想收购英国科技公司?别只看增长数据。本文由资深英国并购律师撰写,揭秘代码版权(IP)归属陷阱、开源软件污染、英国国家安全审查(NS&I)及人才流失风险,助您避开并购中的法律“死穴”。
收购英国科技公司避坑指南:IP归属、NS&I审查与数据合规实战
最近几个月,伦敦的科技并购市场有点热。很多国内的投资人或者是想转型的传统老板找到我,开口就是:“这公司技术牛,用户数据多,团队全是名校PHD,赶紧出SPA(股份购买协议)吧,别被别人抢了。”
每到这时候,我都要扮演那个讨人厌的角色:“慢着。”
科技公司的尽调(Due Diligence),跟买房买地完全是两个物种。买楼,房子跑不掉;买科技公司,你可能花了几个亿,最后买回一堆不仅没用、甚至还有毒的代码,外加一个随时准备“提桶跑路”的团队。
今天不谈法条,只谈实战中那些让投资人血本无归的瞬间。
1. 致命的“外包黑洞”:你买的代码到底属于谁?
这是我在尽调中最常抓到的把柄,也是砍价最狠的地方。
很多初创公司(Startups)在早期没钱,代码是谁写的?可能是创始人的大学室友,可能是Fiverr上找的印度老哥,也可能是乌克兰的外包团队。
重点来了:在英国法律下,除非他是正式员工(Employee),否则由于没有签专门的“知识产权转让协议”(IP Assignment),版权是属于那个写代码的人的,根本不属于公司!
我遇到过一个案子,都要交割了,发现核心算法是当年一个没签合同的实习生写的。现在那个实习生知道公司要卖5000万,直接跳出来要分一杯羹。
我的建议: 别光听CTO吹架构。让律师去查GitHub的Commit记录和合同是不是一一对应的。如果IP链条断了,这交易必须停。
2. 开源软件的“隐形病毒”
现在的软件开发没人从零开始写,都会用开源库。但这中间有个巨大的雷:Copyleft类协议(比如GPL)。
如果你收购的目标公司,在其核心商业软件里“不小心”混入了一段GPL协议的代码,根据GPL的“传染性”,你的整个商业软件在法律上就被迫必须开源。
这意味着什么?意味着你那原本打算卖高价授权费的软件,现在必须免费公开源代码。你的商业模式瞬间归零。这不是危言耸听,这是我们在技术尽调中最怕看到的“污染”。
3. NS&I 法案:别以为你只是买个小软件
很多中国买家觉得:“我又不买军工,不买核电,就买个做图像处理的SaaS软件,关国家安全什么事?”
错了。英国现在的《国家安全与投资法》(NS&I Act)管得非常宽。AI、密码学、甚至一些特定的硬件技术,都在强制申报范围内。
只要你买超过25%的股份,如果属于敏感行业未申报,交易直接由法律判定为“无效”(Void)。 不是罚款了事,是交易作废,而且还要追究刑事责任。别在这个问题上抱侥幸心理,现在的审查尺度,宁可多报,不可漏报。
4. 人才是资产,也是风险:如何防止“光杆司令”
科技公司最值钱的是人。最惨的收购是什么?周五把钱打过去,周一核心团队集体辞职,拿着你的钱去马路对面开了家新公司,做的一模一样的产品。
英国法律虽然允许签“竞业限制”(Non-compete),但法院很讨厌霸王条款。如果你规定“全世界范围内5年不准同行”,法官大概率会判这条款无效。
怎么破?
Earn-out(对赌/分期支付): 别一次性给钱。把收购款的40%扣下来,分三年给。前提是他们得在岗,且业绩达标。
控制权变更条款: 查清楚,如果公司卖了,核心员工是不是有权立刻把期权变现走人?
5. 数据合规:那是隐形的巨额债务
英国虽然脱欧了,但GDPR(通用数据保护条例)还在。
很多增长极快的公司,所谓“大数据”都是野路子来的——没有合法的用户授权(Consent)。如果你接手了这些数据,你接手的不仅是资产,还是一个随时可能爆炸的雷。英国监管机构ICO的罚款上限是1750万英镑或者全球营业额的4%。
尽调时,必须问清楚:数据怎么来的?服务器在哪?有没有签跨境传输协议? 如果数据来源不干净,这资产价值得打两折。
结尾的一句大实话
收购科技公司,本质上是在买“确定的过去”和“不确定的未来”。
我没法帮你预测未来能赚多少,但我能帮你确认:你买的过去是不是干净的。 别为了赶时间省掉尽职调查,那是赌博,不是投资。
这是我们律所TMT(科技、媒体与电信)交易团队在进入“虚拟数据室”(VDR)前,发给卖方律师的**“核心技术尽职调查问卷”(Key Tech DD Request List)**。
请注意,这不是那种几百页的标准废话清单。这是针对英国科技公司(尤其是SaaS、Fintech、AI类)量身定制的“排雷指南”。
把这份清单甩给卖方,如果他们回答得支支吾吾,你就要小心了。
🇬🇧 英国科技公司收购:核心法律尽职调查清单 (Tech DD Checklist)
1. 知识产权:代码到底是谁的?(Intellectual Property & Chain of Title)
这是科技并购的“心脏”。我们不信口头承诺,只信签字画押的文件。
1.1 核心权属链条: 请提供所有参与过核心代码编写的人员名单(包括现任员工、离职员工、实习生、外部顾问)。
1.2 IP转让协议 (IP Assignments): 针对上述名单中的每一位,请提供签署生效的知识产权转让协议副本。
重点审查: 创始人早期(公司注册前)写的代码,是否有正式的“转让契据”(Deed of Assignment)转入公司?
