在企业破产程序中常面临着对有形资产与无形资产的快速处置,该过程在数字经济领域呈现出全新的挑战。近年来,特别是自2022年12月,中共中央和国务院联合发布了《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《数据二十条》)中提出建立公共数据、企业数据、个人数据的分类分级确权授权制度,数据要素市场化探索加速,随后,2024年发布的《可信数据空间发展行动计划(2024—2028年)》提出对个人数据合规利用机制的健全,推动数据要素的合规高效流通,更是在具体制度建设上进一步加快了个人数据作为重要的创新型生产要素进行市场化的步伐。
在刚结束的2025年全国两会上,李强总理在政府工作报告中也提出要深化数据资源的开发利用,个人数据作为数字经济的关键生产要素,如何实现对现有个人数据资源的合规开发利用,防止资源闲置浪费成为重要议题。这些推进在一定程度上都为企业破产程序中个人数据如何商业化估值,稳妥纳入破产财产提供制度和理论上的基础。
数据权益和个人信息难以分割,作为承载着个人信息的个人数据,在破产程序中进行流转利用时面临人格权益保障与财产价值释放的双重困境。《个人信息保护法》第4条虽已对个人信息进行界定,但由于对个人信息与个人数据间的认识不一,导致二者在保护框架及流转规则等方面存在理论分歧与实践争议。企业在经营活动中收集的同个人有关的原始数据的处置问题同个人数据与个人信息的关系密不可分。个人信息与个人数据的概念认定不统一,导致破产程序中破产管理人无法准确应用个人数据的保护框架和利用模式,从而造成企业对个人数据处置意愿的降低与个人信息权益保障风险的增加。
理论层面上个人信息与个人数据间的关系主要呈现两种理论进路。其一认为个人数据与个人信息乃一体两面,个人数据就是个人信息。;其二则认为两者在具体内涵、权利话语等方面存在较为明显的差别,提倡对个人数据、个人信息区别处理。当理论争议投射在破产实务时,个人数据处置规则适用的不确定性尤为突出,放大了数据保护与利用之间的冲突,譬如,在小鸣单车破产案中,用户数据等并未归到破产财产中。在加速构建以数据为关键要素的数字经济的今天,如何盘活经营陷入僵局的企业所持有的数据,促进资源高效利用成为不可忽视的问题。
首先,破产企业中数据作为破产财产的正当性基础虽已得到充分的论证,但现有研究多聚焦于对破产程序中个人信息、个人数据权益的保障,或通过法律解释的方式结合数据要素发展现状,论述破产法中的具体规则如撤销权或取回权,针对破产程序中个人数据处置架构的系统论述较少。其次,现有对个人信息财产权益的研究多侧重于个人数据自身人格权益和财产权益的配置,较少延伸至个人数据处置与其他财产权益关联保障。2025年的政府工作报告提到要大力发展智能网联新能源汽车、人工智能手机等新一代智能终端,但近年来随着智能网联汽车竞争愈发激烈,如威马汽车、高合汽车等智能网联汽车厂家,部分产品出现智能网联服务无法使用等问题,企业退出市场时个人数据的合规处置不仅涉及用户个人信息保护,而且妨碍消费者对核心服务的使用,影响潜在消费者购买信心,不利于产业长期健康发展。中国信息通信研究院在《数字消费者权益保护蓝皮书(2024)》也提到“小而实”的智能终端产品在成为新的消费增长点的同时,用户主要关注点为产品的功能性和稳定性,印证了实践中需进一步构建兼顾用户人格权益同财产权益的协同保护机制。故在破产程序中如何更好平衡个人权益保障与数据要素市场化配置成为亟待破解的问题。
数据作为企业破产财产适格性的核心需满足数据有价值与流通可行性,上述两点在司法和市场层面均已获得确认,在“新浪微博诉脉脉案”中,法院承认企业对其平台数据享有竞争性财产权益,“淘宝诉美景案”则明确平台运营者对其研发的大数据产品享有独立的财产性权益;据《2023年中国数据交易市场研究分析报告》显示,2021至2022年中国数据交易行业市场规模已达八百亿元以上,年增长率约为42.0%,数据流通市场虽存在影响数据“供得出”“流得快”“用得好”的堵点卡点,但整体仍处在扩张阶段,为将数据纳入破产财产提供了良好的市场基础。财产价值的确认和流通的可行性共同消解了数据作为破产财产在理论层面的适格争议,但个人数据作为数据中特殊类型,其人格权益附着性与财产价值衍生性的二元并存特征,要求破产企业对个人数据的处置需兼顾《个人信息保护法》规定的人格权益保障与《企业破产法》对企业财产保值增值的双重需求。
(一)个人数据特别规制需求的证成
1.个人数据的概念厘定
在理论层面,个人信息与个人数据的概念认定不统一,在破产程序中存在无法准确应用保护框架和交易流程的可能,从而降低企业的处置意愿。结合《数据安全法》第3条对个人数据的概念进行探究,对在数字经济中可成为生产要素的个人数据,应将其定义为以电子方式或者其他方式对与已识别或者可识别的自然人有关的各种信息的记录。数据是信息的记录载体,数据并不完全等于信息,个人数据之上承载着个人信息,个人信息也并不完全等于个人数据。个人数据为信息载体时,对个人信息权益的保护是优先目标,个人数据作为生产要素时,促进个人数据流通利用是优先目标。2025年初国家发改委发布的《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》提出强化个人数据流通保障,对个人数据的流通应取得个人同意或采用匿名化方式,也印证了个人数据之上承载着个人信息。因此在探究可作为生产要素的个人数据的处置优化流程时,既需要明确其上的人格权益属性,也不应将个人数据一概等同于个人信息。
