境外直接投资（ODI）境外公司并购已成为企业拓展国际市场、优化资源配置的重要路径。然而，并购过程中涉及的海量数据流转——从目标企业的核心商业机密、财务数据，到境内企业的投资规划、资质文件，再到双方关联的个人信息，均面临着极高的信息泄露风险。与此同时，各国数据安全法规日趋严格，中国《数据安全法》《个人信息保护法》与《数据出境安全评估办法》的刚性约束，叠加欧盟GDPR、俄罗斯数据本地化要求等境外监管规则，使得ODI境外并购的合规门槛持续提升。信息泄露不仅会导致企业商业利益受损、并购进程受阻，还可能引发跨境合规处罚，甚至影响国家数据安全。因此，精准识别信息泄露风险、构建全方位合规防控体系，已成为ODI境外公司并购成功的关键前提。

ODI境外公司并购中的信息泄露风险，贯穿并购全流程，且呈现出隐蔽性强、影响范围广、危害程度深的特点。并购前期的尽职调查环节是风险高发区，此阶段境内企业需向境外目标方、中介机构（律师、会计师、投行等）提交大量敏感信息，包括企业审计报告、核心技术参数、客户资源、股权结构及实际受益人信息等。部分企业因合规意识薄弱，未对敏感数据进行脱敏处理，或通过未加密的邮件、公共传输渠道传递文件，极易导致数据被非法获取、篡改或泄露。曾有高新技术企业在境外并购尽调中，未加密传输核心配方数据，导致技术机密被竞争对手窃取，虽通过法律途径维权成功，但仍遭受了巨大的商业损失与品牌影响。此外，部分中介机构信息安全管理水平参差不齐，内部数据管控漏洞也可能成为信息泄露的重要源头。

并购实施阶段的跨境数据传输的合规性缺失，进一步加剧了信息泄露风险。根据《数据出境安全评估办法》规定，处理100万人以上个人信息的数据处理者向境外提供个人信息，或向境外提供重要数据的，必须通过国家网信部门的安全评估。但实践中，部分企业存在认知误区，认为“数据属于企业自有，可随意跨境传输”，未经安全评估便将境内敏感数据镜像至境外服务器，或直接向境外目标方传输未脱敏的个人信息与核心业务数据，不仅违反国内监管要求，还可能触碰境外国家的数据保护红线。例如，某跨境电商企业在境外并购中，计划将国内数百万用户画像数据传输至境外用于营销，因未履行数据出境安全评估程序，被监管部门叫停并购项目，造成重大经济损失。同时，并购后的整合阶段，境内外企业数据系统对接、人员调配过程中，若缺乏统一的数据安全管控标准，也可能出现数据泄露、滥用等问题。

除了信息泄露的直接风险，合规管控不到位还会引发一系列连锁反应。当前，监管部门对ODI的监管已从“资金来源合规”延伸至“境外经营合规”，数据安全成为审核的核心维度之一，若并购过程中存在数据合规瑕疵，可能导致ODI备案被拒、资金无法汇出，甚至面临监管处罚。此外，不同国家和地区的数据安全法规差异较大，欧盟GDPR对数据泄露的罚款最高可达全球年营业额的4%，俄罗斯要求核心数据本地化存储，东南亚各国也有各自的监管门槛，企业若未充分掌握目的地法规要求，极易因合规疏漏引发境外诉讼或处罚，导致并购项目停滞、投资回报受损。

应对ODI境外公司并购中的信息泄露与合规风险，需构建“事前防控、事中管控、事后处置”的全流程合规体系。事前，企业应开展全面的风险评估，明确并购过程中涉及的敏感数据范围，包括核心商业秘密、重要数据、个人信息等，同时梳理境内外相关法规要求，制定针对性的数据安全预案与跨境传输方案，对敏感数据进行脱敏、加密处理，明确数据传输的合法渠道与权限。在选择中介机构时，需严格审核其信息安全资质，签订保密协议，明确双方数据保护责任，避免因中介机构疏漏导致信息泄露。

事中，应强化数据流转的全流程管控，建立专门的加密传输通道，对数据访问、使用、存储进行分级授权，实时监控数据流转动态，及时发现并处置异常访问行为。对于需跨境传输的数据，严格按照《数据出境安全评估办法》要求，完成风险自评估与安全评估，确保数据出境合法合规，避免未经评估擅自传输敏感数据的行为。同时，在并购合同中明确数据安全保护条款，约定境外接收方的数据保护责任、数据保存期限、再转移限制及应急处置义务，防范境外主体的数据滥用与泄露风险。

事后，需建立完善的应急处置机制，一旦发生信息泄露事件，立即启动应急预案，采取数据封存、溯源排查、风险控制舒心企服专注于为企业提供专业的 ODI 备案服务。凭借丰富的经验、专业的团队以及对政策的精准把握，能够协助企业顺利跨越政策红线，找到合规路径，高效完成 ODI 备案，助力企业在国际市场上稳健前行，实现跨境投资的目标。