重点审查: 外部承包商(Contractors)的服务合同中,是否明确规定IP归属于甲方(公司)而非乙方?
1.3 开源软件审计 (Open Source Audit):
请提供完整的开源软件使用清单(BOM)。
是否使用了任何Copyleft许可证(如GPL v2/v3, AGPL)下的组件?如果是,请详细说明该组件与公司私有代码的链接方式(Linking)。
如有Black Duck或FOSSA等第三方扫描报告,请直接提供。
1.4 专有资产: 所有已注册的商标、域名、专利申请的详细清单及续费状态。
2. 数据合规与隐私 (Data Protection & GDPR)
英国ICO(信息专员办公室)的罚单比你想象的要狠。
2.1 数据流向图 (Data Mapping): 公司的服务器位于何处?个人数据是否流向英国/EEA(欧洲经济区)以外的国家(如美国、印度、中国)?
2.2 跨境传输合规: 如果有跨境传输,是否签署了IDTA(英国版国际数据传输协议)或依赖了欧盟的SCCs?
2.3 同意记录 (Consent Logs): 数据库中的用户是否都经过了合法的“Opt-in”(主动同意)?请提供隐私政策的历史版本。
2.4 违规历史: 过去3年内,是否有过数据泄露事件(Data Breaches)?是否有向ICO报告的记录?是否有收到用户的“主体访问请求”(DSARs)且未处理的?
3. 技术架构与安全性 (IT Infrastructure & Cyber Security)
买房看地基,买软件看架构。
3.1 第三方依赖 (Dependencies): 请列出所有关键的第三方SaaS服务或许可证(如AWS, Azure, Stripe, Salesforce)。
关键点: 如果AWS断供,公司能撑多久?
3.2 渗透测试 (Penetration Testing): 请提供最近一次的第三方渗透测试报告,以及针对发现的高危漏洞(High-risk vulnerabilities)的修复证据。
3.3 灾难恢复 (Disaster Recovery): 公司的业务连续性计划(BCP)和灾难恢复计划是什么?最近一次演练是什么时候?
3.4 技术债务 (Tech Debt): 是否有不再维护的旧系统(Legacy Systems)仍在运行关键业务?
4. 重大商业合同 (Material Commercial Contracts)
如果你买完公司,客户跑了,那你就买了个寂寞。
4.1 控制权变更 (Change of Control): 审查前10大客户合同,是否存在“一旦公司股东变更,客户有权终止合同”的条款?
4.2 责任上限 (Liability Caps): 公司对客户承担的赔偿责任是否无限?通常行业标准应限制在年度合同金额的100%-150%以内。
4.3 SLA(服务等级协议): 过去12个月内,是否发生过违反SLA导致需要向客户退款(Service Credits)的情况?
5. 雇佣与人才保留 (Employment & HR)
防止核心技术团队在套现后立刻离职。
5.1 竞业限制 (Restrictive Covenants): 核心高管和技术骨干的合同中,竞业限制条款的期限(如6个月、12个月)和范围是否合理?(注:超过12个月的限制在英国很难执行)。
5.2 期权计划 (EMI Options): 公司的EMI期权池在收购时如何行权(Acceleration)?是否会导致股权稀释?
5.3 影子IT (Shadow IT): 员工是否使用私人设备(BYOD)或未经批准的软件进行开发?
6. 国家安全与监管 (Regulatory & NS&I)
这是决定交易生死的“红灯”。
6.1 敏感领域自查: 公司的技术是否涉及《国家安全与投资法》规定的17个敏感领域(如人工智能、加密认证、量子技术、卫星空间等)?
6.2 政府合同: 公司是否持有涉及英国国防或机密的政府合同?
💡 实战建议 (Pro Tip)
拿到这些文件的第一步,不是自己看,而是看卖方的反应。
如果卖方能在24小时内拿出一个结构清晰、文件齐全的Data Room,说明这家公司治理规范,值得买。
如果卖方说“我们没签过IP转让协议,大家都是兄弟”,或者“代码都在CTO的私人笔记本上”,建议立刻在估值上砍30%,或者要求设立高额的托管账户(Escrow Account)作为担保。