2.个人数据要素化的内在机制
个人数据在实践层面的特殊性同其承载着个人信息密切相关。将个人数据按企业对其开发程度,可划分为原始数据、数据集合、数据资产。在个人数据要素化过程中,最初形态为收集后形成的原始数据,单一个人数据价值较为稀薄,不宜在破产程序中逐一流转。对原始数据经清洗入库后汇聚成数据集合,随着数据量级的增加,使数据集合形成可读写、有价值的文件。但因数据集合依旧承载个人信息,故企业对其享有的排他权受到限制,流通数据集合需保障数据承载的人格权益。在数据集合基础上经深度开发与系统整合得到的数据资产(数据产品)已经清洗分析,与承载有个人信息的原始数据不具有直接对应关系。具备商品交换价值的数据资产实现了财产价值的显性化,对其权属问题争议较小。
在数据要素市场化背景下,企业对个人数据背后的要素价值享有正当的财产权益,对该权益的确认是激励数据流通与价值释放的重要一环,因此需使其在司法实践中得到认可。在破产程序通过对个人数据中权益的合理配置,对正当数据利益给予承认和保护,既是促进企业对个人数据开发利用的激励机制,也是维护数据背后人格权益安全的保障机制。
3.人格权益不可让渡与财产价值可流通
数据作为承载信息的客体,个人数据同时是个人信息和数据资源的载体,因此,其一并承载着人格权益和财产权益。对个人数据相关权益的保障涉及自然人的民事权益保护与数据企业的数据活动自由关系的协调。个人数据作为承载人格权的客体,涵盖个体身份特征、行为轨迹等敏感性内容,具有人格权益;作为新型生产要素,在破产程序中可采用知情—同意或匿名化路径以数据集合形式流转;或经深度开发处理后可形成具有交换价值的数据产品。
个人数据承载着特定自然人的人格利益,同个人的尊严、自由等核心价值密切相关,其收集、处理直接涉及信息主体的人格尊严是否得到尊重,不当泄露或滥用可能损害其人格尊严,用于信息网络犯罪中更会对人民群众的生命财产安全构成现实威胁。个人数据作为企业决策和生产经营中必要一环,不能既以用户生产生活所得的个人数据为经营基础,又在数据处置中侵犯用户的人身权益与财产权益。个人信息中人格权益的不可让渡,即使企业面临破产,其收集、存储、使用的个人信息仍应受《个人信息保护法》约束,未取得用户同意或未对个人信息匿名化不得流转承载有个人信息的数据。
现阶段对个人数据财产利益的归属观点虽各有不同,但均未否认大量个人数据汇集后的财产性价值。自然人作为个人数据的数据来源者,享有个人数据中的财产性价值,但并非一成不变,而是随着对个人数据开发利用的加深而不断演进。单个个人数据的价值较为稀薄,但也应纳入保障的范围内。认可企业对个人信息的财产性权益也是部分观点讨论在破产程序中对个人信息进行出售的理论依据,对单一个人数据的出售受限于程序合规要求和交易成本不应视为主要的变现机制,破产程序中数据流通的主要内容应为数据汇集后形成的具有显著价值的数据集合以及在此基础上挖掘开发得到的数据资产。
(二)合规处置个人数据的多元价值实现
1.多方权益的复合保障
破产法为市场经济提供了一个统一的、公平的、可预期的市场规则和制度,通过破产法对市场参与者给予稳定预期和平等保护。企业破产程序中个人数据所涉及利益主体众多,对其合规处置可促进保障各数据利益相关者的合法权益,保障数据处置兼顾效率与公平。其一,保障数据来源者利益,实现用户个人信息权益的全流程保护。消费者数据权益应包含消费者身份信息、地址信息、购物记录、位置信息以及消费者在日常生活中的消费偏好、网上浏览活动和社交媒体互动等方式所产生的数据。在企业破产程序中,对上述个人数据进行挖掘分析得出的结果如消费者品牌决策偏好等,可避免推荐结果出现品牌歧视和低价竞争,有利于改善消费者体验;通过对破产管理人的选任、数据流向、使用场景、收益分配的对外公示,提升数据处置的透明度。其二,保障个人数据的合法处理者享有的财产性利益。破产重整阶段,充分认可破产企业中个人数据蕴含的价值,将成为吸引更多投资人的有力砝码,对个人数据的价值挖掘一定程度上给予债务人自主造血的能力,促进企业重生;破产和解阶段中个人数据的合理运用能在协商和解过程中发挥积极作用,为债务人和债权人之间达成更有利的和解方案创造条件。其三,债权人利益保护升级。在当前,数字经济已成为加速推动企业转型、实现高质量发展的重大推力,互联网轻资产公司主要依赖数据、技术、知识产权等无形资产运营,传统破产法以调整动产与不动产为主,经由优化个人数据的处置路径,释放其内在财产价值,在清算阶段可有效提升对债权人的清偿比例。
2.个人数据权利配置的激励机制
