彭博社法律专栏于2021年7月21日就其《2021年度技术交易调查》中与科技领域的法律问题采访了相关科技律师。其中,庞杂的科技专业知识,不断变化的全球隐私条例,勒索软件,黑客攻击所带来的网络安全事件激增,以及并购交易中的科技挑战成为科技律师所着重关心的领域。
科技行业的律师们发现,他们所处的监管环境变化莫测,合规风险居高不下。最新的调查结果也证实了这一点。作为彭博社法律专栏《2021年度技术交易调查》的一部分,我们询问了那些起草、谈判或就技术相关合同或法律事务提供建议的律师。他们就其工作、所关心的问题和所面临的挑战作出了回应,表示州、联邦和国际隐私和网络安全法律法规千变万化是不安的主要来源。
技术律师对隐私和安全的担忧源于他们的工作重点。大多数受访者表示,他们的工作主要涉及“服务条款、使用条款、最终用户许可协议和隐私政策”(63%)、“数据管理(包括网络安全、隐私问题)”(55%)或“云计算”(51%)。数据在商业和法律的各个方面越来越重要,这不可避免地推动了工作重点的转变。
庞杂和跨司法管辖区域的专业知识
我们询问了受访者,在他们面向技术领域的工作中,哪些领域会成为挑战。最受欢迎的回答分别是“数据、隐私法律与监管问题”和“需要对复杂主题作技术理解”,各有63%的受访者选择了这两个问题。第三个最受欢迎的回答是“需要跨管辖区域(包括国际)专业知识”,有45%的受访者选择了这一答案。
我们还询问了受访者,在他们的技术事务工作中,哪些潜在的法律或监管变化是他们最担心的。“国家隐私立法”是最多的答案,有63%的受访者选择了这一类别。
国家、联邦和全球隐私千变万化
2023年将成为新的州隐私法的重要一年,届时《弗吉尼亚消费者数据保护法》(Virginia Consumer Data Protection Act)、《科罗拉多州隐私法》(Colorado privacy Act)和《加州隐私权法》(California privacy Rights Act)的关键条款都将生效。尽管每一部法律都有自己独特的标准和异议,但为一部法律做准备的过程,可能会帮助科技律师和他们的多个管辖区域的客户更好地适应其他两项法律。例如,数据映射(识别组织的数据源和分析如何使用和共享每个数据类型的过程)是为新的隐私需求做准备时经常实施的一种策略。这种组织范围内的项目最终结果可以帮助企业在新法律生效之前就更新供应商合同条款和修改隐私政策,为企业的决策提供信息。
调查结果表明,技术律师们预计会出现广泛的变化。尽管美国尚未通过任何适用于各个行业的国家消费者隐私立法,但53%的受访者选择“联邦隐私立法”作为法律和监管方面的主要关切领域,这一事实凸显了他们的意识,即这样的法律可能会结出硕果。
尽管不属于立法范畴,但美国联邦贸易委员会(Federal Trade Commission,FTC)最近对其复杂的规则制定过程进行了程序上的修改,这应该会略微减少该机构颁布消费者数据隐私做法规则的时间。这些变化发生在拜登总统7月9日发布的《促进美国经济竞争的行政命令》(Executive Order on promote Competition in the American Economy)前不久。该命令鼓励联邦贸易委员会在“不公平的数据收集和监视行为”等领域行使其制定规则的权力。
与联邦隐私法的发展一样,“国际隐私法”也引起了调查对象的关注——这一结果很可能与欧盟《通用数据保护条例》目前的混乱状况有关。欧盟法院最近做出的一项裁决,使得除某公司所在地以外的欧盟国家的监管机构有可能接手某些与GDPR合规相关的调查。这为加强隐私执法打开了大门。专家们认为,《通用数据保护条例》的执行已经受到了因解释冲突和案件积压所造成的内耗和拖延,尤其是当被指控的违规行为影响到不止一个欧盟成员国时。
