A轮融资：金融科技企业持牌合规风险高，专项尽调与监管对赌条款保障投资安全

某PE机构拟对上海一家金融科技企业进行A轮股权投资。该企业持有第三方支付牌照，并在B端金融服务（企业贷款撮合、应收账款融资）领域有稳定客群，年营收约1.2亿元，业务增速良好。

PE机构委托蔡律师团队提供全程投资方法律服务。相较于普通科技企业，金融科技企业的尽调有两个显著特点：一是牌照合规状态是企业核心资产，也是最大的潜在风险来源；二是2021年以来金融科技监管持续收紧（央行”断直连”政策、数据安全立法落地、互联网贷款监管新规），企业所处的监管环境正在实质性变化，历史合规状态不等于未来合规保障。

这意味着本次尽调不仅要评估”现在合不合规”，还要评估”监管趋势下这家企业的业务模式能否持续合规运营”。

第一层：监管合规的动态性与尽调的局限性。尽调报告是某一时间点的合规快照，无法覆盖未来的监管风险。支付牌照的合规状态可能因央行检查、业务模式变化而动态变化，且监管机构通常不对外公开待处理的调查或问询，尽调存在信息不对称风险。

第二层：数据安全合规的深度核查要求。金融科技企业积累了大量用户金融行为数据，《数据安全法》和《个人信息保护法》对数据分类分级、用户授权、数据出境等有严格要求。合规瑕疵若被监管机构认定，可能引发高额罚款（最高违法所得5至10倍或5000万元），直接影响企业估值。

第三层：业务模式的合规边界辨析。企业将部分业务定性为"信息撮合"以规避金融监管，但其实际运营中是否承担了信贷风险（如兜底安排、差额补偿），若监管机构认定其实质为信贷业务，可能面临"无证经营"的合规认定。

① 目标企业持有的第三方支付牌照，当前合规状态如何？近三年是否有央行检查、监管函件或处罚记录？牌照续期时间节点和续期条件是否满足？

② 企业现有的数据处理活动，是否完成了《个人信息保护法》要求的隐私政策更新、数据处理授权合规、数据安全评估？是否存在尚未整改的合规缺口？

③ 企业将部分业务描述为"信息撮合"，是否存在实质上承担信贷风险（如差额补偿、保证金安排）的情形？若监管认定其为信贷业务，整改成本和影响如何？

尽职调查分两个专项模块并行推进：

牌照合规专项：①通过工商查询、行政处罚公示平台、央行官网查询目标企业的历史处罚记录；②要求目标企业出具关于支付牌照合规状态的书面陈述，并核查其近三年提交的年度报告和重大事项报告；③评估牌照续期时间节点和续期条件，识别近期续期风险。

数据安全合规专项：①核查现有隐私政策和用户授权协议，对照《个人信息保护法》逐项检查合规情况；②了解企业是否开展过数据安全评估（DPIA）；③评估数据泄露历史和应急响应机制。

在投资协议条款设计上，将合规风险锁定在以下三个机制中：
- 详尽的陈述与保证（R&W）条款：要求创始人/目标公司就牌照合规、数据安全合规、无重大监管处罚等事项作出完整书面陈述，违反陈述的赔偿责任由出让方承担；
- 监管合规持续义务：约定目标公司在投资后须持续维持牌照合规状态，触发重大合规事件时（如牌照被暂停）赋予投资方提前回购权；
- 交割先决条件：若尽调发现重大合规缺口，以"完成整改"作为投资交割的先决条件。

金融科技行业的投资尽调，有一个关键认知需要提前建立：牌照合规状态是"随时可能变化的"，而非一次核查后就永久有效的资产。央行对支付机构的检查频率近年明显提升，监管函件和处罚记录并不总是公开可查，这要求尽调工作更多依赖被投企业的主动披露和书面陈述——而将合规陈述纳入法律文件，并配套赔偿机制，是将这种信息不对称风险从投资方转移至目标公司的有效手段。

对于正在寻求融资的金融科技企业：投资方的合规尽调关注点在近年已从"是否持牌"转向"持牌业务是否合规运营"。若企业存在未整改的合规缺口（如数据使用授权不足、部分业务跨越监管红线），最好在融资前主动梳理和整改，而非期待在尽调中被忽视——后者在经验丰富的投资法律团队面前几乎不可能实现。