在破产程序中建构个人数据的合规处置路径,与《企业破产法》促进市场资源高效流通的价值相契合。数据资产的价值发现和价值实现依赖于数据资产的使用者对数据技术手段的应用和挖掘,个人数据的非竞争性、可复制性、非排他性,使其同时可被多方主体控制、处理。从最大程度发挥数据要素价值的角度出发,企业形成稳定的权利预期,才会增加对个人数据的开发投入、谋求长期收益,最终实现数尽其用。个人数据处置中合理配置各方权利,使得数据可被合法合理的开发,促进数据要素合规高效利用。具体而言,其一,强化数据资源的市场定价机制,更好发挥市场在资源配置中的决定性作用。完善破产程序中个人数据处置机制,针对数据要素定价难的问题,推动数据价值评估从依靠数据资产入表的成本核算向未来收益预期模式转变。其二,个人数据在流通中更好释放价值。完善个人数据的处置流程,有助于数据实现高效流通。在合规前提下对数据的深度挖掘,提炼形成的高价值的信息和应用服务可更好促进市场中的资源配置优化,提升企业决策精准度。
因个人数据承载人格权益与生产要素价值,在对其处置时需平衡权益保障同价值释放。一方面,个人数据承载个人信息,对数据的处置需保障人格权益,保障用户隐私权、人格尊严等基本权利;另一方面,企业对合法收集使用的个人数据享有财产性权益。若过度强调财产属性追求高效最大清偿债务,则存在个人信息安全风险;若仅关注人格属性,在数据要素释放中施加过多障碍,致使管理人基于最小化原则对数据简单销毁,则造成数字经济时代生产要素的价值湮灭。
(一)人格权益和财产权益的双重权益保障风险
掌握海量个人信息的企业进入破产程序时,权益保障同样呈现复合型特征,既需关注人格权益的保障,又涉及对财产性价值的保全。双重风险在构成上既源于企业内部治理机制失序,也受制于去标识化与匿名化的固有局限,更因破产场景下的特殊情形而放大影响,管理真空和技术局限共同成为破产程序中人格权益和财产权益面临双重风险的诱因。
1.管理失序诱发个人数据安全保障真空
破产程序中企业内部管理失序,致使数据安全管理出现真空。现有企业数据安全问题中,或因企业内部管理失效,面临内部人员监守自盗;或因安全措施缺位,造成数据遭外部窃取的风险更高,而上述问题在企业破产程序中被进一步放大。在加密货币交易巨头FTX公司破产案中,该公司于2022年11月申请破产保护后数小时内即遭盗窃,印证了破产企业由管理失序到数据失控传导过程。个人数据一旦遭到外部攻击或因企业内部管理失序而泄露、滥用。一方面存在对人格权益的侵权风险,遭泄露的个人数据被在信息网络犯罪中将直接对人民群众生命财产安全造成威胁;另一方面数据遭窃取、攻击后存在价值贬损风险,或因企业因数据被泄露而承担的高额赔付,造成可清偿债务人财产的减少。
2.匿名化技术存在静态合规危险
匿名化处理虽为现阶段法律、政策所认可的合规路径,但存在合规表象与实质风险背离的问题。一方面,不加区分的匿名化难以应对动态的再识别挑战;另一方面,过度依赖技术手段可能忽视风险应对机制的建设,陷入“技术主导法律”的误区。我国现行法律对个人信息匿名化采用了概括式立法技术,存在弱化条文的行为指引功能,导致个案中的匿名化处理法律评价模糊化的问题。破产程序中,法规中虽明确了个人数据流通中可采取匿名化的处置方式,但个人信息匿名化标准尚未落地,导致法律规则同技术标准衔接缺位。匿名化判断标准不清以及具体操作规范和审查标准的模糊,使破产企业虽在理论中可将个人数据上承载的个人信息匿名化后予以流转,但实践中缺乏可操作性。
匿名化技术并非一劳永逸地切断数据与数据主体间的关联,使得“不可逆性”标准在动态数据环境中难以绝对实现。首先,单一数据经匿名化处理后虽不被认定为个人信息,仍可能通过数据聚合分析、跨库关联等技术措施再次对应到个人,无法满足“无法识别且不能复原”的标准。例如早在2006年美国在线对六十余万用户的2000万搜索查询记录,经匿名化处理后建立数据库。但《纽约时报》的两位记者仍可对搜索记录进行分析后发现4417749号用户的真实身份。其次,匿名化算法的不合理使用亦可造成个人信息的再识别。如常用的差分隐私技术中隐私预算分配不合理,意味着服务器能够以更高的概率获取用户特定属性的真实信息,破产管理人对个人数据的处置中若不正确使用或过度依赖匿名化技术,忽略匿名化背后的再识别风险,对匿名化个人数据若未实施持续风险评估,其安全状态将随技术进步与数据累加持续劣化,使人格权益保障陷入“静态合规”陷阱,无法真正保障个人数据所承载的人格权益。
3.归责追责难造成外力约束削弱
现行责任体系难以全面覆盖个人数据的双重属性权益,外力约束机制削弱与损害量化的困难造成数据实际处理者的责任逃逸风险加剧。若发生个人信息泄露,行政机关依据《个人信息保护法》《数据安全法》作出的行政罚款应视为惩罚性债权。现阶段并无明确的法律规定,对破产程序中的惩罚性债权做出清晰规制,法院在裁判时存在较大的分歧,总体存在视为劣后债权、不属于破产债权、对债权剥离后分段认定以及认定为普通债权等认定方式。但无论采取何种认定方式,破产中行政处罚的难以执行,使原有的约束机制降低。当破产管理人因直接删除数据或数据泄露等数据处理失当,造成企业声誉恶化时。不当处置个人数据的影响呈现间接性与弥散性特点,且受限于数据的财产性价值评估难,难以认定破产管理人实质上造成企业破产财产的减少,因此原有的对破产管理人的责任体系可能会受到削弱。
4.智能终端权益保障的制度缺位