但大多数国际关注的焦虑似乎源于欧盟法院在2020年7月宣布欧盟-美国协议无效后出现的“数据传输混乱”。隐私盾(Privacy Shield)作为一个广泛依赖的数据传输框架,却没有留下任何类似的法律解决方案。由于没有达成一致的跨大西洋数据共享机制,受GDPR制约的美国公司将需要修订供应商合同,纳入欧盟批准的标准合同条款,进行具体交易风险评估,并积极监控和记录其合规工作成果。简而言之,为GDPR合规提供建议的技术律师在未来很长一段时间内都将忙得不可开交。
在下一次大黑客攻击前管理网络风险
尽管即将出台的隐私法改革显然是科技律师们最担心的问题,但借用美国国家安全局前总法律顾问的话来说,没有网络安全,就没有隐私。
在过去几个月里,美国的供应链和关键基础设施供应商经历了一次又一次的大规模网络攻击,大多数(57%)的受访者将“网络安全相关法规”的潜在变化列为首要顾虑问题。不幸的是,通过一系列大规模的勒索软件攻击和其他毁灭性的黑客攻击,人们才意识到现有的技术漏洞。但代表大公司、小企业甚至市政当局的律师们现在似乎都把注意力集中在了客户的数据安全实践上。
自新冠疫情所导致的远程工作以来,一个主要趋势是将系统和数据从本地服务器转移到云端。尽管云迁移的成本可能很高,但能够负担得起的企业能够依赖云基础设施软件提供商的网络安全专业知识。当勒索软件攻击或其他灾难性事件切断对存储在主服务器上的信息的访问时,许多软件还提供数据备份解决方案。内部律师也一直在与他们组织的IT对口单位密切合作,因为供应商合同中有关赔偿、事故响应、保险和其他数据相关条款的审查,是维护强大的网络安全政策和程序的一个日益重要的组成部分。
人们对信息安全的兴趣激增,不仅可能有助于将下一次大规模网络攻击的影响降到最低,还可能有助于让律师及其客户处于更有利的地位,以便遵守未来的网络安全法律和法规。这一领域最近的发展通常与特定行业有关,比如美国国家标准与技术协会(National Institute of Standards and Technology)最近发布了针对政府承包商的软件安全指南。美国安全与交易委员会(security and Exchange Commission)报告称,考虑更新上市公司的网络风险披露规则。一直以来,随着企业难以适应目前错综复杂的、以州和行业为基础的通知要求,要求国家安全事故报告立法的呼声越来越高。对于科技律师来说,国家违规通知标准是否有助于降低合规的复杂性,这一问题目前仍掌握在国会手中。
科技挑战反映在并购交易中
所有这些障碍、风险和担忧现在都成为并购活动的中心议题。从技术上讲,合并和收购包括从大型合并到少数股权投资的一切,它既是许多大型科技公司选择的无机增长路径,也是成长型公司接受投资的模式。目前,无论是整体并购还是科技行业的并购都在蓬勃发展。事实上,在我们的调查中,44%的受访者表示他们从事与技术相关的并购交易。
在这个激动人心的市场上,这些令人担忧的领域归结为一个关键问题,即确保他们没有买入或引入未经审查的风险。当然,尽职调查过程还包括确保数据的转移符合所有适用的法律法规。数据本身往往是关键的交易资产。从某种意义上说,一家公司或实体通常面临的所有隐私和网络安全问题,不仅反映在并购交易中,而且还因当事人的数量、交易结构的复杂性以及当事人的管辖范围而放大。这些因素可能会影响交易的合理性和估值。因此,并购律师、聘请专家、内部律师都必须掌握最新的数据隐私和网络安全发展,这样他们能够设计一个智能的尽职调查过程中,恰当地检测和评估风险,并在精心起草的交易协议中说明这些风险。
我们的调查结果清楚地表明,同样的挑战和担忧正在影响着在不同领域工作的技术律师。虽然大多数受访者处理商业合同(68%)、技术或技术交易(63%),或从事公司法(58%)工作,但有相当一部分受访者报告了从事并购(35%)、电子商务(29%)、劳动和就业(26%)和房地产(22%)等领域的问题。不管他们从事的是哪种法律,主题的多样性显示出隐私和网络安全——以及它们相应的痛点——对律师来说都很重要。
原文链接:
