前年一家做新能源汽车电机的中国企业准备收购德国一家小型技术公司。在尽调过程中,中方向德方提供了一份详细的收购计划书,里面包含了中方的估值逻辑、整合计划和融资方案。德方在谈判后期突然态度强硬,对中方提出的条件几乎每条都拒绝,最终收购以失败告终。几个月后,中方发现德方公司的技术路线出现了一百八十度的变化,跟中方在计划书里描述的技术整合方向非常一致。这个案子虽然最终没有取得实质性的证据,但几乎可以确定,中方的整个收购策略在尽调过程中就被对方掌握得一清二楚。
跨境并购是大规模信息交换的商务场景,也是信息安全风险极高的一类活动。从最初的非约束性报价到最后交割的每一个环节,双方都需要分享大量的商业和技术信息。这些信息一旦管理不当,就会对收购方的战略目标造成严重打击。
跨境并购中的信息保护可以从信息分阶段披露入手。在交易的每一个阶段,收购方应该只披露达成该阶段交易所必需的信息。比如在初步接洽阶段,收购方只需要提供最基本的公司概况、收购意向和大致估值范围。只有在签署了保密协议并进入尽调阶段之后,才可以逐步提供核心的商业和技术信息。这种分阶段披露的策略,可以有效控制信息泄露的数量和时间窗口。
保密协议在跨境并购中是首要道法律防线。保密协议应该明确覆盖哪些信息是保密的、保密期限多长、哪些第三方可以接触到保密信息、信息泄露后的赔偿机制和争议解决方式。但需要注意,保密协议只能起到法律上的制约作用,对于已经泄露的信息,法律诉讼往往是事后补救,很难完全弥补已经造成的损失。所以保密协议不能替代信息安全管理,只能说是在防线失守之后的一道追责手段。
虚拟数据室是跨境并购中信息共享的标准工具。一个好的虚拟数据室应该支持文件级别的访问控制,不同角色可以看到不同的文档集。访问记录要完整可审计,每一个用户打开每一份文档的时间、时长和操作都应该被记录。对于特别敏感的文档,虚拟数据室应该支持在线预览但不允许下载和打印,或者添加水印来保护信息安全。
但现实中有个问题:很多收购方觉得有了虚拟数据室就万事大吉了,但实际上虚拟数据室的配置如果不当,照样有泄露风险。比如给目标公司的每个人员分配了独立账户,但在实际的尽调过程中,中介机构的人可能使用同一个账户在不同地点登录,导致账户安全和行为追踪全部失效。正确的做法是参与尽调的每一个人员都申请独立账户,账户激活使用双因素认证,并且对账户范围内的操作设置下载限制和远程擦除功能。
尽调团队的管理本身也值得投入。跨境并购的尽调团队通常包括投资银行、律师事务所、会计师事务所、行业顾问和技术专家。这个团队越大,信息泄露的风险就越大。每一个团队成员都应该签署保密协议,尽管核心的尽调信息在一个受控的范围内流转。任务分配时也要遵循最小必要原则,让每个成员只接触与其工作直接相关的信息部分。
在跨境并购中还有一个特殊的信息保护挑战,就是目标公司的数据合规审查。有些国家的法律规定,目标公司在并购交易中的数据传输受到限制,特别是个人数据和政府相关数据的跨境传输。收购方在获取这些信息时,需要同时考虑目标公司所在地的法律限制和自身的合规要求,避免在信息获取的过程中自身先违反了当地法律。
并购报价中的信息安全是一个特别敏感的话题。收购方的估值模型、报价上限和融资安排是并购中核心的机密信息之一。这些信息的泄露会直接导致收购方在谈判中处于被动地位。在报价之前,应该将估值工作安排在封闭的团队中完成,估值相关的文件使用加密存储和传输,只有核心决策层成员才能接触完整的报价方案。
并购完成后还需要关注信息回收。如果交易最终没有达成,收购方应该按照保密协议的约定,将尽调期间获取的所有目标公司信息归还或者销毁。这些信息包括电子版和纸质版的文档、邮件、聊天记录和分析报告。信息回收的执行过程要有记录作为证明,以防止未来出现争议时双方无法就信息状态达成一致。
跨境并购的信息保护工作贯穿交易的整个过程,从最初的市场筛选到最后的交割完成,任何一个环节的疏忽都可能让整个交易付出高昂代价。一项成功的跨境并购,不仅需要专业的商业判断和财务能力,更需要将信息安全整合到整个交易流程的每一个步骤之中。