在智能网联汽车等智能终端中,数据已成为设备功能实现的数字基座,若僵化适用最小化原则,虽表面未造成用户对个人数据所享有权益的减损,但影响智能终端核心功能的实现,实质上侵害用户的财产性权益。在该场景中消费者对企业的诉求由先前对个人隐私的保障扩大至对财产性权益的保障。数据最小化原则的适用悖论下,企业退出市场后完全删除用户数据虽符合“非必要不处理”要求,但智能家居等设备的基础功能依赖于云端进行数据处理,对个人数据的一概删除将造成产品核心功能失效,严重影响用户对产品的正常使用,智能设备用户通过数据交互获得的增值服务如车辆远程控制、由云端服务器处理驾驶辅助等功能,将因数据删除而丧失。如威马汽车用户曾反映,在车企申请预重整后相关APP无法使用,车机功能失效。2024年公布的《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》虽对互联网平台企业停服后的数据转委托处理进行了规定,但对智能终端的权益保障在法律和标准规范方面均存在缺位。
(二)人格权益与财产权益的保护优先性冲突
破产程序中个人数据的合规处置与财产清偿的冲突,反映了破产法效率价值要求快速实现个人数据所蕴含的财产性价值,与保护个人数据承载的人格权益之间的矛盾。在个人数据的处置中实施人格权益保护与债权人利益最大化之间存在冲突。具体表现在两个维度,一是数据合规成本侵蚀债权人财产;二是去标识化与匿名化技术对数据要素价值的削减。
1.保护人格权益存在减损债权人利益的可能性
个人数据的隐私权保护与债权人利益最大化间的制度性冲突,在部分案件中体现为权利义务主体错位致使数据合规成本侵蚀债权人财产。以南太平洋个人贷款有限公司破产案(Re Southern Pacific Personal Loans Ltd)为例,该案中因破产法同个人数据保护间存在交叉关系,涉及两个重要问题,一是债务人公司的清算者(liquidator)是否应当认定为数据控制者;二是清算人如何处置债务人持有的个人数据。
依照当时的数据保护法律Data Protection Act 1998(后简称DPA98),如何处置以实现债务人财产清偿与数据安全保护之间的平衡成为该案的争议焦点。破产前债务人公司以房屋二次抵押向英国个人提供贷款,抵押贷款所有权及数据归债务人所有。DPA98中section7(1)规定了DSAR(Data Subject Access Request)即数据访问请求,DSAR允许数据主体向数据控制者提出访问数据控制者持有的关于其个人数据的副本。在清算阶段前客户仍向联合清算人提出DSAR要求,满足一个DSAR的成本为455英镑,而每月有近百个DSAR被提交,年度成本接近六十万英镑,若严格遵守DPA98,实施每个DSAR将进一步减少债权人所受清偿的范围,导致个人数据主体行使权利而由全体债权人承担成本。该案显露出清算人角色冲突、数据合规成本转嫁导致破产法原有价值失衡的困境。在类似破产案件中如Toysmart案、Borders案等,个人数据保护要求导致破产企业在处置数据产时面临诸多限制,难以实现资源的市场化高效配置和对债权人的高效清偿。不同国家和地区间在数据保护和破产程序的不尽相同,与跨国企业跨境数据传输的不同规定,一定程度上也加剧了平衡隐私保护成本与债权人利益的难度。如何在保护数据所承载的人格权益与保障债权人利益之间找到合理的平衡点,成为破产程序中亟待解决的问题。
2.合规流转路径同财产性价值释放间的矛盾
破产程序中去标识化与匿名化技术虽为平衡个人信息权益保护与数据要素化的法定路径之一,但其技术特性存在使数据价值实质性贬损的可能。匿名化算法通过消除标识符或添加噪声降低对个人信息的再识别风险。首先,过度追求对个人数据绝对匿名化,虽符合人格权益的保障,但会引发数据实际效用流失,造成有价值的个人数据成为无价值的“白噪声”。其次,过度实施去标识化、匿名化后需实施的算力消耗等成本更高,造成边际收益下降。现行个人信息的归责逻辑以及匿名化后产品效益的降低,导致管理人在对数据安全、个人信息保护规范掌握不足时,可能会倾向于放弃个人信息的处置,使得高价值数据成为符合最小化原则后的合规废品。
“同意—出售”规则与破产中效率要求形成冲突。企业破产场景下,逐项获取用户单独同意的操作成本高昂,且单个数据因承载自然人的人格属性如身份特征、行为轨迹等,直接流转易引发隐私泄露风险。“同意—出售”的处置路径存在形成“高合规成本—低市场估值—高风险溢价”的负向成本收益循环的可能。有观点提出在个人信息处理中采用默示同意的规定即California Consumer Privacy Act(后简称CCPA)规定的“选择—退出”机制(opt-out),将“选择—退出”机制引入个人信息保护法以消除将默示同意规则纳入同意体系的理论障碍,但具体到破产程序中,若适用“选择—退出”机制,表面上提高了数据处置效率,实质上则会因用户撤回个人数据,引发资产价值不确定性,并没有增加破产效率。购买数据集合的接收方将要承担可能存在个人信息的撤销权、取回权,数据价值不确定性更强,反而增加了债务人及资产购买者购买和维护资产的相关成本。
3.破产管理人身份认定难映射出双重义务竞合困境
破产管理人在数据控制者身份认定上的法律模糊性,导致其个人信息保护责任的边界不清;若不将其视为数据控制者,则在管理人不当处置数据时难以界定责任,若将其视为数据控制者,原有归责框架下增加管理人责任存在对其施加过重责任的风险。
