企業併購與資料隱私 – 收購方應注意事項

二、合約協商階段之風險處理

依據盡職調查階段所查核到或接收到的個資相關風險資訊（下稱個資風險資訊），收購方得透過契約條款的協商來降低自身的風險。例如：

（一）評估賣方所持有的個人資料是否需要進行轉移、分享，及該轉移、分享是否涉及資料跨境傳輸。若有需要，則應進一步評估，欲進行的轉移或分享是否應另行取得個資當事人的同意。

（二）依據交易性質、交易目的、及前項評估結果，衡量是否需要依據個資風險資訊將交易價金或交易範圍進行調整。

（三）要求賣方於交割前：

• 將已產生的個資風險進行改正，並針對無法改正或無法調整的風險要求賣方提供必要的免責擔保。
• 依據（一）的評估結果，向個資當事人取得必要的同意或向個資當事人進行必要的通知並給予退出的選項。

（四）要求賣方針對交割前進行的個資蒐集、處理、及利用的遵法與契約履行義務提供合理的聲明保證。

（五）依據併購樣態的不同，訂定適當的賣方交割後義務，以確保收購方在完成收購後得在不違反法規與合約規範的前提下，繼續處理與利用相關個人資料。

三、交割完成應遵循之個資法令

交割完成時，標的公司或特定營業、資產之權利義務將移轉由買方承受，則涉及個資移轉或變動者，買方應於交割後一定期間內採取特定措施以符合法令與相關契約的規定，說明如下：

（一）確保個資當事人權益

針對由賣方所移轉或分享的個人資料，在處理與利用上必須符合賣方對個資當事人的承諾。

（二）遵循國際傳輸限制

個資移轉涉及國際傳輸之情形，如所適用個資法令有相關限制規定，應於移轉前確認符合法令要求。

（三）呈報主管機關

如所適用個資法令規定於交易後一定時間內應向主管機關為個資相關登記或通知，例如個資國際傳輸、個資保護官變更等，買方應注意相關規定，並建議取得賣方過去登記資料以資參考。

（四）更新個資處理紀錄

針對併購完成後個資相關事項變更，例如個資控制者、個資保護官、或個資利用對象等有所變更，應於標的公司之個資處理紀錄更新併購後之變動。

綜上，在企業併購過程中，從盡職調查、撰擬合約、至交易完成後的權利義務移轉，均涉及個資保護議題。為確保相關風險充分揭露、交易過程遵循個資法令，建議洽請專業律師協助併購交易中的資料隱私保護。