国务院分别在2015以及2017年下发《促进大数据发展行动纲要》《新一代人工智能发展规划》之后,中国的AI及大数据行业爆发式增长,相关行业也逐渐成为投资人关注的投资热点,市场上专注于AI及大数据投资的基金相继设立。值得注意的是,不同于一般的高科技行业,AI以及大数据由于其特性决定其存在固有的合规风险。
植德律师根据此前的经验就基金投资AI及大数据行业的风险进行了初步分析,并简单总结如下。
1. AI及大数据行业的固有风险
商业模式的合规性判断是所有投资人投资AI、大数据行业时须考虑的首要问题。
由于蕴含着巨大的经济价值,数据被认为是未来企业最重要的资产,商业模式中涉网、涉数的因素相应的增加了标的公司的经济价值。然而,AI、大数据的业务犹如带刺的玫瑰,如果不能充分理解网络安全和数据保护的相应法律义务和法律风险,则很容易使得创始人或者投资人陷入被动状态。
企业可能涉及的与数据相关的刑法罪名主要有以下两大类:计算机系统安全类犯罪和其他相关犯罪。
数据是AI技术和大数据时代必备要素,数据的存储、处理、应用离不开计算机系统构成的网络环境。计算机系统安全类犯罪主要包括:
非法侵入计算机信息系统罪;
破坏计算机信息系统罪;
非法获取计算机信息系统数据罪;
非法控制计算机信息系统罪和提供侵入;
非法控制计算机信息系统程序、工具罪。
计算机系统内的数据也成为刑法保护的重要法益。其他相关犯罪主要包括:
侵犯公民个人信息犯罪;
侵犯著作权罪;
盗窃罪;
拒不履行信息网络安全管理义务罪。
2. 投资人不会必然排除涉刑风险
在标的公司涉及到数据刑事犯罪时,各类投资人虽然没有直接实施犯罪的行为,但是当标的公司涉嫌刑事犯罪时,并没有哪类投资人能必然排除在刑事风险之外。
投资人是否涉刑关键在于看其行为是否符合刑法规定的罪名的构成要件。根据既往的案例:
投资人如果是标的公司的主要直接主管人员,则可能因公司单位犯罪而被处以刑罚;
投资人可能与公司其他人员直接构成共犯而被处以刑罚;
除了直接实行犯罪行为构成犯罪外,教唆或帮助他人从事犯罪行为也可能构成犯罪。
3. AI、大数据领域投资的初级风控措施:商业模式的合规评估
只有那些有能力对商业模式做出合规判断的投资人才能做到既不错过下一个智能商业的风口又不至于在一个高风险的项目上踩雷。商业模式的合规评估简单而言就是两点,首先理解商业模式的商业逻辑和法律逻辑,其次深入理解商业模式涉及的法律的底线要求。
商业模式的合规性必须建立在数据全生命周期、全产业链的整体合规审核的基础上。我们建议投资人应当在对标的公司做系统Data Mapping的基础之上,根据投资人自己的合规制度,将标的公司的风险分为“安全”、“危险”以及“灰色”三个等级。
对于完全是算法、硬件等的业务,一般可归入“安全类”;
对于商业模式中包括查询征信信息牟利、买卖网购订单信息、黑客手段窃取公民个人信息等的业务,一般可归入“危险类”;
而对于其他的标的公司,则可归入“待确定类”。
“待确定类”的公司并不一定是投资的禁区。对于该等标的公司需要在深刻理解其数据流、业务流以及现金流的基础之上,由专业的律师进行进一步的判断。我们建议,对于商业模式处于“危险”级别的标的公司,即使其拥有的数据具有巨大的经济价值,也必须在其作出有效整改之后才可以进行相应的投资。
4. AI、大数据领域投资的初级风控措施:针对不同的标的公司设计不同的尽职调查清单
通常AI和大数据行业公司的业务模式均涉网涉数,但是不同的公司商业模式不尽相同。从数据的角度,一个公司可能在不同的情况下涉及数据的搜集、使用、处理、出售、买入、加工中的一个或多个环节。就每个环节而言,公司的义务各不相同,其法律风险的程度也各有不同。
目前,AI、大数据领域的投资交易中,涉及网络安全和数据保护的尽职调查往往被低估甚至忽视。投资人较少把这一事项纳入到传统的尽职调查范围中。而标的公司,往往对网络安全和隐私保护没有给予足够的重视,这恰恰也是此类交易中最薄弱风险最高的部分。如果标的公司的网络安全和数据保护存在严重的法律风险或技术安全隐患,将对投资人带来重大风险或造成严重损失。
因此,我们建议在尽职调查开始之前,应当首先对标的公司进行数据合规以及商业模式的访谈,访谈的对象应当包括管理层、业务、IT、销售等公司内部具有数据访问权限的层级和部门,以便了解标的公司的数据、业务、资金以及人员的对应情况,从而能够更有针对性的准备尽职调查 清单。具体而言,在常规的尽职调查基础上应额外关注标的公司的数据处理流程及相关制度、数据和网络安全保护的现状、是否符合适用的监管政策以及是否存在合规风险等。例如,缺乏适当的隐私保护措施、政策和流程,没有设置相应的网络安全和隐私保护部门或负责人等等,未能充分保护其搜集和存储的个人敏感信息等情形,均从一定程度上反映出标的公司网络安全和隐私保护薄弱的问题。
5. AI、大数据领域投资的进阶风控措施:完整的解决方案
AI、大数据领域的业务复杂并且充满风险。初级风控措施,无论是商业模式的合规评估还是针对不同的标的公司设计不同的尽职调查清单都不足以规避风险。我们理解,所有投资AI、大数据领域的投资人必须有关于数据合规投资的完整解决方案。
完整解决方案的要点是:
1) 树立数据有价、尊重隐私的观念。
数据尤其是存在于计算机系统中的数据受到法律的特别保护,在获取或对其进行处理时应当考虑方式是否合法;个人信息无论其是否存在于计算机系统中,都受到法律的特别保护,如果获取或处理的数据涉及个人信息,亦需要引起特别的注意。
2) 不能以经验判断代替法律判断,把行业习惯当作免责理由。
这是中国投资人和企业家常犯的错误。在一个严格监管的行业中不能简单的以某个公司或者个人的片面经验来代替专业的法律判断,也不能把不合规的行业习惯当做自己的免责理由。
著名拳击手泰森的一句名言特别值得思考,Everyone has a plan until you punch them in the face. Then they don’t have a plan anymore.
3) 加强对标的公司数据合规方面的调查和辅导,从根源上防控风险。
投资人在投资尽职调查过程中和在投后的管理过程中,应当依照相应的规定、参考推荐性的国家标准,加强对标的公司在数据合规方面的调查和辅导,降低涉及数据的刑事风险。
另外,投资人拟对标的公司与数据相关的具体业务提出需求时,亦应谨慎考察该具体业务的需求本身是否能够通过合法且现实的手段实现;如果投资人所提要求难以通过合法且现实的方式实现,则不应要求标的公司实施。
6、其他需要考虑的因素
对于AI、大数据领域的投资而言,前述只是诸多要点的一部分。在具体的交易中还需要考虑如下问题,数据如何估值?如何确保数据在尽职调查、签约、交割等各个阶段不发生数据泄漏或不恰当的信息披露?并购交易中如何转移数据?是否存在数据跨境的问题?
AI、大数据行业的商业模式日新月异,相应的监管也日趋严格,植德也将时刻关注业内的最新动态并将及时与业内分享植德的研究成果。