第一,破产管理人存在身份认定困境。当前我国破产管理人选任制度中,考虑到管理人的中立性、公正性,目前我国采取的是法院指定、债权人申请更换的管理人选任模式,上文提及的南太平洋个人贷款有限公司破产案中,一个重要问题是破产程序中清算人是否应当认定为数据控制者。将破产管理人认定为数据控制者后,相关法律即直接适用于管理人,管理人将需要承担对个人数据的数据安全责任。
现有观点主张排除破产管理人数据安全责任的核心依据为以下三点。其一,管理人对破产财产的接管依赖于债务人的配合;其二,传统破产管理人对数据安全技能掌握较少以及因各企业数据安全管理各不相同;其三,破产管理人对企业数据难以在短时间内达到和原员工相同掌握程度。也有观点认为破产管理人应为数据控制者,该观点的出发点在于破产管理人需受《破产法》和《个人信息保护法》的双重规制。
管理人在破产程序中处置个人数据时,实质上决定了数据的处理目的和处理方式。若不认定为数据控制者,不仅同数据处理者的定义相悖,同时破产管理人对个人数据的处置中难以受到全面规制。若认定为数据控制者,由当前破产管理人的选任、专业能力等角度出发,管理人可能无法完全掌握破产企业的数据处理流程,将其置于双重义务的约束下,存在对管理人施加过重责任的风险。
第二,信义义务与个人信息保护双重义务竞合。破产管理人是否被认定为数据控制者的争议,是人格尊严保护的秩序价值与财产权益快速实现的效率价值间的平衡问题。现阶段法律对破产管理人民事责任与职务责任界定尚不清晰,有观点指出将管理人与利害关系人之间的关系塑造为信义关系,不仅是规制管理人自由裁量权的客观要求,也是推动信任机制良好运行的重要途径以及平衡协调各方利益关系的必然要求。信义义务视角下管理人责任的重点在于促进企业资产的保值增值,以维护债权人利益。但在数据合规处理和个人信息保护等要求下,破产管理人面临促进资源利用与人格尊严保障间的义务竞合。
域外案例中可分为两种价值导向,一类是强调管理人保障数据安全的责任,一类是兼顾对债权人利益的保障。其一,严格责任模式下个人数据保护规范对破产管理人的直接适用。在匈牙利数据保护局(NAIH)处罚清算人案中,清算人因不安全存放包含客户医疗记录在内等敏感数据,NAIH基于实际控制数据即需担责的逻辑对清算人课以处罚。其二,破产管理人执业中对债务人利益的保障,德国心理治疗师破产案中,德国最高法院在平衡医患保密义务与破产财产处置权时,以债权人对其债务人收入透明度的优先利益为依据,认定债务人向破产管理人披露患者数据的需求优先于患者保护其数据的权利主张。匈牙利NAIH直接对清算人的处罚,体现数据保护法规在破产程序中的直接适用,德国心理治疗师破产案展现部门法价值的动态调和。破产管理人的信义义务与个人信息保护双重义务竞合,具体在个人数据处理中,一方面,忠实义务要求破产管理人应避免不正当使用或泄露数据造成债权人整体利益受损,此要求天然涵盖数据安全治理责任,但存在破产管理人技术能力与法律期待的落差;另一方面,在合规要求与清偿效率的博弈中,勤勉义务又隐含对破产管理人推动个人数据要素化,使破产财产保值增值的合理期待。
企业破产场景下个人数据处置面临双重权益保障风险以及人格权益保障同财产价值释放冲突的矛盾,匿名化技术的静态合规陷阱、数据安全风险传导机制以及不同部门法之间的价值冲突,共同构成影响个人数据合规高效处置的障碍。纾解该困境需摒弃保护与利用间非此即彼的二元思维,不能因个人数据上承载有个人信息而过度追求数据处理的零风险。治理范式应转向权益保障与价值共生的协同治理,既避免因过度强调绝对的人格权益保障而扼杀数据要素价值,亦防止片面追求效率而侵蚀人格尊严底线。
(一)破产法功能同个人数据价值实现的耦合性
破产法作为进一步完善社会主义市场经济主体制度的制度保障,兼具市场退出工具与资源市场化再配置的作用。破产程序中优化个人数据的处置路径,可促进个人数据及在其基础上的衍生数据的高效利用,实现法治化、市场化路径下个人信息的风险纾解与价值再生。《数据安全法》《个人信息保护法》在阐述立法目的条文中均提到了“利用”,因此两部法律并非单向强调绝对安全,不宜因存在风险即因噎废食,忽略个人数据开发利用。个人数据的处理应以保护促利用,以安全促发展,实现高水平保护与高效率利用并重的高质量发展。一方面,破产程序中个人数据的保值增值利用防止了数据资源浪费。另一方面,通过数据流通产生的财产性收益,完善可能存在的中小股东、公司雇员、消费者、社会等可能受到的负面影响并对保护其利益。因此破产法内涵的保护价值也与《个人信息保护法》《数据安全法》相契合,在司法实践中,需超越重保护轻利用的思维,在分类分级保护的基础上探索差异化处置规则。
(二)以保护利用并重的理路优化个人数据处置路径
个人数据的处置应以权益保障为价值共生前置底线,以价值共生为权益保障持续赋能为核心理念。保护和利用在个人数据处置中并非零和博弈的关系,权益保障的范围涵盖债权人、债务人、企业职工、用户多方利益乃至数字经济发展的社会环境,而价值共生旨在通过对破产企业控制的个人信息在安全前提下的高效利用,实现债权人利益的最大化以及数据价值的充分释放。保护和利用密不可分,保护作为利用的前提与底线,为数据价值释放构筑安全屏障;利用是为更好的权益保障注入动能,通过保护与利用的深度互动,以更有效率的利用实现对上述权益的有力保护。
