疗器械替代对照用医疗器械，以及以其他方式使用虚假试验用医疗器械的；

（4）瞒报与临床试验用医疗器械相关的严重不良事件、可能导致严重不良事件的医疗器械缺陷、使用方案禁用的合并用药或医疗器械的；

（5）注册申请的临床试验报告中的数据与临床试验机构保存的临床试验报告中的数据不一致，影响医疗器械安全性、有效性评价结果的；

（6）注册申请的临床试验统计分析报告中的数据与临床试验统计数据库中数据或分中心临床试验小结中的数据不一致，影响医疗器械安全性、有效性评价结果的；

（7）其他故意破坏医疗器械临床试验数据真实性的情形。

3.医疗器械数据泄漏的风险

引起医疗器械数据泄漏的原因有很多，例如数据资料丢失或遗忘、数据操作失误、非法访问、数据管理失误、数据盗窃等。近期，因为网络安全问题，引起数据泄露风险加大。如下表所示，网络安全损害的严重度，伴随着一定的数据泄漏。

例如，医疗器械制造商ZOLL于2023年1月28日发现了一起网络安全事件，黑客攻击ZOLL的LifeVest设备（可穿戴式心律转复除颤器），在其内部网络上发现了“异常活动”，迅速采取措施，并联系了执法部门。随后的调查确定，患者个人信息数据“在2023年2月2日或前后”受到影响。ZOLL已经确认了患者姓名、出生日期、联系方式和社会安全号码（SSN）被泄露。这是ZOLL在过去四年中报告的第二次重大违规行为。早在2019年1月，ZOLL现由第三方存档的电子邮件在供应商的服务器迁移过程中暴露，该公司已发布了一份详细说明数据曝光的新闻稿。暴露的信息包括患者姓名、地址、出生日期和部分医疗信息，一些患者的身份证信息也被暴露。发现泄露事件后，ZOLL立即启动了内部审查，277,319名患者受此事件影响。

另外，需要尤其关注医用医疗设备数据泄露的法律风险。通常医疗设备连网的主要目的是实时监测设备运行情况和异常告警，预判是否有部件需要更换，或通过互联网访问控制医疗设备，从而快速处理故障。然而，将医疗设备暴露在互联网可能会被恶意人员攻击复用，造成设备被远程控制，可能导致医疗设备被攻击、设备失控及数据泄露等情况。

2021年8月，郑州大学第一附属医院信息、装备、医技部门对4个院区共计387台主要医疗设备实施数据安全调查，彩超、检验及放疗设备均未连接互联网，亦不存在远程控制和境外数据通道等。

4.医疗器械数据现场核查的风险

随着《医疗器械临床试验质量管理规范》、《医疗器械临床试验现场检查程序和检查要点》正式启动实施以后，中国医疗器械临床数据核查工作拉开帷幕。为此，医疗器械企业在国家对临床试验的监管要求的新挑战下，应对医疗器械数据现场核查的风险。

2020年7月，海南省药品监督管理局医疗器械注册与监督管理处对宜春市人民医院医疗器械临床试验项目妇衡牌复合敷料进行了为期1天的数据现场核查。专家组对临床试验项目的试验方案、试验流程、伦理材料、知情同意书、试验器械和物资的交接、保存、发放和回收记录、受试者筛选入选表、鉴认代码表、完成编码表等原始记录、研究病历和病例报告表及部分病例原始数据进行溯源等分别展开细致核查。

5.因数据处理不当引起的其他风险

（1）广告违规风险

医疗器械企业除了数据自身携带的违规风险之外，还有因数据处理不当引起的其他风险，例如因数据引起的广告合规风险。《中华人民共和国广告法》第11条规定，广告使用数据、统计资料、调查结果、文摘、引用语等引证内容的，应当真实、准确，并表明出处。引证内容有适用范围和有效期限的，应当明确表示。无论数据由第三方提供还是由企业自行取得，企业应当有证明数据来源的相关材料，并且企业发布广告应当确保真实、准确、全面地使用数据。如果伪造、篡改数据则可能构成虚假广告，如果片面使用数据、断章取义则可能构成误导广告。

（2）不正当竞争违规风险

《中华人民共和国反不正当竞争法》第2条，经营者在生产经营活动中，应当遵循自愿、平等、公平、诚信的原则，遵守法律和商业道德。医疗器械企业未经授权许可非法获取、使用数据或者将非法获取的数据提供给第三方使用，开展数据处理活动排除、限制竞争，或者损害个人、组织合法权益的，严重扰乱数据市场公平竞争秩序的行为，涉嫌数据不正当竞争。

四、企业数据合规尽职调查体检表

在开展数据合规尽职调查的过程中，需要收集和查阅大量文件及相关制度，除了需要制作传统上的法律《尽职调查清单》之外，企业还需根据收集的数据相关资料制作《企业数据合规尽职调查体检表》，逐一检查数据相关合规风险，并使尽调工作有序进行。

结语

2024年2月19日，国家数据局发布消息，为摸清数据资源底数、加快数据资源开发利用、更好发挥数据要素价值，国家数据局等四部门联合开展全国数据资源情况调查，调研各单位数据资源生产存储、流通交易、开发利用、安全等情况，为相关政策制定、试点示范等工作提供数据支持。伴随着全国数据资源调查的开展，企业也应做好数据合规尽职调查工作，加强数据主体的明晰和数据风险的治理，促进数据资产的合规管理和应用。

吴岩

北京吴少博律师事务所

合规部合规经理

简介：

企业合规师。中国社会科学院研究生院法律硕士，辅修会计应用学。曾在涉外知识产权律所从事知识产权保护、投资咨询公司从事投资并购法律业务，具备相关领域的法律合规实务经验。专注业务领域为知识产权与反垄断合规、数据合规、ESG投资与税务。服务行业领域为医疗大健康行业、能源化工行业等。公开发表国内实务文章三十多篇，海外论文一篇，参与著作一部。工作语言为中文、日文、英文。