以权益保障与价值共生的协同逻辑,实现法律—技术—市场,三重维度的动态平衡,以实现数字经济中的“安全与发展”在破产法的呼应。通过软硬法协同设定权责框架、技术嵌入治理构筑保护屏障、有效市场机制释放数据要素价值的三维互动,推动个人数据处置由用户、债权人、债务人、市场间的紧张关系走向平衡后的多元权益保障。以保护性利用同利用性保护的螺旋式演进,为新质生产力发展提供更好的数据要素支撑,实现多元权益保障与数字经济发展的帕累托最优。
基于对前述困境的分析,需以权益保障与价值共生并重的理路,构建“制度—技术—治理”三维协同框架,实现在破产企业中个人数据的处置从风险规避向价值共享的范式转型。立足于个人数据的双重属性,以权益保障与价值共生并行的处置思路,通过路径优化平衡多方利益冲突,以期在破产程序中个人数据的处置实现权责适配、安全高效。
(一)优化责任框架推动各方权益保障的完善
破产程序中明确破产管理人的数据处理者地位,既与法规中认定标准相契合,亦可弥合部门法间的责任空隙,缓解约束力弱化的问题。基于管理人可能存在能力不足或对数据业务不熟悉的现状,为防止管理人的责任畸重,需通过责任框架的优化,合理分配个人数据处置的义务。
1.明确破产管理人责任边界
破产管理人面临信义义务与安全保障义务的竞合时,处置个人数据的目标应包含有使破产企业财产保值增值,维护数据所承载的人格权益。因此,管理人不能单独延续原企业的数据运营模式,需要发掘数据价值,促进企业重生或者合规变现数据,及时清偿债务。为防止破产管理人因承担过重的安全保障责任,而倾向于放弃开发数据要素价值,可依据《企业破产法》第25条对管理人职责的规定,探索建立“安全港规则”。该规则的目的在于减轻破产管理人在履行职责过程中的过重负担,对管理人因技术能力不足导致的合理失误予以有限豁免。
破产管理人在数据治理中尽到合理的义务,没有过错的情况下,发生侵害一般个人信息权益时,责任的确定适用过错推定原则,可以减轻或者免除侵权责任。对敏感个人信息的处置则需强调破产管理人的责任,予以更为严格的保护。原因在于,滥用敏感个人信息会极大地助长大规模侵犯人权的行为,对于更高价值位阶的法益应给予更高强度的保护。管理人对数据的增值保值只需尽到忠实勤勉的义务,如在数据集合基础上对深度开发与系统整合以生成数据产品的过程中,付出相应成本但未实现债权人利益的最大化,则可获得一定程度的责任豁免。
对管理人的责任边界进行明确,并依据风险大小,采取差异化的责任配置。一方面保障破产管理工作顺利开展,鼓励破产管理人积极对原始数据、数据集合加工处理;避免其因数据资产入表收益的不确定性而裹足不前,侧重安全而忽视了开发利用,尽可能促进数据要素释放价值。另一方面,依照个人数据侵权影响,分级承担责任,防范数据安全风险失控。以促进数据开发利用为目的,对破产管理人的有限豁免也与破产法促进市场资源高效配置的目的相契合。
2.数据治理生前遗嘱制度的建构逻辑
将破产管理人视为“安全责任人”的难点之一,在于破产管理人在短时间内难以全面掌握企业原有的数据安全管理模式。为快速提升管理人对原企业数据业务的掌握程度,实现人格权益保障和数据价值释放的目标,可考虑移植金融领域“生前遗嘱制度”(Living Wills)、恢复和处置计划(Recovery and Resolution Plan)至破产程序中。通过事前预案,提高破产管理人的数据治理能力,同时防范数据价值流失与社会风险外溢。在债务人自行管理制度属于新一轮《企业破产法》修改的重点的背景下,数据治理生前遗嘱不仅可用以增进法院指定的破产管理人对企业数据治理模式的掌握情况,在债务人自行管理的模式下,也可增强企业内部应急处置能力,防止因管理失序造成数据失控。“生前遗嘱”作为一项由企业所制定的应急处置计划,减轻了破产管理人接管时的履责难度。
金融领域的生前遗嘱制度目的在于有效预防金融危机的发生,防止大型金融机构破产对整个金融体系造成重大冲击、应针对金融机构特别是系统重要性金融机构可能面临的财务困难或濒临破产的情形,采取事前处置预案与相关计划准备,此即“生前遗嘱”。如欧盟在2014年颁布了《恢复与处置指引》(Recovery and Resolution Directive,RRD)。我国在2021年颁布了《银行保险机构恢复和处置计划实施暂行办法》,以防范化解重大风险,保障关键业务和服务不中断,实现有序恢复与处置,保护金融消费者合法权益和社会公共利益。存有海量用户个人数据的企业破产与金融领域破产存在的共通性为在破产程序中引入生前遗嘱制度提供了可行性。
第一,恢复与处置计划的制度逻辑可延伸至数据驱动型企业破产治理。金融资产与数据均面临价值随时间贬损风险,如次贷危机中MBS的价格出现了快速下跌;而数据在应用上存在时效性要求,若未能及时转换为数据供给则价值会贬值或消失。第二,金融领域和数据驱动型企业均需在破产程序中有效应对风险外溢,前者如雷曼兄弟破产后,由单一银行破产引发挤兑危机触发全球金融海啸,后者若造成个人数据的大规模泄露、滥用,可能导致针对用户的信息网络犯罪高发,引发社会对数字经济发展的信任危机。因此,在存有大量个人数据的企业破产时可参照适用金融领域的恢复和处置计划,制定相应的预案。
恢复和处置计划的制度与实施中应以风险治理为导向。第一,对企业依照数据量级和敏感程度以及泄露后的影响,判断风险状况后,规定数据持有达到一定量级的企业需制定处置规划。其次,为帮助破产管理人快速接管数据处理,并制定相应的数据安全管理措施和数据资产管理方案。企业应在计划中列明企业业务主线、数据处理流程等,以增强对破产管理人的掌握程度,使破产管理人对个人数据处理中的成本效益比、投资回报率等指标的判断更为准确。第三,可考虑在恢复和处置计划中将一部分破产财产纳入隐私侵害的预备赔偿金,在发生个人信息泄露或滥用时,及时实现对被侵权用户的赔偿,防止被侵害人因企业破产难以得到救济。
3.规范数据转委托保障消费者财产权益
当破产企业处理的个人数据直接关系到智能网联设备的正常运行时,为保障用户对智能终端的持续正常使用,破产企业可采取委托第三方处理个人数据,形成个人数据处理的义务承继。现阶段存在智能网联汽车公司退出市场后,该公司股东对外宣称负责保障售后、智能驾驶的使用等,但股东和破产企业均为独立法人,用户个人数据需在破产企业和新数据处理者之间转移。在智能网联汽车个人信息可携带权受阻的现实下,数据信托模式为缓解该困境提供了合法路径。保障智能终端持续使用的数据信托可分为两类,一种是破产企业以数据集合的形式委托处理;一种是用户基于个人信息可携带权,自行将单一个人数据委托第三方处理。
在企业委托处理模式中,破产企业的数据处理者应在充分获取用户的知情同意的前提下,遵循保障原有基本功能正常运行标准,确保设备核心功能延续,且委托期限覆盖一定时限。破产企业作为对数据集合享有权利的主体,将数据使用权等权益委托给作为受托人的信托机构,受托人将数据交由数据运营机构处理。由数据运营机构承担OTA、安全补丁的更新等义务,运营数据产生的收益可用于用户后续维保的保障。在用户自行委托模式中,个人数据信托模式可理解为委托人(数据主体)将信托财产(个人数据上的财产利益)集中成立数据信托实体,信托实体以自己的名义管理、处分信托财产。用户基于个人信息可携带权,将数据转移给数据信托机构后,数据信托机构以实现用户利益的最大化为目的,保障用户数据权益以及延伸至智能终端的财产权益。针对智能终端生产者退出市场时的消费者权益保障,数据信托模式提供了可行的制度架构,有利于保障消费者权益,统筹安全与发展的前提下,促进产业持续健康发展,推动相关产业锚定数字与实体经济深度融合的长期目标不动摇。
(二)建立健全个人数据的梯度化保护机制
数字经济中,个人数据与数据技术紧密结合,决定了在破产程序中个人数据所承载的个人信息的保障、数据要素化的实现一定与数字技术高度相关。但在技术赋能数据要素价值实现的同时需规范数据处理行为,预防技术在个人数据处置中不正确实施。
1.以技术协同推动个人数据价值安全释放
首先,在去标识化与匿名化的衔接中,以去标识化为起点,通过假名化、泛化等技术剥离直接标识符,在保障人格权益的前提下,保留数据可用性。匿名化路径通过技术介入实现法律风险隔离与价值稳定,通过差分隐私、K-匿名等匿名化技术对个人信息处理形成不可逆衍生数据。借由匿名化技术稳定数据要素价值,匿名化处理使数据保护路径由《个人信息保护法》转向《数据安全法》,适用第21条规定的“分类分级保护”制度,免除更改处理事项时的用户的单独同意以及可能存在的数据取回权、撤销权。隐私计算立足对个人数据流通利用与共享等应用需求,破产程序中采用联邦学习、安全多方计算等模式,可在不泄露原始数据的前提下实现跨域共享数据,适用于破产企业数据集合的价值释放。探索在个人数据去标识化前提下,引入第三方主体加工处理数据,确保原始数据不出域,数据可用不可见,对提供数据集合的破产企业以适当的收益分配,在保障数据安全的前提下,最大程度开发利用数据资源,避免破产企业因资金短缺等原因,无法对富有价值的数据集合深度挖掘,造成数据浪费。
2.以个人数据梯度化保护实现效率与安全的平衡
劳伦斯·莱斯格(Lawrence Lessig)在其代表性著作,《代码:塑造网络空间的法律》(Code and Other Laws of Cyberspace)提出的“代码即法律”(Code is Law)理论,强调数字空间的规则由技术(代码)直接塑造,赋予了代码在数字空间中独特的规制功能与价值选择属性。在个人数据处置中需界定好数据立法同数字技术立法间的关系,强调技术在个人数据处置中重要性的同时,避免陷入“技术万能论”的误区。去标识化与匿名化算法局限性所造成的潜在风险已在理论和实践层面中得到反复印证,单一技术路径难以应对破产程序中动态数据环境的挑战。因此,在个人数据保护中应由追求零风险、一刀切式的保护机制,转向以技术驱动的风险治理机制,同时,算法技术之治理也应不断创新、完善、发展,才能应对不断凸显的新型问题。通过采取事前对数据接收企业进行前置风险评估,完善事后责任追究机制;事中以去标识化与匿名化的衔接为中心,依托数据分类分级,多样化处置个人数据,将风险控制在可容忍范围内,实现风险可控与数据高效流通之间的平衡。
个人数据的梯度化保护,应以风险等级分类为核心,根据数据敏感性与处理活动存在的人格权益侵害风险,以高风险强约束,低风险促利用为原则,制定差异化的技术标准与合规机制。通过妥善构建个人信息去标识化的分级规则体系,可在坚守个人信息保护底线的同时,最大程度激活信息数据的流通和利用对医疗健康、金融账户等敏感个人信息通过差分隐私技术等措施实施匿名化,虽然数据价值因匿名化有所减弱,但可最大程度防止数据被再次识别;对位置轨迹、消费记录等其他个人数据允许适当降低标准以平衡效率和创新,在重新识别风险较低的前提下,保留更多的数据价值。以技术为驱动的风险治理机制下,针对不承载敏感个人信息的数据,对其进行匿名化时,认定标准中的“不可识别”应当认定为存在识别可能,但识别的人财物成本远超一般主体所能承受范围。同时采用事前风险评估+事后应急处置,明确技术工具在数据治理中的有限性定位,实现法律与技术间的衔接。
(三)扎实常态化监管推动多元共治
1.个人数据处置中引入新监督主体的必要性论证
国内有观点认为在破产程序中可仿照美国设立消费者隐私监察员(consumer privacy ombudsman后简称CPO),或借助美国隐私监督员制度与判例确立的规则。美国破产法第332条中规定了CPO的设定,其职责主要包括,评估数据转让对隐私的影响、向法院提出数据删除、限制使用范围等建议。CPO设立后知名的成功案例即RadioShack案,该案中CPO推动删除敏感数据,在个人数据处置流程中发挥了重要作用。评估CPO是否适用于我国现阶段的个人数据处置,须明晰设立CPO的现实土壤,该制度的创设与美国隐私风险较高的个人数据出售制度密切相关。其对个人数据出售的规制与其企业隐私政策高度关联,如在living.com案中破产企业出售个人数据引发担忧的原因在于其出售行为与其隐私协议相悖。按企业隐私政策可分为三类,一是隐私政策明确禁止转让消费者数据(如Toysmart案);二是隐私政策明确未经消费者同意不转让个人数据,即“选择—加入”(Opt-In)模式(如living.com案);三是隐私政策明确可以转让,消费者可选择拒绝,即“选择—退出”(Opt-Out)模式(如Borders案)。并非所有破产企业均要求破产管理人任命CPO,如企业原有隐私政策允许公司在破产时转让消费者个人数据,如Boscov案中便并未任命CPO。
CPO的运行模式同我国数据流通现状不适配之处在于,现阶段我国个人数据流转路径可分为知情—同意和匿名化两类,与美国对个人数据的流转现状存在本质分野。其次,CPO的救济时段相对较窄。如近年来我国各地不断涌现采用预重整模式的案例,CPO仅在破产清算时数据处置阶段介入,则无法化解清算前如预重整阶段的个人数据滥用风险。第三,在企业资产面临诸多分配处置难题时,CPO的设立则需要投入较多的人财物等资源,无疑会对债权人的清偿增加额外负担。虽将CPO整体搬迁至我国破产程序中存有水土不服的风险,但可参考美国在制度运行过程中的经验教训。相较于CPO的阶段性、窄角度的干预,通过依托《数据安全法》《个人信息保护法》《网络安全法》以及相关行政法规、行业规范构建软硬法协同的常态化监管体系,既能避免美国个人信息保护中个案救济的碎片化缺陷,又通过数据保护与利用的辩证统一,在全周期权益保障、债权人利益最大化以及数据要素充分释放等方面均有显著优势。
2.常态化监管机制的优势凸显
基于对CPO制度的深入剖析以及我国数字经济发展的实际需求,应通过构建常态化监管体系,使监管体系满足人格权益底线约束和财产价值高效释放的需求。在数字经济领域实行常态化监管,为数字经济规范健康持续发展提供市场化、法治化、国际化营商环境,为消费者合法权益提供有力保障。
第一,常态化监管按个人数据特征类型分类分级,对敏感个人数据严格把控,实现敏捷、精准监管,平衡数据利用与风险防控。第二,对个人数据的高效公平处置需维护各个数据权益主体的合法权益,在监管进程中应当吸纳平台企业、科研机构、行业协会等多元主体参与。个人信息保护的协同保护中,一方面依托于企业内部自我管理的元规制机制;另一方面由社会主体展开的个人信息保护认证、评估和审计机制也体现了社会自我规制,这种合作机制成为吸纳多元主体加入提供了基础。具体而言,平台企业应履行必要职责,承担数据流动监测与合规自查的主体责任;科研机构可为去标识化与匿名化算法优化、风险评估模型构建提供技术支持;行业协会可制定行业自律准则并推动标准互认;第三方技术服务机构则通过独立审计与认证服务增强市场信任。多方协作形成“政府主导、企业履责、社会协同、技术支撑”的立体化治理网络,显著降低监管成本,提升治理效能。第三,数字经济动态性强,常态化监管需建立监测机制,借助技术手段对经由匿名化处理的个人信息进行动态风险检测、及时处理,防止风险扩散。推动破产程序中司法文书透明公开,通过典型案例释明匿名化标准、责任认定规则等争议问题,为企业数据处理提供稳定预期,为公众参与监督创造条件。唯有通过透明化治理,方能打破“监管黑箱”,营造良好的市场环境,保障数据的流通与价值释放,在数据安全与市场活力之间构筑可持续的平衡机制。
破产程序中个人数据的处置程序是数字经济发展与法律规制深度交织的复杂命题。本文通过理论探析与实证分析发现,数据作为新型生产要素的财产价值已获司法确认,但个人数据因具有特殊人格属性,需构建差异化的保护框架,在实践中持续优化匿名化技术标准与梯度化治理体系,以制度—技术—治理的三维协同,实现个人数据蕴含的双重价值。数字经济的发展受惠于数据的共享流通,破产场景下个人数据处置路径建构需要在包容合理风险的前提下,实现人格权益保障与要素价值释放间的平衡。后续研究可延伸至跨境破产中的数据主权冲突,完善智能终端权益保障机制等前沿问题,推动形成兼顾效率与安全、平衡公益与私权的数据治理范式,为数字经济高质量发展提供制度保障。